建立鐵路網(wǎng)絡(luò)空間安全治理新格局的實踐探索

孫遠運

（中國國家鐵路集團有限公司 科技和信息化部，北京 100844）

信息技術(shù)的廣泛應(yīng)用和網(wǎng)絡(luò)空間興起發(fā)展，極大地促進了經(jīng)濟社會繁榮進步，同時也帶來了新的安全風險和挑戰(zhàn)[1]。近年來，國家級有組織的網(wǎng)絡(luò)攻擊持續(xù)發(fā)生，數(shù)據(jù)泄露事件頻發(fā)，國家政治、經(jīng)濟、文化、社會及公民在網(wǎng)絡(luò)空間的合法權(quán)益面臨嚴峻威脅。鐵路安全事關(guān)國家安全和公共安全，規(guī)模龐大、影響廣泛的鐵路信息系統(tǒng)全天候不間斷運行，面臨的網(wǎng)絡(luò)安全風險與日俱增。進一步提升鐵路網(wǎng)絡(luò)安全治理能力，已成為鐵路助力國家網(wǎng)絡(luò)安全治理體系和治理能力現(xiàn)代化的必然要求，為此，本文采用多維度分析法，分析我國網(wǎng)絡(luò)空間治理現(xiàn)狀，系統(tǒng)總結(jié)鐵路網(wǎng)絡(luò)安全治理實踐和取得的成效，并從不同維度提出相應(yīng)改進路徑。

1 我國網(wǎng)絡(luò)空間安全治理現(xiàn)狀分析

政治（P，Political）、經(jīng)濟（E，Economic）、社會（S，Social）和技術(shù)（T，Technological）分析，即PEST分析，是指宏觀環(huán)境的分析，不同行業(yè)根據(jù)自身特點，分析的具體內(nèi)容會有差異，但一般都包括政治、經(jīng)濟、社會和技術(shù)。基于此種分析方法，本文從4個維度分析我國網(wǎng)絡(luò)空間安全治理現(xiàn)狀。

1.1 政治和法律維度

我國網(wǎng)絡(luò)安全已上升到國家戰(zhàn)略，相關(guān)政策布局和法律體系不斷完善，為指導(dǎo)我國網(wǎng)絡(luò)安全工作，以及維護國家在網(wǎng)絡(luò)空間的主權(quán)、安全、發(fā)展和利益提供了良好的政策保障。以《中華人民共和國網(wǎng)絡(luò)安全法》為基礎(chǔ)的網(wǎng)絡(luò)安全法律法規(guī)體系已成為國家網(wǎng)絡(luò)安全保障體系的重要組成部分；將于2021年9月1日正式實施的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》[2]更是為我國深入開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提供了有力的法治保障。

1.2 經(jīng)濟和產(chǎn)業(yè)維度

伴隨各類新興技術(shù)的研究發(fā)展、融合應(yīng)用的推廣落地，以及政策紅利的持續(xù)釋放，在數(shù)字經(jīng)濟的背景下，我國網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展勢頭和規(guī)模持續(xù)向好，網(wǎng)絡(luò)安全應(yīng)用市場廣泛，其中， 政府、電信與金融領(lǐng)域應(yīng)用網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)最多[3]，眾多細分領(lǐng)域的安全需求成為推動網(wǎng)絡(luò)安全產(chǎn)業(yè)持續(xù)增長的動力。但在發(fā)展持續(xù)向好的背后，我國網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展不平衡、不充分的問題依然突出，特別是在內(nèi)部業(yè)務(wù)數(shù)字化和外部監(jiān)管合規(guī)壓力倍增的現(xiàn)狀下，普適性安全教育投入方面仍然較少，網(wǎng)絡(luò)空間安全人才基數(shù)仍需進一步擴充。

1.3 社會和保障維度

隨著信息化和全球經(jīng)濟化相互促進，互聯(lián)網(wǎng)已經(jīng)融入社會生活的方方面面，也深刻改變了人們的生產(chǎn)和生活方式，但同時，網(wǎng)絡(luò)安全威脅和風險也與日俱增。在新一輪產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型的大背景下，互聯(lián)網(wǎng)已成為驅(qū)動產(chǎn)業(yè)創(chuàng)新變革的先導(dǎo)力量，能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點攻擊的目標，為此，其相關(guān)保護體系得到持續(xù)優(yōu)化。在大數(shù)據(jù)時代，個人信息已成為一種重要的社會資源，我國高度重視大數(shù)據(jù)時代帶來的隱私威脅，不斷強化個人信息保護力度，在執(zhí)法監(jiān)管與社會監(jiān)督多管齊下的有力舉措下[4]，多措并舉協(xié)同聯(lián)動的個人信息保護體系建設(shè)已初見成效。

1.4 技術(shù)和創(chuàng)新維度

中華人民共和國工業(yè)和信息化部公布的《2020年網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點示范項目名單》[5]，涵蓋新型信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全公共服務(wù)、網(wǎng)絡(luò)安全“高精尖”技術(shù)創(chuàng)新平臺等3個大類共計177個項目，充分體現(xiàn)了國家對網(wǎng)絡(luò)安全技術(shù)創(chuàng)新應(yīng)用的迫切需求和政策支持。技術(shù)創(chuàng)新應(yīng)用在對整個經(jīng)濟社會發(fā)展的融合、滲透和驅(qū)動作用日益明顯的同時，也帶來巨大的風險挑戰(zhàn)，導(dǎo)致網(wǎng)絡(luò)空間威脅和風險日益增多。更為嚴峻的是，我國科技，尤其是上游核心技術(shù)受制于人的現(xiàn)狀仍未得到徹底解決。目前，國內(nèi)重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施中使用的核心信息技術(shù)產(chǎn)品和關(guān)鍵服務(wù)大多依賴國外[6]，信息技術(shù)應(yīng)用創(chuàng)新（簡稱：信創(chuàng)）生態(tài)體系的搭建和核心競爭力的提升問題亟待解決。

2 鐵路網(wǎng)絡(luò)空間安全治理的實踐成效

鐵路部門深入貫徹、積極落實網(wǎng)絡(luò)強國戰(zhàn)略部署[7]，網(wǎng)絡(luò)空間安全治理工作取得了顯著成效，為鐵路發(fā)展保安全、強管理、增效益提供了強有力的安全保障。

2.1 網(wǎng)絡(luò)安全體制機制基本構(gòu)建，制度保障體系初步形成

堅決貫徹落實網(wǎng)絡(luò)安全工作責任制[8]明確要求，2018年，中國國家鐵路集團有限公司（原中國鐵路總公司，簡稱：國鐵集團）成立了網(wǎng)絡(luò)安全和信息化（簡稱：網(wǎng)信）領(lǐng)導(dǎo)小組。國鐵集團和所屬各單位網(wǎng)信領(lǐng)導(dǎo)小組實行雙組長制和雙副組長制；鐵路站段等二級單位網(wǎng)信領(lǐng)導(dǎo)小組組長由主要負責人擔任。同時，堅持做好網(wǎng)絡(luò)安全制度保障工作，以國家政策法規(guī)為指引，健全完善鐵路網(wǎng)絡(luò)安全有關(guān)管理制度和標準，先后印發(fā)了《中國鐵路總公司網(wǎng)絡(luò)安全管理辦法》《網(wǎng)絡(luò)安全事件調(diào)查處理和定責考核管理辦法》等制度文件，基本構(gòu)建了覆蓋國鐵集團、鐵路局集團公司、鐵路站段的網(wǎng)絡(luò)安全管理規(guī)章制度體系。

2.2 安全產(chǎn)品和服務(wù)市場化推進，產(chǎn)業(yè)示范建設(shè)廣泛布局

立足網(wǎng)絡(luò)安全防護實際，積極推進網(wǎng)絡(luò)安全產(chǎn)品研發(fā)和市場推廣，按照“消化吸收再創(chuàng)新”的原則，打造了一批技術(shù)過硬、易用性強的優(yōu)勢產(chǎn)品。產(chǎn)品體系涵蓋了網(wǎng)絡(luò)安全等級保護管理系統(tǒng)、移動終端接入平臺、漏洞管理平臺、一次性密碼（OTP，One Time Password）動態(tài)驗證、網(wǎng)絡(luò)安全基線配置核查系統(tǒng)等，已經(jīng)在鐵路部分單位試點應(yīng)用和落地實施。同時，緊跟鐵路業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全需要，探索打造“全領(lǐng)域”服務(wù)模式，以等級保護為基礎(chǔ)，逐步拓寬服務(wù)面，全力做好攻防演習、安全檢查、宣傳教育等各項安全保障工作。在此基礎(chǔ)上，著眼于為安全技術(shù)研究、信創(chuàng)體系完善、系統(tǒng)安全測試、安全人才培訓(xùn)等工作提供有力支撐，積極推進網(wǎng)絡(luò)安全靶場實驗室、鐵路商用密碼安全評估實驗室和鐵路信創(chuàng)適配實驗室的規(guī)劃建設(shè)。

2.3 安全保護體系逐步構(gòu)建完善，個人數(shù)據(jù)安全有力維護

在切實落實網(wǎng)絡(luò)安全等級保護工作的基礎(chǔ)上，重點從機制制度、檢測評估和防護措施等層面著手推進鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。研究制定《關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則》等規(guī)則制度，積極組織開展鐵路關(guān)鍵信息基礎(chǔ)設(shè)施認定工作，推動建立關(guān)鍵信息基礎(chǔ)設(shè)施風險評估機制，以資產(chǎn)評估為核心，針對每一項需要保護的資產(chǎn)，識別可能被威脅利用的弱點，分析并及時整改其存在的脆弱性；推進制訂了各關(guān)鍵信息基礎(chǔ)設(shè)施專項應(yīng)急預(yù)案，定期組織開展應(yīng)急預(yù)案演練，并在重要保障期間，組織對關(guān)鍵信息基礎(chǔ)設(shè)施進行全面安全檢查和集中重點盯控。同時，特別針對部分涉及資金交易、個人敏感信息交互的關(guān)鍵信息基礎(chǔ)設(shè)施，采用密碼技術(shù)進行加密以實現(xiàn)信息隱藏；進一步優(yōu)化完善鐵路12306互聯(lián)網(wǎng)售票系統(tǒng)隱私權(quán)政策，嚴格落實國家網(wǎng)絡(luò)安全有關(guān)隱私保護和數(shù)據(jù)安全要求。

2.4 示范工程促進技防能力提升，信創(chuàng)體系構(gòu)建有序推進

鐵路網(wǎng)絡(luò)安全技術(shù)能力主要包括入侵防范、邊界防護、計算環(huán)境、應(yīng)用安全、數(shù)據(jù)安全、可信驗證等內(nèi)容。采用試點先行、全面推廣的實施策略，有序推進鐵路領(lǐng)域重要信息系統(tǒng)一體化安全保障示范工程（簡稱：鐵網(wǎng)護欄工程）建設(shè)，初步構(gòu)建了符合實際、突出重點、防護得當?shù)蔫F路網(wǎng)絡(luò)安全技術(shù)保障體系，鐵路系統(tǒng)性風險防范能力和網(wǎng)絡(luò)安全保障水平進一步增強，網(wǎng)絡(luò)安全技術(shù)防護能力進一步提升。同時，積極推進信創(chuàng)國產(chǎn)化工作，開展國產(chǎn)化產(chǎn)品的應(yīng)用研究和適配工作，搭建了鐵路信息化應(yīng)用國產(chǎn)化適配平臺，完成了相關(guān)產(chǎn)品開發(fā)、國產(chǎn)操作系統(tǒng)適配測試、鐵路電子公文系統(tǒng)和電子支付系統(tǒng)的國產(chǎn)化適配等工作，推進鐵路信創(chuàng)體系有序構(gòu)建。

3 鐵路網(wǎng)絡(luò)空間安全治理的改進路徑探索

進入新發(fā)展階段，面對深刻變化的鐵路內(nèi)外部環(huán)境，鐵路部門要貫徹新發(fā)展理念，堅持正確方向，釋放產(chǎn)業(yè)支撐效能，強化核心重點防護，推進創(chuàng)新技術(shù)融合，構(gòu)建鐵路網(wǎng)絡(luò)安全治理新發(fā)展格局。

3.1 加強政治引領(lǐng)，突破制度落地實施瓶頸

鐵路網(wǎng)絡(luò)安全治理工作要嚴格落實網(wǎng)絡(luò)安全工作責任制要求，確保網(wǎng)絡(luò)安全責任清晰、主要目標明確、工作任務(wù)和保護措施具體，不斷強化網(wǎng)絡(luò)安全工作的政治引領(lǐng)和指導(dǎo)力度，堅決杜絕不重視網(wǎng)絡(luò)安全工作的情況發(fā)生。同時，本著“于法周延、于事簡便”的原則，要在制度規(guī)章和標準細則上深入細化，明確等級保護測評、風險評估、密碼測評、產(chǎn)品檢測等方面的具體要求和實施指南，并加大檢查考評力度，建立網(wǎng)絡(luò)安全定期巡視巡查制度，對發(fā)現(xiàn)的問題實行閉環(huán)管理，逐項督促，落實整改，確保做到有制可依、有制必依、依必見效。

3.2 依托產(chǎn)業(yè)示范，促進服務(wù)支撐能力提升

隨著我國對網(wǎng)絡(luò)安全產(chǎn)業(yè)的重視程度不斷增強，各項政策規(guī)劃為網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展提供了有力保障和明確指引。要對標先進典型，充分結(jié)合自身實際，加快推進網(wǎng)絡(luò)安全技術(shù)研究中心和靶場實驗室等的建設(shè)[9]，構(gòu)建集訓(xùn)、試、測、仿、技術(shù)服務(wù)、資源共享等為一體的網(wǎng)絡(luò)安全產(chǎn)業(yè)支撐機構(gòu)，積極創(chuàng)新網(wǎng)絡(luò)安全服務(wù)模式，依托技術(shù)研究中心和實驗室的平臺優(yōu)勢，全面開展網(wǎng)絡(luò)安全技術(shù)研發(fā)，擴展等級保護測評工作深度，加快信創(chuàng)網(wǎng)絡(luò)安全防護產(chǎn)品研制，推進網(wǎng)絡(luò)安全大數(shù)據(jù)和商用密碼應(yīng)用，組織開展網(wǎng)絡(luò)安全攻防技能競賽，構(gòu)建涵蓋咨詢規(guī)劃、研究開發(fā)、檢測試驗、演練和培訓(xùn)等的全生命周期服務(wù)保障體系，為鐵路網(wǎng)絡(luò)安全工作提供全流程支撐和個性化服務(wù)。

3.3 強化重點防護，貫徹以人為本核心原則

關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)已逐漸成為網(wǎng)絡(luò)戰(zhàn)爭的主戰(zhàn)場，對其采取針對性的重點防護至關(guān)重要。要深刻把握“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”這一網(wǎng)絡(luò)安全觀的核心要義，研究制定符合鐵路實際的個人信息保護制度和個人信息分級分類標準，區(qū)分信息使用權(quán)限，明確相應(yīng)級別的保護措施。同時，要嚴格按照最新法律法規(guī)和鐵路關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則程序，加快鐵路關(guān)鍵信息基礎(chǔ)設(shè)施認定進程，健全關(guān)鍵信息基礎(chǔ)設(shè)施風險評估機制，推進系統(tǒng)國產(chǎn)化工作，推進網(wǎng)絡(luò)安全設(shè)備和關(guān)鍵信息基礎(chǔ)設(shè)施安全可控示范應(yīng)用，切實做好源頭管控。采取檢測認證、供應(yīng)商安全評估、安全審查等多種手段，加強鐵路關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全管理。

3.4 完善信創(chuàng)體系，推進創(chuàng)新技術(shù)融合發(fā)展

新技術(shù)、新應(yīng)用正在不斷融入鐵路業(yè)務(wù)、管理和服務(wù)之中，以人工智能、區(qū)塊鏈等為代表的新技術(shù)，以及建設(shè)智能鐵路帶來的新風險[10]，將為鐵路網(wǎng)絡(luò)安全帶來更大挑戰(zhàn)。要采用“適度超前”的思維，分析安全需求，積極制定與智能鐵路相匹配的網(wǎng)絡(luò)安全技術(shù)框架和實施方案，明確整體架構(gòu)、技術(shù)路線、技術(shù)策略，指導(dǎo)網(wǎng)絡(luò)安全建設(shè)及技術(shù)措施實施工作，以推動新一代信息技術(shù)與鐵路網(wǎng)絡(luò)安全深度融合為牽引，打造現(xiàn)代智慧鐵路系統(tǒng)，強化科技創(chuàng)新的支撐引領(lǐng)能力。同時，按照“適配、示范、推廣”的技術(shù)路線，進一步完善網(wǎng)絡(luò)安全信創(chuàng)體系，加強信創(chuàng)技術(shù)和產(chǎn)品攻堅，推進攻防技術(shù)裝備標準化配備、國產(chǎn)化產(chǎn)品替代和國產(chǎn)密碼應(yīng)用，全面提升核心信息系統(tǒng)安全可控度。

4 結(jié)束語

基于PEST的多維度系統(tǒng)分析，總結(jié)了鐵路網(wǎng)絡(luò)安全治理實踐及取得的成效，立足新發(fā)展階段，充分認識鐵路網(wǎng)絡(luò)安全工作的重要性、復(fù)雜性和艱巨性。本文提出的改進路徑還需分階段、分重點地逐步推進實施，要始終堅持多維度、多角度、多方面、多層次、多措并舉的分析方法，把握新發(fā)展階段鐵路網(wǎng)絡(luò)空間安全治理的新路徑，構(gòu)建鐵路網(wǎng)絡(luò)安全立體化綜合防御、協(xié)同共治的新發(fā)展格局，確保鐵路網(wǎng)絡(luò)和重要信息系統(tǒng)安全穩(wěn)定運行。