交通运输部公布了《公路水路关键信息基础设施安全保护管理办法》(交通运输部令2023年第4号,以下简称《管理办法》),自2023年6月1日起施行。为便于有关单位和社会公众更好理解执行,切实做好《管理办法》贯彻实施工作,现解读如下:
公路水路关键信息基础设施(以下简称关基设施)是指在公路水路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。党的二十大报告明确要求强化网络安全保障体系建设。加强关基设施安全保护是交通运输行业网络安全工作的重中之重。2021年出台的《关键信息基础设施安全保护条例》(以下简称《条例》)对国家关基设施安全保护予以了系统规范。《交通强国建设纲要》《国家综合立体交通网规划纲要》明确要求加强交通信息基础设施安全保护、健全关基设施安全保护体系。为全面贯彻落实党中央、国务院关于加快建设交通强国的决策部署,细化落实《条例》制度规定,同时系统解决关基设施安全保护实践中存在的问题,需要制定《管理办法》,以全面保障关基设施的安全运行。
《管理办法》共6章33条,包括总则、公路水路关键信息基础设施认定、运营者责任义务、保障和监督、法律责任、附则。主要内容包括:
规定交通运输部负责全国关基设施安全保护和监督管理,并对在全国范围运营以及其他经交通运输部评估明确由部管理的关基设施具体实施安全保护和监督管理工作;省级交通运输主管部门对本行政区域内运营的关基设施具体实施安全保护和监督管理。此外,在具体管理事项上对部省两级交通运输主管部门职责予以了细化。
明确交通运输部作为关基设施认定主体,负责制定认定规则、组织认定工作,并规定了具体认定程序。
建立关基设施全过程保护制度,要求安全保护措施应当与关基设施同步规划、同步建设、同步使用,明确规定了运营者在机构设置、人员配备、经费保障、产品和服务采购、安全检测和风险评估,以及数据保护、密码应用、保密管理、教育培训等方面的责任和义务。
从监测预警能力建设、应急预案制定演练、安全防范和安全事件报告等方面,对交通运输主管部门和运营者责任和义务予以明确。
一是要求交通运输部制定关基规划,明确保护目标、基本要求、工作任务和具体措施。二是通过定期开展检查检测、约谈运营单位负责人、实施行政处罚和政务处分等方式落实监管责任。
总体来看,公路水路的网络环境复杂,设备种类多、管理平台多,现阶段不管是在设计还是建设方面,公路水路领域偏重网络系统技术和设备方面,缺乏整体的网络安全思想观念与管理理念,存在着投资大、效率低、操作难等问题;重点放在外部攻击与入侵,而忽视内部监管;重视网络安全专业性知识,而忽视培养技术人员,形成技术储备力量不足、运维能力较弱的现象。
基于公路水路工控系统自身的特点,如在工控系统设计开发初期并未将系统防护、数据保密等安全指标纳入其中;在工控网络中大量使用TCP/IP技术,而且工控网络与企业网络连接,防护措施薄弱,导致攻击者很容易通过企业网络间接入侵工控系统。
公路水路网络安全现状主要表现在以下几个方面:
图1 公路水路网络安全现状
天地和兴作为国内专业从事工业网络安全的领军企业,秉承“投身国家网信事业发展,护卫关键信息基础设施”的企业使命,直面“新基建”网络安全挑战,针对目前公路水路关键信息基础设施网络现状,将按照《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》、《工业控制系统信息安全防护指南》和《公路水路关键信息基础设施安全保护管理办法》等国家/行业相关网络安全防护的政策与网络安全标准要求,全面评估当前公路水路关键信息基础设施网内业务系统、控制系统及自动化设备可能存在的网络安全风险。
对于公路水路关键信息基础设施网络安全防护工作的建设,天地和兴解决方案将严格遵照国家网络安全等级保护思想,从调研规划、技术建设、规范制度几个方面进行规划和设计,以及从项目实施、安全培训和安全技术服务等方面进行支撑:
图2 网络安全防护体系框架示意图
面对公路水路的网络环境复杂、设备种类多、管理平台多、缺乏整体网络安全观念和技术储备力量不足等现象,通过用户组织结构、业务综述、用户相关联系人,以及网络拓扑图、机房分布、用户需求等现状进行需求调研和安全风险分析,评估现场物理环境、网络现状以及核心资产部署环境存在的安全风险,为客户后续的安全建设工作提供重要基础信息。
实地考察公路水路监视与控制系统的场所环境,按照国家相关标准要求,评估现场物理环境以及核心资产部署环境存在的安全风险(如:现场工作温度、湿度、电磁干扰、通风性、火灾、水灾、静电、灰尘等),并进行风险分析与报告编制,可建议用户按照国家物理环境相关标准要求,通过改造的形式完善物理环境安全建设,以达到物理环境安全合规性要求。
对公路水路关键信息基础设施的网络系统进行优化,如公路相关的通信系统、监控系统、收费系统,水路相关港口、船舶、船闸、航道广泛使用的船舶交通管理系统(VTS)、船舶自动识别系统(AIS)、闭路电视监控系统(CCTV)、甚高频通信(VHF)、卫星通信等。围绕“一个中心、三重防护”国家网络安全等保的防护思维进行网络安全防护体系的详细设计,如通过对公路水路网络中资产属性和访问逻辑进行安全域划分,并对公路水路控制网络与办公网络进行边界隔离与安全防护;对公路水路工控网络中各主机系统进行安全加固,提升主机系统抗攻击能力;在公路水路工控系统网络中部署安全防护产品、运用安全检查技术和集中安全管理平台,实现全网风险必要的安全风险管理、关联分析、安全可视化与联动处置等防护思维,形成纵深网络安全防护能力,并通过完善相关安全管理的制度方式,落实安全管理体系化建设目标,技防与管理相结合构建网络安全纵深防御体系,才能高效发挥防御体系的防护效能,为公路水路监视与控制系统安全运行保驾护航。
控制系统是由系统软、硬件,操作台盘及现场仪表组成,系统中任一环节出现问题,均会导致系统部分功能失效或引发控制系统故障,将严重危害国家安全、国计民生和公共利益。
网络安全管理制度是国家各项安全法律、法规、规范、标准在企业的延伸和细化,尽管目前公路水路关键信息基础设施相关单位已设置专人专管的措施,但在网络安全管理制度方面仍然不完善和非常薄弱,包括对人员、设备、考核等方面不够细化。
“三分技术、七分管理”,除了技防体系的建设之外,人员的规范管理也显得格外重要。需由专业的安全服务人员帮助用户进行安全管理体系的梳理与完善,形成包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等多维度管理的规范化制度,来规避人为风险的发生,提升综合网络安全防护体系的安全防护效能。
公路水路关键信息基础设施关乎国家安全、国计民生和公共利益,《管理办法》的颁布之后,将公路水路关键信息基础设施安全保护意识提升到了一个新的高度。《管理办法》明确了关基设施管理体制,建立了关基设施认定机制,压实了运营者主体责任等,也为公路水路关键信息基础设施主管单位和信息安全厂商提供网络安全建设政策依据和指导方向,同时基于新背景、新理念与新技术,探索新的网络安全防护方向与落地仍然任重而道远。
点击“在看”鼓励一下吧
原文始发于微信公众号(天地和兴):解读《公路水路关键信息基础设施安全保护管理办法》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论