近日，交通運(yùn)輸部發(fā)布了《鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法》（交通運(yùn)輸部令2023年第20號(hào)，以下簡稱《辦法》），總共六章三十條，包括了總則、鐵路關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定、運(yùn)營者責(zé)任和義務(wù)、保障和監(jiān)督、法律責(zé)任、附則。自2024年2月1日起施行，切實(shí)保障鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全，維護(hù)網(wǎng)絡(luò)安全。 

1.制定必要性

鐵路關(guān)鍵信息基礎(chǔ)設(shè)施，是指在鐵路領(lǐng)域，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生和公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

2021年出臺(tái)的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（簡稱《條例》）對(duì)國家關(guān)基設(shè)施安全保護(hù)予以了系統(tǒng)規(guī)范。為全面貫徹落實(shí)黨中央、國務(wù)院關(guān)于加快建設(shè)交通強(qiáng)國的決策部署，細(xì)化落實(shí)《條例》制度規(guī)定，同時(shí)系統(tǒng)解決關(guān)基設(shè)施安全保護(hù)實(shí)踐中存在的問題，需要制定《辦法》，以全面保障鐵路關(guān)基設(shè)施的安全運(yùn)行。

2.主要內(nèi)容

01 明確關(guān)基設(shè)施管理體制，建立鐵路關(guān)基設(shè)施認(rèn)定機(jī)制。

02 明確運(yùn)營者責(zé)任和義務(wù)，加強(qiáng)對(duì)鐵路關(guān)基設(shè)施風(fēng)險(xiǎn)隱患的應(yīng)急處置。

03 制定鐵路關(guān)基設(shè)施安全規(guī)劃，加強(qiáng)鐵路關(guān)基設(shè)施的監(jiān)督管理和保障。

實(shí)施建議

在第三章的運(yùn)營者責(zé)任和義務(wù)中，第九條規(guī)定鐵路關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保護(hù)等級(jí)應(yīng)不低于第三級(jí)。運(yùn)營者應(yīng)按照相關(guān)法律、行政法規(guī)和國家標(biāo)準(zhǔn)的要求，在國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度基礎(chǔ)上，突出保護(hù)重點(diǎn)，實(shí)施防護(hù)措施，全面管理生命周期，確保鐵路關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行，維護(hù)數(shù)據(jù)的完整性、保密性和可用性。

為了有效實(shí)施這一準(zhǔn)則，需要進(jìn)行多方面的工作，包括對(duì)關(guān)鍵基礎(chǔ)設(shè)施的資產(chǎn)、漏洞、流量、配置等信息進(jìn)行檢查統(tǒng)計(jì)分析，進(jìn)行各類安全防護(hù)的合規(guī)檢查，并確保安全防護(hù)措施和安全運(yùn)維的完整性、保密性和可用性。博智安全工控安全等級(jí)保護(hù)檢查工具箱是一套與該準(zhǔn)則匹配的實(shí)用工具。該工具箱基于《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等相關(guān)標(biāo)準(zhǔn)法規(guī)和要求研發(fā)，專注于工控系統(tǒng)安全檢查，提供專業(yè)的工控系統(tǒng)檢查知識(shí)和方法。該工具箱對(duì)采集的工控資產(chǎn)信息、漏洞信息、流量信息和工控系統(tǒng)配置核查信息進(jìn)行統(tǒng)計(jì)對(duì)比、關(guān)聯(lián)匯總分析，輸出工業(yè)控制系統(tǒng)安全等級(jí)保護(hù)檢查報(bào)告，促進(jìn)工控系統(tǒng)安全執(zhí)法檢查和企業(yè)自查工作的常態(tài)化、標(biāo)準(zhǔn)化和規(guī)范化。

在第三章的運(yùn)營者責(zé)任和義務(wù)中，第十條規(guī)定新建、改建、擴(kuò)建鐵路關(guān)鍵信息基礎(chǔ)設(shè)施的，運(yùn)營者應(yīng)當(dāng)做到安全防護(hù)措施與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用，并采取檢測評(píng)估、安全演練等方式驗(yàn)證安全保護(hù)措施的有效性。

為了有效實(shí)施這一準(zhǔn)則，需要對(duì)真實(shí)的鐵路站點(diǎn)和鐵路典型控制系統(tǒng)如列車監(jiān)控單元、站內(nèi)綜合設(shè)備、配電系統(tǒng)單元等進(jìn)行模擬，驗(yàn)證其網(wǎng)絡(luò)攻擊及防護(hù)手段，同時(shí)也可借助仿真模型、聲光報(bào)警裝置以及多媒體設(shè)備等多種工具充分展現(xiàn)攻擊和防護(hù)效果。通過攻防演練發(fā)現(xiàn)安全漏洞與風(fēng)險(xiǎn)，找到網(wǎng)絡(luò)安全防護(hù)的短板，檢驗(yàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)通報(bào)機(jī)制、網(wǎng)絡(luò)威脅情報(bào)共享機(jī)制以及應(yīng)急響應(yīng)方案的合理性，并在演練后總結(jié)優(yōu)化。博智孿生仿真靶場網(wǎng)絡(luò)演練平臺(tái)是以孿生仿真技術(shù)為基礎(chǔ)、威脅模擬生成為手段、攻防推演驗(yàn)證為目標(biāo)的一體化綜合演訓(xùn)平臺(tái)，能夠構(gòu)建工業(yè)自動(dòng)化網(wǎng)絡(luò)、電信、電力、軌道交通、IOT、衛(wèi)星遙感、智能制造、傳統(tǒng)網(wǎng)絡(luò)等多種行業(yè)的仿真場景，開展知識(shí)訓(xùn)練、技能訓(xùn)練、比武競賽、實(shí)戰(zhàn)演訓(xùn)、滲透測試、安全評(píng)估、技術(shù)驗(yàn)證等活動(dòng)，實(shí)現(xiàn)學(xué)、練、賽、訓(xùn)、評(píng)全流程的統(tǒng)一管理，全面提高人員及機(jī)構(gòu)的網(wǎng)絡(luò)安全意識(shí)、防護(hù)水平和實(shí)戰(zhàn)能力。

在第三章的運(yùn)營者責(zé)任和義務(wù)中，第十三條第三點(diǎn)規(guī)定按照國家及鐵路行業(yè)要求，制定本單位網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期開展應(yīng)急演練，處置網(wǎng)絡(luò)安全事件。

在第四章的保障和監(jiān)督中，第二十四條規(guī)定國家鐵路局應(yīng)當(dāng)組織建立健全鐵路關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案體系，定期組織應(yīng)急演練；指導(dǎo)運(yùn)營者做好網(wǎng)絡(luò)安全事件應(yīng)對(duì)處置，并根據(jù)需要組織提供技術(shù)支持與協(xié)助。

為切實(shí)做好網(wǎng)絡(luò)安全事件的防范和應(yīng)急處置工作，進(jìn)一步提高預(yù)防和控制網(wǎng)絡(luò)安全突發(fā)事件的能力水平，減輕或消除突發(fā)事件的危害和影響，確保網(wǎng)絡(luò)與信息安全，可使用博智工業(yè)互聯(lián)網(wǎng)應(yīng)急處置工具箱。工具箱遵循“準(zhǔn)備-檢測-抑制-根除-恢復(fù)-跟蹤”國際化標(biāo)準(zhǔn)應(yīng)急處置流程，依托《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》、《工業(yè)信息安全應(yīng)急處置工具箱團(tuán)體標(biāo)準(zhǔn)》等標(biāo)準(zhǔn)，融合各類安全事件處置模板、案例、專家知識(shí)庫及工具庫等，針對(duì)企業(yè)常見的網(wǎng)絡(luò)攻擊、病毒傳播、黑客入侵、數(shù)據(jù)泄露等事件，可以實(shí)現(xiàn)應(yīng)急事件的快速發(fā)現(xiàn)、智能引導(dǎo)、風(fēng)險(xiǎn)消除、安全加固、事后總結(jié)，有效減小和控制安全事件對(duì)工業(yè)企業(yè)造成的損失，提升監(jiān)管部門對(duì)安全事件的應(yīng)急處置能力。

在第三章的運(yùn)營者責(zé)任和義務(wù)中，第十三條第四點(diǎn)認(rèn)定網(wǎng)絡(luò)安全關(guān)鍵崗位，組織開展網(wǎng)絡(luò)安全工作考核，提出獎(jiǎng)勵(lì)和懲處建議。第五點(diǎn)組織網(wǎng)絡(luò)安全教育、培訓(xùn)。

博智網(wǎng)絡(luò)安全教學(xué)平臺(tái)依托博智安全多年積累的網(wǎng)絡(luò)安全滲透測試和評(píng)估服務(wù)經(jīng)驗(yàn)，結(jié)合社會(huì)對(duì)網(wǎng)絡(luò)安全人才的知識(shí)和技能要求，推出一套全面、專業(yè)、完善的網(wǎng)絡(luò)安全人才培訓(xùn)平臺(tái)。基于云計(jì)算理念，以虛擬化技術(shù)為核心，面向復(fù)雜網(wǎng)絡(luò)和高端網(wǎng)絡(luò)攻防技術(shù)，通過數(shù)字孿生技術(shù)高度仿真虛擬環(huán)境與真實(shí)設(shè)備相結(jié)合，模擬仿真真實(shí)網(wǎng)絡(luò)攻防的多種場景，并以實(shí)驗(yàn)場景為核心打造多種課程體系，形成集知識(shí)培訓(xùn)、技能訓(xùn)練、仿真演練、管理考核于一體，滿足不同用戶群的網(wǎng)絡(luò)安全人才培養(yǎng)需求的教學(xué)培訓(xùn)平臺(tái)。

在第三章的運(yùn)營者責(zé)任和義務(wù)中，第十六條規(guī)定運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)鐵路關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)現(xiàn)的安全問題及時(shí)整改，并按照國家鐵路局要求報(bào)送情況。博智非攻研究院擁有一支專注于應(yīng)用安全、攻防滲透、工業(yè)互聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全、電信安全和人工智能安全等方向的技術(shù)隊(duì)伍，可為鐵路客戶提供全方位的網(wǎng)絡(luò)安全檢測服務(wù)和風(fēng)險(xiǎn)評(píng)估服務(wù)。