鐵路網絡空間安全治理新格局實踐淺議

前言：本站為你精心整理了鐵路網絡空間安全治理新格局實踐淺議范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：隨著新興技術的應用和發展，網絡的邊界越來越模糊，鐵路面臨的安全風險挑戰愈發激烈，加強鐵路網絡安全空間治理，建立治理新格局勢在必行。文章從政治、經濟、社會和技術4個維度分析我國網絡空間安全治理現狀，結合鐵路實際，總結鐵路網絡空間安全治理實踐及取得的成效。為了構建鐵路網絡安全立體化綜合防御、協同共治的新發展格局，從多維度統籌考慮，研究提出鐵路網絡空間安全治理在政治引領制度落地、產業促進服務支撐、以人為本重點防護和創新技術融合發展等4個層面的改進路徑。

關鍵詞：網絡空間；安全治理；鐵路網絡安全；實踐成效；改進路徑

信息技術的廣泛應用和網絡空間興起發展，極大地促進了經濟社會繁榮進步，同時也帶來了新的安全風險和挑戰[1]。近年來，國家級有組織的網絡攻擊持續發生，數據泄露事件頻發，國家政治、經濟、文化、社會及公民在網絡空間的合法權益面臨嚴峻威脅。鐵路安全事關國家安全和公共安全，規模龐大、影響廣泛的鐵路信息系統全天候不間斷運行，面臨的網絡安全風險與日俱增。進一步提升鐵路網絡安全治理能力，已成為鐵路助力國家網絡安全治理體系和治理能力現代化的必然要求，為此，本文采用多維度分析法，分析我國網絡空間治理現狀，系統總結鐵路網絡安全治理實踐和取得的成效，并從不同維度提出相應改進路徑。

1我國網絡空間安全治理現狀分析

政治（P，Political）、經濟（E，Economic）、社會（S，Social）和技術（T，Technological）分析，即PEST分析，是指宏觀環境的分析，不同行業根據自身特點，分析的具體內容會有差異，但一般都包括政治、經濟、社會和技術。基于此種分析方法，本文從4個維度分析我國網絡空間安全治理現狀。

1.1政治和法律維度

我國網絡安全已上升到國家戰略，相關政策布局和法律體系不斷完善，為指導我國網絡安全工作，以及維護國家在網絡空間的主權、安全、發展和利益提供了良好的政策保障。以《中華人民共和國網絡安全法》為基礎的網絡安全法律法規體系已成為國家網絡安全保障體系的重要組成部分；將于2021年9月1日正式實施的《關鍵信息基礎設施安全保護條例》[2]更是為我國深入開展關鍵信息基礎設施安全保護工作提供了有力的法治保障。

1.2經濟和產業維度

伴隨各類新興技術的研究發展、融合應用的推廣落地，以及政策紅利的持續釋放，在數字經濟的背景下，我國網絡安全產業發展勢頭和規模持續向好，網絡安全應用市場廣泛，其中，政府、電信與金融領域應用網絡安全產品和服務最多[3]，眾多細分領域的安全需求成為推動網絡安全產業持續增長的動力。但在發展持續向好的背后，我國網絡安全產業發展不平衡、不充分的問題依然突出，特別是在內部業務數字化和外部監管合規壓力倍增的現狀下，普適性安全教育投入方面仍然較少，網絡空間安全人才基數仍需進一步擴充。

1.3社會和保障維度

隨著信息化和全球經濟化相互促進，互聯網已經融入社會生活的方方面面，也深刻改變了人們的生產和生活方式，但同時，網絡安全威脅和風險也與日俱增。在新一輪產業數字化轉型的大背景下，互聯網已成為驅動產業創新變革的先導力量，能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標，為此，其相關保護體系得到持續優化。在大數據時代，個人信息已成為一種重要的社會資源，我國高度重視大數據時代帶來的隱私威脅，不斷強化個人信息保護力度，在執法監管與社會監督多管齊下的有力舉措下[4]，多措并舉協同聯動的個人信息保護體系建設已初見成效。

1.4技術和創新維度

中華人民共和國工業和信息化部公布的《2020年網絡安全技術應用試點示范項目名單》[5]，涵蓋新型信息基礎設施安全、網絡安全公共服務、網絡安全“高精尖”技術創新平臺等3個大類共計177個項目，充分體現了國家對網絡安全技術創新應用的迫切需求和政策支持。技術創新應用在對整個經濟社會發展的融合、滲透和驅動作用日益明顯的同時，也帶來巨大的風險挑戰，導致網絡空間威脅和風險日益增多。更為嚴峻的是，我國科技，尤其是上游核心技術受制于人的現狀仍未得到徹底解決。目前，國內重要信息系統、關鍵信息基礎設施中使用的核心信息技術產品和關鍵服務大多依賴國外[6]，信息技術應用創新（簡稱：信創）生態體系的搭建和核心競爭力的提升問題亟待解決。

2鐵路網絡空間安全治理的實踐成效

鐵路部門深入貫徹、積極落實網絡強國戰略部署[7]，網絡空間安全治理工作取得了顯著成效，為鐵路發展保安全、強管理、增效益提供了強有力的安全保障。

2.1網絡安全體制機制基本構建，制度保障體系

初步形成堅決貫徹落實網絡安全工作責任制[8]明確要求，2018年，中國國家鐵路集團有限公司（原中國鐵路總公司，簡稱：國鐵集團）成立了網絡安全和信息化（簡稱：網信）領導小組。國鐵集團和所屬各單位網信領導小組實行雙組長制和雙副組長制；鐵路站段等二級單位網信領導小組組長由主要負責人擔任。同時，堅持做好網絡安全制度保障工作，以國家政策法規為指引，健全完善鐵路網絡安全有關管理制度和標準，先后印發了《中國鐵路總公司網絡安全管理辦法》《網絡安全事件調查處理和定責考核管理辦法》等制度文件，基本構建了覆蓋國鐵集團、鐵路局集團公司、鐵路站段的網絡安全管理規章制度體系。

2.2安全產品和服務市場化推進，產業示范建設廣泛布局

立足網絡安全防護實際，積極推進網絡安全產品研發和市場推廣，按照“消化吸收再創新”的原則，打造了一批技術過硬、易用性強的優勢產品。產品體系涵蓋了網絡安全等級保護管理系統、移動終端接入平臺、漏洞管理平臺、一次性密碼（OTP，OneTimePassword）動態驗證、網絡安全基線配置核查系統等，已經在鐵路部分單位試點應用和落地實施。同時，緊跟鐵路業務系統網絡安全需要，探索打造“全領域”服務模式，以等級保護為基礎，逐步拓寬服務面，全力做好攻防演習、安全檢查、宣傳教育等各項安全保障工作。在此基礎上，著眼于為安全技術研究、信創體系完善、系統安全測試、安全人才培訓等工作提供有力支撐，積極推進網絡安全靶場實驗室、鐵路商用密碼安全評估實驗室和鐵路信創適配實驗室的規劃建設。

2.3安全保護體系逐步構建完善，個人數據安全有力維護

在切實落實網絡安全等級保護工作的基礎上，重點從機制制度、檢測評估和防護措施等層面著手推進鐵路關鍵信息基礎設施安全保護工作。研究制定《關鍵信息基礎設施認定規則》等規則制度，積極組織開展鐵路關鍵信息基礎設施認定工作，推動建立關鍵信息基礎設施風險評估機制，以資產評估為核心，針對每一項需要保護的資產，識別可能被威脅利用的弱點，分析并及時整改其存在的脆弱性；推進制訂了各關鍵信息基礎設施專項應急預案，定期組織開展應急預案演練，并在重要保障期間，組織對關鍵信息基礎設施進行全面安全檢查和集中重點盯控。同時，特別針對部分涉及資金交易、個人敏感信息交互的關鍵信息基礎設施，采用密碼技術進行加密以實現信息隱藏；進一步優化完善鐵路12306互聯網售票系統隱私權政策，嚴格落實國家網絡安全有關隱私保護和數據安全要求。

2.4示范工程促進技防能力提升，信創體系構建有序推進

鐵路網絡安全技術能力主要包括入侵防范、邊界防護、計算環境、應用安全、數據安全、可信驗證等內容。采用試點先行、全面推廣的實施策略，有序推進鐵路領域重要信息系統一體化安全保障示范工程（簡稱：鐵網護欄工程）建設，初步構建了符合實際、突出重點、防護得當的鐵路網絡安全技術保障體系，鐵路系統性風險防范能力和網絡安全保障水平進一步增強，網絡安全技術防護能力進一步提升。同時，積極推進信創國產化工作，開展國產化產品的應用研究和適配工作，搭建了鐵路信息化應用國產化適配平臺，完成了相關產品開發、國產操作系統適配測試、鐵路電子公文系統和電子支付系統的國產化適配等工作，推進鐵路信創體系有序構建。

3鐵路網絡空間安全治理的改進路徑探索

進入新發展階段，面對深刻變化的鐵路內外部環境，鐵路部門要貫徹新發展理念，堅持正確方向，釋放產業支撐效能，強化核心重點防護，推進創新技術融合，構建鐵路網絡安全治理新發展格局。

3.1加強政治引領，突破制度落地實施瓶頸

鐵路網絡安全治理工作要嚴格落實網絡安全工作責任制要求，確保網絡安全責任清晰、主要目標明確、工作任務和保護措施具體，不斷強化網絡安全工作的政治引領和指導力度，堅決杜絕不重視網絡安全工作的情況發生。同時，本著“于法周延、于事簡便”的原則，要在制度規章和標準細則上深入細化，明確等級保護測評、風險評估、密碼測評、產品檢測等方面的具體要求和實施指南，并加大檢查考評力度，建立網絡安全定期巡視巡查制度，對發現的問題實行閉環管理，逐項督促，落實整改，確保做到有制可依、有制必依、依必見效。

3.2依托產業示范，促進服務支撐能力提升

隨著我國對網絡安全產業的重視程度不斷增強，各項政策規劃為網絡安全產業的發展提供了有力保障和明確指引。要對標先進典型，充分結合自身實際，加快推進網絡安全技術研究中心和靶場實驗室等的建設[9]，構建集訓、試、測、仿、技術服務、資源共享等為一體的網絡安全產業支撐機構，積極創新網絡安全服務模式，依托技術研究中心和實驗室的平臺優勢，全面開展網絡安全技術研發，擴展等級保護測評工作深度，加快信創網絡安全防護產品研制，推進網絡安全大數據和商用密碼應用，組織開展網絡安全攻防技能競賽，構建涵蓋咨詢規劃、研究開發、檢測試驗、演練和培訓等的全生命周期服務保障體系，為鐵路網絡安全工作提供全流程支撐和個性化服務。3.3強化重點防護，貫徹以人為本核心原則關鍵信息基礎設施和重要信息系統已逐漸成為網絡戰爭的主戰場，對其采取針對性的重點防護至關重要。要深刻把握“網絡安全為人民，網絡安全靠人民”這一網絡安全觀的核心要義，研究制定符合鐵路實際的個人信息保護制度和個人信息分級分類標準，區分信息使用權限，明確相應級別的保護措施。同時，要嚴格按照最新法律法規和鐵路關鍵信息基礎設施認定規則程序，加快鐵路關鍵信息基礎設施認定進程，健全關鍵信息基礎設施風險評估機制，推進系統國產化工作，推進網絡安全設備和關鍵信息基礎設施安全可控示范應用，切實做好源頭管控。采取檢測認證、供應商安全評估、安全審查等多種手段，加強鐵路關鍵信息基礎設施供應鏈安全管理。

3.4完善信創體系，推進創新技術融合發展

新技術、新應用正在不斷融入鐵路業務、管理和服務之中，以人工智能、區塊鏈等為代表的新技術，以及建設智能鐵路帶來的新風險[10]，將為鐵路網絡安全帶來更大挑戰。要采用“適度超前”的思維，分析安全需求，積極制定與智能鐵路相匹配的網絡安全技術框架和實施方案，明確整體架構、技術路線、技術策略，指導網絡安全建設及技術措施實施工作，以推動新一代信息技術與鐵路網絡安全深度融合為牽引，打造現代智慧鐵路系統，強化科技創新的支撐引領能力。同時，按照“適配、示范、推廣”的技術路線，進一步完善網絡安全信創體系，加強信創技術和產品攻堅，推進攻防技術裝備標準化配備、國產化產品替代和國產密碼應用，全面提升核心信息系統安全可控度。

4結束語

基于PEST的多維度系統分析，總結了鐵路網絡安全治理實踐及取得的成效，立足新發展階段，充分認識鐵路網絡安全工作的重要性、復雜性和艱巨性。本文提出的改進路徑還需分階段、分重點地逐步推進實施，要始終堅持多維度、多角度、多方面、多層次、多措并舉的分析方法，把握新發展階段鐵路網絡空間安全治理的新路徑，構建鐵路網絡安全立體化綜合防御、協同共治的新發展格局，確保鐵路網絡和重要信息系統安全穩定運行。

作者:孫遠運 單位:中國國家鐵路集團有限公司科技和信息化部