政策解读 | 《铁路关键信息基础设施安全保护管理办法》解读和实施建议-为国家安全锻矛铸盾

政策解读 | 《铁路关键信息基础设施安全保护管理办法》解读和实施建议

时间：2024-01-12 访问量：4284

近日，交通运输部发布了《铁路关键信息基础设施安全保护管理办法》（交通运输部令2023年第20号，以下简称《办法》），总共六章三十条，包括了总则、铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任、附则。自2024年2月1日起施行，切实保障铁路关键信息基础设施安全，维护网络安全。

640 (23).png

1.制定必要性

铁路关键信息基础设施，是指在铁路领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。

2021年出台的《关键信息基础设施安全保护条例》（简称《条例》）对国家关基设施安全保护予以了系统规范。为全面贯彻落实党中央、国务院关于加快建设交通强国的决策部署，细化落实《条例》制度规定，同时系统解决关基设施安全保护实践中存在的问题，需要制定《办法》，以全面保障铁路关基设施的安全运行。

2.主要内容

01 明确关基设施管理体制，建立铁路关基设施认定机制。

640 (24).png

02 明确运营者责任和义务，加强对铁路关基设施风险隐患的应急处置。

640 (25).png

03 制定铁路关基设施安全规划，加强铁路关基设施的监督管理和保障。

640 (26).png

实施建议

在第三章的运营者责任和义务中，第九条规定铁路关键信息基础设施的网络安全保护等级应不低于第三级。运营者应按照相关法律、行政法规和国家标准的要求，在国家网络安全等级保护制度基础上，突出保护重点，实施防护措施，全面管理生命周期，确保铁路关键信息基础设施的安全稳定运行，维护数据的完整性、保密性和可用性。

为了有效实施这一准则，需要进行多方面的工作，包括对关键基础设施的资产、漏洞、流量、配置等信息进行检查统计分析，进行各类安全防护的合规检查，并确保安全防护措施和安全运维的完整性、保密性和可用性。博智安全工控安全等级保护检查工具箱是一套与该准则匹配的实用工具。该工具箱基于《关键信息基础设施安全保护条例》、《网络安全等级保护2.0》、《工业控制系统信息安全防护指南》等相关标准法规和要求研发，专注于工控系统安全检查，提供专业的工控系统检查知识和方法。该工具箱对采集的工控资产信息、漏洞信息、流量信息和工控系统配置核查信息进行统计对比、关联汇总分析，输出工业控制系统安全等级保护检查报告，促进工控系统安全执法检查和企业自查工作的常态化、标准化和规范化。

640 (27).png

在第三章的运营者责任和义务中，第十条规定新建、改建、扩建铁路关键信息基础设施的，运营者应当做到安全防护措施与关键信息基础设施同步规划、同步建设、同步使用，并采取检测评估、安全演练等方式验证安全保护措施的有效性。

为了有效实施这一准则，需要对真实的铁路站点和铁路典型控制系统如列车监控单元、站内综合设备、配电系统单元等进行模拟，验证其网络攻击及防护手段，同时也可借助仿真模型、声光报警装置以及多媒体设备等多种工具充分展现攻击和防护效果。通过攻防演练发现安全漏洞与风险，找到网络安全防护的短板，检验网络安全风险通报机制、网络威胁情报共享机制以及应急响应方案的合理性，并在演练后总结优化。博智孪生仿真靶场网络演练平台是以孪生仿真技术为基础、威胁模拟生成为手段、攻防推演验证为目标的一体化综合演训平台，能够构建工业自动化网络、电信、电力、轨道交通、IOT、卫星遥感、智能制造、传统网络等多种行业的仿真场景，开展知识训练、技能训练、比武竞赛、实战演训、渗透测试、安全评估、技术验证等活动，实现学、练、赛、训、评全流程的统一管理，全面提高人员及机构的网络安全意识、防护水平和实战能力。

640 (28).png

在第三章的运营者责任和义务中，第十三条第三点规定按照国家及铁路行业要求，制定本单位网络安全事件应急预案，定期开展应急演练，处置网络安全事件。

在第四章的保障和监督中，第二十四条规定国家铁路局应当组织建立健全铁路关键信息基础设施网络安全事件应急预案体系，定期组织应急演练；指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。

为切实做好网络安全事件的防范和应急处置工作，进一步提高预防和控制网络安全突发事件的能力水平，减轻或消除突发事件的危害和影响，确保网络与信息安全，可使用博智工业互联网应急处置工具箱。工具箱遵循“准备-检测-抑制-根除-恢复-跟踪”国际化标准应急处置流程，依托《国家网络安全事件应急预案》、《工业信息安全应急处置工具箱团体标准》等标准，融合各类安全事件处置模板、案例、专家知识库及工具库等，针对企业常见的网络攻击、病毒传播、黑客入侵、数据泄露等事件，可以实现应急事件的快速发现、智能引导、风险消除、安全加固、事后总结，有效减小和控制安全事件对工业企业造成的损失，提升监管部门对安全事件的应急处置能力。

640 (29).png

在第三章的运营者责任和义务中，第十三条第四点认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议。第五点组织网络安全教育、培训。

博智网络安全教学平台依托博智安全多年积累的网络安全渗透测试和评估服务经验，结合社会对网络安全人才的知识和技能要求，推出一套全面、专业、完善的网络安全人才培训平台。基于云计算理念，以虚拟化技术为核心，面向复杂网络和高端网络攻防技术，通过数字孪生技术高度仿真虚拟环境与真实设备相结合，模拟仿真真实网络攻防的多种场景，并以实验场景为核心打造多种课程体系，形成集知识培训、技能训练、仿真演练、管理考核于一体，满足不同用户群的网络安全人才培养需求的教学培训平台。

640 (30).png

在第三章的运营者责任和义务中，第十六条规定运营者应当自行或者委托网络安全服务机构对铁路关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照国家铁路局要求报送情况。博智非攻研究院拥有一支专注于应用安全、攻防渗透、工业互联网安全、物联网安全、电信安全和人工智能安全等方向的技术队伍，可为铁路客户提供全方位的网络安全检测服务和风险评估服务。

640 (31).png