文/交通運(yùn)輸部路網(wǎng)監(jiān)測(cè)與應(yīng)急處置中心 陳智宏 楊明 蔡冉

2017年11月30日，交通運(yùn)輸部通過(guò)了《交通運(yùn)輸部網(wǎng)絡(luò)安全管理辦法（試行）》（簡(jiǎn)稱《辦法》），并于2017年12月1日正式施行。這是《中華人民共和國(guó)網(wǎng)絡(luò)安全法》在交通行業(yè)的進(jìn)一步落地和細(xì)化?！掇k法》將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)作為核心，將健全政策制度體系、加強(qiáng)技術(shù)能力建設(shè)作為兩個(gè)工作重點(diǎn)，將對(duì)交通運(yùn)輸行業(yè)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行全生命周期、全要素覆蓋，將網(wǎng)絡(luò)安全監(jiān)管和防護(hù)水平的提高作為重要“著力點(diǎn)”。

公路作為交通行業(yè)的重要組成部分，不僅與國(guó)民生活息息相關(guān)，更是關(guān)乎國(guó)家安全。近些年，互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)的出現(xiàn)，為公路行業(yè)的現(xiàn)代化、信息化帶來(lái)了機(jī)遇，促使公路行業(yè)走向開(kāi)放化、智能化。但與此同時(shí)，核心業(yè)務(wù)、敏感數(shù)據(jù)也暴露在越來(lái)越開(kāi)放和復(fù)雜的網(wǎng)絡(luò)環(huán)境中，存在極大的安全風(fēng)險(xiǎn)，面臨APT、DDoS、“勒索病毒”等安全威脅。公路行業(yè)需遵守《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和《辦法》，打造公路行業(yè)信息安全防御體系。

《辦法》解讀

責(zé)任劃分與追究

《辦法》用很大篇幅明晰交通行業(yè)中主管部門、建設(shè)單位、運(yùn)營(yíng)單位的責(zé)任義務(wù)，根據(jù)“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”和“屬地管理”原則，實(shí)行分級(jí)管理和分工負(fù)責(zé)。根據(jù)《辦法》要求，部屬各單位負(fù)責(zé)本單位網(wǎng)絡(luò)安全保護(hù)，領(lǐng)導(dǎo)班子主要負(fù)責(zé)人是網(wǎng)絡(luò)安全工作的第一責(zé)任人，主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)是直接責(zé)任人，部屬各單位應(yīng)履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)過(guò)程的安全責(zé)任，實(shí)行終身負(fù)責(zé)制，應(yīng)履行系統(tǒng)安全運(yùn)行管理和安全防護(hù)責(zé)任。

主管部門。主管部門分別是交通運(yùn)輸部、地方交通運(yùn)輸主管部門、網(wǎng)絡(luò)和信息系統(tǒng)主管單位，主管部門負(fù)責(zé)制定行業(yè)網(wǎng)絡(luò)安全規(guī)劃、政策、制度和標(biāo)準(zhǔn)；組織認(rèn)定行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施，指導(dǎo)和監(jiān)督設(shè)施運(yùn)行安全防護(hù)工作；建立健全行業(yè)網(wǎng)絡(luò)安全信息通報(bào)、監(jiān)測(cè)預(yù)警和應(yīng)急處置工作機(jī)制，組織相關(guān)技術(shù)支撐能力建設(shè)，協(xié)調(diào)組織重大及以上網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)警、網(wǎng)絡(luò)安全事件應(yīng)急處置工作，組織實(shí)施國(guó)家重要活動(dòng)、會(huì)議期間行業(yè)網(wǎng)絡(luò)安全保障工作；依法組織開(kāi)展公路行業(yè)網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查、個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估工作，指導(dǎo)監(jiān)督行業(yè)各單位履行網(wǎng)絡(luò)安全責(zé)任，對(duì)未履行責(zé)任的單位和個(gè)人提出處理建議；指導(dǎo)協(xié)調(diào)跨行業(yè)、跨部門網(wǎng)絡(luò)安全重要工作，為公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法維護(hù)國(guó)家安全、偵查犯罪及防范、調(diào)查恐怖活動(dòng)提供支持和保障；組織開(kāi)展行業(yè)網(wǎng)絡(luò)安全宣傳和教育培訓(xùn)工作。

建設(shè)單位。建設(shè)單位負(fù)責(zé)網(wǎng)絡(luò)和信息系統(tǒng)項(xiàng)目管理和實(shí)施。各建設(shè)單位應(yīng)按照等級(jí)保護(hù)制度和標(biāo)準(zhǔn)規(guī)范要求，做好規(guī)劃設(shè)計(jì)、建設(shè)開(kāi)發(fā)、部署上線等環(huán)節(jié)的網(wǎng)絡(luò)安全工作，建立覆蓋建設(shè)各方、各環(huán)節(jié)的網(wǎng)絡(luò)安全責(zé)任制；編制管理規(guī)定，對(duì)于可行性研究報(bào)告報(bào)批、信息技術(shù)產(chǎn)品和服務(wù)采購(gòu)、數(shù)據(jù)、軟件、測(cè)評(píng)、整改及重定級(jí)、密碼應(yīng)用保障方案等方面進(jìn)行約束。

ETC已被列為公路行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施，成為網(wǎng)絡(luò)安全工作行業(yè)落地的“先行軍”。

運(yùn)行單位。運(yùn)行單位是網(wǎng)絡(luò)和信息系統(tǒng)的使用者、管理者和網(wǎng)絡(luò)服務(wù)提供者。各運(yùn)行單位應(yīng)建立健全覆蓋運(yùn)行各環(huán)節(jié)的安全管理制度體系和操作規(guī)程，確定運(yùn)行安全責(zé)任人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任機(jī)制；編制管理制度，對(duì)于機(jī)房管理、軟硬件設(shè)備管理、分區(qū)分域、訪問(wèn)控制、漏洞掃描和惡意代碼檢測(cè)、等級(jí)測(cè)評(píng)、網(wǎng)絡(luò)日志留存時(shí)間、移動(dòng)存儲(chǔ)介質(zhì)、網(wǎng)站防護(hù)、電子郵件、對(duì)外包服務(wù)和遠(yuǎn)程技術(shù)服務(wù)安全管理、信息系統(tǒng)廢止管理等進(jìn)行約束。

依據(jù)“誰(shuí)使用誰(shuí)負(fù)責(zé)”，采用集中管控、用戶識(shí)別、訪問(wèn)控制、安全審計(jì)等措施，加強(qiáng)計(jì)算機(jī)等辦公終端管理。對(duì)于國(guó)家重要活動(dòng)、會(huì)議期間的網(wǎng)絡(luò)安全重點(diǎn)保障，實(shí)行專項(xiàng)通報(bào)，按照上級(jí)規(guī)定的時(shí)間間隔上報(bào)報(bào)表，即使沒(méi)有出現(xiàn)新情況，也要將報(bào)表填上“0”上報(bào)，嚴(yán)格執(zhí)行“零事件”報(bào)告制度，領(lǐng)導(dǎo)帶班和一線7天×24小時(shí)值守，建立與網(wǎng)信、公安等協(xié)調(diào)對(duì)接機(jī)制。

事前監(jiān)測(cè)、預(yù)防、預(yù)案，事后快速響應(yīng)、評(píng)估改進(jìn)

《辦法》中明確安全事件發(fā)生前監(jiān)測(cè)、預(yù)防、預(yù)案的重要性，明確安全事件發(fā)生后快速響應(yīng)及評(píng)估改進(jìn)的必要性。《辦法》中要求各單位嚴(yán)格執(zhí)行交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全信息通報(bào)工作制度。

預(yù)防預(yù)案工作。建立能夠掌握實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)的能力，重視測(cè)試及評(píng)估結(jié)果提早防范風(fēng)險(xiǎn)，主動(dòng)風(fēng)險(xiǎn)漏洞搜集、管控及限期整改、細(xì)化應(yīng)急處置流程，同時(shí)積極建立其他部門的監(jiān)理協(xié)調(diào)機(jī)制。

建立應(yīng)急工作機(jī)構(gòu)，結(jié)合實(shí)際制定完善安全事件應(yīng)急預(yù)案，強(qiáng)化初步處置措施，每年至少開(kāi)展一次應(yīng)急演練，有條件的要加強(qiáng)攻擊性測(cè)試手段應(yīng)用，積極開(kāi)展實(shí)戰(zhàn)攻防演練，并根據(jù)演練結(jié)果完善應(yīng)急預(yù)案。

快速響應(yīng)。在安全事件發(fā)生后，根據(jù)事件類型和級(jí)別，立即啟動(dòng)應(yīng)急預(yù)案，做好初步處置，最大程度減少損失和危害，及時(shí)開(kāi)展信息通報(bào)。對(duì)涉及反動(dòng)言論、煽動(dòng)性言論等信息內(nèi)容安全事件，將響應(yīng)精確到分鐘、精確到秒，盡可能迅速的將內(nèi)容安全事件波及范圍減小，嚴(yán)格落實(shí)“一分鐘處置”要求。

如可能涉及攻擊、破壞等違法犯罪，應(yīng)保護(hù)相關(guān)數(shù)據(jù)、記錄、資料和現(xiàn)場(chǎng)，24小時(shí)內(nèi)向公安機(jī)關(guān)報(bào)案，并配合調(diào)查取證。同時(shí)，安全事件處置完成后，應(yīng)及時(shí)完成事件調(diào)查和評(píng)估工作，對(duì)事件的起因、性質(zhì)、影響、責(zé)任等進(jìn)行分析評(píng)估，提出處理意見(jiàn)和改進(jìn)措施。

信息通報(bào)。加強(qiáng)信息收集、分析和共享，確保通報(bào)信息傳達(dá)到位，及時(shí)開(kāi)展通報(bào)預(yù)警風(fēng)險(xiǎn)核查處置并按要求逐級(jí)反饋，不得瞞報(bào)、緩報(bào)、謊報(bào)和推諉責(zé)任。在安全事件發(fā)生前、發(fā)生后的整個(gè)過(guò)程中，都進(jìn)行信息通報(bào)工作。

網(wǎng)絡(luò)安全防御體系示意圖

加強(qiáng)個(gè)人信息和重點(diǎn)數(shù)據(jù)的保護(hù)

《辦法》對(duì)交通行業(yè)的個(gè)人信息保護(hù)、重點(diǎn)數(shù)據(jù)保護(hù)提出了要求，遵循“誰(shuí)收集信息、誰(shuí)負(fù)責(zé)保護(hù)”的原則，并且對(duì)收集、使用個(gè)人信息，對(duì)信息泄露、損毀、丟失，對(duì)數(shù)據(jù)跨部門跨地區(qū)共享，以及數(shù)據(jù)出入境提出了具體的要求，包括建立收集明示機(jī)制、限制收集規(guī)模及收集內(nèi)容，個(gè)人信息及重要數(shù)據(jù)不能出境等。各省、自治區(qū)、直轄市、新疆生產(chǎn)建設(shè)兵團(tuán)交通運(yùn)輸廳（局、委），部屬各單位、部?jī)?nèi)各司局應(yīng)按照《辦法》管理要求，落實(shí)個(gè)人信息保護(hù)、重點(diǎn)數(shù)據(jù)保護(hù)工作。

交通成網(wǎng)絡(luò)攻擊重災(zāi)區(qū)

智能交通的出現(xiàn)將現(xiàn)代化、信息化的觸角深入到交通行業(yè)的方方面面，公路行業(yè)信息系統(tǒng)與交通運(yùn)輸部、省市相關(guān)部門、銀行及互聯(lián)網(wǎng)等連接，具有多個(gè)網(wǎng)絡(luò)接口，網(wǎng)絡(luò)情況尤為復(fù)雜。業(yè)務(wù)范圍的擴(kuò)大、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜及多樣化、第三方數(shù)據(jù)的共享使得公路行業(yè)信息系統(tǒng)面臨更為嚴(yán)峻的安全風(fēng)險(xiǎn)。根據(jù)《全球關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全狀況分析報(bào)告》顯示，金融、交通、能源三大關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域已成為網(wǎng)絡(luò)攻擊重災(zāi)區(qū)。公路行業(yè)信息系統(tǒng)易遭受DDoS攻擊、APT攻擊，并且在互聯(lián)網(wǎng)、業(yè)務(wù)網(wǎng)、第三方接入網(wǎng)邊界易受到黑客攻擊、病毒入侵，在服務(wù)器端與客戶端易受到病毒、木馬攻擊，不完善的賬號(hào)管理、認(rèn)證和授權(quán)及審計(jì)也會(huì)造成不可預(yù)計(jì)的損失。

ETC系統(tǒng)成信息安全防御體系“先行軍”

目前，ETC已被列為公路行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施，成為網(wǎng)絡(luò)安全工作行業(yè)落地的“先行軍”。按照網(wǎng)絡(luò)安全法，ETC系統(tǒng)須落實(shí)信息系統(tǒng)等級(jí)保護(hù)制度，保障信息系統(tǒng)安全、保證敏感信息數(shù)據(jù)安全、保證服務(wù)的連續(xù)性。隨著IT向DT的轉(zhuǎn)變，滿足信息安全等級(jí)保護(hù)制度只是基礎(chǔ)合規(guī)，結(jié)合業(yè)務(wù)特點(diǎn)的安全防護(hù)成為“剛需”。ETC系統(tǒng)需深入分析業(yè)務(wù)風(fēng)險(xiǎn)、明確安全需求，才能打造符合業(yè)務(wù)特點(diǎn)的“新一代自適應(yīng)安全防御體系”。

以“業(yè)務(wù)+數(shù)據(jù)定義安全戰(zhàn)略”為核心理念，以風(fēng)險(xiǎn)治理為視角，以“合規(guī)+剛需”為出發(fā)點(diǎn)，打造的ETC業(yè)務(wù)新一代信息安全防御體系結(jié)合Gartner自適應(yīng)安全防御體系框架，依照國(guó)家信息安全相關(guān)標(biāo)準(zhǔn)，堅(jiān)持管理和技術(shù)并重的原則，努力打造“可持續(xù)的安全”，其核心思想可以總結(jié)為“1341”。

一個(gè)安全體系。以ETC業(yè)務(wù)安全為核心、以安全平臺(tái)為支撐，從安全風(fēng)險(xiǎn)考慮，建立符合ETC業(yè)務(wù)的安全基線，通過(guò)構(gòu)建縱深防御體系、內(nèi)部行為分析、外部情報(bào)接入，安全能力接入與資源池化、服務(wù)鏈管理與策略編排等能力，構(gòu)建ETC業(yè)務(wù)的網(wǎng)絡(luò)安全防御體系。

三道安全防線。結(jié)合縱深防御的思想，從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)三個(gè)層次，從ETC實(shí)際業(yè)務(wù)出發(fā)，構(gòu)建統(tǒng)一安全策略和防護(hù)機(jī)制，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)和關(guān)鍵業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)可控。

四種安全能力。充分借鑒Gartner自適應(yīng)安全防御體系框架，結(jié)合業(yè)務(wù)和數(shù)據(jù)安全需求，實(shí)現(xiàn)“預(yù)測(cè)、防御、檢測(cè)、響應(yīng)”四種安全能力，實(shí)現(xiàn)ETC業(yè)務(wù)信息系統(tǒng)的可管、可控、可視及可持續(xù)。

一個(gè)安全能力中心。一方面，構(gòu)建管理統(tǒng)一、職責(zé)明確、工作界面清晰的網(wǎng)絡(luò)安全管理體系，將網(wǎng)絡(luò)安全責(zé)任層層分解，落實(shí)到具體單位、具體部門、具體崗位和具體人員。另一方面，通過(guò)規(guī)范的接口，融合第三方安全能力，從安全監(jiān)視、安全管理、安全治理和安全控制四個(gè)方面來(lái)設(shè)計(jì)，達(dá)到安全管理工作從監(jiān)、管、治、控四位一體的管理機(jī)制，以統(tǒng)一安全策略驅(qū)動(dòng)安全資源，實(shí)現(xiàn)安全體系軟件化、自動(dòng)化和隨需而變，實(shí)現(xiàn)安全管理工作的閉環(huán)管理模式。