打造公路行業(yè)信息安全防御體系
——《交通運輸部網(wǎng)絡(luò)安全管理辦法（試行）》解讀

文/交通運輸部路網(wǎng)監(jiān)測與應(yīng)急處置中心 陳智宏 楊明 蔡冉

2017年11月30日，交通運輸部通過了《交通運輸部網(wǎng)絡(luò)安全管理辦法（試行）》（簡稱《辦法》），并于2017年12月1日正式施行。這是《中華人民共和國網(wǎng)絡(luò)安全法》在交通行業(yè)的進(jìn)一步落地和細(xì)化?！掇k法》將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)作為核心，將健全政策制度體系、加強技術(shù)能力建設(shè)作為兩個工作重點，將對交通運輸行業(yè)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行全生命周期、全要素覆蓋，將網(wǎng)絡(luò)安全監(jiān)管和防護(hù)水平的提高作為重要“著力點”。

公路作為交通行業(yè)的重要組成部分，不僅與國民生活息息相關(guān)，更是關(guān)乎國家安全。近些年，互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新技術(shù)的出現(xiàn)，為公路行業(yè)的現(xiàn)代化、信息化帶來了機遇，促使公路行業(yè)走向開放化、智能化。但與此同時，核心業(yè)務(wù)、敏感數(shù)據(jù)也暴露在越來越開放和復(fù)雜的網(wǎng)絡(luò)環(huán)境中，存在極大的安全風(fēng)險，面臨APT、DDoS、“勒索病毒”等安全威脅。公路行業(yè)需遵守《中華人民共和國網(wǎng)絡(luò)安全法》和《辦法》，打造公路行業(yè)信息安全防御體系。

《辦法》解讀

責(zé)任劃分與追究

《辦法》用很大篇幅明晰交通行業(yè)中主管部門、建設(shè)單位、運營單位的責(zé)任義務(wù)，根據(jù)“誰主管誰負(fù)責(zé)，誰運行誰負(fù)責(zé)”和“屬地管理”原則，實行分級管理和分工負(fù)責(zé)。根據(jù)《辦法》要求，部屬各單位負(fù)責(zé)本單位網(wǎng)絡(luò)安全保護(hù)，領(lǐng)導(dǎo)班子主要負(fù)責(zé)人是網(wǎng)絡(luò)安全工作的第一責(zé)任人，主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)是直接責(zé)任人，部屬各單位應(yīng)履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)過程的安全責(zé)任，實行終身負(fù)責(zé)制，應(yīng)履行系統(tǒng)安全運行管理和安全防護(hù)責(zé)任。

主管部門。主管部門分別是交通運輸部、地方交通運輸主管部門、網(wǎng)絡(luò)和信息系統(tǒng)主管單位，主管部門負(fù)責(zé)制定行業(yè)網(wǎng)絡(luò)安全規(guī)劃、政策、制度和標(biāo)準(zhǔn)；組織認(rèn)定行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施，指導(dǎo)和監(jiān)督設(shè)施運行安全防護(hù)工作；建立健全行業(yè)網(wǎng)絡(luò)安全信息通報、監(jiān)測預(yù)警和應(yīng)急處置工作機制，組織相關(guān)技術(shù)支撐能力建設(shè)，協(xié)調(diào)組織重大及以上網(wǎng)絡(luò)安全風(fēng)險預(yù)警、網(wǎng)絡(luò)安全事件應(yīng)急處置工作，組織實施國家重要活動、會議期間行業(yè)網(wǎng)絡(luò)安全保障工作；依法組織開展公路行業(yè)網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查、個人信息和重要數(shù)據(jù)出境安全評估工作，指導(dǎo)監(jiān)督行業(yè)各單位履行網(wǎng)絡(luò)安全責(zé)任，對未履行責(zé)任的單位和個人提出處理建議；指導(dǎo)協(xié)調(diào)跨行業(yè)、跨部門網(wǎng)絡(luò)安全重要工作，為公安機關(guān)、國家安全機關(guān)依法維護(hù)國家安全、偵查犯罪及防范、調(diào)查恐怖活動提供支持和保障；組織開展行業(yè)網(wǎng)絡(luò)安全宣傳和教育培訓(xùn)工作。

建設(shè)單位。建設(shè)單位負(fù)責(zé)網(wǎng)絡(luò)和信息系統(tǒng)項目管理和實施。各建設(shè)單位應(yīng)按照等級保護(hù)制度和標(biāo)準(zhǔn)規(guī)范要求，做好規(guī)劃設(shè)計、建設(shè)開發(fā)、部署上線等環(huán)節(jié)的網(wǎng)絡(luò)安全工作，建立覆蓋建設(shè)各方、各環(huán)節(jié)的網(wǎng)絡(luò)安全責(zé)任制；編制管理規(guī)定，對于可行性研究報告報批、信息技術(shù)產(chǎn)品和服務(wù)采購、數(shù)據(jù)、軟件、測評、整改及重定級、密碼應(yīng)用保障方案等方面進(jìn)行約束。

ETC已被列為公路行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施，成為網(wǎng)絡(luò)安全工作行業(yè)落地的“先行軍”。

運行單位。運行單位是網(wǎng)絡(luò)和信息系統(tǒng)的使用者、管理者和網(wǎng)絡(luò)服務(wù)提供者。各運行單位應(yīng)建立健全覆蓋運行各環(huán)節(jié)的安全管理制度體系和操作規(guī)程，確定運行安全責(zé)任人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任機制；編制管理制度，對于機房管理、軟硬件設(shè)備管理、分區(qū)分域、訪問控制、漏洞掃描和惡意代碼檢測、等級測評、網(wǎng)絡(luò)日志留存時間、移動存儲介質(zhì)、網(wǎng)站防護(hù)、電子郵件、對外包服務(wù)和遠(yuǎn)程技術(shù)服務(wù)安全管理、信息系統(tǒng)廢止管理等進(jìn)行約束。

依據(jù)“誰使用誰負(fù)責(zé)”，采用集中管控、用戶識別、訪問控制、安全審計等措施，加強計算機等辦公終端管理。對于國家重要活動、會議期間的網(wǎng)絡(luò)安全重點保障，實行專項通報，按照上級規(guī)定的時間間隔上報報表，即使沒有出現(xiàn)新情況，也要將報表填上“0”上報，嚴(yán)格執(zhí)行“零事件”報告制度，領(lǐng)導(dǎo)帶班和一線7天×24小時值守，建立與網(wǎng)信、公安等協(xié)調(diào)對接機制。

事前監(jiān)測、預(yù)防、預(yù)案，事后快速響應(yīng)、評估改進(jìn)

《辦法》中明確安全事件發(fā)生前監(jiān)測、預(yù)防、預(yù)案的重要性，明確安全事件發(fā)生后快速響應(yīng)及評估改進(jìn)的必要性?！掇k法》中要求各單位嚴(yán)格執(zhí)行交通運輸行業(yè)網(wǎng)絡(luò)安全信息通報工作制度。

預(yù)防預(yù)案工作。建立能夠掌握實時網(wǎng)絡(luò)安全態(tài)勢的能力，重視測試及評估結(jié)果提早防范風(fēng)險，主動風(fēng)險漏洞搜集、管控及限期整改、細(xì)化應(yīng)急處置流程，同時積極建立其他部門的監(jiān)理協(xié)調(diào)機制。

建立應(yīng)急工作機構(gòu)，結(jié)合實際制定完善安全事件應(yīng)急預(yù)案，強化初步處置措施，每年至少開展一次應(yīng)急演練，有條件的要加強攻擊性測試手段應(yīng)用，積極開展實戰(zhàn)攻防演練，并根據(jù)演練結(jié)果完善應(yīng)急預(yù)案。

快速響應(yīng)。在安全事件發(fā)生后，根據(jù)事件類型和級別，立即啟動應(yīng)急預(yù)案，做好初步處置，最大程度減少損失和危害，及時開展信息通報。對涉及反動言論、煽動性言論等信息內(nèi)容安全事件，將響應(yīng)精確到分鐘、精確到秒，盡可能迅速的將內(nèi)容安全事件波及范圍減小，嚴(yán)格落實“一分鐘處置”要求。

如可能涉及攻擊、破壞等違法犯罪，應(yīng)保護(hù)相關(guān)數(shù)據(jù)、記錄、資料和現(xiàn)場，24小時內(nèi)向公安機關(guān)報案，并配合調(diào)查取證。同時，安全事件處置完成后，應(yīng)及時完成事件調(diào)查和評估工作，對事件的起因、性質(zhì)、影響、責(zé)任等進(jìn)行分析評估，提出處理意見和改進(jìn)措施。

信息通報。加強信息收集、分析和共享，確保通報信息傳達(dá)到位，及時開展通報預(yù)警風(fēng)險核查處置并按要求逐級反饋，不得瞞報、緩報、謊報和推諉責(zé)任。在安全事件發(fā)生前、發(fā)生后的整個過程中，都進(jìn)行信息通報工作。

網(wǎng)絡(luò)安全防御體系示意圖

加強個人信息和重點數(shù)據(jù)的保護(hù)

《辦法》對交通行業(yè)的個人信息保護(hù)、重點數(shù)據(jù)保護(hù)提出了要求，遵循“誰收集信息、誰負(fù)責(zé)保護(hù)”的原則，并且對收集、使用個人信息，對信息泄露、損毀、丟失，對數(shù)據(jù)跨部門跨地區(qū)共享，以及數(shù)據(jù)出入境提出了具體的要求，包括建立收集明示機制、限制收集規(guī)模及收集內(nèi)容，個人信息及重要數(shù)據(jù)不能出境等。各省、自治區(qū)、直轄市、新疆生產(chǎn)建設(shè)兵團(tuán)交通運輸廳（局、委），部屬各單位、部內(nèi)各司局應(yīng)按照《辦法》管理要求，落實個人信息保護(hù)、重點數(shù)據(jù)保護(hù)工作。

交通成網(wǎng)絡(luò)攻擊重災(zāi)區(qū)

智能交通的出現(xiàn)將現(xiàn)代化、信息化的觸角深入到交通行業(yè)的方方面面，公路行業(yè)信息系統(tǒng)與交通運輸部、省市相關(guān)部門、銀行及互聯(lián)網(wǎng)等連接，具有多個網(wǎng)絡(luò)接口，網(wǎng)絡(luò)情況尤為復(fù)雜。業(yè)務(wù)范圍的擴大、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜及多樣化、第三方數(shù)據(jù)的共享使得公路行業(yè)信息系統(tǒng)面臨更為嚴(yán)峻的安全風(fēng)險。根據(jù)《全球關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全狀況分析報告》顯示，金融、交通、能源三大關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域已成為網(wǎng)絡(luò)攻擊重災(zāi)區(qū)。公路行業(yè)信息系統(tǒng)易遭受DDoS攻擊、APT攻擊，并且在互聯(lián)網(wǎng)、業(yè)務(wù)網(wǎng)、第三方接入網(wǎng)邊界易受到黑客攻擊、病毒入侵，在服務(wù)器端與客戶端易受到病毒、木馬攻擊，不完善的賬號管理、認(rèn)證和授權(quán)及審計也會造成不可預(yù)計的損失。

ETC系統(tǒng)成信息安全防御體系“先行軍”

目前，ETC已被列為公路行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施，成為網(wǎng)絡(luò)安全工作行業(yè)落地的“先行軍”。按照網(wǎng)絡(luò)安全法，ETC系統(tǒng)須落實信息系統(tǒng)等級保護(hù)制度，保障信息系統(tǒng)安全、保證敏感信息數(shù)據(jù)安全、保證服務(wù)的連續(xù)性。隨著IT向DT的轉(zhuǎn)變，滿足信息安全等級保護(hù)制度只是基礎(chǔ)合規(guī)，結(jié)合業(yè)務(wù)特點的安全防護(hù)成為“剛需”。ETC系統(tǒng)需深入分析業(yè)務(wù)風(fēng)險、明確安全需求，才能打造符合業(yè)務(wù)特點的“新一代自適應(yīng)安全防御體系”。

以“業(yè)務(wù)+數(shù)據(jù)定義安全戰(zhàn)略”為核心理念，以風(fēng)險治理為視角，以“合規(guī)+剛需”為出發(fā)點，打造的ETC業(yè)務(wù)新一代信息安全防御體系結(jié)合Gartner自適應(yīng)安全防御體系框架，依照國家信息安全相關(guān)標(biāo)準(zhǔn)，堅持管理和技術(shù)并重的原則，努力打造“可持續(xù)的安全”，其核心思想可以總結(jié)為“1341”。

一個安全體系。以ETC業(yè)務(wù)安全為核心、以安全平臺為支撐，從安全風(fēng)險考慮，建立符合ETC業(yè)務(wù)的安全基線，通過構(gòu)建縱深防御體系、內(nèi)部行為分析、外部情報接入，安全能力接入與資源池化、服務(wù)鏈管理與策略編排等能力，構(gòu)建ETC業(yè)務(wù)的網(wǎng)絡(luò)安全防御體系。

三道安全防線。結(jié)合縱深防御的思想，從安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)三個層次，從ETC實際業(yè)務(wù)出發(fā)，構(gòu)建統(tǒng)一安全策略和防護(hù)機制，實現(xiàn)業(yè)務(wù)系統(tǒng)和關(guān)鍵業(yè)務(wù)數(shù)據(jù)的風(fēng)險可控。

四種安全能力。充分借鑒Gartner自適應(yīng)安全防御體系框架，結(jié)合業(yè)務(wù)和數(shù)據(jù)安全需求，實現(xiàn)“預(yù)測、防御、檢測、響應(yīng)”四種安全能力，實現(xiàn)ETC業(yè)務(wù)信息系統(tǒng)的可管、可控、可視及可持續(xù)。

一個安全能力中心。一方面，構(gòu)建管理統(tǒng)一、職責(zé)明確、工作界面清晰的網(wǎng)絡(luò)安全管理體系，將網(wǎng)絡(luò)安全責(zé)任層層分解，落實到具體單位、具體部門、具體崗位和具體人員。另一方面，通過規(guī)范的接口，融合第三方安全能力，從安全監(jiān)視、安全管理、安全治理和安全控制四個方面來設(shè)計，達(dá)到安全管理工作從監(jiān)、管、治、控四位一體的管理機制，以統(tǒng)一安全策略驅(qū)動安全資源，實現(xiàn)安全體系軟件化、自動化和隨需而變，實現(xiàn)安全管理工作的閉環(huán)管理模式。