近几年,国内外针对电力、油田、铁路等关键信息基础设施的网络攻击事件屡屡发生。关键基础设施融入到社会政治、经济等方方面面,是国家发展至关重要的资产,一旦遭到网络犯罪分子入侵将对国家安全、国民生计造成不可估量的损害。
基于上述境况,各国相继出台涉及关键基础设施保护的法规条例、我国在 2021 年正式实施《关键信息基础设施安全保护条例》进一步明确了关键信息基础设施安全保护的具体要求和措施。随着对关键基础设施保护越来越重视,许多行业开始细化、完善内部关基保护条例。
近日,国家铁路局为更好保障铁路关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律、行政法规,起草形成了《铁路关键信息基础设施安全保护管理办法(征求意见稿)》(以下简称《征求意见稿》)。
一、收紧社会面对铁路关基的渗透测试工作
对于铁路关键基础信息所包含的范围,《征求意见稿》中明确划定铁路关键信息基础设施主要指在铁路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。
《征求意见稿》指出任何个人和组织不得实施非法侵入、干扰、破坏铁路关键信息基础设施的活动,不得危害铁路关键信息基础设施安全,铁路关键信息基础设施安全保护坚持强化和落实铁路关键信息基础设施运营者(以下简称运营者)主体责任,加强和规范保护工作部门监督管理,发挥社会各方面的作用,共同保护铁路关键信息基础设施安全。
在铁路关键基础信息保护监管单位主体责任上,《征求意见稿》第三条中明确提出国家铁路局依法负责全国铁路关键信息基础设施安全保护和监督管理工作,是铁路关键信息基础设施安全保护工作部门,地区铁路监督管理局依据国家铁路局要求,开展相关工作。
值得一提的是,《征求意见稿》收紧了社会层面针对铁路关键基础设施的安全测试工作,强调未经国家网信部门、国务院公安部门批准或者国家铁路局、运营者授权,任何个人和组织不得对铁路关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害铁路关键信息基础设施安全的活动。
二、铁路运营者应该肩负那些责任?
《征求意见稿》第九条提出运营者应当在国家网络安全等级保护制度的基础上,突出保护重点,落实防护措施,加强全生命周期管理,保障铁路关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。针对新建、改建、扩建铁路关键信息基础设施的,运营者应当做到安全防护措施与关键信息基础设施同步规划、同步建设、同步使用。
稳健的系统运营离不开完善的管理制度,《征求意见稿》第十一条要求运营者应当建立健全网络安全保护制度和责任制,运营者的主要负责人对所运营的铁路关键信息基础设施安全保护负总责,在内部应明确一名领导班子成员分管铁路关键信息基础设施安全保护工作,并为每个铁路关键信息基础设施明确安全管理责任人。
铁路运营者内部也应当设置专门安全管理机构,指定相应安全管理、评价考核制度,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。
此外,为应对当下频发的供应链攻击事故,《征求意见稿》第十四条要求运营者应当加强供应链安全保护,优先采购安全可信的网络产品和服务;采购网络产品和服务影响或者可能影响国家安全的,运营者应当预判网络产品和服务投入使用后可能带来的国家安全风险,按照国家有关规定申报网络安全审查。
铁路系统数据安全工作层面,《征求意见稿》中提出将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要,确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估。法律、行政法规另有规定的,依照其规定执行。
一旦铁路系统发生重大的网络安全事故,根据《征求意见稿》第二十条的规定,运营者按照有关规定向国家铁路局、公安机关报告,并立即启动本单位网络安全事件应急预案。国家铁路局应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
三、国家铁路局肩负监管职责
为切实维护铁路关键基础设施系统安全,《征求意见稿》指出国家铁路局应当制定铁路关键信息基础设施安全规划,建立网络安全事件应急预案以及网络安全监测预警制度。例如定期组织应急演练,指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。
《征求意见稿》中强调国家铁路局应充分利用网络安全信息共享机制,及时掌握铁路关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。当然,为了防止内部人员“泄密”,《征求意见稿》也对对国家铁路局以及网络安全服务机构的内部人员做了严格约束,规定国家铁路局、网络安全服务机构及其工作人员对于在铁路关键信息基础设施安全保护过程中获取的信息,只能用于维护网络安全,并严格按照有关法律、行政法规的要求确保信息安全,不得泄露、出售或者非法向他人提供。
最后,对于违法《征求意见》的行为主体,由国家铁路局按照《关键信息基础设施安全保护条例》等法律、行政法规的规定予以处罚。
