打造公路行業信息安全防御體系
——《交通運輸部網絡安全管理辦法（試行）》解讀

文/交通運輸部路網監測與應急處置中心 陳智宏 楊明 蔡冉

2017年11月30日，交通運輸部通過了《交通運輸部網絡安全管理辦法（試行）》（簡稱《辦法》），并于2017年12月1日正式施行。這是《中華人民共和國網絡安全法》在交通行業的進一步落地和細化。《辦法》將關鍵信息基礎設施保護作為核心，將健全政策制度體系、加強技術能力建設作為兩個工作重點，將對交通運輸行業網絡信息系統進行全生命周期、全要素覆蓋，將網絡安全監管和防護水平的提高作為重要“著力點”。

公路作為交通行業的重要組成部分，不僅與國民生活息息相關，更是關乎國家安全。近些年，互聯網、物聯網、云計算、大數據、人工智能等新技術的出現，為公路行業的現代化、信息化帶來了機遇，促使公路行業走向開放化、智能化。但與此同時，核心業務、敏感數據也暴露在越來越開放和復雜的網絡環境中，存在極大的安全風險，面臨APT、DDoS、“勒索病毒”等安全威脅。公路行業需遵守《中華人民共和國網絡安全法》和《辦法》，打造公路行業信息安全防御體系。

《辦法》解讀

責任劃分與追究

《辦法》用很大篇幅明晰交通行業中主管部門、建設單位、運營單位的責任義務，根據“誰主管誰負責，誰運行誰負責”和“屬地管理”原則，實行分級管理和分工負責。根據《辦法》要求，部屬各單位負責本單位網絡安全保護，領導班子主要負責人是網絡安全工作的第一責任人，主管網絡安全的領導是直接責任人，部屬各單位應履行網絡和信息系統建設過程的安全責任，實行終身負責制，應履行系統安全運行管理和安全防護責任。

主管部門。主管部門分別是交通運輸部、地方交通運輸主管部門、網絡和信息系統主管單位，主管部門負責制定行業網絡安全規劃、政策、制度和標準；組織認定行業關鍵信息基礎設施，指導和監督設施運行安全防護工作；建立健全行業網絡安全信息通報、監測預警和應急處置工作機制，組織相關技術支撐能力建設，協調組織重大及以上網絡安全風險預警、網絡安全事件應急處置工作，組織實施國家重要活動、會議期間行業網絡安全保障工作；依法組織開展公路行業網絡安全檢查、網絡產品和服務安全審查、個人信息和重要數據出境安全評估工作，指導監督行業各單位履行網絡安全責任，對未履行責任的單位和個人提出處理建議；指導協調跨行業、跨部門網絡安全重要工作，為公安機關、國家安全機關依法維護國家安全、偵查犯罪及防范、調查恐怖活動提供支持和保障；組織開展行業網絡安全宣傳和教育培訓工作。

建設單位。建設單位負責網絡和信息系統項目管理和實施。各建設單位應按照等級保護制度和標準規范要求，做好規劃設計、建設開發、部署上線等環節的網絡安全工作，建立覆蓋建設各方、各環節的網絡安全責任制；編制管理規定，對于可行性研究報告報批、信息技術產品和服務采購、數據、軟件、測評、整改及重定級、密碼應用保障方案等方面進行約束。

ETC已被列為公路行業的關鍵信息基礎設施，成為網絡安全工作行業落地的“先行軍”。

運行單位。運行單位是網絡和信息系統的使用者、管理者和網絡服務提供者。各運行單位應建立健全覆蓋運行各環節的安全管理制度體系和操作規程，確定運行安全責任人，落實網絡安全保護責任機制；編制管理制度，對于機房管理、軟硬件設備管理、分區分域、訪問控制、漏洞掃描和惡意代碼檢測、等級測評、網絡日志留存時間、移動存儲介質、網站防護、電子郵件、對外包服務和遠程技術服務安全管理、信息系統廢止管理等進行約束。

依據“誰使用誰負責”，采用集中管控、用戶識別、訪問控制、安全審計等措施，加強計算機等辦公終端管理。對于國家重要活動、會議期間的網絡安全重點保障，實行專項通報，按照上級規定的時間間隔上報報表，即使沒有出現新情況，也要將報表填上“0”上報，嚴格執行“零事件”報告制度，領導帶班和一線7天×24小時值守，建立與網信、公安等協調對接機制。

事前監測、預防、預案，事后快速響應、評估改進

《辦法》中明確安全事件發生前監測、預防、預案的重要性，明確安全事件發生后快速響應及評估改進的必要性。《辦法》中要求各單位嚴格執行交通運輸行業網絡安全信息通報工作制度。

預防預案工作。建立能夠掌握實時網絡安全態勢的能力，重視測試及評估結果提早防范風險，主動風險漏洞搜集、管控及限期整改、細化應急處置流程，同時積極建立其他部門的監理協調機制。

建立應急工作機構，結合實際制定完善安全事件應急預案，強化初步處置措施，每年至少開展一次應急演練，有條件的要加強攻擊性測試手段應用，積極開展實戰攻防演練，并根據演練結果完善應急預案。

快速響應。在安全事件發生后，根據事件類型和級別，立即啟動應急預案，做好初步處置，最大程度減少損失和危害，及時開展信息通報。對涉及反動言論、煽動性言論等信息內容安全事件，將響應精確到分鐘、精確到秒，盡可能迅速的將內容安全事件波及范圍減小，嚴格落實“一分鐘處置”要求。

如可能涉及攻擊、破壞等違法犯罪，應保護相關數據、記錄、資料和現場，24小時內向公安機關報案，并配合調查取證。同時，安全事件處置完成后，應及時完成事件調查和評估工作，對事件的起因、性質、影響、責任等進行分析評估，提出處理意見和改進措施。

信息通報。加強信息收集、分析和共享，確保通報信息傳達到位，及時開展通報預警風險核查處置并按要求逐級反饋，不得瞞報、緩報、謊報和推諉責任。在安全事件發生前、發生后的整個過程中，都進行信息通報工作。

網絡安全防御體系示意圖

加強個人信息和重點數據的保護

《辦法》對交通行業的個人信息保護、重點數據保護提出了要求，遵循“誰收集信息、誰負責保護”的原則，并且對收集、使用個人信息，對信息泄露、損毀、丟失，對數據跨部門跨地區共享，以及數據出入境提出了具體的要求，包括建立收集明示機制、限制收集規模及收集內容，個人信息及重要數據不能出境等。各省、自治區、直轄市、新疆生產建設兵團交通運輸廳（局、委），部屬各單位、部內各司局應按照《辦法》管理要求，落實個人信息保護、重點數據保護工作。

交通成網絡攻擊重災區

智能交通的出現將現代化、信息化的觸角深入到交通行業的方方面面，公路行業信息系統與交通運輸部、省市相關部門、銀行及互聯網等連接，具有多個網絡接口，網絡情況尤為復雜。業務范圍的擴大、網絡結構復雜及多樣化、第三方數據的共享使得公路行業信息系統面臨更為嚴峻的安全風險。根據《全球關鍵信息基礎設施網絡安全狀況分析報告》顯示，金融、交通、能源三大關鍵基礎設施領域已成為網絡攻擊重災區。公路行業信息系統易遭受DDoS攻擊、APT攻擊，并且在互聯網、業務網、第三方接入網邊界易受到黑客攻擊、病毒入侵，在服務器端與客戶端易受到病毒、木馬攻擊，不完善的賬號管理、認證和授權及審計也會造成不可預計的損失。

ETC系統成信息安全防御體系“先行軍”

目前，ETC已被列為公路行業的關鍵信息基礎設施，成為網絡安全工作行業落地的“先行軍”。按照網絡安全法，ETC系統須落實信息系統等級保護制度，保障信息系統安全、保證敏感信息數據安全、保證服務的連續性。隨著IT向DT的轉變，滿足信息安全等級保護制度只是基礎合規，結合業務特點的安全防護成為“剛需”。ETC系統需深入分析業務風險、明確安全需求，才能打造符合業務特點的“新一代自適應安全防御體系”。

以“業務+數據定義安全戰略”為核心理念，以風險治理為視角，以“合規+剛需”為出發點，打造的ETC業務新一代信息安全防御體系結合Gartner自適應安全防御體系框架，依照國家信息安全相關標準，堅持管理和技術并重的原則，努力打造“可持續的安全”，其核心思想可以總結為“1341”。

一個安全體系。以ETC業務安全為核心、以安全平臺為支撐，從安全風險考慮，建立符合ETC業務的安全基線，通過構建縱深防御體系、內部行為分析、外部情報接入，安全能力接入與資源池化、服務鏈管理與策略編排等能力，構建ETC業務的網絡安全防御體系。

三道安全防線。結合縱深防御的思想，從安全計算環境、安全區域邊界、安全通信網絡三個層次，從ETC實際業務出發，構建統一安全策略和防護機制，實現業務系統和關鍵業務數據的風險可控。

四種安全能力。充分借鑒Gartner自適應安全防御體系框架，結合業務和數據安全需求，實現“預測、防御、檢測、響應”四種安全能力，實現ETC業務信息系統的可管、可控、可視及可持續。

一個安全能力中心。一方面，構建管理統一、職責明確、工作界面清晰的網絡安全管理體系，將網絡安全責任層層分解，落實到具體單位、具體部門、具體崗位和具體人員。另一方面，通過規范的接口，融合第三方安全能力，從安全監視、安全管理、安全治理和安全控制四個方面來設計，達到安全管理工作從監、管、治、控四位一體的管理機制，以統一安全策略驅動安全資源，實現安全體系軟件化、自動化和隨需而變，實現安全管理工作的閉環管理模式。