對依法依規(guī)筑牢鐵路網(wǎng)絡(luò)安全屏障的思考與展望

朱廣劼

（中國鐵道科學(xué)研究院集團有限公司 電子計算技術(shù)研究所，北京 100081）

近年來，網(wǎng)絡(luò)攻擊事件頻發(fā)，這給網(wǎng)絡(luò)安全行業(yè)敲響了警鐘。網(wǎng)絡(luò)空間已成為繼陸、海、空、天之后的第五大主權(quán)領(lǐng)域空間，成為各國爭奪的重要戰(zhàn)略空間。要維護網(wǎng)絡(luò)安全，就需要充分發(fā)揮法律的方向性指引和強制性規(guī)范作用。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》（簡稱：《網(wǎng)絡(luò)安全法》）正式施行，自此我國網(wǎng)絡(luò)安全工作有了基礎(chǔ)性的法律框架。2021年，《中華人民共和國數(shù)據(jù)安全法》（簡稱：《數(shù)據(jù)安全法》）《中華人民共和國個人信息保護法》（簡稱：《個人信息保護法》），以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)陸續(xù)頒布施行，這標志著我國形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》為核心的網(wǎng)絡(luò)法律體系，為數(shù)字時代的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息權(quán)益保護提供了基礎(chǔ)制度和保障。

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》進一步細化和落實《網(wǎng)絡(luò)安全法》的有關(guān)要求，推進了我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護法律法規(guī)體系的構(gòu)建完善，為安全保護工作的開展提供了更為系統(tǒng)的標準指引和工作措施。

1 “兩法一規(guī)”體系構(gòu)成

《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（簡稱：“兩法一規(guī)”）作為網(wǎng)絡(luò)參與者普遍遵守的法律準則和依據(jù)，在網(wǎng)絡(luò)安全相關(guān)制度建設(shè)、網(wǎng)絡(luò)數(shù)據(jù)安全保護、個人信息保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護、網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全等方面作出了明確規(guī)定和要求，為依法管控網(wǎng)絡(luò)安全提供了明確的法律依據(jù)和行動指南[1]。這些法律法規(guī)出臺后，國內(nèi)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全法律法規(guī)框架體系已基本完成，其他法律、法規(guī)、企業(yè)規(guī)章等都將在這些法律組成的體系之下細化完善具體內(nèi)容，逐步覆蓋網(wǎng)絡(luò)系統(tǒng)、個人信息和數(shù)據(jù)活動的方方面面。我國網(wǎng)絡(luò)和數(shù)據(jù)安全法律法規(guī)體系構(gòu)成如圖1所示。

圖1 我國網(wǎng)絡(luò)和數(shù)據(jù)安全法律體系

1.1 《數(shù)據(jù)安全法》體系構(gòu)成

《數(shù)據(jù)安全法》作為數(shù)據(jù)領(lǐng)域首部綜合性、基礎(chǔ)性法律，共有7章55條。這7個章節(jié)分別為總則、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)安全與開放、法律責(zé)任、附則。

按照總體國家安全觀的要求，《數(shù)據(jù)安全法》明確了數(shù)據(jù)安全主管機構(gòu)的監(jiān)管職責(zé)，建立健全數(shù)據(jù)安全協(xié)同治理體系，提高數(shù)據(jù)安全保障能力，促進數(shù)據(jù)出境安全和自由流動，促進數(shù)據(jù)開發(fā)利用，保護個人、組織的合法權(quán)益，維護國家主權(quán)、安全和發(fā)展利益，讓數(shù)據(jù)安全有法可依、有章可循，為數(shù)字化經(jīng)濟的安全健康發(fā)展提供有力支撐與全面指導(dǎo)，并且同時加大了對違法行為的處罰力度。

1.2 《個人信息保護法》體系構(gòu)成

《個人信息保護法》作為我國首部個人信息保護方面的專門法律，共有8章74條，為企業(yè)合規(guī)處理個人信息提供了規(guī)范指導(dǎo)和操作指引。這8個章節(jié)分別為總則、個人信息處理規(guī)則、個人信息跨境提供的規(guī)則、個人在個人信息處理活動中的權(quán)利、個人信息處理者的義務(wù)、履行個人信息保護職責(zé)的部門、法律責(zé)任、附則。

《個人信息保護法》中明確了個人信息、敏感個人信息、個人信息擴處理、個人信息處理者、自動化決策、代標識化、匿名化7個關(guān)鍵定義，定義了個人信息處理規(guī)則的前提條件、敏感個人信息的處理規(guī)則，以及國家機關(guān)處理個人信息的特別規(guī)定，對個人信息共同處理、委托處理、個人信息轉(zhuǎn)移、其他個人信息處理者共享、自動化決策、公共采集6個場景下個人信息處理活動提出明確要求，規(guī)范個人信息處理者行為。

1.3 《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》體系構(gòu)成

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》作為我國針對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的專門性行政法規(guī)，共有6章51條，標志著我國網(wǎng)絡(luò)安全保護進入了以關(guān)鍵信息基礎(chǔ)設(shè)施安全保護為重點的新階段。這6個章節(jié)分別為總則、關(guān)鍵信息基礎(chǔ)設(shè)施認定、運營者責(zé)任義務(wù)、保障和促進、法律責(zé)任、附則。

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》中詳細闡明了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍、運營者應(yīng)履行的職責(zé)及對產(chǎn)品和服務(wù)的要求，對政府機關(guān)，國家行業(yè)主管或監(jiān)管部門，能源、電信、交通等行業(yè)，公安機關(guān)及個人進行要求，明確關(guān)鍵信息基礎(chǔ)設(shè)施范圍，規(guī)定運營者安全保護的權(quán)利和義務(wù)及其負責(zé)人的職責(zé)，要求建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系和信息通報制度。

2 “兩法一規(guī)”對鐵路網(wǎng)絡(luò)安全發(fā)展的促進作用

本文聚焦“兩法一規(guī)”，分別針對數(shù)據(jù)安全、個人信息保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作中涉及的范圍界定、主體責(zé)任、保護義務(wù)、保障措施等作出了更為明確和更高的規(guī)定要求。作為法律法規(guī)定義的重要數(shù)據(jù)的處理者、個人信息處理者和關(guān)鍵信息基礎(chǔ)設(shè)施運營者，鐵路行業(yè)要深入理解和掌握法律法規(guī)的主要規(guī)定、制度標準和行為準則，明確需履行的責(zé)任義務(wù)，充分發(fā)揮法律法規(guī)對鐵路網(wǎng)絡(luò)安全發(fā)展的促進作用。

2.1 《數(shù)據(jù)安全法》對鐵路數(shù)據(jù)安全體系建設(shè)的指導(dǎo)意義和作用

鐵路行業(yè)數(shù)據(jù)量龐大，重要信息系統(tǒng)數(shù)量較多，且鐵路運輸關(guān)系到全國人民的出行和財產(chǎn)安全，數(shù)據(jù)安全問題不容忽視。此次《數(shù)據(jù)安全法》的出臺，對鐵路行業(yè)數(shù)據(jù)安全管理、風(fēng)險評估與應(yīng)急處置、重要數(shù)據(jù)出境管理等方面具有重要的指導(dǎo)意義。

2.1.1 強調(diào)網(wǎng)絡(luò)安全等級保護制度與數(shù)據(jù)安全保護制度的銜接

結(jié)合鐵路行業(yè)重要系統(tǒng)等級保護和安全測評等工作，此次《數(shù)據(jù)安全法》為鐵路行業(yè)制訂相關(guān)數(shù)據(jù)安全管理制度、開展數(shù)據(jù)安全教育培訓(xùn)、落實數(shù)據(jù)安全保護責(zé)任等提供了明確的方向和法律依據(jù)。《數(shù)據(jù)安全法》第四章第二十七條提出“建立健全全流程數(shù)據(jù)安全管理制度”“利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護義務(wù)”等規(guī)定。這一條款要求數(shù)據(jù)處理者在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上開展數(shù)據(jù)安全保護工作，既強化了網(wǎng)絡(luò)安全等級保護制度在數(shù)據(jù)安全保護要求中的基礎(chǔ)作用，也體現(xiàn)了數(shù)據(jù)安全保護制度與《網(wǎng)絡(luò)安全法》的銜接。

2.1.2 明確風(fēng)險評估與應(yīng)急處置

《數(shù)據(jù)安全法》中明確風(fēng)險評估、監(jiān)測預(yù)警、應(yīng)急處置等管理要求，強化數(shù)據(jù)安全風(fēng)險全流程防范應(yīng)對，其中，第四章第二十九條和第三十條分別明確提出“開展數(shù)據(jù)處理活動應(yīng)當(dāng)加強風(fēng)險監(jiān)測”“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估”等義務(wù)要求。根據(jù)《數(shù)據(jù)安全法》的規(guī)定，鐵路行業(yè)需要進一步完善數(shù)據(jù)安全態(tài)勢監(jiān)測和通報預(yù)警機制，提高風(fēng)險信息分析、研判和處置能力的建設(shè)，做到既能夠滿足國家安全要求，也能夠促進行業(yè)自身數(shù)據(jù)安全發(fā)展。

2.1.3 明確重要數(shù)據(jù)出境安全管理

《數(shù)據(jù)安全法》中補充和完善數(shù)據(jù)出境管理要求，強化境內(nèi)數(shù)據(jù)出境風(fēng)險控制，第四章第三十一條對重要數(shù)據(jù)出境監(jiān)管作出規(guī)定，明確關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)，繼續(xù)適用《網(wǎng)絡(luò)安全法》中有關(guān)數(shù)據(jù)出境安全管理要求，因此在規(guī)范數(shù)據(jù)應(yīng)用方面，做到合規(guī)、合法將成為鐵路行業(yè)運營數(shù)據(jù)業(yè)務(wù)的新門檻。以數(shù)據(jù)流動、數(shù)據(jù)保護、數(shù)據(jù)監(jiān)管等為基礎(chǔ)的數(shù)據(jù)規(guī)則或?qū)?gòu)建并逐步完善，不斷促進鐵路數(shù)字經(jīng)濟發(fā)展。

2.2 《個人信息保護法》為鐵路企業(yè)合規(guī)處理個人信息提供規(guī)范和指導(dǎo)

鐵路行業(yè)始終堅持以人民為中心的發(fā)展思想，積極推進信息化、智能化技術(shù)手段應(yīng)用，全面落實鐵路客票“無紙化”[2]，持續(xù)提升旅客出行服務(wù)體驗。但與此同時，隨著國家的高度重視、法律法規(guī)體系的優(yōu)化完善，公民信息安全意識的逐漸增強，對公民個人信息安全的保護提出了更高要求[3]。公民個人信息得不到保護，不僅財產(chǎn)會受到損害，嚴重者生命可能受到威脅。合法合規(guī)處理和保護個人信息，將成為鐵路行業(yè)必須盡快落實和完成的一項重要任務(wù)。

2.2.1 明確個人信息處理規(guī)則和原則

《個人信息保護法》第二章明確對個人信息處理的規(guī)則和原則做出全面規(guī)定，確立了“告知—同意”的核心規(guī)則，明確了敏感個人信息和個人信息跨境提供的具體規(guī)則，規(guī)范了自動化決策方式的基本原則，提出了“影響最小”“范圍最小”“期限最短”的處理邊界原則。以事實為根據(jù)、以法律為準繩，嚴格遵守這些規(guī)則和原則，是鐵路合規(guī)處理個人信息和保護個人信息安全的必要前提。

2.2.2 規(guī)范大型互聯(lián)網(wǎng)平臺的責(zé)任和義務(wù)

《個人信息保護法》第五章對個人信息處理者的合規(guī)管理和個人信息安全保障義務(wù)等做出了具體規(guī)定，規(guī)定了個人信息處理者應(yīng)制訂內(nèi)部管理制度和操作規(guī)程，要求強化安全技術(shù)防護和事件應(yīng)急處置等措施，做好個人信息處理活動的監(jiān)督和合規(guī)審計等工作，并明確所需履行的事前影響評估和個人信息泄露、篡改、丟失的補救義務(wù)等。鐵路12306互聯(lián)網(wǎng)售票系統(tǒng)（簡稱：12306）作為唯一的互聯(lián)網(wǎng)售票平臺，要充分履行鐵路大型互聯(lián)網(wǎng)平臺個人信息保護處理第一責(zé)任人的職責(zé)，研究制訂符合鐵路實際的個人信息保護制度和個人信息分類分級標準等，補強相應(yīng)級別的保護措施，切實保障鐵路運輸生產(chǎn)過程中涉及的個人信息安全。

2.3 《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》推進鐵路關(guān)鍵信息基礎(chǔ)設(shè)施保護步入規(guī)范化

鐵路行業(yè)作為我國安全生產(chǎn)核心行業(yè)之一，重要系統(tǒng)一旦受到網(wǎng)絡(luò)攻擊，將造成安全事故，對公眾、社會，甚至國家安全造成重大影響[4]。鐵路關(guān)鍵信息基礎(chǔ)設(shè)施是鐵路運輸生產(chǎn)、經(jīng)營開發(fā)安全穩(wěn)定運行的“生命線”，規(guī)模龐大、影響廣泛的關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)已逐漸成為網(wǎng)絡(luò)戰(zhàn)爭的主戰(zhàn)場。外部威脅日益增長，安全風(fēng)險壓力巨大[5]，依法依規(guī)對鐵路關(guān)鍵信息基礎(chǔ)設(shè)施采取針對性的重點防護至關(guān)重要。

2.3.1 完善關(guān)鍵信息基礎(chǔ)設(shè)施認定機制

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第二條明確給出了關(guān)鍵信息基礎(chǔ)設(shè)施定義，并在第九條和第十條規(guī)定“保護工作部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H，制定關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則”“保護工作部門根據(jù)認定規(guī)則負責(zé)組織認定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，及時將認定結(jié)果通知運營者”。明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范疇，建立鐵路關(guān)鍵信息基礎(chǔ)設(shè)施清單，是鐵路對關(guān)鍵信息基礎(chǔ)設(shè)施進行針對性重點保護的必要前提。

2.3.2 明確規(guī)定鐵路關(guān)鍵信息基礎(chǔ)設(shè)施保護責(zé)任

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第十三條和第十四條分別明確運營者的主要負責(zé)人對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責(zé)，要求設(shè)置專門安全管理機構(gòu)并保障運行經(jīng)費和相應(yīng)人員的配備，第十五條則具體規(guī)定了專門安全管理機構(gòu)所需履行的八項職責(zé)，主要覆蓋關(guān)鍵信息基礎(chǔ)設(shè)施安全保護計劃的擬定，網(wǎng)絡(luò)安全防護能力的推進建設(shè)，網(wǎng)絡(luò)安全應(yīng)急演練、事件處置和報告，關(guān)鍵信息基礎(chǔ)設(shè)施運維等服務(wù)的安全管理，教育培訓(xùn)和考核獎懲等內(nèi)容。

壓實黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制要求[6]，做好鐵路關(guān)鍵信息基礎(chǔ)設(shè)施保護頂層設(shè)計，在制度規(guī)章、標準辦法和檢查考評上實現(xiàn)全面覆蓋、深入細化，是鐵路構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保護體系的基礎(chǔ)保障。

2.3.3 細化要求鐵路關(guān)鍵信息基礎(chǔ)設(shè)施保護措施

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第十二條規(guī)定了落實安全保護措施要與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用的“三同步”原則。以此為基礎(chǔ)，第十七條特別強調(diào)運營者應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估，并對發(fā)現(xiàn)的安全問題及時整改，檢測評估工作可自行或委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)進行。同時，針對供應(yīng)鏈安全問題，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第十九條和第二十條對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的優(yōu)先采購原則、進行安全審查和簽訂安全保密協(xié)議等作出了規(guī)定和要求。以強化安全防護能力為核心要務(wù)，以常態(tài)化開展安全檢測評估為監(jiān)控措施，以安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)支撐為源頭保障，是鐵路關(guān)鍵信息基礎(chǔ)設(shè)施在應(yīng)對大規(guī)模、有組織的網(wǎng)絡(luò)攻擊方面仍需全面補強的主要短板。

3 鐵路網(wǎng)絡(luò)安全貫徹落實“兩法一規(guī)”的措施建議

為更好地承接“兩法一規(guī)”在鐵路行業(yè)的貫徹落實，鐵路網(wǎng)絡(luò)安全建設(shè)既要強化組織領(lǐng)導(dǎo)，統(tǒng)籌研究、前后銜接、融合貫通、整體部署、夯實工作基礎(chǔ)，又要嚴格對照重要條款規(guī)定，找差距、找短板，完善規(guī)章制度體系、優(yōu)化配套標準規(guī)范，不斷強化網(wǎng)絡(luò)安全人防、物防、技防措施。

3.1 強化鐵路數(shù)據(jù)安全保護體系

鐵路行業(yè)要在已有數(shù)據(jù)安全防護制度與安全防護技術(shù)手段的基礎(chǔ)上，加快制訂鐵路行業(yè)數(shù)據(jù)安全管理政策，重點從數(shù)據(jù)保護整體框架、數(shù)據(jù)安全分級分類、數(shù)據(jù)安全保護制度、數(shù)據(jù)安全審查及數(shù)據(jù)安全管理認證等方面對鐵路數(shù)據(jù)加強保護，構(gòu)建數(shù)據(jù)安全領(lǐng)域的標準體系，做好鐵路系統(tǒng)數(shù)據(jù)匯聚安全管控和技術(shù)保障，有效提升數(shù)據(jù)安全防護能力。

3.2 完善鐵路數(shù)據(jù)分類分級制度

鐵路行業(yè)要全面結(jié)合業(yè)務(wù)模式、服務(wù)運營模式等，分析梳理業(yè)務(wù)流程和系統(tǒng)設(shè)備，充分考慮行業(yè)要求、業(yè)務(wù)規(guī)模、數(shù)據(jù)復(fù)雜程度等的實際情況。同時，針對不同應(yīng)用系統(tǒng)，鐵路行業(yè)要進一步確定數(shù)據(jù)分類分級保護范圍，并完善相關(guān)制度標準，按數(shù)據(jù)安全級別對數(shù)據(jù)進行分類分級防護。

3.3 規(guī)范鐵路數(shù)據(jù)采集使用管理

鐵路行業(yè)要按照數(shù)據(jù)資源、資產(chǎn)、流通這3個階段開展數(shù)據(jù)治理和流動安全管控工作，加強重要數(shù)據(jù)和個人信息的使用管理和保護措施，強化鐵路行業(yè)公民個人信息采集、使用、存儲、交換等過程中的安全合規(guī)保護工作。

3.4 健全鐵路個人信息保護機制

鐵路行業(yè)要緊跟法律、技術(shù)和商業(yè)的發(fā)展進程，深入研究、準確把握國家網(wǎng)絡(luò)安全關(guān)于個人信息和隱私保護要求的數(shù)據(jù)安全要求，及時更新、修訂和發(fā)布12 306隱私權(quán)政策，建立12 306個人信息和數(shù)據(jù)安全存儲等相關(guān)標準，進一步健全完善個人信息保護機制。

3.5 履行鐵路個人信息保護義務(wù)

鐵路行業(yè)要從個人信息處理生命的周期角度出發(fā)，在信息收集、存儲、使用等各個環(huán)節(jié)建立安全防護措施，部署訪問控制和審批機制，參照國內(nèi)外信息安全標準及最佳實踐，構(gòu)建完善的、與業(yè)務(wù)發(fā)展相適應(yīng)的鐵路個人信息安全保障體系，嚴格履行保護義務(wù)。

3.6 準確界定鐵路關(guān)鍵信息基礎(chǔ)設(shè)施保護對象

鐵路行業(yè)要充分結(jié)合本行業(yè)、本領(lǐng)域業(yè)務(wù)特性和重要性，立足實際，按照鐵路關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則和程序，規(guī)范開展關(guān)鍵業(yè)務(wù)梳理、候選對象識別、專家評審等認定相關(guān)工作，并在量化指標參數(shù)的基礎(chǔ)上實現(xiàn)清單范圍的準確界定，進行動態(tài)調(diào)整更新。

3.7 壓實鐵路關(guān)鍵信息基礎(chǔ)設(shè)施保護主體責(zé)任

鐵路行業(yè)要進一步落實網(wǎng)絡(luò)安全工作的黨組集中統(tǒng)一領(lǐng)導(dǎo)，嚴格壓實各層級領(lǐng)導(dǎo)班子主要負責(zé)人做為網(wǎng)絡(luò)安全第一責(zé)任人在關(guān)基保護工作中的重大責(zé)任，充分發(fā)揮網(wǎng)信安全總監(jiān)和專門的網(wǎng)絡(luò)安全管理處室在關(guān)鍵保護工作中的職責(zé)作用，履行好決策參謀、統(tǒng)籌協(xié)調(diào)、政策指導(dǎo)、推動落實、督導(dǎo)檢查等職能。同時，鐵路行業(yè)要做好機構(gòu)設(shè)置和人員配置工作，確保事有人干、責(zé)有人負。

3.8 提升鐵路關(guān)鍵信息基礎(chǔ)設(shè)施保護綜合能力

鐵路行業(yè)要持續(xù)深入通過開展鐵路關(guān)鍵信息基礎(chǔ)設(shè)施等級保護測評和安全檢查，及時發(fā)現(xiàn)問題和風(fēng)險隱患，并組織整改補強，不斷提升關(guān)鍵信息基礎(chǔ)設(shè)施綜合防御能力；采取定期組織對關(guān)鍵信息基礎(chǔ)設(shè)施進行風(fēng)險評估的方式，以資產(chǎn)評估為核心，針對每一項需要保護的資產(chǎn)，識別可能被威脅利用的弱點，系統(tǒng)的分析其存在的脆弱性，并及時整改。同時，在供應(yīng)鏈安全管理辦法、網(wǎng)絡(luò)產(chǎn)品入網(wǎng)檢測驗證、網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購管理規(guī)定、供應(yīng)鏈安全檢測評估等方面，鐵路行業(yè)要加快制訂相應(yīng)的管理制度規(guī)定，降低入網(wǎng)鐵路的產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全風(fēng)險。

4 結(jié)束語

依法依規(guī)筑牢鐵路網(wǎng)絡(luò)安全屏障，鐵路行業(yè)要充分認識頒布實施網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的重要意義，提高政治站位，把深入貫徹落實相關(guān)法律法規(guī)作為當(dāng)前和今后一個時期的重要政治任務(wù)，作為增強“四個意識”、堅定“四個自信”、做到“兩個維護”的實際行動。鐵路行業(yè)要認真履行法定職責(zé)和義務(wù)，精準對標對表，嚴格落細落實，切實提高新時代鐵路網(wǎng)絡(luò)安全的整體保護、數(shù)據(jù)安全治理、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護、個人信息保護等方面的能力和水平。