打造公路行业信息安全防御体系
——《交通运输部网络安全管理办法（试行）》解读

文/交通运输部路网监测与应急处置中心 陈智宏 杨明 蔡冉

2017年11月30日，交通运输部通过了《交通运输部网络安全管理办法（试行）》（简称《办法》），并于2017年12月1日正式施行。这是《中华人民共和国网络安全法》在交通行业的进一步落地和细化。《办法》将关键信息基础设施保护作为核心，将健全政策制度体系、加强技术能力建设作为两个工作重点，将对交通运输行业网络信息系统进行全生命周期、全要素覆盖，将网络安全监管和防护水平的提高作为重要“着力点”。

公路作为交通行业的重要组成部分，不仅与国民生活息息相关，更是关乎国家安全。近些年，互联网、物联网、云计算、大数据、人工智能等新技术的出现，为公路行业的现代化、信息化带来了机遇，促使公路行业走向开放化、智能化。但与此同时，核心业务、敏感数据也暴露在越来越开放和复杂的网络环境中，存在极大的安全风险，面临APT、DDoS、“勒索病毒”等安全威胁。公路行业需遵守《中华人民共和国网络安全法》和《办法》，打造公路行业信息安全防御体系。

《办法》解读

责任划分与追究

《办法》用很大篇幅明晰交通行业中主管部门、建设单位、运营单位的责任义务，根据“谁主管谁负责，谁运行谁负责”和“属地管理”原则，实行分级管理和分工负责。根据《办法》要求，部属各单位负责本单位网络安全保护，领导班子主要负责人是网络安全工作的第一责任人，主管网络安全的领导是直接责任人，部属各单位应履行网络和信息系统建设过程的安全责任，实行终身负责制，应履行系统安全运行管理和安全防护责任。

主管部门。主管部门分别是交通运输部、地方交通运输主管部门、网络和信息系统主管单位，主管部门负责制定行业网络安全规划、政策、制度和标准；组织认定行业关键信息基础设施，指导和监督设施运行安全防护工作；建立健全行业网络安全信息通报、监测预警和应急处置工作机制，组织相关技术支撑能力建设，协调组织重大及以上网络安全风险预警、网络安全事件应急处置工作，组织实施国家重要活动、会议期间行业网络安全保障工作；依法组织开展公路行业网络安全检查、网络产品和服务安全审查、个人信息和重要数据出境安全评估工作，指导监督行业各单位履行网络安全责任，对未履行责任的单位和个人提出处理建议；指导协调跨行业、跨部门网络安全重要工作，为公安机关、国家安全机关依法维护国家安全、侦查犯罪及防范、调查恐怖活动提供支持和保障；组织开展行业网络安全宣传和教育培训工作。

建设单位。建设单位负责网络和信息系统项目管理和实施。各建设单位应按照等级保护制度和标准规范要求，做好规划设计、建设开发、部署上线等环节的网络安全工作，建立覆盖建设各方、各环节的网络安全责任制；编制管理规定，对于可行性研究报告报批、信息技术产品和服务采购、数据、软件、测评、整改及重定级、密码应用保障方案等方面进行约束。

ETC已被列为公路行业的关键信息基础设施，成为网络安全工作行业落地的“先行军”。

运行单位。运行单位是网络和信息系统的使用者、管理者和网络服务提供者。各运行单位应建立健全覆盖运行各环节的安全管理制度体系和操作规程，确定运行安全责任人，落实网络安全保护责任机制；编制管理制度，对于机房管理、软硬件设备管理、分区分域、访问控制、漏洞扫描和恶意代码检测、等级测评、网络日志留存时间、移动存储介质、网站防护、电子邮件、对外包服务和远程技术服务安全管理、信息系统废止管理等进行约束。

依据“谁使用谁负责”，采用集中管控、用户识别、访问控制、安全审计等措施，加强计算机等办公终端管理。对于国家重要活动、会议期间的网络安全重点保障，实行专项通报，按照上级规定的时间间隔上报报表，即使没有出现新情况，也要将报表填上“0”上报，严格执行“零事件”报告制度，领导带班和一线7天×24小时值守，建立与网信、公安等协调对接机制。

事前监测、预防、预案，事后快速响应、评估改进

《办法》中明确安全事件发生前监测、预防、预案的重要性，明确安全事件发生后快速响应及评估改进的必要性。《办法》中要求各单位严格执行交通运输行业网络安全信息通报工作制度。

预防预案工作。建立能够掌握实时网络安全态势的能力，重视测试及评估结果提早防范风险，主动风险漏洞搜集、管控及限期整改、细化应急处置流程，同时积极建立其他部门的监理协调机制。

建立应急工作机构，结合实际制定完善安全事件应急预案，强化初步处置措施，每年至少开展一次应急演练，有条件的要加强攻击性测试手段应用，积极开展实战攻防演练，并根据演练结果完善应急预案。

快速响应。在安全事件发生后，根据事件类型和级别，立即启动应急预案，做好初步处置，最大程度减少损失和危害，及时开展信息通报。对涉及反动言论、煽动性言论等信息内容安全事件，将响应精确到分钟、精确到秒，尽可能迅速的将内容安全事件波及范围减小，严格落实“一分钟处置”要求。

如可能涉及攻击、破坏等违法犯罪，应保护相关数据、记录、资料和现场，24小时内向公安机关报案，并配合调查取证。同时，安全事件处置完成后，应及时完成事件调查和评估工作，对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。

信息通报。加强信息收集、分析和共享，确保通报信息传达到位，及时开展通报预警风险核查处置并按要求逐级反馈，不得瞒报、缓报、谎报和推诿责任。在安全事件发生前、发生后的整个过程中，都进行信息通报工作。

网络安全防御体系示意图

加强个人信息和重点数据的保护

《办法》对交通行业的个人信息保护、重点数据保护提出了要求，遵循“谁收集信息、谁负责保护”的原则，并且对收集、使用个人信息，对信息泄露、损毁、丢失，对数据跨部门跨地区共享，以及数据出入境提出了具体的要求，包括建立收集明示机制、限制收集规模及收集内容，个人信息及重要数据不能出境等。各省、自治区、直辖市、新疆生产建设兵团交通运输厅（局、委），部属各单位、部内各司局应按照《办法》管理要求，落实个人信息保护、重点数据保护工作。

交通成网络攻击重灾区

智能交通的出现将现代化、信息化的触角深入到交通行业的方方面面，公路行业信息系统与交通运输部、省市相关部门、银行及互联网等连接，具有多个网络接口，网络情况尤为复杂。业务范围的扩大、网络结构复杂及多样化、第三方数据的共享使得公路行业信息系统面临更为严峻的安全风险。根据《全球关键信息基础设施网络安全状况分析报告》显示，金融、交通、能源三大关键基础设施领域已成为网络攻击重灾区。公路行业信息系统易遭受DDoS攻击、APT攻击，并且在互联网、业务网、第三方接入网边界易受到黑客攻击、病毒入侵，在服务器端与客户端易受到病毒、木马攻击，不完善的账号管理、认证和授权及审计也会造成不可预计的损失。

ETC系统成信息安全防御体系“先行军”

目前，ETC已被列为公路行业的关键信息基础设施，成为网络安全工作行业落地的“先行军”。按照网络安全法，ETC系统须落实信息系统等级保护制度，保障信息系统安全、保证敏感信息数据安全、保证服务的连续性。随着IT向DT的转变，满足信息安全等级保护制度只是基础合规，结合业务特点的安全防护成为“刚需”。ETC系统需深入分析业务风险、明确安全需求，才能打造符合业务特点的“新一代自适应安全防御体系”。

以“业务+数据定义安全战略”为核心理念，以风险治理为视角，以“合规+刚需”为出发点，打造的ETC业务新一代信息安全防御体系结合Gartner自适应安全防御体系框架，依照国家信息安全相关标准，坚持管理和技术并重的原则，努力打造“可持续的安全”，其核心思想可以总结为“1341”。

一个安全体系。以ETC业务安全为核心、以安全平台为支撑，从安全风险考虑，建立符合ETC业务的安全基线，通过构建纵深防御体系、内部行为分析、外部情报接入，安全能力接入与资源池化、服务链管理与策略编排等能力，构建ETC业务的网络安全防御体系。

三道安全防线。结合纵深防御的思想，从安全计算环境、安全区域边界、安全通信网络三个层次，从ETC实际业务出发，构建统一安全策略和防护机制，实现业务系统和关键业务数据的风险可控。

四种安全能力。充分借鉴Gartner自适应安全防御体系框架，结合业务和数据安全需求，实现“预测、防御、检测、响应”四种安全能力，实现ETC业务信息系统的可管、可控、可视及可持续。

一个安全能力中心。一方面，构建管理统一、职责明确、工作界面清晰的网络安全管理体系，将网络安全责任层层分解，落实到具体单位、具体部门、具体岗位和具体人员。另一方面，通过规范的接口，融合第三方安全能力，从安全监视、安全管理、安全治理和安全控制四个方面来设计，达到安全管理工作从监、管、治、控四位一体的管理机制，以统一安全策略驱动安全资源，实现安全体系软件化、自动化和随需而变，实现安全管理工作的闭环管理模式。