近日，交通運輸部發布了《鐵路關鍵信息基礎設施安全保護管理辦法》（交通運輸部令2023年第20號，以下簡稱《辦法》），總共六章三十條，包括了總則、鐵路關鍵信息基礎設施認定、運營者責任和義務、保障和監督、法律責任、附則。自2024年2月1日起施行，切實保障鐵路關鍵信息基礎設施安全，維護網絡安全。 

1.制定必要性

鐵路關鍵信息基礎設施，是指在鐵路領域，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生和公共利益的重要網絡設施、信息系統等。

2021年出臺的《關鍵信息基礎設施安全保護條例》（簡稱《條例》）對國家關基設施安全保護予以了系統規范。為全面貫徹落實黨中央、國務院關于加快建設交通強國的決策部署，細化落實《條例》制度規定，同時系統解決關基設施安全保護實踐中存在的問題，需要制定《辦法》，以全面保障鐵路關基設施的安全運行。

2.主要內容

01 明確關基設施管理體制，建立鐵路關基設施認定機制。

02 明確運營者責任和義務，加強對鐵路關基設施風險隱患的應急處置。

03 制定鐵路關基設施安全規劃，加強鐵路關基設施的監督管理和保障。

實施建議

在第三章的運營者責任和義務中，第九條規定鐵路關鍵信息基礎設施的網絡安全保護等級應不低于第三級。運營者應按照相關法律、行政法規和國家標準的要求，在國家網絡安全等級保護制度基礎上，突出保護重點，實施防護措施，全面管理生命周期，確保鐵路關鍵信息基礎設施的安全穩定運行，維護數據的完整性、保密性和可用性。

為了有效實施這一準則，需要進行多方面的工作，包括對關鍵基礎設施的資產、漏洞、流量、配置等信息進行檢查統計分析，進行各類安全防護的合規檢查，并確保安全防護措施和安全運維的完整性、保密性和可用性。博智安全工控安全等級保護檢查工具箱是一套與該準則匹配的實用工具。該工具箱基于《關鍵信息基礎設施安全保護條例》、《網絡安全等級保護2.0》、《工業控制系統信息安全防護指南》等相關標準法規和要求研發，專注于工控系統安全檢查，提供專業的工控系統檢查知識和方法。該工具箱對采集的工控資產信息、漏洞信息、流量信息和工控系統配置核查信息進行統計對比、關聯匯總分析，輸出工業控制系統安全等級保護檢查報告，促進工控系統安全執法檢查和企業自查工作的常態化、標準化和規范化。

在第三章的運營者責任和義務中，第十條規定新建、改建、擴建鐵路關鍵信息基礎設施的，運營者應當做到安全防護措施與關鍵信息基礎設施同步規劃、同步建設、同步使用，并采取檢測評估、安全演練等方式驗證安全保護措施的有效性。

為了有效實施這一準則，需要對真實的鐵路站點和鐵路典型控制系統如列車監控單元、站內綜合設備、配電系統單元等進行模擬，驗證其網絡攻擊及防護手段，同時也可借助仿真模型、聲光報警裝置以及多媒體設備等多種工具充分展現攻擊和防護效果。通過攻防演練發現安全漏洞與風險，找到網絡安全防護的短板，檢驗網絡安全風險通報機制、網絡威脅情報共享機制以及應急響應方案的合理性，并在演練后總結優化。博智孿生仿真靶場網絡演練平臺是以孿生仿真技術為基礎、威脅模擬生成為手段、攻防推演驗證為目標的一體化綜合演訓平臺，能夠構建工業自動化網絡、電信、電力、軌道交通、IOT、衛星遙感、智能制造、傳統網絡等多種行業的仿真場景，開展知識訓練、技能訓練、比武競賽、實戰演訓、滲透測試、安全評估、技術驗證等活動，實現學、練、賽、訓、評全流程的統一管理，全面提高人員及機構的網絡安全意識、防護水平和實戰能力。

在第三章的運營者責任和義務中，第十三條第三點規定按照國家及鐵路行業要求，制定本單位網絡安全事件應急預案，定期開展應急演練，處置網絡安全事件。

在第四章的保障和監督中，第二十四條規定國家鐵路局應當組織建立健全鐵路關鍵信息基礎設施網絡安全事件應急預案體系，定期組織應急演練；指導運營者做好網絡安全事件應對處置，并根據需要組織提供技術支持與協助。

為切實做好網絡安全事件的防范和應急處置工作，進一步提高預防和控制網絡安全突發事件的能力水平，減輕或消除突發事件的危害和影響，確保網絡與信息安全，可使用博智工業互聯網應急處置工具箱。工具箱遵循“準備-檢測-抑制-根除-恢復-跟蹤”國際化標準應急處置流程，依托《國家網絡安全事件應急預案》、《工業信息安全應急處置工具箱團體標準》等標準，融合各類安全事件處置模板、案例、專家知識庫及工具庫等，針對企業常見的網絡攻擊、病毒傳播、黑客入侵、數據泄露等事件，可以實現應急事件的快速發現、智能引導、風險消除、安全加固、事后總結，有效減小和控制安全事件對工業企業造成的損失，提升監管部門對安全事件的應急處置能力。

在第三章的運營者責任和義務中，第十三條第四點認定網絡安全關鍵崗位，組織開展網絡安全工作考核，提出獎勵和懲處建議。第五點組織網絡安全教育、培訓。

博智網絡安全教學平臺依托博智安全多年積累的網絡安全滲透測試和評估服務經驗，結合社會對網絡安全人才的知識和技能要求，推出一套全面、專業、完善的網絡安全人才培訓平臺。基于云計算理念，以虛擬化技術為核心，面向復雜網絡和高端網絡攻防技術，通過數字孿生技術高度仿真虛擬環境與真實設備相結合，模擬仿真真實網絡攻防的多種場景，并以實驗場景為核心打造多種課程體系，形成集知識培訓、技能訓練、仿真演練、管理考核于一體，滿足不同用戶群的網絡安全人才培養需求的教學培訓平臺。

在第三章的運營者責任和義務中，第十六條規定運營者應當自行或者委托網絡安全服務機構對鐵路關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估，對發現的安全問題及時整改，并按照國家鐵路局要求報送情況。博智非攻研究院擁有一支專注于應用安全、攻防滲透、工業互聯網安全、物聯網安全、電信安全和人工智能安全等方向的技術隊伍，可為鐵路客戶提供全方位的網絡安全檢測服務和風險評估服務。