交通运输部发布的《铁路关键信息基础设施安全保护管理办法》(以下简称《办法》),自2024年2月1日起施行。此前,交通运输部已发布《公路水路关键信息基础设施安全保护管理办法》并正式施行。此次《铁路关键信息基础设施安全保护管理办法》的施行,完善了交通运输领域关键信息基础设施安全保护的管理体系,为交通运输领域关保标准的实施落地提供指导。
关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。近年来,基于《网络安全法》,我国陆续出台多部关基保护的法律法规,进一步细化落实关基保护各项政策和要求。
《关保条例》:2021年8月国务院公布《关键信息基础设施安全保护条例》(以下简称《关保条例》),于2021年9月1日正式施行。作为《网络安全法》重要配套法规,《关保条例》明确关键信息基础设施安全保护的具体要求和措施,进一步推动了各领域全面开展关键信息基础设施安全保障工作。
《关保要求》:2022年11月为更加完善关键基础设施保护体系,全国信息安全标准委员会发布了《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关保要求》),并于 2023年5月1日正式施行。《关保要求》旨在解决关键基础设施的安全问题,是继《关保条例》后,我国首个发布的关键信息基础设施安全保护标准,对我国关键信息基础设施安全保护有着极为重要的指导意义。
铁路关键信息基础设施,是指在铁路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。《铁路关键信息基础设施安全保护管理办法》在关基保护的法规条例基础上,进一步为细化落实《关保条例》规定提供全面保障。
《办法》共6章30条,包括总则、铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任、附则。主要内容包括:
(一)明确铁路关键信息基础设施管理体制。一是明确国家铁路局是负责铁路领域关键信息基础设施安全保护工作的部门,在职责范围内负责全国铁路关键信息基础设施安全保护和监督管理工作;地区铁路监督管理局开展本辖区铁路关键信息基础设施的安全保护和监督管理工作。二是明确国家铁路局作为铁路关键信息基础设施认定主体,负责制定认定规则、组织认定工作,并规定了具体认定程序。
(二)压实运营者主体责任。建立铁路关键信息基础设施全过程保护制度,要求安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用,明确规定了运营者在机构设置、人员配备、经费保障、产品和服务采购、数据保护、安全检测和风险评估以及数据保护、密码应用、保密管理等方面的责任和义务。
(三)加强对铁路关键信息基础设施的监督管理和保障。一是要求国家铁路局制定安全规划,明确保护目标、基本要求、工作任务和具体措施。二是从监测预警能力建设、应急预案制定演练、安全防范和安全事件报告等方面,对铁路监管部门和运营者责任和义务予以明确。三是通过定期开展检查检测、实施行政处罚和政务处分等方式落实监管责任。
根据《网络安全法》第二十五条:国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。
根据《关键信息基础设施安全保护条例》第六条:运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
根据《密码法》第二十七条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
根据《商用密码应用安全性评估管理办法》第九条:重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。
沃通CA以国密证书产品为基础,结合PKI服务设施及商用密码应用方案,在安全通信设计、商用密码应用合规等方面,为关键信息基础设施安全建设提供符合网络安全等级保护要求以及商用密码应用合规要求的产品方案。
满足等保三级安全通信设计要求
等保三级及以上系统要求采用密码技术确保数据传输完整性保护、数据传输保密性保护、通信网络可信接入保护等。
沃通提供国密SSL证书、国密客户端证书等国密数字证书产品,支持SM2/SM3/SM4等国产密码算法和国密安全协议,通过SSL/TLS协议的加密认证机制,基于国密算法建立安全的网络连接,开启双向认证校验通信方的真实身份,实现网络通信传输的保密性、完整性,确保通信主体身份可信,帮助关键信息基础设施信息系统,满足等保三级及以上的安全通信设计要求。
助力关键信息基础设施密码应用合规
《关保标准》提出每年评估一次商用密码应用安全情况。网络和通信安全层面主要测评对象是针对跨网络访问的通信信道,涉及不同网络类型和通信主体在建立通信通道时的HTTPS协议、SSL VPN协议、IPSec协议等通信协议的密码应用情况。沃通国密SSL证书为关键信息基础设施实现基于国密算法的HTTPS协议、SSL VPN协议加密连接,保障通信信道的数据传输安全,帮助关键信息基础设施信息系统,实现网络和通信安全层面的密码应用技术要求。
沃通CA是依法设立的第三方电子认证服务机构及网络安全服务提供商,获得国密局颁发《电子认证使用密码许可证》、工信部颁发《电子认证服务许可证》,获批电子政务电子认证服务资质,具备合规资质和专业服务能力,将持续为关键信息基础设施安全保护提供优秀的解决方案和专业的产品及服务!
4006-967-446
沃通数字证书商店
