开启公路水路关键信息基础设施安全保护新篇章

周国强 章稷修 徐志远 李柏丹

作为关系国计民生的公路水路行业，公路水路关键信息基础设施长期面临重大安全风险。据统计，我国公路水路关键信息基础设施每年遭受网络攻击达2亿余次。为加强公路水路关键信息基础设施安全保护，保障交通运输行业安全发展，今年4月，交通运输部印发了《公路水路关键信息基础设施安全保护管理办法》（简称《管理办法》）。《管理办法》作为我国出台的第一个关键信息基础设施安全保护领域部门规章，将为公路水路关键信息基础设施安全保护工作提供有力的制度保障。

制度体系新安排

《管理办法》针对公路水路关键信息基础设施安全保护实践中存在的突出问题，细化了国家《关键信息基础设施安全保护条例》（简称《条例》）相关要求，将成熟有效的做法上升为部门规章制度，相比《条例》主要有以下四方面的新突破：一是明确定义了公路水路关键信息基础设施的概念，公路水路关键信息基础设施是指在公路水路领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等，业务领域涵盖公路、港口、航道、地铁、运输装备等；二是明确界定了网络安全属地监管责任，将公路水路关键信息基础设施划分为部级设施和省级设施，部级设施的关键业务或系统主管单位对部级设施具体实施安全保护和监督管理，省级交通运输主管部门负责对省级设施具体实施安全保护和监督管理，计划单列市交通运输主管部门协助；三是明确规定了公路水路关键信息基础设施的网络安全保护等级应当不低于第三级；四是明确提出了运营者压实主体责任的3个“1”：确保每年至少开展1次网络安全检测和风险评估、1次商用密码应用安全性评估、1次应急演练。

安全保护新要求

为充分贯彻中央网信办、公安部关于关键信息基础设施安全保护最新政策以及相关标准规范要求，运营者在落实《管理办法》相关规定的同时，还应突出四个方面的重点保护：一是制定并实施关键信息基础设施安全保护年度计划，形成年度工作总结报告，实行闭环管理；二是以对攻击行为的监测发现为基础，采取收敛暴露面、诱捕、溯源、干扰和阻断等主动防御措施，及时处置网络安全威胁和潜在风险；三是加强供应链安全保护，强化采购渠道管理，建立合格供应商目录，与相关方签订安全保密协议；四是加强个人信息和数据安全保护，建立重要数据目录清单，采取加密、脱敏、去标识化等手段保护敏感数据全生命周期安全。

数字技术新应用

数字技术具有高创新性、强渗透性、广覆盖性，数字技术赋能实体经济是未来发展的趋势，深入推进公路水路关键信息基础设施安全防护体系和能力现代化，需要充分发挥数字技术的支撑作用：一是面向智慧公路、智慧航道、智慧港口、智慧枢纽等交通新基建关键应用场景，组织力量开展公路水路关键信息基础设施安全技术攻关，提升供应链科技自立自强水平；二是推动零信任、隐私计算等数字技术创新应用，建强网络安全监测系统，打造公路水路关键信息基础设施安全数据大脑，提升安全风险立体化监测发现能力、智能化分析挖掘能力和可视化综合防控能力；三是高度重视生成式人工智能、自动化决策等数字技术应用带来的伴生性安全风险，加强新技术应用风险评估和管控，增强公路水路关键信息基础设施韧性。

（本文发表于2023年9月28日中国交通报）