交通行业落实网络安全三同步原则的实践与思考
2021-03-07王家川张伟
◆王家川 张伟
交通行业落实网络安全三同步原则的实践与思考
◆王家川1,2张伟3
(1.北京市交通信息中心 北京 100073;2.综合交通运行监测与服务北京市重点实验室 北京 100073;3.北京市交通委员会 北京 100073)
网络安全三同步原则体现了信息系统全流程安全防护和全生命周期管理理念。本文阐述了三同步原则的含义,分析了交通行业网络安全的难点,并总结归纳了三同步原则在行业内的实践和存在问题,提出了改进措施。以期为交通行业信息化从业者开展网络安全工作提供借鉴。
网络安全法;智能交通;三同步;等级保护
信息化的规划、建设、运维、优化是一个持续不断,周而复始的过程,而网络安全则贯穿信息系统的全生命周期。但目前依然有较多主管部门将网络安全工作作为整体IT运维支撑的一部分实施,即在项目验收之后才开始考虑评估系统安全风险并实施相关改进措施,难以解决规划建设阶段的遗留问题。《中华人民共和国网络安全法》第三十三条指出,“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”。自网络安全法颁布实施以来,“三同步”原则已不仅仅局限在关键信息基础设施建设过程中,成为各领域开展网络安全工作的基本原则[1],也是提升信息系统网络安全防护能力的基础保障。
交通行业是网络安全法所述重点行业之一,具有行业覆盖范围广,影响大,与公众关系密切等特点。同样的,智能交通系统也相对复杂,不仅涉及电子政务、企业运营、“互联网+”新业态,还包括海量的多源数据共享,部省系统联网等等。如何落实网络安全“三同步”原则,是交通行业提升网络安全水平亟待解决的问题[2]。
1 网络安全“三同步”原则和含义
随着网络安全法的深入贯彻,相关领域的法律法规都逐步将“三同步”原则作为推进网络安全工作的基础性要求。《网络安全等级保护条例》(征求意见稿)、《交通运输部网络安全管理办法》均将“三同步”原则作为开展网络安全工作的依据。
“三同步”原则体现了全流程风险控制和监管的理念。不仅是在网络安全工作中,诸多涉及全生命周期风险管理的重要领域的法律法规都阐述了该原则。例如,在《安全生产法》、《环境影响评价法》、《药品管理法》等法律中,都以不同的方式描述了本行业“三同步”原则的具体要求。
网络安全的“同步规划、同步建设、同步使用”原则,其目的是在信息系统生命周期各阶段明确责任部门及安全职责,在全过程中推行网络安全工作同步开展,做到管理关口前移,降低系统上线运行后运维阶段的整改难度。同步规划是指在系统规划阶段将网络安全要求与业务需求统筹考虑,引入安全措施,开展安全方案设计,保障网络安全预算。同步建设是指在项目建设阶段,通过网络安全管理制度和合同条款等落实主管单位、建设单位、开发单位及供应链厂商等的安全责任,保证安全措施得以有效实施;系统验收时对网络安全同步开展测评和验收,确保只有达到设计的安全要求的系统能够上线运行。同步使用是指在系统在日常使用和运行维护过程中,各相关责任单位执行管理和技术措施,使系统具备设计的持续稳定的安全防护水平,直至系统下线或者改造。
2 交通行业网络安全“三同步”原则的实践和问题
2.1 交通行业网络安全工作难点
交通行业开展网络安全工作,除了传统交通行业管理的特点,还具有区别于其他领域网络安全工作所独有的特点。
首先,新技术及新模式在交通行业催生的新业态众多,智能交通飞速发展,带来的网络安全影响和挑战前所未有。各行各业都因新技术的发展产生了巨大的变革,然而像网约车、共享单车、自动驾驶、车联网、MaaS平台等融合了移动互联网,北斗卫星定位,人工智能,5G,大数据、高精度地图等多种技术,与公众出行紧密关联,对传统行业形成冲击,仍然是全社会的关注热点。同时,其也带来了网络安全全新的问题,风险隐患和结果评估不够充分,引导行业有序发展的技术规范和安全保障措施仍有不足。
第二,智能交通系统生产、采集了海量数据,是数据所有部门珍贵的资产,但其也产生了难以估量的数据安全风险。交通行业已有的信息系统,生产或采集了海量的公众出行、车辆轨迹、监控视频、交通票务、电子政务等数据,更有大量的从业人员及公民个人信息等敏感数据也往往成为网络黑客攻击、入侵、窃取以及破坏等的重点领域。由于交通大数据的分析和应用还处于较为初级的阶段,因此对于网络安全人员而言,如何开展数据分级分类防护,进行数据安全风险评估,处理云计算环境下残留数据等都是巨大的挑战。
第三,智能交通面向公众提供的服务形式和渠道多样,安全防护的对象范围广泛。每个人都是交通出行的参与者,网络运营者为满足公众出行需求提供的智能交通服务方式也类别繁多。除了通常的信息系统,移动互联网应用程序,还有大量的电子显示屏,道路及车载智能摄像头,智能卡,道钉等物联网设备等等,网络安全等保2.0中的扩展要求内容都有涉及。在开展网络安全工作时,需要统筹考虑安全防护对象范围和防护要求,避免对公共秩序造成损害。
2.2 交通行业“三同步”原则工作实践
加强网络安全管理的有效方式是在重要环节开展审查[3],也是落实三同步原则的有益实践。交通运输管理部门陆续发布了相关文件,对于信息化建设项目的实施流程进行了规定。
信息化项目须经过规划方案评审、项目前置评审、项目投入使用评审、项目绩效评估等流程。在前置评审和项目投入使用评审阶段,均涉及了网络安全内容的审查。前置评审对项目申报材料进行形式审查和技术审查。技术审查重点审查共享开放、网络信息安全、正版软件使用、网络资源使用等方面内容。在项目投入使用审查阶段,审核验收文档是否齐全,系统安全定级情况,安全测评情况等内容。通过审查的项目才能进入下一环节。从项目立项和投入使用首末两端的规定与审查,强化网络安全约束,减少信息系统建设过程中的不合规性。
前置评审和投入使用评审从项目预算申请和运维预算申报两个与经费紧密关联的环节实施信息化项目过程控制,有效保障了信息系统的网络安全防护能力得到提升。
2.3 存在的问题
虽然交通行业基于三同步原则开展了一些实践,但仍处于较为初级的阶段,与国家和交通运输部的要求仍有较大差距。
首先,信息化项目立项阶段网络安全整体规划和方案设计没有费用支持,申报书编制对于网络安全、密码应用安全考虑不足。
信息化项目立项须提交项目申报书,说明项目背景,业务,功能、数据、性能、安全需求,项目目标、建设方案等,申报书起到了项目可行性研究报告作用,是项目开展后续工作的基础。但并非所有的信息化项目都能在立项前申请前期研究预算。编制单位也并非专门的咨询设计单位,内容也主要关注业务需求,存在业务需求明确但安全需求不清晰情况。系统安全建设方案通常没有专业人员和费用支持开展。
第二,系统建设阶段缺乏对开发单位的安全管理手段
项目通过招标或委托确定了建设单位后,进入开发实施阶段。主管单位作为业主,与乙方的权利义务通过合同进行约定,往往缺乏对于网络安全的责任界定,技术手段更加不足。对于外包软件开发可能存在的恶意代码、隐蔽通道,难以采取有效的审查措施,通常只是在验收时开展安全测评,对于开发人员使用的第三方组件也没有风险评估手段和要求。
第三,审查环节缺少网络安全专家委员会及相关单位的参与
已有的与网络安全相关的审查环节,还偏重于资料查验,资料以满足项目申报、备案为目的,网络安全要求体现不足。审查人员也是网络安全工作人员,没有专门的网络安全专家委员会充分审核论证,网信部门,主管单位,运行单位参与不足,项目试运行期间和质保期内防护措施较为粗疏。
3 改进措施
3.1 落实等保制度,在项目规划立项阶段明确安全要求
同步规划的依据即为等级保护制度,建设单位应在项目立项阶段编制项目申报书(可研报告)的同时,确定系统级别,开展系统安全方案设计,组织专家评审,进行备案。交通行业特别要聚焦本行业网络安全特性,考虑定级对象的范围和数据分级分类的要求,部省联网系统要求等。以完备的系统安全方案,为后续系统实施提供依据。
3.2 在项目建设过程中,建立明确各方安全责任的网络安全管理制度
在招标时明确网络安全需求。建立项目网络安全制度,明确系统主管单位,开发单位,供应链厂商,云服务商,监理单位,运行单位等的安全责任。合同中明确对外包软件开发的要求,要求开发单位建立代码开发规范,对二级以上系统组织代码审计和相关测评测试。
3.3 在系统使用阶段,各方采取措施落实网络安全责任
自系统上线试运行起,系统进入使用阶段,直至系统下线,相关各方应履行网络安全责任,保障系统稳定运行。定期开展系统等级测评,及时对发现的漏洞和隐患进行整改。发生重大变更的,需要进行重新定级备案和安全整改,存在重大隐患无法整改的应提出升级改造需求。
3.4 对信息系统软硬件资产进行普查,按需开展信息安全风险评估
对于历史形成的信息系统,须组织全面的软硬件资产普查,梳理系统基础环境,技术要素,管理措施等。并对重要信息系统开展发信息安全风险评估,清理并下线长期无人使用的系统、测试系统等,提出系统安全防护提升措施建议。
4 结束语
“同步规划,同步建设,同步使用”原则是强化网络安全源头治理的重要依据,也是避免系统“先天缺陷”的有效手段。交通行业的网络安全工作应进一步深化对三同步原则的细化和落地应用,以保证各项工作有序开展,提升全行业的网络安全防护能力。
[1]宋杨. 如何做好网络安全三同步工作[J]. 中国高新区,2018,000(008):230.
[2]梁健. 《网络安全法》下的交通信息安全责任[J]. 中国公路,2017,10(494):18-20.
[3]张孟媛,袁钟怡. 美国网络安全审查制度发展,特点及启示[J]. 网络与信息安全学报,2019,43(06):5-13.