高速铁路信息安全规制的实现路径
2023-01-04苏稳,伊强
苏 稳,伊 强
(北京信息科技大学,北京 100192)
高速铁路是集多种高新技术于一身的复杂系统,具有运营速度高、建设环境复杂、运营场景多样和与世界先进铁路技术相兼容等特点[1]。信息化、数字化、智能化技术在高速铁路系统的广泛应用衍生出大量的信息数据资源,高速铁路信息安全的重要性日益凸显。高速铁路信息安全与铁路运行安全息息相关,甚至直接影响着国家安全。当前,高速铁路信息安全管理风险不断加剧,维护高速铁路信息安全成为亟需解决的重要课题。维护高速铁路信息安全不仅需要技术支撑,更需要制度约束,唯有在高速铁路信息安全领域突出专业化和规范化建设,才能高质量地保障高速铁路信息基础设施网络运行安全、重要数据安全和个人隐私安全。
1 高速铁路信息安全变革的基本逻辑
1.1 时代逻辑:践行总体国家安全观
习近平总书记在国家安全委员会第一次会议上系统论述总体国家安全观,提出要构建集政治、军事、科技、信息等安全于一体的国家安全体系与运行机制,并对国家安全工作做出顶层设计。2015年国家相继颁布实施《国家安全战略纲要》《中华人民共和国国家安全法》,标志着我国国家安全工作正式进入有法可依的阶段,新的国家安全体制正式确立。毋庸置疑,以制度化和法治化建设为目标推进高速铁路信息安全变革是践行总体国家安全观的应有之义。高速铁路信息化和智能化建设使得高速铁路信息安全成为高速铁路运行安全的关注焦点,唯有全面保障高速铁路信息安全才能助力构建交通运输安全发展体系,有效贯彻落实总体国家安全观,确保人民生命和财产安全。
1.2 发展逻辑:瞄准国家运输安全总目标
交通强国、铁路先行。中国国家铁路集团有限公司发布《新时代交通强国铁路先行规划纲要》提出,到2035年,率先建成服务安全优质、保障坚强有力、实力国际领先的现代化铁路强国。随着高铁智能化的革新,高速铁路信息安全的重要性更加凸显,可以说高速铁路信息安全水平如何,直接关系着铁路强国目标的实现。信息化的稳定运行是高速铁路实现智能建造、智能装备、智能运营的重要保障,高速铁路信息安全变革应瞄准实现国家运输安全总目标。
1.3 实践逻辑:回应高速铁路安全制度变革新诉求
高速铁路安全制度变革是指在高速铁路安全规程式管理基础之上打破原有的旧制度,冲破束缚发展的藩篱,结合高速铁路安全制度变革诉求进行全方位的制度优化。优化升级高速铁路制度体系对维护高速铁路安全发挥着重要作用:一方面,高速铁路安全管理变化促进新时期高速铁路安全的制度变革;另一方面,高速铁路规章体系的权威性、强制性、约束性、稳定性特点,确立其指导生产、规范管理、提高效率、保障安全的基础地位。反思我国传统的铁路行政规制及铁路系统内部单一的治理路径,皆难以满足当前维护高速铁路安全的现实需求[2]。加快探索高速铁路信息安全规制是当前高速铁路安全制度变革的重要组成部分,符合国家高速铁路安全制度变革新需求。高速铁路信息安全是高速铁路安全领域不可或缺的一部分,我国高速铁路安全制度变革亟需优化高速铁路信息安全制度体系,通过法律手段构建有效的政府监管体制,探索共建共治共享的发展道路。
2 高速铁路信息安全管理的基本诉求
2.1 预防风险机制亟待优化
重视预防,把突发事件扼杀在摇篮中,是确保高速铁路信息安全的有效办法。当前我国高速铁路信息安全形势依旧严峻,高速铁路信息安全预防机制面临着巨大挑战。第一,高速铁路信息安全预防能力较弱。由于高速铁路信息安全工作的复杂性与长期性,其在信息安全防护、主动态势感知、及时有效预警等方面较为薄弱,一旦发生重大故障或系统遭到破坏将直接影响高速铁路运输生产和经营活动,情况严重时甚至会波及高速铁路运输的整体安全。第二,高速铁路信息安全应急预案质量不高。高速铁路信息安全预防具有及时性和准确性特征,而当前我国高速铁路信息安全应急预案的评价体系还不科学,对风险管理重要性的认识还不到位,评估和预判研究信息化、智能化不足,应急预案整体质量不高。第三,高速铁路信息安全预防内容不全。高速铁路信息安全应急救援预案内容不细致或在某些应急救援方面存在盲点。部门间的信息交流不畅,对高速铁路信息安全应急处置的方法不统一,跨区域应急对接不协调[3]。
2.2 安全监督体系亟需升级
高速铁路信息安全监督管理主体主要有政府部门、检察机关、监理单位、社会公众等,各主体在高速铁路信息安全管理中发挥着各自的监督作用。当前,在我国高速铁路的建设、运营以及信息安全事故的应急处置中凸显出监督不力、信息安全监督管理体系缺失的问题。第一,高速铁路信息安全监管系统有待完备。在铁路体制和机构改革中,信息技术机构建制变更、基层站段的整合、铁路公安属地化,在一定程度上导致信息安全监管和执行的实效性弱化。第二,高速铁路安全监管立法有待加强。目前有关高速铁路安全监管的法律依据主要是行政法规、部门规章和其他规范性文件。行政法规中涉及高速铁路安全的内容有限,部门规章、地方性法规的法律效力位阶低、规范效果有限。第三,高速铁路安全监管问责机制有待优化。高速铁路信息安全管理问责的主体单一,政府信息公开透明度低,公众媒体监督问责功能难以发挥。同时,高速铁路官员问责不彻底、官员复出失范极大地影响了高速铁路问责制度的公信力。
2.3 安全管理模式亟需创新
新时代高速铁路信息安全受到新的挑战,亟需创新高速铁路信息安全管理模式。当前,铁路部门与企业在高速铁路信息安全管理中存在着重技术轻管理的问题。一是重视对碎片化的少数关键信息的保护,缺乏从组织整体对信息安全进行架构,未将关键个别信息放在宏观系统之中予以考虑,缺少全局性、整体性、战略性的信息安全发展框架[4]。二是技术、管理和制度之间的关系缺乏清晰的区分,以管代法,过多运用行政管理技术的做法仍较普遍,造成制度的可操作性较差。三是具有高速铁路特点的信息安全风险评估标准体系还有待完善,信息安全的需求尚未明确,要信息保护的目标和界限难以确定,缺乏全面、系统的信息安全风险评估与评价体系,缺少健全的信息安全保障体系。
2.4 专业人员队伍亟待增配
专业人员在高速铁路安全系统中占据核心地位。近年来,各部门着力打造铁路信息系统专业技术团队,但高速铁路信息安全技术人才和管理人才仍显不足,高速铁路信息化也曾出现过由人为操作失误引起的各类系统问题。造成高速铁路信息安全技术人才和管理人才短缺的原因较多,主要有:一是人才总量不足,高速铁路信息安全专业技术人才总量不足,且分布和结构不合理,尤其是高级技术和专业管理人才匮乏[5];二是素质不高,国内多数铁路部门和企业缺乏切实可行的信息安全人员引进与培养机制,而现有的高速铁路信息安全管理从业人员的业务能力和素质尚不能完全适应高速铁路运输新技术和新设备的需求;三是投入不够,国内铁路部门和企业出于多种原因,在高速铁路信息安全运维上缺乏资金、技术和人员投入,造成当前高速铁路信息安全人才极度缺乏。
3 高速铁路信息安全规制的实现路径
3.1 完善高铁信息安全管理体系
高速铁路信息安全管理规制需要建立健全信息安全管理体系。第一,建立健全高速铁路信息安全管理责任人制度,创新高铁信息安全排查制度。切实落实安全生产责任制,进一步优化高速铁路信息安全管理系统,理清信息安全管理责任单位和责任人,根据管理需要合理划分高速铁路沿线路段,推动实施“双段长”工作责任制。第二,确立安全保障资金投入机制。在保证安全生产所必需的资金投入基础上,保障高速铁路信息安全工作在铁路项目中的投入资金比例,确保高速铁路信息安全防护专项资金落实到位。第三,健全应急保障体制机制。在高速铁路信息安全管理中,建立信息安全路地联动机制,健全信息通报和应急协调制度,优化人、机、物等资源布局,构建规范有序的工作格局。
3.2 构建高铁信息安全风险预防体系
当前,我国铁路行业的网络信息安全预防体系尚不完善,亟需建立系统科学并且适合于我国的高铁信息安全风险预防体系,保障铁路运输平稳运行。第一,在现状调查和风险评估基础上构架高速铁路信息安全预防体系。依据有关信息安全技术和管理标准,对信息系统的机密性、完整性和可用性等安全属性进行调研和评价[6]。第二,铁路运输企业应制定切实有效的运维管理制度。加强内部运维人员管理和外部攻击入侵防护,在高速铁路运输关键场所可利用视频监控系统等智能化的技术手段,实现与公安系统等部门互联互通,完善监测、预测、预警和预控环节,全面提高高速铁路信息安全抗风险能力。第三,规范高速铁路信息安全检查。对检查频次、内容、方式和任职人员进行具体规定,通过经验学习和具体实践统一标准,为高速铁路信息安全管理提供依据。
3.3 优化高铁信息安全监管机制
监督管理在高速铁路安全管理中发挥着重要作用。当前,我国高速铁路信息安全监管较为薄弱,应吸收《高速铁路安全防护管理办法》,不断完善高速铁路信息安全监管制度。一方面,建立联防联控协调监督机制。高速铁路信息安全监管主体除依法履行对高速铁路信息安全的监管职责外,亟需加强同相关部门的协调配合,与相关部门齐抓共管、联防联控,开展高速铁路安全防护联合监督检查。另一方面,构建完善的高速铁路信息安全监督机制。充分发挥社会监督作用,进一步扩大公众参与和监督,建立并公开监督举报渠道,鼓励和支持社会力量参与高速铁路安全防护工作。
3.4 提升信息安全从业人员整体素质
新技术、新装备在高速铁路信息安全中的广泛应用对高速铁路员工的素质提出了更高的要求。第一,把好人员入口关。在人员选拔阶段,保证高速铁路从业人员身体、心理及业务素质等方面能与高速铁路安全要求相适应。依据实际、实用、实效原则,制定高速铁路建设和运营管理培训制度,统筹协调教育培训资源,实施全面系统入职培训。第二,把好人员思想关。在高速铁路运营各个环节营造信息安全防护氛围,贯彻“党政同责、一岗双责”“管业务必须管安全”等原则,形成党政工团齐抓共管的良好局面。第三,把好人员能力关。积极运用案例式教学、体验式教学和情景模拟等现代培训方法,提高高速铁路从业人员能力以满足信息时代的发展需求。