网络安全法与城市轨道交通

2017年6月1日，《中华人民共和国网络安全法》（简称“网络安全法”）正式施行，作为我国网络安全领域的基础性法律，网络安全法的出现在我国网络安全史上具有里程碑意义。网络安全法用大量篇幅规定了关键信息基础设施保护相关内容，进一步界定了关键信息基础设施范围，同时对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施等，国家关键信息基础设施网络安全迎来了新发展。

城市轨道交通是关键信息基础设施吗？

网络安全法中首次明确了关键信息基础设施的原则性范围，规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”城市轨道交通一旦遭到破坏，会严重危害公共利益，属于关键信息基础设施的范围。

中央网络安全和信息化领导小组办公室（简称“中央网信办”）于2016年发布的《国家网络安全检查操作指南》中，给出了确定关键信息基础设施的步骤，“关键信息基础设施的确定，通常包括三个步骤，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。”在结合本地区、本部门、本行业的实际梳理关键业务操作中，给出了关键信息基础设施业务判定表，其中明确了城市轨道交通属于市政行业的关键业务。

支撑城市轨道交通的“关键”信息系统有哪些？

目前，支撑城市轨道交通安全、平稳、舒适、便捷运行的业务系统都是建立在计算机网络、通信网络和信息网络的基础之上，其技术装备都具有数字化、网络化和智能化的特点。随着运行线路包含的信息点增多，各业务系统互联互通的范围越来越广、传输的数据内容越来越多、通信协议越来越标准化，所以网络安全管理面临着更大的挑战。目前支撑城市轨道交通关键的控制系统和信息系统包括：

信号系统：信号系统是保证行车安全、提高区间和车站通过能力的手动控制、自动控制及远程控制技术的总称，是直接调度和指挥列车按既定线路、以安全速度高效运行的重要设备系统。现代轨道交通建设的信号系统广泛采用基于通信技术的列车控制系统（简称“CBTC系统”），其网络化和智能化程度更高，面临的网络安全风险也越大。

综合监控系统：为实现统一指挥运行管理的功能，城市轨道交通各专业系统之间需要信息互通、资源共享，以提高各系统的协调配合能力，此能力依赖于综合监控系统。综合监控系统是一个功能强大的、开放的、模块化的、可扩展的分布式控制系统，集成和互联了多个子系统，利用各专业和各系统提供的信息，准确有效地完成复杂的多系统联合运作，尤其是在发生紧急情况时，提供一键操作实现乘客疏散等工作。减少人工操作造成错误的可能性，将紧急情况所造成的不利影响控制在最小范围之内，达到保证人民生命、财产安全的目的。

自动售检票系统：城市轨道交通运营的收益与自动售检票系统息息相关，同时该系统也是面向广大乘客的窗口，在整个轨道交通的运营中起着至关重要的作用。自动售检票系统是基于计算机、通信、网络、自动控制等技术，实现轨道交通售票、检票、计费、收费、统计、清分、管理等全过程的自动化系统。在健全的安全机制下保证AFC系统可靠、无故障运行，对地铁的平安运营有着极其重要的意义。

信号系统、综合监控系统和自动售检票系统是支撑城市轨道交通安全、稳定运行的关键控制系统和信息系统，属于生产业务类系统，如果这些系统一旦发生安全事故，将对该区域人们的生活和工作产生严重影响，影响人们的交通出行方式，造成严重的经济损失，严重的甚至可能造成人员的伤亡。所以上述系统应该属于关键信息基础设施。

网络安全法与谁有关？

城市轨道交通工程非常复杂，从最初规划、到整体设计、到集成建设、再到开通运营，时间跨度大，建设周期长，覆盖区域广，涉及部门多。在这么长时间跨度、这么多参与部门和环节中，网络安全法该如何贯彻执行，谁又是网络安全的责任主体？

网络安全法的第六章法律责任部分，明确提出“关键信息基础设施的运营者不履行本法……，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。”由此，可以理解为“谁运营谁负责、谁主管谁负责”。所以城市轨道交通的运营单位作为整条线路网络安全的责任主体。

同时，网络安全法第三十三条规定“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。”其中：

同步规划相关的部门是城市轨道交通的规划和设计单位，在规划和设计时需要考虑网络安全的整体规划方案和设计方案；

同步建设相关的部门是系统集成建设单位，在系统建设时需要同步实施建设网络安全防护设备；

同步使用相关的部门是运营单位，在开通运营时需要按照等级保护的基本安全要求使用和管理业务系统。

综上所述，网络安全法的实施与城市轨道交通行业密切相关。城市轨道交通作为市政行业的关键业务，支撑其安全稳定运行的信号系统、综合监控系统、自动售检票系统作为关键信息基础设施，需要在网络安全法的框架下，按照网络安全等级保护制度的基本安全要求，同步规划、同步建设、同步使用网络安全防护方案。北京威努特技术有限公司专注工控，捍卫安全，针对城市轨道交通信号系统、综合监控系统和自动售检票的网络安全建设积累了丰富经验，开拓了国内多条地铁线路信号系统的网络安全建设项目，能够协助运营单位、设计单位和集成建设单位规避法律风险。

威努特工控安全

专注工控·捍卫安全