面向雅万高铁的中印尼两国网络安全防护体系差异分析

张德栋 ,  冯凯亮 ,  高紫君 ,  杨枭 ,  郭首江

铁道运输与经济 ›› 2025, Vol. 47 ›› Issue (7) : 191 -199.

PDF (1468KB)
铁道运输与经济 ›› 2025, Vol. 47 ›› Issue (7) : 191 -199. DOI: 10.16668/j.cnki.issn.1003-1421.2025.07.19
运输安全

面向雅万高铁的中印尼两国网络安全防护体系差异分析

作者信息 +

Difference Analysis of Cybersecurity Protection Systems between China and Indonesia for Jakarta–Bandung High Speed Railway

Author information +
文章历史 +
PDF (1503K)

摘要

随着雅万高铁在印尼常态化运营,我国与印尼在信息系统网络安全管理及防护方面的差异日益凸显。为更好地推动雅万高铁信息系统网络安全管理和防护的合规性,对两国的网络安全相关法律法规、标准规范和防护措施进行了深入研究,依次分析两国网络安全法律体系与防护框架体系,通过设计全面的安全框架模型与安全类别维度,从网络安全管理、网络安全技术和网络安全运营3个层面进行差异化对比,提出了两国在顶层规划设计、落地执行措施、安全意识提升等方面优势和不足。通过参考我国相对成熟的网络安全体系和防护方案,并结合印尼网络安全法律法规,为研究合作项目的网络安全本土化运行机制,探索合规、可落地的雅万高铁信息系统网络安全防护方案具有较好的借鉴意义。

Abstract

With the normalized operation of the Jakarta-Bandung High Speed Railway in Indonesia, the differences between China and Indonesia in security management and protection of information system networks are becoming increasingly prominent. To better promote the compliance of network security management and protection of the information system of Jakarta-Bandung High Speed Railway, this paper conducted in-depth research on the relevant laws and regulations, standards, and protection measures of network security in both countries. Additionally, the legal system and protection framework system of network security in the two countries were analyzed in sequence. By designing a comprehensive security framework model and security category dimensions, differentiated comparisons were carried out from three perspectives: network security management, network security technology, and network security operation. The advantages and disadvantages of the two countries in top-level planning and design, implementation measures, and security awareness enhancement were proposed. By referring to China’s relatively mature network security system and protection schemes, and combining Indonesian network security laws and regulations, this paper provided better references for exploring the localized operation mechanism of network security for cooperation projects and investigating compliant and implementable network security protection schemes for the information system of Jakarta-Bandung High Speed Railway.

Graphical abstract

关键词

雅万高铁 / 网络安全 / 防护体系 / 差异化 / 网络安全运营

Key words

Jakarta-Bandung High Speed Railway / Network Security / Protection System / Network Security Difference / Network Security Operation

引用本文

引用格式 ▾
张德栋,冯凯亮,高紫君,杨枭,郭首江. 面向雅万高铁的中印尼两国网络安全防护体系差异分析[J]. 铁道运输与经济, 2025, 47(7): 191-199 DOI:10.16668/j.cnki.issn.1003-1421.2025.07.19

登录浏览全文

4963

注册一个新账户 忘记密码

0 引言

近年来,随着“一带一路”倡议的深入推进,中国经济、政治、文化、科技等多个方面在世界上影响力逐步扩大,中国项目、中国产品、中国标准、中国技术、中国品牌等带有中国文化特色的元素,正在全球范围内传播和影响着世界,并逐步被国外接受与认可。我国与印度尼西亚(以下简称“印尼”)共建的雅万高速铁路(雅加达—万隆)是“一带一路”合作的“金字招牌”[1],是中国高速铁路技术首次全系统、全要素、全产业链走出国门的标志性项目[2]。在网络安全威胁日益严峻的今天,国际上网络安全事件的爆发率显著上升,2020年英国火车站Wi-Fi提供商C3UK的数据泄露事件,导致上万名乘客的个人数据被曝光;2023年印尼伊斯兰教法银行1 500万名客户的信息被泄露;2024年6月印尼国家数据中心遭到Lockbit勒索软件变种的攻击。由此可见,网络安全威胁引发的事故无时无刻地影响着社会稳定与生产生活。

随着雅万高铁全面投入运营,其信息系统将常态化地面向公众提供服务,这不仅增强了雅万高铁在印尼运输生产的社会影响力,同时也使得雅万高铁信息系统的互联网暴露面变得更加普遍。雅万高铁信息化[3]伴随着信息系统运营生产产生的重要数据和个人数据量的日益增长,再加上印尼当地网络安全要求与我国的防护体系存在差异,雅万高铁面临的网络安全风险[4]与不确定因素逐渐增大。因此,深入研究两国网络安全法律法规体系要求,分析两国法律法规的差异,为雅万高铁制定符合当地实际情况的网络安全防护措施提供基础数据支撑,促进雅万高铁网络安全合规与防护体系完善,以便有效应对瞬息万变的网络安全形势。

1 两国网络安全体系

1.1 我国网络安全体系

1.1.1 我国网络安全法律法规体系文件

随着网络安全形势的日益严峻,近些年我国在构建网络安全法律法规体系方面取得了显著进展[5]。从国家网络空间安全的全局角度出发,我国不仅在顶层设计和法律底线方面相继颁布了《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》《密码法》,还出台了《关键信息基础设施安全保护条例》《商用密码管理条例》《网络数据安全管理条例》《网络安全审查办法》《数据出境安全评估办法》等关键条例与办法。此外,我国还从信息安全技术和网络安全技术角度出发,发布了一系列落地的网络安全法律法规主要文件如表1所示,为我国各行业、企事业单位开展网络安全与信息化工作,提供了法律依据和实施指导。

1.1.2 我国网络安全防护框架体系

我国国家网信部门负责统筹协调网络空间安全和监督管理工作,组织制定包括网络空间安全、数据安全、个人信息保护、关键信息基础设施(以下简称“关基”)安全、等级保护等一些列法律法规和标准规范,构成我国网络安全空间体系的顶层设计[6]。同时国务院电信主管部门、公安部门和其他有关机关依照这一设计,在各自职责范围内负责网络安全保护和监管任务。在此基础上,我国形成了涵盖网络安全管理体系、网络安全技术体系、网络安全运营体系的国家网络安全防护框架,指导各行业和企事业单位开展关基保护、数据安全治理[7]、个人信息保护、供应链安全[8]、互联网安全、数据出入境安全等防护工作。同时各行业和企事业单位在国家网络安全防护框架下,实施本单位网络安全防护措施,及时响应网络安全事件,并与国家主管部门进行预警联动,网络安全防护框架体系如图1所示。

1.2 印尼网络安全体系

1.2.1 印尼网络安全法律法规体系文件

随着信息化与数字经济的发展,印尼对网络安全的重视程度不断提升。国家层面发布了一系列法律法规,涵盖个人数据保护、电子信息与交易安全、网络基础设施防护、国家网络安全战略以及网络安全危机管理等方面。印尼网络安全法律法规主要文件如表2所示,旨在进一步规范印尼网络使用行为,提升印尼国家网络安全防护水平。

1.2.2 印尼网络安全防护框架体系

印尼国家网络安全主要由通信和信息技术部(Kominfo)和国家网络安全局(BSSN)负责。Kominfo作为印尼通信和信息技术领域的官方机构,负责国家网络安全政策制定、执行与监管,推动国家的数字化转型和通信技术发展。BSSN作为印尼最高网络安全机构,专注于协调处理网络安全事件,特别是应对网络上的宗教极端主义和假新闻。BSSN由印尼总统直接领导,并与国防部(TNI)、国家情报局(BIN)、国家反恐局(BNPT)及国家禁毒局(BNN)等机构联合解决印尼国家网络安全问题。

印尼国家网络安全战略的整体规划和实施,涵盖了网络安全治理、风险管理、应急预案、关基保护、密码自治、能力提升等方面。在网络安全治理方面,印尼强调网络安全生态系统的建设,包括整合人力资源、流程和技术,提升部门间的协同合作。风险管理侧重于识别和处理网络安全风险,提高国家应对能力。应急预案方面关注建立有效的网络安全事件响应机制和网络危机管理计划。关基保护方面提出要加强应急响应、安全评估能力。密码自治方面要求制定密码政策、加强研究和建立产业。网络安全能力方面要求通过教育、培训和技术创新来加强人员网络安全意识与技术提升。

此外,印尼在个人数据保护方面提出了专门要求,强调个人数据的保护是基本人权的一部分,体现了印尼对网络安全和个人隐私保护的重视,通过法律手段确保个人数据的安全和隐私,为数据的收集、处理和存储提供了法律依据和规范。

2 两国网络安全管理层面差异分析

在网络安全管理[9]方面,两国的法律法规在规章制度、组织角色和人员管理方面提出了不同的要求,网络安全管理层面差异比较如表3所示。

(1)规章制度。我国法律法规明确要求建立等级保护、用户信息保护、监测预警与信息通报、数据安全管理和数据安全审查等全面制度;印尼法规主要聚焦于个人数据保护和关基保护相关制度。

(2)组织角色。我国各项法律法规均要求设立专门的网络安全管理机构和指定管理责任人;印尼只在个人数据保护法中提出任命负责数据保护的官员及要求。

(3)人员管理。我国等级保护制度对人员的网络安全意识、能力和管理等方面提出了全面的要求;印尼则更侧重于提升管理人员在网络安全意识和能力方面的要求。

3 两国网络安全技术层面差异分析

在网络安全技术方面[11],两国在物理安全、网络安全、数据安全、主机安全、应用安全、隐私保护和云安全等不同层面上展现出一些差异。网络安全技术层面差异比较如表4所示。

(1)物理安全。我国等级保护制度明确提出物理环境安全的要求;印尼主要关注电磁安全、电器安全以及设备本身的安全。

(2)网络安全。我国等级保护制度从网络架构、通信传输、访问控制等多个方面提出了网络通信安全具体要求;印尼法规没有明确提出网络层面的要求,从数据安全和信息系统安全等方面间接反映出对网络安全的需求。

(3)数据安全。我国法律法规针对数据的全生命周期安全提出具体要求,并为数据安全的实际执行提供一些标准指引;印尼则更侧重于个人数据保护,在数据收集、使用、传输等全过程提出明确要求。

(4)主机安全和云安全。我国等级保护制度计算环境安全中明确提出了身份鉴别、访问控制、安全审计和入侵防御等方面的要求,云计算安全扩展要求中明确提出云计算平台安全要求;印尼没有明确提出这些要求,只是对设备的完整性等有所要求。

(5)应用安全。我国等级保护和关基保护要求在产品采购时应符合国家网络安全规定,并在交付前进行检测,以防止恶意代码和漏洞;印尼则要求对电子系统中的个人数据进行保护,并提出定期审计电子系统以确保安全性和可靠性。

(6)隐私保护。两国法律法规在这方面要求相似,都强调处理个人信息必须公开透明,遵循合法、正当、必要的原则,明确个人信息主体的权利,不得过度收集个人信息。

4 两国网络安全运营层面差异分析

在网络安全运营方面[16-17],通过对两国法律法规的调研分析,从安全运维、安全监测预警、安全风险评估、网络安全应急管理、供应链安全管理、数据出入境管理等维度进行比较,网络安全运营层面差异比较如表5所示。

(1)安全运维。我国法律法规明确提出运营者的安全运维管理要求;印尼没有明确提出要求。

(2)安全监测预警。我国法律法规要求各行业各领域建立监测预警和信息通报制度,开展风险监测;印尼在国家危机管理计划中提出国家层面网络安全事件的监测预警要求。

(3)安全风险评估。我国法律法规要求建立网络安全风险评估与应急机制,定期开展等级保护与风险评估;印尼没有等级保护的概念,主要强调对信息技术和通信系统进行定期审计及审计周期。

(4)网络安全应急管理。两国的法律法规都提出了网络安全应急管理和应急演练的要求。我国在网络安全、数据安全、关基安全等方面均要求制定应急预案;印尼则从国家层面和关键重要信息基础设施方面提出了网络安全应急响应的要求。

(5)供应链安全管理。我国法律法规对关基在采购网络产品和服务时提出了明确要求,并对软件供应链安全制定具体的标准要求;印尼在这方面的法律法规中没有明确提出要求。

(6)数据出入境管理。两国的法律法规都对数据出入境提出了要求。印尼更侧重于个人信息的保护;而我国不仅关注个人信息,还包括重要数据的保护,并针对数据出入境明确出台了《网络安全审查管理办法》《数据出入境安全评估方法》。

5 雅万高铁网络安全工作建议

通过两国在网络安全管理、网络安全技术、网络安全运营的差异分析,雅万高铁在常态化运营方面应充分考虑两国法律法规,加强网络安全防御技术水平,提升网络安全管理能力,以应对日益变化的全球网络安全形势。

5.1 网络安全管理方面

雅万高铁运营单位应建立网络安全、数据安全相关管理办法,设定专门网络安全和数据安全管理部门,以及必要的网络安全岗位。结合印尼个人数据保护法具体要求,加强个人数据安全保护。将网络安全管理与印尼法律网络安全战略及危机管理计划要求相结合,确立网络安全防护层级;加强网络安全人才培养,定期开展网络安全、数据安全、个人信息保护等教育培训和技能考核,提升网络安全管理水平。

5.2 网络安全技术层面

印尼虽然没有网络安全等级保护,雅万高铁作为中国标准技术产品与系统服务,应该满足我国网络安全等级保护基本要求,在物理环境安全、通信网络安全、区域边界安全、技术环境安全等方面要达到相应等级保护要求,同时结合印尼《个人数据保护法》、我国《数据安全保护法》《个人信息保护法》要求,采取数据分级分类、全生命周期技术措施,提升雅万高铁个人数据保护以及隐私保护能力。

5.3 网络安全运营层面

雅万高铁应结合我国在网络安全运维、网络安全监测预警、网络安全风险评估、网络安全应急管理、供应链安全管理、数据出入境管理等方面较为明确的运营要求,开展本土化的网络安全运营体系建设。建立人员、设备、系统、技术等网络安全常态化运营工作机制,加强网络安全常态化监测、检测、分析、处置等技术应用能力,以提升雅万高铁网络安全应急响应水平与运营能力。

6 结束语

我国已经形成从顶层设计到具体实施的全方位网络安全标准体系,印尼虽然在宏观层面有所规划,但在具体操作层面,尤其是在各行业的标准制定和实施细则上,尚未形成一套完整的体系。通过从网络安全管理、网络安全技术、网络安全运营方面对两国网络安全措施对比分析,能够更好地理解两国在网络安全方面的差异性,这不仅有助于突出各自的优势和不足,而且在网络安全防护措施的规划和实施上具有重要的参考价值。在后续的雅万高铁信息化运营过程中,可以通过借鉴我国成熟的网络安全体系,并结合印尼当地网络安全要求,共同探索网络安全本土化运作机制,有助于提升印尼合作项目的网络安全防护能力,确保合作项目的网络安全、数据安全、信息保密和系统稳定。

参考文献

[1]

乔继红,汪奥娜,余谦梁.中印尼共建“一带一路”合作的“金字招牌”[N].人民日报,2023-10-18(005).

[2]

张 杰,庄雪雅.雅万高铁建设高质量推进[N].人民日报,2022-07-29(004).

[3]

王 磊.铁路信息化评价体系研究[J].铁道运输与经济201739(2):50-54.

[4]

WANG Lei.Study on Railway Informatization Evaluation System[J].Railway Transport and Economy201739(2):50-54.

[5]

赵英明,张德栋,徐东平,.铁路客票发售与预订系统风险评估研究[J].铁道运输与经济202042(1):72-76,83.

[6]

ZHAO YingmingZHANG DedongXU Dongpinget al.A Study on the Risk Assessment of Railway Ticket Selling and Reservation System[J].Railway Transport and Economy202042(1):72-76,83.

[7]

程 啸.我国网络安全法律规范体系逐步形成[J].服务外包2022(7):38-39.

[8]

斯 伟.习近平网络空间治理重要论述研究[D].南京:南京邮电大学,2023.

[9]

徐 辉,龚 逸.企业数据合规:企业数据安全治理之维[J].科技创业月刊202437(7):109-113.

[10]

张 蕾,闻书韵.基础软件供应链安全现状分析与对策建议[J].信息安全研究202410(8):780-784.

[11]

刘茂强.发电企业网络安全管理体系的探索与建立[J].网络安全技术与应用2024(1):105-106.

[12]

余 丽,周旭磊.技术嵌入:网络空间个体隐私安全体系的建构理路:基于观念、技术与制度的分析框架[J].河南师范大学学报(哲学社会科学版)202249(3):52-58.

[13]

周景贤,邹莹芝,田 润,.面向实战能力的智慧机场网络安全防护技术体系建设[J].民航学报20248(4):150-154.

[14]

李京生,张 湜,赵 林.基于网闸技术的高速铁路地震预警监测系统安全性研究[J].铁道运输与经济201840(7):101-104.

[15]

LI JingshengZHANG ShiZHAO Lin.Research on Security of High Speed Railway Earthquake Early-Warning and Monitoring System Based on GAP Technology[J].Railway Transport and Economy201840(7):101-104.

[16]

王智民,胡亚琼,李瀚辰.基于零信任的数据安全防护体系[J].工业信息安全2024(4):32-42.

[17]

林永良,王 超,张 杰,.自适应安全架构下的高校数据中心主机安全防护研究[J].网络安全技术与应用2022(7):78-80.

[18]

程贵宝.档案数据安全与隐私保护探析[J].兰台内外2024(31):30-32.

[19]

董红涛,朱继建,刘书剑,.持续化网络安全运营体系在大中型企业的实践[J].网络空间安全202314(5):51-54.

[20]

HUANG H.Effective Application of Computer Network Security Technology in E-commerce Operation and Maintenance[J]. Journal of Economics and Public Finance202410(2):164-178.

[21]

孙 放.大数据提升公安出入境管理效能的路径探讨[J].网络安全技术与应用2022(2):129-131.

基金资助

中国国家铁路集团有限公司科技研究开发计划课题(P2023S028)

AI Summary AI Mindmap
PDF (1468KB)

0

访问

0

被引

详细

导航
相关文章

AI思维导图

/