欧盟网络安全局：铁路网络风险管理最佳实践.docx

欧盟网络安全局：铁路网络风险管理最佳实践

该报告的目的是为欧洲RUs和IMs提供关于如何评估和减轻网络风险的适用方法和实例。

当地时间11月25日，欧盟网络和信息安全局-ENISA发布了一份题为《Railway Cybersecurity – Good Practices in Cyber Risk Management 》的报告，详细介绍了铁路组织网络风险管理的最佳实践。ENISA说，欧洲铁路企业(RUs)和基础设施管理人员(IMs)需要以系统的方式应对网络风险，这是其风险管理过程的一部分。自2016年网络和信息安全(NIS)指令生效以来，这一需求变得更加迫切。该报告的目的是为欧洲RUs和IMs提供关于如何评估和减轻网络风险的适用方法和实例。

ENISA和欧盟铁路局于2021年3月组织了一场关于铁路网络安全的虚拟会议。会议持续了两天多时间，聚集了来自铁路组织、政策、行业、研究、标准化和认证的600多名专家。参与者投票的最热门话题之一是铁路网络风险管理，这也是ENISA进行最新研究的动机。提出的最佳实践正是基于铁路利益相关者的调研反馈。它们包括基于行业标准和良好实践的工具，如资产和服务列表、网络威胁场景和适用的网络安全措施。这些资源可作为铁路公司网络风险管理的基础。因此，它们旨在成为一个参考点，促进整个欧盟铁路利益相关者之间的合作，同时提高对相关威胁的认识。

报告指出，铁路信息技术(IT)和运营技术(OT)系统的现有风险管理方法各不相同。对于铁路IT系统的风险管理，引用最多的方法是国家一级的NIS指令、ISO 2700x系列标准和NIST网络安全框架的要求。

图1：风险管理的六个步骤

对于OT系统，引用的框架是ISA/IEC 62443, CLC/TS 50701，以及Shift2Rail项目X2Rail-3的建议，或CYRail项目的建议。