鐵路信息系統(tǒng)等級保護測評工作模式探討

祝詠升

（中國鐵道科學(xué)研究院 電子計算技術(shù)研究所， 北京 100081）

鐵路信息系統(tǒng)等級保護測評工作模式探討

祝詠升

（中國鐵道科學(xué)研究院 電子計算技術(shù)研究所， 北京 100081）

針對我國鐵路行業(yè)等級保護測評工作中缺乏統(tǒng)一的評判標準和專業(yè)評測機構(gòu)，測評工作缺乏行之有效的常態(tài)化管理機制等現(xiàn)狀，結(jié)合其它行業(yè)等級保護測評工作模式對鐵路信息系統(tǒng)等級保護測評工作模式展開研究和探討，分析等級保護自查和等級測評的作用及工作內(nèi)容，并將切實有效推進等級保護工作的開展，促使等級保護測評工作常態(tài)化。

等級保護自查；等級保護測評；測評工作模式

《信息安全等級保護管理辦法》（公通字[2007]43號，以下簡稱《管理辦法》）第十四條規(guī)定，信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當選擇規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第3級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，第4級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評。同時，信息系統(tǒng)運營、使用單位及其主管部門也應(yīng)當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第3級信息系統(tǒng)應(yīng)當每年至少進行一次自查，第4級信息系統(tǒng)應(yīng)當每半年至少進行一次自查。

本文將探討如何將等級保護自查和等級保護測評工作有效結(jié)合，實現(xiàn)鐵路信息系統(tǒng)等級保護測評工作的常態(tài)化發(fā)展。

在鐵路行業(yè)推進等級保護測評工作的有序和高效開展，首要工作是制定并落實各項等級保護測評制度，其次，要組織人員編制《鐵路信息系統(tǒng)等保測評指標體系》（簡稱“指標體系”）及《鐵路信息系統(tǒng)等級保護測評作業(yè)指導(dǎo)手冊》（簡稱“測評指導(dǎo)手冊”）作為開展等級保護測評的指導(dǎo)性文件，需要在全路范圍內(nèi)組織定期或不定期開展等級保護自查及風(fēng)險評估活動，為等級保護測評提供參考依據(jù)。

1 等級保護自查工作模式

（1）要加強鐵路局及車站相關(guān)單位運維人員的專業(yè)水平，不斷增強信息安全意識；（2）要規(guī)范化地推進等級保護自查工作，并結(jié)合自查結(jié)果統(tǒng)一規(guī)劃，客觀對待已有的系統(tǒng)脆弱性并進行持續(xù)的系統(tǒng)整改。

1.1 等級保護自查的作用

信息系統(tǒng)等級保護安全自查一般要在第三方等級保護測評開展之前進行，且主要針對系統(tǒng)的安全保護制度落實情況、業(yè)務(wù)安全和網(wǎng)絡(luò)安全現(xiàn)狀開展自查。等級保護自查工作可以由鐵路局信息化處牽頭邀請測評單位和系統(tǒng)安全運維人員組成，從而能盡量保證提交第三方測評機構(gòu)進行等級測評時，系統(tǒng)的等級符合性更趨接近，且第三方測評機構(gòu)依據(jù)系統(tǒng)自查結(jié)果也更能準確定位系統(tǒng)不符合項。

首先，針對系統(tǒng)的安全設(shè)計方案要進行合理性分析和自查，以發(fā)現(xiàn)系統(tǒng)與等級保護要求之間的差距，通過差距分析制定合理有效的整改方案并實施整改，從而滿足信息系統(tǒng)等級保護要求。其次，完成系統(tǒng)等級保護自查和初步整改后，可以申請有資質(zhì)的第三方測評機構(gòu)開展等級符合性測評，把第三方測評機構(gòu)提交的測試結(jié)果與自查結(jié)果進行分析比對，對不符合項進行再次整改，并開展新一輪自查及自測后，再申請第三方測評，周而復(fù)始，直至系統(tǒng)滿足等級保護要求及設(shè)計要求。

信息系統(tǒng)投入運營使用之后，如果系統(tǒng)運營使用超過一年，則應(yīng)當根據(jù)系統(tǒng)使用現(xiàn)狀及使用中發(fā)生的信息安全事件，對系統(tǒng)進行內(nèi)部信息安全自查、自測，確認系統(tǒng)是否有必要進行等級變更并向上級管理部門提交變更申請；或者系統(tǒng)進行了大規(guī)模軟件升級、變更關(guān)鍵主機或網(wǎng)絡(luò)設(shè)備及配置，應(yīng)再次向測評機構(gòu)申請等級測評，而第三方測評機構(gòu)應(yīng)根據(jù)系統(tǒng)最新定級情況，開展系統(tǒng)的等級測評，出具最新等級測評報告。

1.2 等級保護自查工作內(nèi)容

首先，在企業(yè)內(nèi)部要根據(jù)系統(tǒng)的安全級別，不定期開展系統(tǒng)網(wǎng)絡(luò)及應(yīng)用安全專項自查，及時發(fā)現(xiàn)并完善系統(tǒng)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機和終端設(shè)備等層面的安全策略配置、安全防范措施、保密和審計策略方面的不足，在不斷的信息安全自查和安全加固工作之后，系統(tǒng)的信息安全保護等級就越接近系統(tǒng)實際定級要求，進而，依據(jù)等級保護測評要求，企業(yè)內(nèi)部人員再進行針對性的對系統(tǒng)等級開展符合性自查，初步掌握系統(tǒng)的安全防范手段與實際等級之間的差距。信息系統(tǒng)等級保護自查主要內(nèi)容如下：

1.2.1 信息安全管理情況

包括信息安全管理制度制定及落實情況、組織領(lǐng)導(dǎo)和工作部署情況，安全管理人員安全培訓(xùn)及安全責任落實情況，系統(tǒng)安全建設(shè)及運行維護管理落實情況等。

1.2.2 網(wǎng)絡(luò)安全防護情況

主要檢查系統(tǒng)網(wǎng)絡(luò)架構(gòu)和技術(shù)防護體系的建立情況；網(wǎng)絡(luò)邊界防護措施，不同網(wǎng)絡(luò)或信息系統(tǒng)之間安全隔離措施，互聯(lián)網(wǎng)接入安全防護措施，安全防護策略等；服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等安全策略配置及有效性等。

1.2.3 系統(tǒng)業(yè)務(wù)安全情況

主要檢查應(yīng)用系統(tǒng)及對外服務(wù)網(wǎng)站是否存在明顯的SQL注入、跨站腳本、緩沖區(qū)溢出、弱口令等漏洞；運行系統(tǒng)業(yè)務(wù)的終端及主機操作系統(tǒng)補丁安裝、應(yīng)用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、端口開放情況、系統(tǒng)管理權(quán)限開放情況、訪問權(quán)限開放情況、網(wǎng)頁篡改等情況；應(yīng)用系統(tǒng)安全功能配置及有效性；重要數(shù)據(jù)傳輸、存儲的安全防護措施等。

2 等級保護測評工作模式

按照等級保護要求完成信息系統(tǒng)安全建設(shè)之后，由具有相關(guān)資質(zhì)、獨立的第三方測評機構(gòu)通過等級測評判定信息系統(tǒng)是否按照預(yù)先設(shè)定的安全模式運行，安全控制措施是否得到合理的應(yīng)用，信息系統(tǒng)是否達到相關(guān)標準的要求，是否具備相應(yīng)等級的安全防護能力等。

2.1 等級保護測評的作用

信息系統(tǒng)等級保護全生命周期包括系統(tǒng)定級備案、規(guī)劃設(shè)計、建設(shè)實施、運維管理、系統(tǒng)廢止幾個關(guān)鍵階段。鐵路行業(yè)對已經(jīng)確定安全保護等級的系統(tǒng)，應(yīng)適時根據(jù)信息技術(shù)發(fā)展，對不同等級系統(tǒng)在技術(shù)和管理兩個方面10個部分制定適合行業(yè)特色及系統(tǒng)業(yè)務(wù)特點的安全基本要求，在安全基本要求之上，構(gòu)建符合系統(tǒng)相應(yīng)等級的安全保護體系，達到了一個基本的安全狀態(tài)。這個安全狀態(tài)是等級保護的核心，已經(jīng)確定安全保護等級的系統(tǒng)是否滿足基本要求是需要通過信息安全等級測評來判斷的。

鐵路信息系統(tǒng)安全等級測評不同于一般的安全檢測和風(fēng)險評估活動，等級測評活動的完成首先是依據(jù)系統(tǒng)安全保護等級和該級別系統(tǒng)的基本保護要求；同時還需要測評人員具有把握國家及鐵路行業(yè)政策，理解和掌握相關(guān)技術(shù)標準，熟悉等級測評的方法、流程和工作規(guī)范等方面的能力及知識；最為重要的是等級測評的結(jié)果將是鐵路總公司信息安全監(jiān)督管理部門依法行政管理的技術(shù)依據(jù)。因此等級測評活動是一項政策性很強和技術(shù)專業(yè)化的信息安全服務(wù)。

由此可見，鐵路行業(yè)信息安全等級測評是開展信息安全等級保護工作的重要環(huán)節(jié)，是在鐵路安全生產(chǎn)及安全管理模式下的技術(shù)支撐服務(wù)活動，和純粹的商業(yè)化評估有明顯的區(qū)別。信息安全等級測評首先要滿足國家管理需要，其次要符合行業(yè)發(fā)展需要，采取市場化的運作模式有序開展。（1）可以掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；（2）衡量信息系統(tǒng)的安全保護管理措施和技術(shù)措施是否符合等級保護基本要求，是否具備了相應(yīng)的安全保護能力，未達到相應(yīng)等級的基本安全保護能力的信息系統(tǒng)，其運營、使用單位應(yīng)當根據(jù)等級測評報告，制定方案進行整改，盡快達到相應(yīng)等級的安全保護能力。

2.2 等級保護測評的工作內(nèi)容

通過等級測評判定信息系統(tǒng)是否按照預(yù)先設(shè)定的安全模式運行，安全控制措施是否得到合理的應(yīng)用，信息系統(tǒng)是否達到相關(guān)標準的要求，是否具備相應(yīng)等級的安全防護能力等。等級保護測評圍繞以下4方面開展工作：

2.2.1 信息收集與分析

信息收集與分析是開展現(xiàn)場測評工作的前提和基礎(chǔ)，主要包括被測單位的各種方針文件、規(guī)章制度及相關(guān)過程管理記錄、被測系統(tǒng)總體描述文件、被測系統(tǒng)詳細描述文件、被測系統(tǒng)安全保護等級定級報告、安全需求分析報告、被測系統(tǒng)安全總體方案、安全現(xiàn)狀評價報告、被測系統(tǒng)安全詳細設(shè)計方案、用戶指南、運行步驟、網(wǎng)絡(luò)拓撲圖、配置管理文檔、服務(wù)器配置等相關(guān)資產(chǎn)信息。信息收集完成后，還需要對采集的信息進行分析、綜合、整理，篩除無效信息，留取有效的足量信息。

2.2.2 等級符合性測評

按照《指標體系》的要求及《測評指導(dǎo)手冊》的方法和流程，對系統(tǒng)的物理安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、管理安全等多個維度逐項測評指標進行符合性測評，并進行差距分析，定位系統(tǒng)與等級保護標準之間的差距。

2.2.3 測評結(jié)果分析驗證

針對等級測評的結(jié)果進行有效性驗證，使運營使用單位更清晰了解系統(tǒng)的安全現(xiàn)狀與差距，便于安全整改工作的進行。主要包括對系統(tǒng)進行漏洞掃描和滲透性測試。

2.2.4 測評結(jié)果的綜合評定

等級保護評測結(jié)果反映了信息系統(tǒng)與等級保護要求之間的差距。不同信息系統(tǒng)的關(guān)注點不同，使得各個測評項在不同信息系統(tǒng)測評結(jié)果中作用不盡相同，在對信息系統(tǒng)測評項統(tǒng)計分析的基礎(chǔ)上，首先確定各測評指標的重要程度以確定測評項的指標權(quán)重，再依據(jù)等級測評結(jié)果確定安全指標得分，根據(jù)指標權(quán)重和指標分值計算出信息系統(tǒng)最終的綜合評價值。

3 結(jié)束語

中國鐵路總公司運輸局下設(shè)的信息化部分管全路的信息安全監(jiān)督和管理工作，各鐵路局下設(shè)信息化處分管信息系統(tǒng)安全建設(shè)和運維工作。鐵路行業(yè)開展信息系統(tǒng)等級保護測評，則需要在安全組織管理方面，建立并逐步健全一套自上而下的安全組織，成立鐵路信息系統(tǒng)等級保護工作管理領(lǐng)導(dǎo)機構(gòu)，作為信息安全管理的常設(shè)組織，從運營使用單位中抽調(diào)適量專業(yè)人員開展系統(tǒng)等級保護測評專項培訓(xùn)，使運維人員在了解等級保護工作重要性，熟悉與掌握等級保護自查的基本流程與方法，使自查工作與第三方等級測評工作有機結(jié)合，這樣各單位的信息安全等級保護工作才能進入螺旋狀上升的良性循環(huán)。

[1]徐 銳.淺談金融業(yè)信息系統(tǒng)等級保護工作的常態(tài)化[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（1）：179-180.

[2]朱世順，陳雪鴻.淺談行業(yè)測評機構(gòu)在等級保護工作中的作用[J].信息網(wǎng)絡(luò)安全，2012（S）：78-79.

[3]朱建平.等級測評如何在等級保護工作中發(fā)揮更大作用[J].信息網(wǎng)絡(luò)安全，2011（S）：55-57.

[4]張 昊，黃曉昆.信息安全等級保護測評工作實踐與探討[J].信息網(wǎng)絡(luò)安全，2012（z1）：32-34.

[5]肖國煜.信息系統(tǒng)等級保護測評實踐[J]. 信息網(wǎng)絡(luò)安全，2011（7）：86-88.

責任編輯 徐侃春

Working mode of level protection evaluation for Railway Information System

ZHU Yongsheng
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

In view of lack of uniform evaluation standard and professional assessment organization for level protection evaluation in railway industry, and lack of effective normalized management mechanism, the paper researched and discussed on the working mode of level protection evaluation for Railway Information System based on other industries, analyzed the function and contents about level protection self-inspection and level evaluation, pushed on the development of level protection work, precipitated the normalization of evaluation work.

level protection self-inspection; level protection evaluation; evaluation working mode

U29-39

A

1005-8451（2015）02-0045-03

2014-10-08

祝詠升，助理研究員。