王亞民
(中國鐵路總公司 運輸局信息化部,北京 100038)
等級保護
鐵路信息安全等級保護實施工作建議
王亞民
(中國鐵路總公司 運輸局信息化部,北京 100038)
信息安全等級保護制度是國家信息安全工作的基本制度,鐵路行業(yè)在信息安全等級保護方面做了大量工作,對整個行業(yè)的信息安全工作起到了促進作用。本文從行業(yè)標準、系統(tǒng)定級備案、安全現(xiàn)狀評估、等級保護測評、建設整改、安全措施落實等角度對如何將該等級保護工作落到實處進行了闡述。
信息安全;等級保護;安全實施
為適應國家鐵路運輸高速發(fā)展的需要,中國鐵路總公司充分利用信息化手段,積極推進生產、經營、管理、決策等業(yè)務處理的全過程信息化,初步達到了行業(yè)運輸生產自動化、客貨管理現(xiàn)代化、高層決策科學化的總體目標,為鐵路行業(yè)人、財、物集約化管理和數字化鐵路建設提供了強有力的支撐。
中國鐵路總公司(以下簡稱:總公司)從維護國家安全、社會穩(wěn)定與公民權益出發(fā),按照國家信息安全等級保護制度要求,將信息安全納入鐵路運輸生產安全體系,自2007年鐵路全面開展信息安全等級保護工作以來,對已投產運行的49個信息系統(tǒng)進行了定級,其中二級系統(tǒng)24個、三級系統(tǒng)21個、四級系統(tǒng)4個。但總公司信息安全等級保護工作相對國家有關標準規(guī)范和總公司信息安全實際需求還有一定距離,需要從以下幾個方面加強。
在信息安全方面,國家有一套完善的安全標準,涉及安全技術、等級保護、安全管理、安全設備等各個層面。但是國家標準是從宏觀層面制定的策略,缺乏行業(yè)的針對性,需要在國家標準的基礎上,針對行業(yè)的特殊要求,制定相應的行業(yè)標準。根據鐵路現(xiàn)有信息化建設的總體情況,迫切需要制定以下幾個方面的行業(yè)標準:
(1)與設計相關的標準:《鐵路行業(yè)信息系統(tǒng)安全定級指南》,《鐵路行業(yè)信息系統(tǒng)等級保護基本要求》,《鐵路行業(yè)信息系統(tǒng)安全體系總體設計方案》,《鐵路行業(yè)信息機房設計及建設規(guī)范》。
(2)與建設相關的標準:《鐵路行業(yè)信息系統(tǒng)安全加固實施指南》,《鐵路行業(yè)信息安全等級保護建設實施指南》。
(3)與運維管理相關的標準:《鐵路行業(yè)信息系統(tǒng)上下線管理規(guī)范》,《鐵路行業(yè)信息機房管理規(guī)范》。
遵照公安部《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號)和《關于進一步做好鐵路信息安全等級保護工作的通知》(鐵公安[2012]94號)的文件精神,鐵路總公司組織對目前用的部分信息系統(tǒng)進行了定級,但仍有部分信息系統(tǒng)的安全方案還沒有按GB/T 22239-2008《信息安全技術—信息系統(tǒng)安全等級保護基本要求》和GB/T 25070-2010《信息系統(tǒng)等級保護安全設計技術要求》對系統(tǒng)進行定級和安全設計。主要原因是國家標準只規(guī)定了定級的原則,對定級方法缺少可操作的指導意見,造成相關人員對定級標準和有關規(guī)定掌握不準,系統(tǒng)定為幾級安全等級不好界定,因此需要針對鐵路行業(yè)信息系統(tǒng)的業(yè)務特點,提出可操作的定級模型和定級方法,指導行業(yè)內人員對新建或已建信息系統(tǒng)開展系統(tǒng)安全定級工作。
鐵路投產運行的信息系統(tǒng)很多,有的系統(tǒng)按照等級保護要求確定了安全等級并建立了安全系統(tǒng);有的系統(tǒng)在設計中考慮了安全等級,但在建設過程中并未按設計要求實施安全方案;還有的系統(tǒng)沒有考慮安全措施。針對鐵路信息系統(tǒng)投產運行后的實際情況,鐵路總公司有必要組織內外部測評隊伍,根據國家和總公司對信息安全的建設要求,對信息系統(tǒng)開展技術和管理兩方面的現(xiàn)狀評估,檢查信息系統(tǒng)在物理安全、網絡安全、主機安全、應用安全、數據安全以及安全管理上與相應安全等級標準的差距,進行差距分析,提出建設整改意見。
在信息系統(tǒng)等級保護安全建設完成和投產之前,首先組織內部測評隊伍對安全建設情況進行效果測評,發(fā)現(xiàn)不符合性提出整改建議。內部測評結束及整改驗收后,再聘請有第三方測評資質的測評機構進行等級測評,驗證與國家及行業(yè)等級保護標準的符合性。通過總公司內部和專業(yè)測評機構的兩級測評,可有效地推進國家及行業(yè)信息安全標準在全路的落實完善。
按照GB/T 22239-2008《信息安全技術—信息系統(tǒng)安全等級保護基本要求》中的等級測評要求,信息系統(tǒng)在運行過程中,等級保護測評工作要定期開展,其中三級系統(tǒng)每年要測評一次,四級系統(tǒng)每半年要測評一次。根據該要求,結合每年鐵路安全大檢查工作的需要,制定每年的安全大檢查計劃,組織內外部專業(yè)測評隊伍,對三級及以上的信息系統(tǒng)開展安全等級測評工作。
5.1 機房物理環(huán)境整改
按照《鐵路行業(yè)信息機房設計及建設規(guī)范》、《鐵路行業(yè)信息機房管理規(guī)范》的要求,完善機房環(huán)境、設備管理、電源管理、安全管理和資料管理,并從防雷、防火、防水、防靜電、防盜竊、防破壞、電力供應、機房電源及環(huán)境監(jiān)控等方面對機房環(huán)境進行改造。
5.2 安全域劃分
按照《鐵路行業(yè)信息系統(tǒng)安全體系總體設計方案》,根據信息系統(tǒng)的安全等級,采用交換機劃分VLAN、設置訪問控制策略、部署防火墻等技術措施對信息系統(tǒng)進行安全域劃分[1]。
5.3 邊界網絡防護
明確總公司信息網絡、業(yè)務專網和互聯(lián)網的網絡邊界,對網絡邊界部署內、外部網絡訪問控制策略、入侵檢測等多項防護措施,并加強網絡邊界的監(jiān)測。
5.4 主機安全加固
遵照《鐵路行業(yè)信息系統(tǒng)安全加固實施指南》,通過配置安全策略、安裝安全補丁、修補系統(tǒng)漏洞、強化身份鑒別等方法對各類主機設備的操作系統(tǒng)、數據庫、中間件等及時進行策略配置和加固。
5.5 應用及數據安全防護
依照國家和行業(yè)標準,從用戶身份認證、訪問控制、數據加密、容錯能力、日志審計等方面進行應用系統(tǒng)安全改造和建設。在數據安全防護方面,采用有效的數據備份策略對重要數據進行定期和增量備份,采用安全移動存儲介質進行必要的數據交換。
5.6 強化信息安全隊伍建設
從安全管理、運行、監(jiān)督、技術支持等方面加強行業(yè)內信息安全隊伍建設,確保安全責任落實。做好總公司、鐵路局兩級和一線服務、二線運維、三線技術支持安全運維服務隊伍,負責各系統(tǒng)日常安全運行維護工作。
5.7 完善信息安全管理工作
為切實做好信息安全管理工作,總公司需要結合信息安全管理體系建設項目,以等級保護為抓手,將等級保護與信息安全日常管理緊密結合,將信息安全管理全面納入鐵路運輸安全生產管理體系,按照“誰主管誰負責、誰運行誰負責”和屬地化管理原則,逐級落實信息安全責任,建立與總公司信息化發(fā)展相適應的信息安全監(jiān)督機制、應急機制、故障通報與處理機制、事件責任追究機制和風險管理機制[2]。
總公司在加強信息系統(tǒng)建設管理方面,需制定一系列的規(guī)章制度,包括《鐵路行業(yè)信息系統(tǒng)上下線管理規(guī)范》和《鐵路行業(yè)計算機應用軟件通用安全要求》等,明確系統(tǒng)定級備案、方案設計、產品采購使用、密碼使用、軟件開發(fā)、驗收交付、等級測評、安全服務等管理內容。
6.1 建立鐵路信息系統(tǒng)安全技術體系
研究建立“一個中心(安全管理中心),三重防護(計算環(huán)境、區(qū)域邊界、信息網絡)”的鐵路信息系統(tǒng)安全縱深防護和主動防御的技術體系,按總公司、鐵路局、站段三級管理模式和信息系統(tǒng)運輸生產專網、內部服務網、外部服務網三網的特點,實現(xiàn)運輸組織及客貨營銷類信息系統(tǒng)“分級分區(qū)、專網專用、橫向隔離、縱向認證”的安全策略,經營管理類信息系統(tǒng)“三級獨立成域、主動防御、內外兼防”的安全策略。
6.2 建設鐵路信息安全綜合管理平臺
鐵路信息安全綜合管理平臺是為總公司及下屬單位開展與信息安全管理相關工作的綜合工作平臺,功能將覆蓋總公司及其下屬單位的信息安全管理工作的主要內容,并支持公安部等級保護管理工作。平臺主要提供以下3類功能:(1)以信息系統(tǒng)定級、備案、整改、測評和檢查等規(guī)定步驟為主線,實現(xiàn)等級保護工作任務的下發(fā)、執(zhí)行、進度監(jiān)控和督辦;(2)風險管理、應急管理、安全檢查和事故通報等專項管理功能;(3)日常辦公的綜合管理、培訓教育、標準管理等。
6.3 建設鐵路信息安全一體化運行監(jiān)控平臺
鐵路信息安全一體化運行監(jiān)控平臺是集綜合網管、應用防護、IT運維、機房監(jiān)控為一體的信息系統(tǒng)安全運行監(jiān)控管理平臺,實現(xiàn)網絡監(jiān)控、主機監(jiān)控、機房監(jiān)控、邊界防御、桌面終端安全的全方位監(jiān)控功能。監(jiān)控平臺如圖1所示。
圖1 信息安全一體化運行監(jiān)控平臺
6.4 開展國產化和自主可控技術研究
在信息安全越來越重視國產化的大技術背景下,開展鐵路行業(yè)的信息安全國產化和自主可控技術的研究尤為重要。在國產化方面,緊緊圍繞鐵路網絡安全自主可控戰(zhàn)略目標,根據國產產品成熟情況,結合鐵路業(yè)務發(fā)展、業(yè)務需求,按照“統(tǒng)籌規(guī)劃、分步實施,應用牽引、平臺重構,項目推動、政策保障”的工作思路,采取“直接采用、對等替換、平臺替換”技術策略,進行信息系統(tǒng)國產化改造和構建鐵路信息安全等級保護技術體系的積極探索。
在自主可控方面,通過統(tǒng)一標準、自主研發(fā)、自主實施、產權管理、風險評估、安全測評、安全管控、安全巡檢等手段實現(xiàn)信息系統(tǒng)全生命周期各階段的安全可控。
6.5 開展基于云計算的安全技術探索
云計算已成為信息技術的重要發(fā)展方向,建立鐵路云應用平臺將對鐵路信息化應用技術產生深遠影響。云計算環(huán)境下的信息安全問題是信息安全技術領域面臨的一個新課題,在開展鐵路云應用平臺研究的同時,同步開展云安全應用技術的研究和探索,使基于云計算的鐵路應用平臺在設計、建設、投產3個環(huán)節(jié)將信息安全同步納入。
6.6 建立鐵路信息安全評測體系與技術督查體系
采用安全檢查、風險評估、內外評測、安全運維等管理和技術手段,建立有效的安全測評與技術督查體系。通過在重要時間節(jié)點(如春運、暑運等)開展安全檢查和自查工作,使路局、站段管理人員保持安全意識;按照等級保護標準要求定期開展風險評估、等級評測等工作,確保等級保護安全手段能貫穿重要信息系統(tǒng)的始終;通過完善鐵路兩級三線安全運維服務體系,建立總公司、鐵路局兩級信息安全技術督查工作機制,將信息安全技術和管理有機結合起來,實現(xiàn)安全管理、運維、督辦相輔相成、相互監(jiān)督的局面。
6.7 等級保護示范工程仿真實驗環(huán)境及試點工程建設
針對信息系統(tǒng)、安全產品建立等級測評驗證與運行仿真環(huán)境,開展等級保護定級模型、測評模型以及測評技術研究,按等級保護相關要求開展信息安全等級保護工程的試點建設,為鐵路信息安全等級保護工作提供技術支撐,確保鐵路信息系統(tǒng)與安全產品的高可靠性與穩(wěn)定性。
信息安全等級保護工作是我國規(guī)范信息安全管理工作的一種有效制度,鐵路行業(yè)除按等級保護管理流程做好定級備案、方案設計、等保測評、建設與整改幾方面的工作外,還需從源頭的標準制定和后期的措施落實兩方面抓好一頭一尾的工作,使得信息安全工作能在鐵路行業(yè)全面實施。
[1] 余 勇,林為民.電力行業(yè)信息系統(tǒng)等級保護的研究及實施[J]. 信息網絡安全,2009(12).
責任編輯 徐侃春
Implementation of railway information security level protection
WANG Yamin
( Informatization Department of Transport Administration, China Railway, Beijing 100038, China )
Information security level protection system was the basic system of national information security work. A lot of work for the information security level protection was been down in railway industry to promote the industry of information security. This article was from the perspective of industry standards, system classif i cation, security situation assessment, level protection evaluation, construction rectif i cation and safety measures to elaborate on how to implement level protection work.
information security; level protection; security implementation
U29-39
A
1005-8451(2015)02-0038-04
2014-10-08
王亞民,高級工程師。