周張俊

對建設(shè)鐵路信息安全管理標(biāo)準(zhǔn)體系的探討

周張俊

（武漢鐵路局辦公室（黨委辦公室）工程師，湖北武漢430071）

建立和健全信息安全管理及其標(biāo)準(zhǔn)體系對鐵路運輸生產(chǎn)和安全管理工作至關(guān)重要。從鐵路信息安全管理現(xiàn)狀入手，在闡述和分析國內(nèi)外信息安全標(biāo)準(zhǔn)化情況的基礎(chǔ)上，提出了鐵路信息安全管理及標(biāo)準(zhǔn)體系的創(chuàng)建思路。

鐵路系統(tǒng)；信息；安全；標(biāo)準(zhǔn)體系

0 引言

目前，信息化應(yīng)用全面滲透到鐵路運輸生產(chǎn)和安全管理的各個環(huán)節(jié)當(dāng)中，信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強。鐵路信息網(wǎng)絡(luò)從中國鐵路總公司（以下簡稱“鐵路總公司”）、鐵路局延伸到基層站段、車間甚至工區(qū)、班組，分布相當(dāng)廣泛，連接著眾多生產(chǎn)、辦公節(jié)點。信息網(wǎng)絡(luò)與運輸生產(chǎn)形成不可分割的有機體，信息系統(tǒng)已經(jīng)成為鐵路運輸生產(chǎn)系統(tǒng)中重要的基礎(chǔ)設(shè)施。如何用好、管好信息系統(tǒng)并確保信息安全，成為各級信息管理部門關(guān)注的焦點。

傳統(tǒng)的信息安全管理通常著重于防火墻、VPN、入侵檢測系統(tǒng)、防病毒系統(tǒng)、認(rèn)證系統(tǒng)等常規(guī)信息安全設(shè)備，利用它們構(gòu)筑起一道道信息安全防護屏障。實際上，僅僅依靠技術(shù)保障信息安全的做法是有局限性的。實踐證明，要保證信息安全，應(yīng)同時做好技術(shù)、管理和法制三個方面的工作。在鐵路邁向現(xiàn)代化和信息化的今天，與鐵路新技術(shù)、新裝備密切相關(guān)的信息手段及其安全性顯得格外重要，建立健全信息安全管理標(biāo)準(zhǔn)體系迫在眉睫。

1 建立信息安全管理體系的作用與意義

信息安全管理體系ISMS（Information Security Management Systems)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)以及實現(xiàn)這些目標(biāo)所需策略和方法的體系。信息安全管理體系是一種基于業(yè)務(wù)風(fēng)險的方法，用來建立、實施、運行、監(jiān)視、評審、保持和改進組織的信息安全系統(tǒng)，其目的是保障組織的信息安全；也是組織直接管理活動的結(jié)果，體系集合了方針、原則、目標(biāo)、方法、過程、核查等各種要素，并涉及人、程序和信息技術(shù)等方面。

首先，建立信息安全管理體系能夠提高組織內(nèi)員工的信息安全意識，提升組織信息安全管理水平，規(guī)范組織從領(lǐng)導(dǎo)到員工的信息安全行為，強化組織抵御信息系統(tǒng)崩毀、中毒等災(zāi)難性突發(fā)事件的能力，達成組織信息管理工作的高安全性和高可靠性，確保組織業(yè)務(wù)進入快速、高效和持續(xù)發(fā)展的良性循環(huán)軌道。

其次，建立信息安全管理體系能夠有效地對組織信息系統(tǒng)實施安全風(fēng)險監(jiān)管和控制，通過與等級保護、風(fēng)險評估等工作結(jié)合，在信息系統(tǒng)受到外部侵襲時能確保業(yè)務(wù)持續(xù)開展，并將損失降到最低程度，最終使關(guān)鍵信息資產(chǎn)獲得全面系統(tǒng)的保護。

再次，建立覆蓋面廣、目標(biāo)超前、部署正確、措施完善的信息安全管理體系，能夠?qū)崿F(xiàn)以預(yù)防為主的信息安全管理方式，達到成本最低、成效最高的信息安全保障合理水平，保證組織業(yè)務(wù)的有效性與連續(xù)性，使組織管理水平與國際先進水平接軌，提高組織的知名度、信任度和競爭力。

2 鐵路信息安全管理現(xiàn)狀

2.1政府的信息安全管理舉措

我國政府高度重視信息安全保密工作，從敏感性、特殊性和戰(zhàn)略性的要求出發(fā)，把信息安全工作放到十分重要的地位，建成維護國家信息安全強有力的管理體系。其中，國家信息安全產(chǎn)品測評認(rèn)證中心和國家計算機網(wǎng)絡(luò)與信息安全管理中心是2個非常重要的信息安全管理工作機構(gòu)。國家信息安全產(chǎn)品測評認(rèn)證中心負(fù)責(zé)管理和運行國家信息安全測評認(rèn)證體系，對信息安全產(chǎn)品、信息系統(tǒng)、信息安全服務(wù)單位及其人員進行測試、考試和認(rèn)證；國家計算機網(wǎng)絡(luò)與信息安全管理中心負(fù)責(zé)管理和運行國家計算機網(wǎng)絡(luò)的內(nèi)容監(jiān)控和應(yīng)急協(xié)調(diào)工作，對國內(nèi)信息安全管理發(fā)揮技術(shù)支撐功能。

近年來，ISO（國際標(biāo)準(zhǔn)化組織）、IEC（國際電工委員會）等國際組識和一些發(fā)達國家發(fā)布修訂了一系列信息安全管理標(biāo)準(zhǔn)，其中最具代表性的是ISO/ IEC聯(lián)合技術(shù)委員會頒發(fā)的ISO/IEC 13335、ISO/ IEC 27000等國際標(biāo)準(zhǔn)。我國采用ISO/IEC 27001：2005《信息安全管理體系要求》、ISO/IEC 17799：2005《信息安全管理實用規(guī)則》、ISO/IEC 15408：1999《IT安全評估準(zhǔn)則》和SSE-CMM《系統(tǒng)安全工程能力成熟度模型》等國際標(biāo)準(zhǔn)，制定了GB 17895—1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》、GB/T 18336—2001《信息技術(shù)安全性評估準(zhǔn)則》和GB/T 20269—2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》等一批信息安全管理的國家標(biāo)準(zhǔn)。同時，還制定頒布了《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《計算機病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《電子簽名法》等一系列信息安全管理法律法規(guī)。

2.2 鐵路信息安全管理概況

鐵路信息化經(jīng)過近30年的建設(shè)，已經(jīng)初具規(guī)模。特別是近年來，TMIS,ATIS，列車運行控制，集裝箱、統(tǒng)計、工務(wù)、機務(wù)和物資等信息管理系統(tǒng)相繼建成，鐵路客票系統(tǒng)、調(diào)度管理系統(tǒng)和辦公自動化系統(tǒng)等也在鐵路各個部門全面推廣應(yīng)用。中國鐵路總公司成立后，不斷加大在網(wǎng)絡(luò)和信息安全方面的管理力度，啟動了鐵路信息安全管理體系建設(shè)試點工作，對試點單位進行風(fēng)險評估，確定風(fēng)險源，將其作為今后進一步制定信息安全管理策略的依據(jù)；確定了研究鐵路網(wǎng)絡(luò)與信息安全統(tǒng)一平臺、強化網(wǎng)絡(luò)安全、災(zāi)難備份技術(shù)和開發(fā)各業(yè)務(wù)子系統(tǒng)及其安全保障技術(shù)等一系列部署，標(biāo)志著鐵路信息安全管理工作進入全新發(fā)展階段。

2.3 鐵路信息安全目前存在的問題

一是鐵路信息系統(tǒng)根據(jù)鐵路運輸生產(chǎn)需要建立，大多各自獨立，存在信息安全管理基礎(chǔ)平臺不統(tǒng)一、資源難以共享、無法整體監(jiān)控管理等缺陷。

二是鐵路信息系統(tǒng)所涉及的部門和專業(yè)范圍較廣，特別是高速的發(fā)展加速了鐵路信息化進程，各種形式信息應(yīng)用系統(tǒng)層出不窮，但信息安全管理卻缺乏統(tǒng)一有效的監(jiān)管。

三是不少鐵路單位尚沒有把握好安全與投資的均衡關(guān)系，對待信息安全往往采取“頭痛醫(yī)頭，腳痛醫(yī)腳”的辦法，沒有一整套行之有效的管理機制、法制措施和相應(yīng)的技術(shù)標(biāo)準(zhǔn)，導(dǎo)致信息系統(tǒng)存在各種不確定的安全因素和隱患。

四是隨著鐵路體制和機構(gòu)改革的不斷深入發(fā)展，基層站段整合，鐵路公安部門屬地化，以及通信、信息技術(shù)機構(gòu)建制變更，在一定程度上導(dǎo)致了信息安全管理職能、分工界定不清，監(jiān)管和執(zhí)行的有效性、協(xié)調(diào)性不強。

3 鐵路信息安全管理體系的探討

3.1 鐵路信息安全管理模型

鐵路信息安全管理體系是鐵路系統(tǒng)組織、實施和監(jiān)督信息安全工作的一個不可缺失的重要基礎(chǔ)，也是鐵路運輸生產(chǎn)安全管理工作的一個重要組成部分。鐵路信息安全管理體系模型則是鐵路信息安全管理體系的具體化表述，一般情況下，鐵路信息安全管理體系模型可視為整個鐵路系統(tǒng)對信息化所采取的安全策略，并通過相關(guān)部門或機構(gòu)加以強制實施，以達到檢驗安全策略完整性和一致性的目的。實踐證明，鐵路信息安全管理是一個長期持續(xù)發(fā)展的過程，像質(zhì)量管理等其他領(lǐng)域管理一樣，它也適用于為人們所熟知的堪稱成熟有效的循環(huán)模型，即PDCA的4個循環(huán)階段的運行模式，如圖1所示。

3.1.1 計劃階段(Plan Step)

信息安全管理的準(zhǔn)備階段，為后續(xù)活動提供基礎(chǔ)和依據(jù)。其中包括建立組織機構(gòu)，明晰責(zé)任，確定安全目標(biāo)、戰(zhàn)略和策略，進行風(fēng)險評估和選擇安全措施，并在明確安全需求基礎(chǔ)上制定安全計劃、業(yè)務(wù)連續(xù)性計劃、安全意識培訓(xùn)計劃等程序。

3.1.2 實施階段(Do Step)

實現(xiàn)計劃階段所確定的各個目標(biāo)的過程，包括安全策略、安全措施或控制手段、安全意識培訓(xùn)等活動。

3.1.3 檢查階段(Check Step)

通過監(jiān)視、審計、復(fù)查、評估等手段進行檢查的過程，檢查內(nèi)容包括安全策略、目標(biāo)、程序以及標(biāo)準(zhǔn)、法律法規(guī)和實踐經(jīng)驗，其結(jié)果作為進一步采取措施的依據(jù)。

3.1.4 改進階段(Action Step)

對不能滿足計劃階段所確定的目標(biāo)、發(fā)生意外事件或某些因素引起的變化，采取應(yīng)對措施進行改進的過程。必要時，可進入新的一輪信息安全管理周期，以便持續(xù)改進和發(fā)展鐵路信息安全。

3.2 鐵路信息安全保障模型

鐵路信息系統(tǒng)可能面臨來自各種網(wǎng)絡(luò)層面的攻擊，常見的威脅包括：身份竊聽、偽裝、回放攻擊、數(shù)據(jù)竊聽、操縱、病毒、拒絕服務(wù)、惡意的移動代碼等。內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、大量的分布式C/S系統(tǒng)和Web服務(wù)增加了保護鐵路信息資源的風(fēng)險。要防止這些威脅帶來危害，克服傳統(tǒng)信息系統(tǒng)在安全防護上的局限性，需要加固增強系統(tǒng)，具備保密、完整、可用、可控、不可否認(rèn)性，其模型如圖2所示。

圖2 鐵路信息安全管理保障模型

3.3 鐵路信息安全管理體系建設(shè)的思考

中國鐵路總公司把建設(shè)健全鐵路信息安全管理體系納入現(xiàn)代化鐵路建設(shè)范疇是必要的、合理的。開展鐵路信息安全管理體系建設(shè)，應(yīng)注意下列方面的問題：

一要注重實用性。由于文化背景的不同，管理方法和模式也有所不同，不能盲目照搬照抄國外模式。國外鐵路信息系統(tǒng)的風(fēng)險管理與安全評估力求規(guī)范、完整。例如，泛歐鐵路的軟件開發(fā)和信息系統(tǒng)的管理規(guī)范，不僅內(nèi)容十分全面完整，而且流程非常周密詳盡。我國鐵路信息系統(tǒng)也有獨特有效的安全風(fēng)險管理方法，如針對重點安全問題進行有明確目標(biāo)的安全檢查，方法簡單實用，對及時處理既有網(wǎng)絡(luò)信息安全問題較為有效。有必要學(xué)習(xí)借鑒國內(nèi)外標(biāo)準(zhǔn)、規(guī)范和實踐經(jīng)驗，創(chuàng)建一套符合我國鐵路特色的信息安全管理和評估的標(biāo)準(zhǔn)體系和方法。

二要注重效率性。鐵路信息安全風(fēng)險管理與安全評估工作，以往都是按照相關(guān)辦法和規(guī)范對所有項目進行人工核查，不僅工作量大、效率低，而且過于煩瑣，核查成本也比較高，在一定程度上影響了信息安全風(fēng)險管理與安全評估工作的順利開展，降低了可行性和有效性。因此，有必要在信息安全風(fēng)險管理與安全評估實際操作過程中采用現(xiàn)代化的信息技術(shù)手段。例如，開發(fā)專用核查和評估軟件，建立專用數(shù)據(jù)庫和知識庫，使用各種輔助軟件工具，提高核查和評估的工作效率，增強可靠性和有效性，降低人為因素的影響。

三要注重整體性。鐵路信息安全必須整體把握，而不是僅僅注重單項產(chǎn)品。以往不少鐵路單位和部門，為信息項目采用某個廠商推薦的安全產(chǎn)品，如某品牌的防火墻、入侵防御系統(tǒng)（IPS）、安全認(rèn)證體系等。實踐證明，如果不從總體上考慮和設(shè)計鐵路信息安全系統(tǒng)，就事論事的局部性工程最終會推倒重來，造成不必要的浪費。

4 鐵路信息安全管理體系創(chuàng)建方法

鐵路信息安全管理體系是一個系統(tǒng)化、程序化和文件化的管理體系，它的建立應(yīng)基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估之上，體現(xiàn)預(yù)防控制為主的導(dǎo)向，應(yīng)符合法制性、持續(xù)性、完整性、過程性、動態(tài)性和合理性等原則。建設(shè)鐵路信息安全管理體系涉及面廣、內(nèi)容繁雜、規(guī)模大、投資多，不可能一蹴而就。不同業(yè)務(wù)性質(zhì)單位或部門應(yīng)根據(jù)自身信息系統(tǒng)的運用特點和具體情況，采取不同的步驟和方法，以達到既符合鐵路信息系統(tǒng)整體安全要求，又適應(yīng)自身信息運用的技術(shù)要求。建立信息安全管理體系的基本步驟和方法如下：

1）確定信息安全管理體系的適用范圍，即需要重點管理的安全領(lǐng)域，既可以覆蓋整個系統(tǒng)、單位，也可以局限于某個部門。同時，做好教育培訓(xùn)、計劃擬訂、信息安全管理現(xiàn)狀調(diào)研，以及人財物的配置和管理。

2）進行信息安全管理現(xiàn)狀調(diào)查與風(fēng)險評估，依據(jù)有關(guān)信息安全技術(shù)和管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息進行保密性、完整性和可用性等安全屬性的調(diào)研和評價，包括對安全威脅、安全事故發(fā)生的可能性，以及發(fā)生安全問題會造成的后果損失。

3）建立信息安全管理框架，從整體和全局的視角出發(fā)，對信息系統(tǒng)所有層面進行安全規(guī)劃，且根據(jù)業(yè)務(wù)性質(zhì)、組織特征、信息資產(chǎn)狀況和技術(shù)條件建立信息資產(chǎn)清單，通過風(fēng)險分析、需求分析和選擇安全控制技術(shù)，確定安全體系和安全解決方案。

4）按照ISO/IEC 27001：2005標(biāo)準(zhǔn)的總體要求，編寫信息安全管理體系文件，包括安全方針、適用范圍、風(fēng)險評估、實施與控制、適用性聲明等文檔資料。

5）實施信息安全管理體系運行和改進工作，即按照體系文件的控制要求進行審核、批準(zhǔn)、發(fā)布和實施，正式進入運行階段，充分發(fā)揮體系功能，及時發(fā)現(xiàn)存在的問題，找出問題根源并采取糾正措施，按照PDCA模型進一步完善體系。

6）實施信息安全管理體系的審核工作，即開展體系評價以獲得審核證據(jù)，用來判斷信息安全管理體系的有效性，包括內(nèi)部審核和外部審核(第三方審核)兩種形式，內(nèi)部審核由單位自行組織進行合格檢查，外部審核由具備認(rèn)證資質(zhì)的獨立機構(gòu)進行。

5 結(jié)語

目前，一些鐵路單位將創(chuàng)建信息安全管理體系作為鐵路信息化建設(shè)的重點任務(wù)之一，并開展了研究測試工作，為形成完備的鐵路信息安全標(biāo)準(zhǔn)體系進行了有益探索，但還存在著一些不足，主要表現(xiàn)在：缺乏權(quán)威、統(tǒng)一和專門的組織、規(guī)劃、管理、協(xié)調(diào)機構(gòu)；信息安全管理與信息系統(tǒng)建設(shè)不同步、不匹配，后期安全管理工作處于被動狀態(tài)的情況未能從根本上得到解決；大部分信息安全管理建設(shè)還在采取被動解決方案，缺乏科學(xué)、全面的技術(shù)規(guī)劃。鐵路各級信息管理部門只有高度重視這些問題，并從基礎(chǔ)管理入手，建立起一套行之有效的標(biāo)準(zhǔn)體系，科學(xué)分析信息安全風(fēng)險和威脅，加強預(yù)警和應(yīng)急處置，才能實現(xiàn)信息系統(tǒng)規(guī)范、安全的運用。

[1]Christopher M King,Curtis E Dalton,T Ertem Osmanoglu.安全體系結(jié)構(gòu)的設(shè)計部署與操作[M].常曉波,楊劍峰,譯.北京：清華大學(xué)出版社, 2003

[2]范建華,薛巖龍.基于業(yè)務(wù)的信息安全等級保護風(fēng)險評估方法[J].計算機與數(shù)字工程，2010,38(3)：112-115

[3]姜勇,田正山.淺析供電企業(yè)信息安全防護體系建設(shè)[J].機電信息，2011(6)：4-5

[4]葉年發(fā).水利網(wǎng)絡(luò)與信息安全防護體系研究[J].甘肅水利水電技術(shù),2011,47(1)：35-37

[5]謝宗曉.信息安全管理體系應(yīng)用手冊[M].北京：中國標(biāo)準(zhǔn)出版社, 2008

[6]魏軍.信息安全管理體系審核指南[M].北京：中國標(biāo)準(zhǔn)出版社,2012

[7]臧鑫.鐵路信息安全管理研究[J].鐵道經(jīng)濟研究，2014（5）：22-25，46

（責(zé)任編輯：魏艷紅）

Establishing and improving the standard system for railway information securitymanagement is very important. Starting from the current situation of railway information securitymanagement,on the basis of expounding and analyzing the standardization of information security at home and abroad,this article proposes the path of railway information securitymanagement standard system construction.

railway system;information;security;standard system

A

1004-9746（2014）06-0033-04

2014-10-25）