祝詠升

（中國鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所， 北京 100081）

鐵路信息系統(tǒng)等級保護(hù)測評工作模式探討

祝詠升

（中國鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所， 北京 100081）

針對我國鐵路行業(yè)等級保護(hù)測評工作中缺乏統(tǒng)一的評判標(biāo)準(zhǔn)和專業(yè)評測機(jī)構(gòu)，測評工作缺乏行之有效的常態(tài)化管理機(jī)制等現(xiàn)狀，結(jié)合其它行業(yè)等級保護(hù)測評工作模式對鐵路信息系統(tǒng)等級保護(hù)測評工作模式展開研究和探討，分析等級保護(hù)自查和等級測評的作用及工作內(nèi)容，并將切實(shí)有效推進(jìn)等級保護(hù)工作的開展，促使等級保護(hù)測評工作常態(tài)化。

等級保護(hù)自查；等級保護(hù)測評；測評工作模式

《信息安全等級保護(hù)管理辦法》（公通字[2007]43號，以下簡稱《管理辦法》）第十四條規(guī)定，信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇規(guī)定條件的測評機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第3級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第4級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評。同時(shí)，信息系統(tǒng)運(yùn)營、使用單位及其主管部門也應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第3級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第4級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查。

本文將探討如何將等級保護(hù)自查和等級保護(hù)測評工作有效結(jié)合，實(shí)現(xiàn)鐵路信息系統(tǒng)等級保護(hù)測評工作的常態(tài)化發(fā)展。

在鐵路行業(yè)推進(jìn)等級保護(hù)測評工作的有序和高效開展，首要工作是制定并落實(shí)各項(xiàng)等級保護(hù)測評制度，其次，要組織人員編制《鐵路信息系統(tǒng)等保測評指標(biāo)體系》（簡稱“指標(biāo)體系”）及《鐵路信息系統(tǒng)等級保護(hù)測評作業(yè)指導(dǎo)手冊》（簡稱“測評指導(dǎo)手冊”）作為開展等級保護(hù)測評的指導(dǎo)性文件，需要在全路范圍內(nèi)組織定期或不定期開展等級保護(hù)自查及風(fēng)險(xiǎn)評估活動，為等級保護(hù)測評提供參考依據(jù)。

1 等級保護(hù)自查工作模式

（1）要加強(qiáng)鐵路局及車站相關(guān)單位運(yùn)維人員的專業(yè)水平，不斷增強(qiáng)信息安全意識；（2）要規(guī)范化地推進(jìn)等級保護(hù)自查工作，并結(jié)合自查結(jié)果統(tǒng)一規(guī)劃，客觀對待已有的系統(tǒng)脆弱性并進(jìn)行持續(xù)的系統(tǒng)整改。

1.1 等級保護(hù)自查的作用

信息系統(tǒng)等級保護(hù)安全自查一般要在第三方等級保護(hù)測評開展之前進(jìn)行，且主要針對系統(tǒng)的安全保護(hù)制度落實(shí)情況、業(yè)務(wù)安全和網(wǎng)絡(luò)安全現(xiàn)狀開展自查。等級保護(hù)自查工作可以由鐵路局信息化處牽頭邀請測評單位和系統(tǒng)安全運(yùn)維人員組成，從而能盡量保證提交第三方測評機(jī)構(gòu)進(jìn)行等級測評時(shí)，系統(tǒng)的等級符合性更趨接近，且第三方測評機(jī)構(gòu)依據(jù)系統(tǒng)自查結(jié)果也更能準(zhǔn)確定位系統(tǒng)不符合項(xiàng)。

首先，針對系統(tǒng)的安全設(shè)計(jì)方案要進(jìn)行合理性分析和自查，以發(fā)現(xiàn)系統(tǒng)與等級保護(hù)要求之間的差距，通過差距分析制定合理有效的整改方案并實(shí)施整改，從而滿足信息系統(tǒng)等級保護(hù)要求。其次，完成系統(tǒng)等級保護(hù)自查和初步整改后，可以申請有資質(zhì)的第三方測評機(jī)構(gòu)開展等級符合性測評，把第三方測評機(jī)構(gòu)提交的測試結(jié)果與自查結(jié)果進(jìn)行分析比對，對不符合項(xiàng)進(jìn)行再次整改，并開展新一輪自查及自測后，再申請第三方測評，周而復(fù)始，直至系統(tǒng)滿足等級保護(hù)要求及設(shè)計(jì)要求。

信息系統(tǒng)投入運(yùn)營使用之后，如果系統(tǒng)運(yùn)營使用超過一年，則應(yīng)當(dāng)根據(jù)系統(tǒng)使用現(xiàn)狀及使用中發(fā)生的信息安全事件，對系統(tǒng)進(jìn)行內(nèi)部信息安全自查、自測，確認(rèn)系統(tǒng)是否有必要進(jìn)行等級變更并向上級管理部門提交變更申請；或者系統(tǒng)進(jìn)行了大規(guī)模軟件升級、變更關(guān)鍵主機(jī)或網(wǎng)絡(luò)設(shè)備及配置，應(yīng)再次向測評機(jī)構(gòu)申請等級測評，而第三方測評機(jī)構(gòu)應(yīng)根據(jù)系統(tǒng)最新定級情況，開展系統(tǒng)的等級測評，出具最新等級測評報(bào)告。

1.2 等級保護(hù)自查工作內(nèi)容

首先，在企業(yè)內(nèi)部要根據(jù)系統(tǒng)的安全級別，不定期開展系統(tǒng)網(wǎng)絡(luò)及應(yīng)用安全專項(xiàng)自查，及時(shí)發(fā)現(xiàn)并完善系統(tǒng)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和終端設(shè)備等層面的安全策略配置、安全防范措施、保密和審計(jì)策略方面的不足，在不斷的信息安全自查和安全加固工作之后，系統(tǒng)的信息安全保護(hù)等級就越接近系統(tǒng)實(shí)際定級要求，進(jìn)而，依據(jù)等級保護(hù)測評要求，企業(yè)內(nèi)部人員再進(jìn)行針對性的對系統(tǒng)等級開展符合性自查，初步掌握系統(tǒng)的安全防范手段與實(shí)際等級之間的差距。信息系統(tǒng)等級保護(hù)自查主要內(nèi)容如下：

1.2.1 信息安全管理情況

包括信息安全管理制度制定及落實(shí)情況、組織領(lǐng)導(dǎo)和工作部署情況，安全管理人員安全培訓(xùn)及安全責(zé)任落實(shí)情況，系統(tǒng)安全建設(shè)及運(yùn)行維護(hù)管理落實(shí)情況等。

1.2.2 網(wǎng)絡(luò)安全防護(hù)情況

主要檢查系統(tǒng)網(wǎng)絡(luò)架構(gòu)和技術(shù)防護(hù)體系的建立情況；網(wǎng)絡(luò)邊界防護(hù)措施，不同網(wǎng)絡(luò)或信息系統(tǒng)之間安全隔離措施，互聯(lián)網(wǎng)接入安全防護(hù)措施，安全防護(hù)策略等；服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等安全策略配置及有效性等。

1.2.3 系統(tǒng)業(yè)務(wù)安全情況

主要檢查應(yīng)用系統(tǒng)及對外服務(wù)網(wǎng)站是否存在明顯的SQL注入、跨站腳本、緩沖區(qū)溢出、弱口令等漏洞；運(yùn)行系統(tǒng)業(yè)務(wù)的終端及主機(jī)操作系統(tǒng)補(bǔ)丁安裝、應(yīng)用程序補(bǔ)丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、端口開放情況、系統(tǒng)管理權(quán)限開放情況、訪問權(quán)限開放情況、網(wǎng)頁篡改等情況；應(yīng)用系統(tǒng)安全功能配置及有效性；重要數(shù)據(jù)傳輸、存儲的安全防護(hù)措施等。

2 等級保護(hù)測評工作模式

按照等級保護(hù)要求完成信息系統(tǒng)安全建設(shè)之后，由具有相關(guān)資質(zhì)、獨(dú)立的第三方測評機(jī)構(gòu)通過等級測評判定信息系統(tǒng)是否按照預(yù)先設(shè)定的安全模式運(yùn)行，安全控制措施是否得到合理的應(yīng)用，信息系統(tǒng)是否達(dá)到相關(guān)標(biāo)準(zhǔn)的要求，是否具備相應(yīng)等級的安全防護(hù)能力等。

2.1 等級保護(hù)測評的作用

信息系統(tǒng)等級保護(hù)全生命周期包括系統(tǒng)定級備案、規(guī)劃設(shè)計(jì)、建設(shè)實(shí)施、運(yùn)維管理、系統(tǒng)廢止幾個(gè)關(guān)鍵階段。鐵路行業(yè)對已經(jīng)確定安全保護(hù)等級的系統(tǒng)，應(yīng)適時(shí)根據(jù)信息技術(shù)發(fā)展，對不同等級系統(tǒng)在技術(shù)和管理兩個(gè)方面10個(gè)部分制定適合行業(yè)特色及系統(tǒng)業(yè)務(wù)特點(diǎn)的安全基本要求，在安全基本要求之上，構(gòu)建符合系統(tǒng)相應(yīng)等級的安全保護(hù)體系，達(dá)到了一個(gè)基本的安全狀態(tài)。這個(gè)安全狀態(tài)是等級保護(hù)的核心，已經(jīng)確定安全保護(hù)等級的系統(tǒng)是否滿足基本要求是需要通過信息安全等級測評來判斷的。

鐵路信息系統(tǒng)安全等級測評不同于一般的安全檢測和風(fēng)險(xiǎn)評估活動，等級測評活動的完成首先是依據(jù)系統(tǒng)安全保護(hù)等級和該級別系統(tǒng)的基本保護(hù)要求；同時(shí)還需要測評人員具有把握國家及鐵路行業(yè)政策，理解和掌握相關(guān)技術(shù)標(biāo)準(zhǔn)，熟悉等級測評的方法、流程和工作規(guī)范等方面的能力及知識；最為重要的是等級測評的結(jié)果將是鐵路總公司信息安全監(jiān)督管理部門依法行政管理的技術(shù)依據(jù)。因此等級測評活動是一項(xiàng)政策性很強(qiáng)和技術(shù)專業(yè)化的信息安全服務(wù)。

由此可見，鐵路行業(yè)信息安全等級測評是開展信息安全等級保護(hù)工作的重要環(huán)節(jié)，是在鐵路安全生產(chǎn)及安全管理模式下的技術(shù)支撐服務(wù)活動，和純粹的商業(yè)化評估有明顯的區(qū)別。信息安全等級測評首先要滿足國家管理需要，其次要符合行業(yè)發(fā)展需要，采取市場化的運(yùn)作模式有序開展。（1）可以掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；（2）衡量信息系統(tǒng)的安全保護(hù)管理措施和技術(shù)措施是否符合等級保護(hù)基本要求，是否具備了相應(yīng)的安全保護(hù)能力，未達(dá)到相應(yīng)等級的基本安全保護(hù)能力的信息系統(tǒng)，其運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)等級測評報(bào)告，制定方案進(jìn)行整改，盡快達(dá)到相應(yīng)等級的安全保護(hù)能力。

2.2 等級保護(hù)測評的工作內(nèi)容

通過等級測評判定信息系統(tǒng)是否按照預(yù)先設(shè)定的安全模式運(yùn)行，安全控制措施是否得到合理的應(yīng)用，信息系統(tǒng)是否達(dá)到相關(guān)標(biāo)準(zhǔn)的要求，是否具備相應(yīng)等級的安全防護(hù)能力等。等級保護(hù)測評圍繞以下4方面開展工作：

2.2.1 信息收集與分析

信息收集與分析是開展現(xiàn)場測評工作的前提和基礎(chǔ)，主要包括被測單位的各種方針文件、規(guī)章制度及相關(guān)過程管理記錄、被測系統(tǒng)總體描述文件、被測系統(tǒng)詳細(xì)描述文件、被測系統(tǒng)安全保護(hù)等級定級報(bào)告、安全需求分析報(bào)告、被測系統(tǒng)安全總體方案、安全現(xiàn)狀評價(jià)報(bào)告、被測系統(tǒng)安全詳細(xì)設(shè)計(jì)方案、用戶指南、運(yùn)行步驟、網(wǎng)絡(luò)拓?fù)鋱D、配置管理文檔、服務(wù)器配置等相關(guān)資產(chǎn)信息。信息收集完成后，還需要對采集的信息進(jìn)行分析、綜合、整理，篩除無效信息，留取有效的足量信息。

2.2.2 等級符合性測評

按照《指標(biāo)體系》的要求及《測評指導(dǎo)手冊》的方法和流程，對系統(tǒng)的物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、管理安全等多個(gè)維度逐項(xiàng)測評指標(biāo)進(jìn)行符合性測評，并進(jìn)行差距分析，定位系統(tǒng)與等級保護(hù)標(biāo)準(zhǔn)之間的差距。

2.2.3 測評結(jié)果分析驗(yàn)證

針對等級測評的結(jié)果進(jìn)行有效性驗(yàn)證，使運(yùn)營使用單位更清晰了解系統(tǒng)的安全現(xiàn)狀與差距，便于安全整改工作的進(jìn)行。主要包括對系統(tǒng)進(jìn)行漏洞掃描和滲透性測試。

2.2.4 測評結(jié)果的綜合評定

等級保護(hù)評測結(jié)果反映了信息系統(tǒng)與等級保護(hù)要求之間的差距。不同信息系統(tǒng)的關(guān)注點(diǎn)不同，使得各個(gè)測評項(xiàng)在不同信息系統(tǒng)測評結(jié)果中作用不盡相同，在對信息系統(tǒng)測評項(xiàng)統(tǒng)計(jì)分析的基礎(chǔ)上，首先確定各測評指標(biāo)的重要程度以確定測評項(xiàng)的指標(biāo)權(quán)重，再依據(jù)等級測評結(jié)果確定安全指標(biāo)得分，根據(jù)指標(biāo)權(quán)重和指標(biāo)分值計(jì)算出信息系統(tǒng)最終的綜合評價(jià)值。

3 結(jié)束語

中國鐵路總公司運(yùn)輸局下設(shè)的信息化部分管全路的信息安全監(jiān)督和管理工作，各鐵路局下設(shè)信息化處分管信息系統(tǒng)安全建設(shè)和運(yùn)維工作。鐵路行業(yè)開展信息系統(tǒng)等級保護(hù)測評，則需要在安全組織管理方面，建立并逐步健全一套自上而下的安全組織，成立鐵路信息系統(tǒng)等級保護(hù)工作管理領(lǐng)導(dǎo)機(jī)構(gòu)，作為信息安全管理的常設(shè)組織，從運(yùn)營使用單位中抽調(diào)適量專業(yè)人員開展系統(tǒng)等級保護(hù)測評專項(xiàng)培訓(xùn)，使運(yùn)維人員在了解等級保護(hù)工作重要性，熟悉與掌握等級保護(hù)自查的基本流程與方法，使自查工作與第三方等級測評工作有機(jī)結(jié)合，這樣各單位的信息安全等級保護(hù)工作才能進(jìn)入螺旋狀上升的良性循環(huán)。

[1]徐 銳.淺談金融業(yè)信息系統(tǒng)等級保護(hù)工作的常態(tài)化[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（1）：179-180.

[2]朱世順，陳雪鴻.淺談行業(yè)測評機(jī)構(gòu)在等級保護(hù)工作中的作用[J].信息網(wǎng)絡(luò)安全，2012（S）：78-79.

[3]朱建平.等級測評如何在等級保護(hù)工作中發(fā)揮更大作用[J].信息網(wǎng)絡(luò)安全，2011（S）：55-57.

[4]張 昊，黃曉昆.信息安全等級保護(hù)測評工作實(shí)踐與探討[J].信息網(wǎng)絡(luò)安全，2012（z1）：32-34.

[5]肖國煜.信息系統(tǒng)等級保護(hù)測評實(shí)踐[J]. 信息網(wǎng)絡(luò)安全，2011（7）：86-88.

責(zé)任編輯 徐侃春

Working mode of level protection evaluation for Railway Information System

ZHU Yongsheng
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

In view of lack of uniform evaluation standard and professional assessment organization for level protection evaluation in railway industry, and lack of effective normalized management mechanism, the paper researched and discussed on the working mode of level protection evaluation for Railway Information System based on other industries, analyzed the function and contents about level protection self-inspection and level evaluation, pushed on the development of level protection work, precipitated the normalization of evaluation work.

level protection self-inspection; level protection evaluation; evaluation working mode

U29-39

A

1005-8451（2015）02-0045-03

2014-10-08

祝詠升，助理研究員。