司 群，田 文，陳 彤

（1.中國鐵道科學(xué)研究院集團有限公司 電子計算技術(shù)研究所，北京 100081；2.中國鐵路太原局集團有限公司 科技和信息化部，太原 030027）

國家法律法規(guī)明確要求對于交通、能源等重要行業(yè)和領(lǐng)域的國家關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)實施重點保護[1]。鐵路作為交通行業(yè)的重要組成部分，其重要系統(tǒng)被納入到國家的網(wǎng)絡(luò)安全重點防護范圍，每年需配合國家互聯(lián)網(wǎng)信息辦公室、公安部等部門開展安全風(fēng)險評估、等級保護測試、攻防演練等工作，遇到重要國事活動，也需對相關(guān)地區(qū)的鐵路局集團有限公司范圍內(nèi)重要系統(tǒng)開展有針對性的網(wǎng)絡(luò)安全檢查。

當前，中國國家鐵路集團有限公司（簡稱：國鐵集團）在貫徹國家網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)、加強鐵路系統(tǒng)安全防護方面開展安全檢查和測試工作，但是同一時期針對不同部門的要求，對同一系統(tǒng)可能會開展等保測評、風(fēng)險評估、安全檢查等不同類型的安全測評工作。另外，除等級保護測評可依據(jù)國家標準開展相關(guān)工作外，安全檢查和風(fēng)險評估工作的檢查范圍、內(nèi)容、流程、指標和方法沒有統(tǒng)一的標準，各測評機構(gòu)掌握的尺度不一致，給安全評判工作帶來不確定性。所以，研究提出了鐵路三位一體網(wǎng)絡(luò)安全檢測方法，從測評內(nèi)容、測評方法、測評指標及測評流程幾個方面梳理關(guān)鍵檢測技術(shù)。

1 鐵路三位一體網(wǎng)絡(luò)安全測評體系概述

1.1 典型鐵路測評工作介紹

（1）鐵路網(wǎng)絡(luò)安全等級保護測評工作是為了梳理鐵路各部門系統(tǒng)重要程度和系統(tǒng)安全保護措施是否合規(guī)，結(jié)合等級保護2.0對系統(tǒng)開展合規(guī)性驗證；

（2）鐵路風(fēng)險評估測評工作是為了評估系統(tǒng)整體安全風(fēng)險，結(jié)合風(fēng)險評估標準對系統(tǒng)資產(chǎn)存在的脆弱點、面臨的威脅和存在的安全風(fēng)險進行定量和定性的認識；

（3）鐵路安全檢查工作是為了全面了解鐵路各單位網(wǎng)絡(luò)安全總體狀況和網(wǎng)絡(luò)安全工作落實情況。

3類安全檢測工作在測評目的、測評對象選擇、測評內(nèi)容、測評流程和數(shù)據(jù)采集等方面存在著較多的一致性和關(guān)聯(lián)性[2]，總結(jié)如下。

（1）測評目的：均是為了發(fā)現(xiàn)鐵路系統(tǒng)存在的安全隱患和面臨的安全威脅，及時掌握系統(tǒng)安全狀況，修復(fù)漏洞，降低安全風(fēng)險，確保系統(tǒng)平穩(wěn)運行。

（2）測評對象選擇：均應(yīng)覆蓋機房物理環(huán)境、網(wǎng)絡(luò)/安全設(shè)備、主機設(shè)備、業(yè)務(wù)系統(tǒng)/網(wǎng)站、各類數(shù)據(jù)、管理制度規(guī)范、安全人員等方面。

（3）測評內(nèi)容：圍繞系統(tǒng)資產(chǎn)開展檢查和測評，測評內(nèi)容包括技術(shù)安全測評和管理安全檢查兩方面。技術(shù)安全檢測主要包含物理環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全、安全管理中心和工具測試；安全管理測評主要包含安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理方面內(nèi)容[3-4]。

（4）測評流程：均可分為測評準備、方案編制、現(xiàn)場實施、數(shù)據(jù)分析和報告編制4個階段[5]。測評準備包括組建項目實施團隊，開展系統(tǒng)資產(chǎn)調(diào)研；方案編制包括確定測評依據(jù)、測評內(nèi)容和測評范圍，編纂測評方案、進度計劃，調(diào)試檢測工具；現(xiàn)場實施包括對被測評對象進行物理、網(wǎng)絡(luò)、設(shè)備、應(yīng)用、數(shù)據(jù)和管理等方面的安全檢查，識別資產(chǎn)存在的脆弱點和可能面臨的安全威脅，梳理已有安全防護措施，記錄現(xiàn)場檢測結(jié)果；報告編制包括對現(xiàn)場采集證據(jù)數(shù)據(jù)和測評結(jié)果進行整理分析，通過等保測評結(jié)論判定或風(fēng)險分析模型計算，給出測評結(jié)論，編制3類測評報告。

（5）數(shù)據(jù)采集：都可通過漏洞掃描、滲透測試、配置核查等方法和測試工具采集測試數(shù)據(jù)。

1.2 鐵路三位一體網(wǎng)絡(luò)安全測評體系

盡管等級測評、風(fēng)險評估和安全檢查3類測評方法之間保持一致性，但其在分析方法和結(jié)果輸出方面卻存在差異性。

（1）等級測評需要對每個測評對象進行單元測評項分析和整體測評分析，并對被測系統(tǒng)做出安全等級的符合性評價，輸出等級測評報告。

（2）風(fēng)險評估需要結(jié)合測評結(jié)果對資產(chǎn)賦值、脆弱性賦值、威脅的賦值，依據(jù)風(fēng)險計算模型計算風(fēng)險值，判定風(fēng)險等級，對風(fēng)險進行評價并輸出風(fēng)險評估報告[6]。

（3）安全檢查是根據(jù)對抽測對象的檢查結(jié)果，分析被查單位的網(wǎng)絡(luò)安全現(xiàn)狀，發(fā)現(xiàn)單位存在的安全問題，確認單位網(wǎng)絡(luò)安全措施落實情況，輸出安全檢查報告。

通過上述分析，等級測評、風(fēng)險評估和安全檢查3類測評方法既有共性，又存在差異。所以，需要融合以上3類測評方法，形成三位一體測評方法，從其共性出發(fā)，結(jié)合各自特征，實現(xiàn)通過開展一次性采集數(shù)據(jù)，同步完成等級測評、風(fēng)險評估和安全檢查不同類檢測報告輸出的目標。

2 建立鐵路三位一體網(wǎng)絡(luò)安全體測評指標庫

2.1 測評指標庫結(jié)構(gòu)介紹

本文提出建立鐵路網(wǎng)絡(luò)安全測評指標庫，指標庫包括通用指標和專用指標，其中，通用指標是按照等級保護2.0基本要求和測評要求梳理[1-2]，專用指標是針對鐵路典型重要系統(tǒng)如客票預(yù)訂與發(fā)售系統(tǒng)、貨運系統(tǒng)、運輸調(diào)度管理系統(tǒng)從系統(tǒng)業(yè)務(wù)應(yīng)用和日常運維人員關(guān)注安全方面梳理。主要指標層次結(jié)構(gòu)，如1圖所示。

2.2 通用指標

本文提出的通用指標主要的結(jié)構(gòu)是系統(tǒng)安全等級、安全層面、類別、一級指標、二級指標、關(guān)聯(lián)風(fēng)險組成，主要是參考網(wǎng)絡(luò)安全等級保護2.0基本要求、測評要求和風(fēng)險評估規(guī)范等國家相關(guān)網(wǎng)絡(luò)安全標準梳理的，其中，鐵路系統(tǒng)主要安全級別包括一級系統(tǒng)、二級系統(tǒng)、三級系統(tǒng)和四級系統(tǒng)，安全層面包括技術(shù)層面和管理層面。類別又分為安全通用要求、云安全擴展要求、移動互聯(lián)網(wǎng)安全擴展要求和物聯(lián)網(wǎng)安全擴展要求。

圖1 鐵路三位一體網(wǎng)絡(luò)安全測評指標庫層次結(jié)構(gòu)

2.2.1 技術(shù)類通用指標

技術(shù)類通用指標安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心5個技術(shù)層面，具體內(nèi)容，如圖2～圖6所示。

圖2 鐵路網(wǎng)絡(luò)安全檢測通用指標-安全物理環(huán)境

圖3 鐵路網(wǎng)絡(luò)安全檢測通用指標-安全通信網(wǎng)絡(luò)

圖4 鐵路網(wǎng)絡(luò)安全檢測通用指標-安全區(qū)域邊界

圖5 鐵路網(wǎng)絡(luò)安全檢測通用指標-安全計算環(huán)境

圖6 鐵路網(wǎng)絡(luò)安全檢測通用指標-安全管理中心

2.2.2 管理類通用指標

管理類通用指標包括安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理5個管理層面，具體內(nèi)容，如圖7～圖11所示。

圖7 鐵路網(wǎng)絡(luò)安全檢測通用指標-安全管理機構(gòu)

圖8 鐵路網(wǎng)絡(luò)安全檢測通用指標-安全管理制度

圖9 鐵路網(wǎng)絡(luò)安全檢測通用指標-安全管理人員

圖10 鐵路網(wǎng)絡(luò)安全檢測通用指標-安全建設(shè)管理

2.3 專用指標

2.3.1 專用指標概念提出

按照網(wǎng)絡(luò)安全風(fēng)險經(jīng)典理論闡述，網(wǎng)絡(luò)安全基本屬性即3要素包括完整性、保密性和可用性，為適應(yīng)業(yè)務(wù)需求的不斷發(fā)展變化和網(wǎng)絡(luò)技術(shù)的變遷，可靠性和不可抵賴性等網(wǎng)絡(luò)安全要求越來越廣泛。

（1）完整性是防止信息未經(jīng)授權(quán)被篡改的特性，重點要求保證信息在產(chǎn)生、存儲和傳輸過程中的原樣性。

（2）可用性是信息允許被授權(quán)實體訪問和按需求使用的特性，是系統(tǒng)面向用戶的安全要求，一般用系統(tǒng)正常使用時間和整個工作時間之比來度量。

（3）保密性是指防止重要數(shù)據(jù)信息非法泄露給非授權(quán)用戶或供其使用的特性[7]。

（4）可靠性是系統(tǒng)可以在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性，主要表現(xiàn)為抗毀性、生存性和有效性3方面。

圖11 鐵路網(wǎng)絡(luò)安全檢測通用指標-安全運維管理

（5）不可抵賴性，也可稱為不可否認性，主要是確認信息交互參與者身份是否真實可信，所有參與方均不可否認或抵賴已經(jīng)完成的操作和協(xié)議。采用數(shù)據(jù)源證據(jù)，為避免發(fā)信方否認已發(fā)送的消息；采用數(shù)據(jù)接收證據(jù)，為避免收信方否認已經(jīng)接收的消息。

根據(jù)以往開展的安全測評實踐經(jīng)驗，發(fā)現(xiàn)對于重要系統(tǒng)，單純按通用安全指標開展測試，往往不能滿足系統(tǒng)全面安全檢測需要，會遺漏系統(tǒng)某些方面的重要業(yè)務(wù)安全內(nèi)容，因此，對于鐵路重要的系統(tǒng)而言，需要從業(yè)務(wù)角度出發(fā)，按照保密性、完整性、可用性、可靠性、不可抵賴性等安全屬性，進一步梳理安全測評指標，形成專用指標。

2.3.2 典型鐵路系統(tǒng)專用指標研究

業(yè)務(wù)安全同業(yè)務(wù)本身具備的形態(tài)及其所提供的服務(wù)密不可分，業(yè)務(wù)安全最典型特征是個性化，因此，本文以鐵路運輸調(diào)度管理信息系統(tǒng)（TDMS）作為典型鐵路系統(tǒng)，從計劃、命令和調(diào)度3類典型業(yè)務(wù)研究，梳理出完整性、保密性、可用性3方面的專用指標，指標組成，如圖12所示。

圖12 鐵路三位一體網(wǎng)絡(luò)安全專用指標

3 測評指標庫要求及應(yīng)用

3.1 測評指標舉例說明

為了更好地開展鐵路三位一體網(wǎng)絡(luò)安全測評工作，梳理出以上測評指標庫，其中，通用指標庫中的二級指標及專用指標庫中的三級指標對于指導(dǎo)現(xiàn)場測試人員編制測評指導(dǎo)書和測評工作具有實際意義。以三級系統(tǒng)安全計算環(huán)境的云安全擴展要求為例，介紹測評指標庫的要求及內(nèi)容，并且分析出關(guān)聯(lián)的安全風(fēng)險，如表1所示。

3.2 測評應(yīng)用案例

參照以上梳理的通用指標進行現(xiàn)場測試時，比如需對云安全擴展要求的一級指標“訪問控制”開展現(xiàn)場測試和報告編寫時，可針對訪問控制的兩個要求項，梳理出3個二級指標，其中，要求項1包括“訪問控制策略遷移”“遷移記錄及配置”2個二級指標；要求項2包括“不同虛擬機間訪問控制策略”1個二級指標，可以清晰地了解和掌握基本要求項的關(guān)鍵測評關(guān)注點。以下分別從3類測評方法判定該“訪問控制”項的結(jié)果。

（1）按照等級保護測評要求，現(xiàn)場測試中，若二級指標全部滿足，則此測評項為符合[8]，符合程度為1分；全部不滿足，則此測評項為不符合，符合程度為0分；部分滿足，則此測評項為部分符合，符合程度為0.5分。根據(jù)等級保護測評結(jié)論計算系統(tǒng)最終得分，判定系統(tǒng)安全狀況和等級保護測評結(jié)論。

（2）按照風(fēng)險評估測評要求，二級指標若為符合，則進一步從中識別出系統(tǒng)已有的安全措施；若為部分符合和不符合，則結(jié)合系統(tǒng)面臨的安全風(fēng)險項，分析得出系統(tǒng)存在的脆弱點，此脆弱點和等級保護測評中梳理的安全問題相關(guān)聯(lián)，根據(jù)風(fēng)險評估模型或各類算法，對脆弱性進行賦值，結(jié)合資產(chǎn)從完整性、保密性和可用性賦值，以及威脅發(fā)生的頻率，計算系統(tǒng)安全風(fēng)險值，確定系統(tǒng)總體安全狀況[9-10]。

（3）從國鐵集團定期開展的安全檢查，檢查指標從本文中梳理的指標中進行抽選，結(jié)果判定為符合、部分符合和不符合3種情況，并結(jié)合工具測試和滲透測試的結(jié)果對系統(tǒng)進行整體評斷。

4 結(jié)束語

表1 三級系統(tǒng)安全計算環(huán)境通用指標-云安全擴展指標訪問控制內(nèi)容

鐵路作為國家關(guān)鍵信息基礎(chǔ)設(shè)施，其網(wǎng)絡(luò)安全重要性不言而喻，通過安全方案設(shè)計、安全建設(shè)整改、安全等級保護測評、風(fēng)險評估測評、安全檢查和安

全運維等各種手段保障系統(tǒng)安全穩(wěn)定運行。為了保證3類測評方法可以更高效、更客觀地反映系統(tǒng)安全狀況，本文提出建立三位一體網(wǎng)絡(luò)安全測評指標庫，包括通用指標和專用指標，通用指標涵蓋安全保護等級一級～四級的保護對象，保護對象包括信息系統(tǒng)、云計算平臺、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等鐵路重要系統(tǒng)和應(yīng)用，梳理出一級和二級指標。專用指標針對鐵路典型重要系統(tǒng)的業(yè)務(wù)，從完整性、保密性及可用性梳理出一級指標、二級指標和三級指標。通過指標的梳理，更好地開展現(xiàn)場測評工作，本文梳理的專用指標僅以運輸調(diào)度管理信息系統(tǒng)為例，還不具備廣泛性，需進一步梳理出其他系統(tǒng)的專用指標，并梳理三位一體測評實施流程，提出鐵路三位一體網(wǎng)絡(luò)安全測評實施指南建議。