劉國梁，姚洪磊，解辰輝，吳 若，曹祎杰

（1.中國鐵道科學研究院集團有限公司 科技和信息化部，北京 100081；2.中國鐵道科學研究院集團有限公司 電子計算技術(shù)研究所，北京 100081）

隨著信息化的發(fā)展，網(wǎng)絡(luò)技術(shù)在各行各業(yè)得到了廣泛應(yīng)用，隨之而來的是愈發(fā)嚴峻的安全隱患。國際上針對他國的網(wǎng)絡(luò)安全攻擊日趨激烈，給國家安全造成重大威脅，保護國家網(wǎng)絡(luò)安全已成為國際社會關(guān)注的焦點?；谏鲜銮闆r，迫切需要針對鐵路網(wǎng)絡(luò)安全檢查工作開展研究，為保障鐵路關(guān)鍵信息基礎(chǔ)設(shè)施穩(wěn)定運行創(chuàng)造必要條件。

現(xiàn)有網(wǎng)絡(luò)安全檢查方法有很多，包括故障樹分析法（ FTA，F(xiàn)ault Tree Analysis）[1-3]、卷積神經(jīng)網(wǎng)絡(luò)（CNN，Convolutional Neural Network）[4-6]、層次分析 法（AHP，Analytic Hierarchy Process）等[7-10]。安慧等人[3]將故障樹分析法運用在建筑施工風險評估中，分析高處墜落事故的相關(guān)風險及后果，該方法以事故為起始，通過因果關(guān)系逐層分析，其優(yōu)勢在于能夠分析出事故發(fā)生的直接原因，但其分析過程中的專家評判需要耗費大量人力和時間，且其指標權(quán)重具有一定的概率數(shù)據(jù)偏差；顏蔚[5]采用基于卷積神經(jīng)網(wǎng)絡(luò)模型的無線網(wǎng)絡(luò)安全風險評估方法評估無線網(wǎng)絡(luò)安全風險，以提高其評估準確性，其優(yōu)勢在于對于已訓練的模型能夠較快分析得到較為精準的結(jié)果，但其劣勢在于訓練過程需要大量數(shù)據(jù)資源，且對位置和尺度敏感，當評判指標發(fā)生改變后需要重新耗費大量資源訓練其權(quán)重；郭琳等人[7]利用AHP 計算網(wǎng)絡(luò)態(tài)勢評估中攻擊類型的影響權(quán)重，分別通過對準則層和指標層構(gòu)建判斷矩陣以計算各指標的最終權(quán)重，相比之下，通過該方法進行網(wǎng)絡(luò)安全檢查分析可以較好地規(guī)避上述2 種方法存在的問題。

鑒于此，本文結(jié)合相關(guān)要求及行業(yè)標準，提出基于層次分析法的鐵路網(wǎng)絡(luò)安全檢查評價方法。構(gòu)建以組織制度保障、網(wǎng)絡(luò)安全測評、安全運營維護（簡稱：運維）、供應(yīng)鏈安全和數(shù)據(jù)安全為框架的3 級鐵路網(wǎng)絡(luò)安全檢查指標體系，并基于AHP 計算各指標權(quán)限，最終實現(xiàn)定量定性的鐵路網(wǎng)絡(luò)安全風險評價。

1 鐵路網(wǎng)絡(luò)安全檢查指標體系構(gòu)建

通過對組織制度保障、網(wǎng)絡(luò)安全測評、安全運維、供應(yīng)鏈安全和數(shù)據(jù)安全等5 個層面網(wǎng)絡(luò)安全檢查指標的進一步細化，提出3 級鐵路網(wǎng)絡(luò)安全檢查指標體系，如圖1 所示。

圖1 鐵路網(wǎng)絡(luò)安全檢查指標體系

（1）組織制度保障（B1）。主要包括：網(wǎng)絡(luò)安全相關(guān)管理制度標準規(guī)范制定實施情況（b1），檢查是否結(jié)合目標單位或系統(tǒng)的實際情況，制定網(wǎng)絡(luò)安全標準或制度；網(wǎng)絡(luò)安全機構(gòu)設(shè)置情況（b2），檢查目標單位或部門是否設(shè)置相應(yīng)的網(wǎng)絡(luò)安全機構(gòu)；網(wǎng)絡(luò)安全崗位和人員管理情況（b3），檢查目標單位是否存在網(wǎng)絡(luò)安全相關(guān)崗位及人員；網(wǎng)絡(luò)安全教育培訓執(zhí)行情況（b4），檢查是否定期進行網(wǎng)絡(luò)安全教育的培訓；網(wǎng)絡(luò)安全經(jīng)費保障（b5），檢查單位或部門為網(wǎng)絡(luò)安全經(jīng)費投入的占比。

（2）網(wǎng)絡(luò)安全測評（B2）。主要包括：等級保護測評及整改情況（b6），檢查目標系統(tǒng)是否經(jīng)過等級保護測評，相關(guān)單位及部門是否根據(jù)報告及時進行整改；關(guān)鍵信息基礎(chǔ)設(shè)施風險評估測試情況（b7），檢查相關(guān)系統(tǒng)是否經(jīng)過風險評估測試，測試結(jié)果是否符合規(guī)定；商用密碼應(yīng)用安全評估情況（b8），檢查應(yīng)用商用密碼是否符合相關(guān)安全規(guī)定；監(jiān)督檢查問題整改情況（b9），檢查是否有專項人員監(jiān)督整改，檢查問題是否已整改完善。

（3）安全運維（B3）。主要包括：安全研發(fā)及上線運行安全執(zhí)行情況（b10），檢查系統(tǒng)軟件研發(fā)和運行階段是否處于安全環(huán)境；日常安全運維執(zhí)行及記錄情況（b11），是否存在系統(tǒng)軟件安全檢查記錄，檢查記錄各項結(jié)果是否符合規(guī)定；資產(chǎn)臺賬記錄情況（b12），檢查目標單位中各資產(chǎn)是否記錄在臺賬中；互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)安全接入情況（b13），檢查目標單位是否按照安全規(guī)定進行互聯(lián)網(wǎng)準入；應(yīng)急預(yù)案及處置響應(yīng)情況（b14），檢查目標單位面對應(yīng)急情況是否存在相應(yīng)合理的預(yù)案，是否能及時進行響應(yīng)；終端安全管理情況（b15），檢查是否定期對單位內(nèi)終端機器進行管理；集中監(jiān)控指揮中心運行實施情況（b16），檢查單位指揮中心是否能進行全方位監(jiān)控，是否能對目標部門及時進行任務(wù)調(diào)度指揮控制。

（4）供應(yīng)鏈安全（B4）。主要包括：第三方供應(yīng)商清單建立情況（b17），檢查是否對供應(yīng)商建立產(chǎn)品的詳細清單；供應(yīng)商訪問權(quán)限（b18），檢查供應(yīng)商在目標系統(tǒng)上所掌握的訪問權(quán)限；第三方產(chǎn)品和服務(wù)采購管理實施情況（b19），檢查是否部署相關(guān)制度以管理第三方產(chǎn)品及服務(wù)；源代碼安全審計情況（b20），檢查是否能對第三方軟件或系統(tǒng)的開源代碼進行審計；國產(chǎn)化代替實施情況（b21），檢查當前使用國產(chǎn)化產(chǎn)品的占比。

（5）數(shù)據(jù)安全（B5）。主要包括：數(shù)據(jù)全生命周期技術(shù)防護措施情況（b22），檢查是否基于數(shù)據(jù)全生命周期部署相應(yīng)的防護措施；數(shù)據(jù)分級分類（b23），檢查數(shù)據(jù)是否進行分級分類；數(shù)據(jù)出境安全情況（b24），檢查運行數(shù)據(jù)是否存在出境情況，出入境數(shù)據(jù)是否進行隔離和檢查；國產(chǎn)密碼技術(shù)和產(chǎn)品應(yīng)用情況（b25），檢查單位及系統(tǒng)是否應(yīng)用國產(chǎn)密碼技術(shù)及產(chǎn)品。

2 鐵路網(wǎng)絡(luò)安全檢查評價方法

基于上述鐵路網(wǎng)絡(luò)安全檢查指標，引入AHP 進行分析。AHP 是一種結(jié)合定性定量的綜合風險評估分析方法，其原理是按照一定關(guān)系將各種判斷因素分層分解為目標層、準則層和指標層，再將各因素之間的差異數(shù)值化并賦予不同重要性權(quán)重，最終適用于復(fù)雜系統(tǒng)的檢查評價。

為實現(xiàn)對鐵路網(wǎng)絡(luò)的安全檢查，將安全檢查指標體系作為目標層，5 項安全檢查內(nèi)容作為準則層，相對應(yīng)的25 項檢查指標作為指標層，對每項檢查指標制定計算方法，從而建立鐵路網(wǎng)絡(luò)安全檢查指標體系，實現(xiàn)基于AHP 的風險評價模型。在對各單位系統(tǒng)檢查時，檢查人員依據(jù)各指標的具體實施完成情況進行打分（0～100 分），再結(jié)合各指標的權(quán)重計算系統(tǒng)最終的風險評價值。

為計算各指標的權(quán)重，邀請10 位來自高校、科研院所和生產(chǎn)單位的專家對兩兩指標間的重要性程度進行比較打分，其判斷尺度如表1 所示。若因素i與因素j的重要性之比為aij，則因素j與因素i的重要性之比為aji=1/aij。

2.1 構(gòu)造判斷矩陣

基于專家意見，結(jié)合準則層5 項準則之間的重要性判斷分值，構(gòu)建目標層鐵路網(wǎng)絡(luò)安全檢查指標體系A(chǔ) 的比較判斷矩陣A，如下所示

通過同樣的方法比較指標層中各項指標間的重要性分值，構(gòu)造出B1～B5的比較判斷矩陣B1～B5。

2.2 矩陣的一致性檢驗

考慮到在建立判斷矩陣時存在大量的專家主觀經(jīng)驗，為清除由于主觀性而導(dǎo)致的明顯邏輯錯誤，需要先對矩陣進行一致性檢驗。

經(jīng)過計算，上文中判斷矩陣的CR值分別為：0.0205, 0.0205, 0.0194, 0.0578, 0.0416, 0.0117，均小于0.1，通過了一致性檢驗，確保了矩陣構(gòu)建的合理性。

2.3 計算各判斷矩陣權(quán)重向量

為確定各準則及指標間的權(quán)重值，需要先對判斷矩陣使用算術(shù)平均法進行歸一化處理，其步驟如下。

各矩陣的權(quán)重向量以及一致性檢驗結(jié)果如表2所示。

表2 各矩陣的權(quán)重向量以及一致性檢驗結(jié)果

2.4 各指標最終權(quán)重計算及分析

鐵路網(wǎng)絡(luò)安全檢查指標體系的最終權(quán)重通過對應(yīng)準則及指標所在權(quán)重值乘積所得（例：指標 b1的最終權(quán)重為判斷矩陣A中的w1乘判斷矩陣B1中的w1），如表3 所示，其中，組織制度保障比重占檢查總指標的41.85%，位于檢查指標的主導(dǎo)地位，因此在對鐵路網(wǎng)絡(luò)安全檢查時，應(yīng)該結(jié)合目標單位及系統(tǒng)的規(guī)章制度，重點檢查其是否按要求執(zhí)行實施。數(shù)據(jù)安全占檢查指標的26.25%，對數(shù)據(jù)全生命周期技術(shù)防護措施的部署和國產(chǎn)化密碼技術(shù)產(chǎn)品的應(yīng)用也是檢查的重點內(nèi)容。另外，網(wǎng)絡(luò)安全測評也是不可忽視的重要環(huán)節(jié)。

表3 各指標所占總權(quán)重

2.5 運用AHP 量化檢查結(jié)果

在鐵路網(wǎng)絡(luò)安全檢查過程中，根據(jù)檢查指標逐項打分網(wǎng)絡(luò)安全情況，對每一項得到的分值Si，與該指標所占總權(quán)重Mi相乘，得到該項檢查指標的最終分值；通過匯總?cè)繖z查指標的分值，計算出目標網(wǎng)絡(luò)安全檢查得分，式中n為檢測指標數(shù)量。將計算的分值結(jié)合表4 中的判定標準，得出最終的評價等級。

2.6 鐵路網(wǎng)絡(luò)安全檢查評價指標驗證

為驗證本文所提方法計算權(quán)重的正確性，以鐵路典型二級信息系統(tǒng)、三級信息系統(tǒng)和四級信息系統(tǒng)為例開展驗證分析。檢查人員根據(jù)本文第一章中的指標內(nèi)容完成情況進行打分，再用網(wǎng)絡(luò)安全檢查得分公式計算目標系統(tǒng)的風險評價得分，最后根據(jù)網(wǎng)絡(luò)安全檢查風險判定標準得出目標系統(tǒng)的風險程度。最終結(jié)果同系統(tǒng)等級保護測評、風險評估等相關(guān)測評結(jié)論得出的安全防護情況相同，基本反映信息系統(tǒng)的實際安全風險狀況，從而證實本文方法計算權(quán)重值的有效性。

3 結(jié)束語

本文構(gòu)建了鐵路網(wǎng)絡(luò)安全檢查指標體系，提出了一種基于AHP 的綜合評價方法。通過分析檢查內(nèi)容和檢查指標的重要性計算各評價指標的權(quán)重，最終定量定性地給出目標系統(tǒng)風險值及評價結(jié)果，該方法對網(wǎng)絡(luò)安全檢查工作具有一定參考意義。在后續(xù)常態(tài)化網(wǎng)絡(luò)安全檢查過程中，有待進一步研究如何進行指標和權(quán)重的持續(xù)性更新，以滿足鐵路新的網(wǎng)絡(luò)安全要求。