鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究

沈 路

（武漢鐵路局 信息技術(shù)處，武漢 430071）

隨著我國(guó)經(jīng)濟(jì)社會(huì)的迅速發(fā)展，信息化建設(shè)取得令人矚目的成績(jī)，信息系統(tǒng)在各行各業(yè)的生產(chǎn)、經(jīng)營(yíng)工作中發(fā)揮著越來(lái)越重要的作用。鐵路信息化是鐵路現(xiàn)代化的重要標(biāo)志，也是覆蓋鐵路現(xiàn)代化全局的戰(zhàn)略舉措。隨著鐵路各專(zhuān)業(yè)對(duì)鐵路信息系統(tǒng)依賴(lài)程度的日益增加，信息系統(tǒng)安全問(wèn)題受到普遍關(guān)注。

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，為防范和化解信息系統(tǒng)安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度地保障信息系統(tǒng)安全提供科學(xué)依據(jù)。

1 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作主要是評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)各單位造成的影響。評(píng)估中的要素包括資產(chǎn)、風(fēng)險(xiǎn)、威脅、脆弱性和安全措施等內(nèi)容，見(jiàn)圖1所示。

圖1 風(fēng)險(xiǎn)評(píng)估要素關(guān)系

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估圍繞著基本要素展開(kāi)，在對(duì)基本要素的評(píng)估過(guò)程中，要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類(lèi)屬性。

通過(guò)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，各單位能進(jìn)一步提高對(duì)信息系統(tǒng)資產(chǎn)價(jià)值的認(rèn)識(shí)，識(shí)別出資產(chǎn)中存在的威脅和威脅發(fā)生時(shí)資產(chǎn)的脆弱性，根據(jù)威脅和威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性，并由此計(jì)算安全事件可能給單位造成的損失，從而鑒別信息系統(tǒng)是否存在不可接受的風(fēng)險(xiǎn)，并因此確定是否要對(duì)當(dāng)前的安全措施進(jìn)行修正和完善，以不斷提高單位對(duì)信息系統(tǒng)安全管理的能力和水平。

2 鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的實(shí)施步驟

鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估過(guò)程就是在評(píng)估標(biāo)準(zhǔn)的指導(dǎo)下，綜合利用相關(guān)評(píng)估技術(shù)、評(píng)估方法，針對(duì)鐵路信息系統(tǒng)展開(kāi)評(píng)估工作的完整歷程。鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估可以分為3個(gè)階段：評(píng)估準(zhǔn)備階段、要素識(shí)別階段、風(fēng)險(xiǎn)分析階段。鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的具體過(guò)程可以參考圖2。

2.1 評(píng)估準(zhǔn)備階段

評(píng)估準(zhǔn)備階段主要是要明確評(píng)估目標(biāo)、確定評(píng)估范圍、組建評(píng)估小組，對(duì)主要業(yè)務(wù)、組織結(jié)構(gòu)、規(guī)章制度和信息系統(tǒng)進(jìn)行初步調(diào)研，并進(jìn)一步研究確定風(fēng)險(xiǎn)分析方法和評(píng)估項(xiàng)目的實(shí)施方案，以指導(dǎo)后續(xù)工作的開(kāi)展。評(píng)估準(zhǔn)備階段是進(jìn)行鐵路信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的啟動(dòng)環(huán)節(jié)，只有通過(guò)充分的調(diào)研、準(zhǔn)確的分析和精密計(jì)劃，才能保證整個(gè)評(píng)估共組的順利開(kāi)展。

2.2 要素識(shí)別階段

圖2 鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的實(shí)施步驟

要素識(shí)別階段的工作內(nèi)容是對(duì)鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)的資產(chǎn)、威脅和脆弱性等幾個(gè)要素進(jìn)行識(shí)別，并驗(yàn)證已有的安全措施的有效性，同時(shí)要根據(jù)風(fēng)險(xiǎn)評(píng)估方法對(duì)各相關(guān)要素進(jìn)行分類(lèi)量化賦值，為風(fēng)險(xiǎn)分析階段提供必要的基礎(chǔ)數(shù)據(jù)。

2.2.1 資產(chǎn)識(shí)別

鐵路信息系統(tǒng)的資產(chǎn)包括文檔數(shù)據(jù)、軟硬件產(chǎn)品、外部服務(wù)、關(guān)鍵人員等內(nèi)容。資產(chǎn)識(shí)別主要是評(píng)價(jià)其保密性、完整性和可用性，3個(gè)安全屬性的達(dá)成程度或者是這3個(gè)安全屬性未達(dá)成時(shí)造成的影響程度。一般通過(guò)對(duì)資產(chǎn)的保密性、完整性和可用性進(jìn)行量化賦值，并進(jìn)行加權(quán)計(jì)算得到資產(chǎn)價(jià)值最終量化賦值結(jié)果。

2.2.2 威脅識(shí)別

鐵路信息系統(tǒng)的威脅主要包括自然災(zāi)害、環(huán)境影響、系統(tǒng)故障、網(wǎng)絡(luò)故障、設(shè)備故障、操作錯(cuò)誤、管理失職、越權(quán)訪問(wèn)、網(wǎng)絡(luò)攻擊、惡意代碼攻擊、篡改信息、物理破壞、信息泄露等內(nèi)容，可按威脅出現(xiàn)的頻率分類(lèi)量化賦值。

2.2.3 脆弱性識(shí)別

脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)，要以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估。鐵路信息系統(tǒng)的脆弱性包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用系統(tǒng)、保護(hù)策略、組織管理等方面的內(nèi)容，可以根據(jù)脆弱性對(duì)資產(chǎn)的暴露程度、技術(shù)實(shí)現(xiàn)的難易程度對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行量化賦值。

2.2.4 已有安全措施的確認(rèn)

安全措施的確認(rèn)應(yīng)該是評(píng)估安全措施的有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)有效的安全措施應(yīng)當(dāng)繼續(xù)保持，對(duì)確認(rèn)不恰當(dāng)?shù)陌踩胧?yīng)當(dāng)取消或進(jìn)行修正完善。

2.3 風(fēng)險(xiǎn)分析階段

風(fēng)險(xiǎn)分析階段的主要內(nèi)容是根據(jù)前面兩個(gè)階段的數(shù)據(jù)，采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，并對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理。對(duì)發(fā)現(xiàn)的不可接受的風(fēng)險(xiǎn)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃，選擇合適的安全措施以降低風(fēng)險(xiǎn)的影響，并進(jìn)行再次評(píng)估以確定殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。風(fēng)險(xiǎn)分析結(jié)束時(shí)，風(fēng)險(xiǎn)評(píng)估小組要提供風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)控制建議。

2.3.1 風(fēng)險(xiǎn)計(jì)算

風(fēng)險(xiǎn)計(jì)算的常用函數(shù)為：

R=f (L(t, v), F(a, v)) （1）

其中，R表示風(fēng)險(xiǎn)值，a表示資產(chǎn)價(jià)值，t表示威脅發(fā)生的頻率，v表示脆弱性嚴(yán)重程度，L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性，F(xiàn)表示安全事件發(fā)生后造成的損失。常用的風(fēng)險(xiǎn)計(jì)算方法有矩陣法和相乘法兩種，相對(duì)而言相乘法比較簡(jiǎn)單而且應(yīng)用較廣。常用的相乘法的計(jì)算方法為：

其中x和y代表要素所賦的數(shù)值。

風(fēng)險(xiǎn)計(jì)算的步驟為：

（1）對(duì)要素威脅和脆弱性使用相乘法計(jì)算威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；（2）其次對(duì)要素資產(chǎn)和脆弱性使用相乘法計(jì)算安全事件發(fā)生后造成的損失；（3）對(duì)安全事件發(fā)生的可能性和安全事件發(fā)生后造成的損失使用相乘法計(jì)算風(fēng)險(xiǎn)值。

對(duì)于信息系統(tǒng)的任何一個(gè)資產(chǎn)而言，可能面對(duì)不同的威脅和不同的脆弱性，而同一個(gè)脆弱性又可能被不同的威脅利用，因此對(duì)于信息系統(tǒng)的每一項(xiàng)資產(chǎn)所面對(duì)的每一項(xiàng)威脅及其對(duì)應(yīng)的每一項(xiàng)脆弱性都要進(jìn)行計(jì)算。

2.3.2 風(fēng)險(xiǎn)結(jié)果判定

為了實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，應(yīng)當(dāng)對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理。一般可以將風(fēng)險(xiǎn)劃分為5個(gè)等級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越大。評(píng)估小組要根據(jù)風(fēng)險(xiǎn)值的計(jì)算結(jié)果設(shè)定不同等級(jí)的風(fēng)險(xiǎn)值范圍，并對(duì)每一個(gè)風(fēng)險(xiǎn)計(jì)算結(jié)果都進(jìn)行等級(jí)化處理。等級(jí)化處理后，如果資產(chǎn)的風(fēng)險(xiǎn)是可以接受的，應(yīng)保持現(xiàn)有的安全措施不變；如果資產(chǎn)的風(fēng)險(xiǎn)不可接受，必須調(diào)整安全措施以降低安全風(fēng)險(xiǎn)。

3 對(duì)鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的建議

當(dāng)前鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的重要性已經(jīng)得到廣大信息技術(shù)工作人員的認(rèn)可，但是由于鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作起步較晚，對(duì)鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的研究還不深入。另外，由于鐵路信息系統(tǒng)的不斷發(fā)展，以及其所在環(huán)境的不斷變化，任何安全措施都不能保證在鐵路信息系統(tǒng)長(zhǎng)時(shí)間運(yùn)行過(guò)程中的萬(wàn)無(wú)一失。因此，應(yīng)當(dāng)對(duì)鐵路信息系統(tǒng)進(jìn)行定期安全風(fēng)險(xiǎn)評(píng)估，以保證鐵路信息系統(tǒng)的安全運(yùn)行。因此，對(duì)于鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作建議如下：

3.1 進(jìn)一步加強(qiáng)鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的制度建設(shè)

（1）建立鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，保證風(fēng)險(xiǎn)評(píng)估工作開(kāi)展有據(jù)可依、方法正確。（2）建立鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，明確相關(guān)部門(mén)在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作中的職責(zé)，確定信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估周期及結(jié)果運(yùn)用辦法。（3）細(xì)化鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估辦法，使信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)維、升級(jí)及退出的整個(gè)生命周期都能有效地開(kāi)展。（4）解決好信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估與鐵路信息系統(tǒng)等級(jí)保護(hù)工作之間的銜接問(wèn)題，讓信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估為鐵路信息系統(tǒng)安全保護(hù)工作提供科學(xué)的依據(jù)，為確立信息系統(tǒng)的安全保障能力提供判斷標(biāo)準(zhǔn)。

3.2 進(jìn)一步加強(qiáng)鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估人員培訓(xùn)與技能管理

（1）加大培訓(xùn)力度，制訂全路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的培訓(xùn)計(jì)劃，編寫(xiě)培訓(xùn)教材，通過(guò)學(xué)習(xí)提高技術(shù)水平。（2）合理使用社會(huì)資源，通過(guò)聘請(qǐng)富有經(jīng)驗(yàn)的專(zhuān)家、學(xué)者，或是邀請(qǐng)第3方評(píng)估機(jī)構(gòu)在路內(nèi)進(jìn)行評(píng)估試點(diǎn)，并組織評(píng)估人員現(xiàn)場(chǎng)學(xué)習(xí)和交流，不斷積累評(píng)估工作經(jīng)驗(yàn)，提高實(shí)際評(píng)估技術(shù)能力。（3）對(duì)技術(shù)人員進(jìn)行系統(tǒng)的認(rèn)證培訓(xùn)，實(shí)行信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作持證上崗。

3.3 進(jìn)一步加強(qiáng)鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的研發(fā)與創(chuàng)新

（1）加大研發(fā)力度，針對(duì)鐵路信息系統(tǒng)現(xiàn)狀研制出專(zhuān)業(yè)的風(fēng)險(xiǎn)評(píng)估工具。（2）創(chuàng)新工作思路，將信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作與信息系統(tǒng)運(yùn)維工作緊密結(jié)合，充分使用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工具和計(jì)算機(jī)系統(tǒng)監(jiān)控等自動(dòng)化平臺(tái)代替人工勞動(dòng)，爭(zhēng)取對(duì)信息系統(tǒng)進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)分析，實(shí)現(xiàn)鐵路信息系統(tǒng)的安全可控。

4 結(jié)束語(yǔ)

鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作對(duì)于鐵路信息系統(tǒng)的安全運(yùn)行至關(guān)重要，只有不斷提高認(rèn)識(shí)、完善機(jī)制、加強(qiáng)管理，才能真正推動(dòng)鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作不斷發(fā)展，保證鐵路信息系統(tǒng)安全穩(wěn)定運(yùn)行，為鐵路協(xié)調(diào)發(fā)展、和諧發(fā)展、可持續(xù)發(fā)展提供堅(jiān)實(shí)的信息技術(shù)支撐。

[1]寧家駿.關(guān)于推進(jìn)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的思考[J].專(zhuān)題研究，2010，9.

[2]馮登國(guó)，張 陽(yáng)，張玉清，等. 信息安全風(fēng)險(xiǎn)評(píng)估綜述[J]，通信學(xué)報(bào)，2004，7.

[3]信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S]. GB/T 20984—2007.

[4]范 紅，馮登國(guó)，吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M]，北京：清華大學(xué)出版社，2006，5.