鐵路信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系研究

魏長(zhǎng)水，姚洪磊

（1.中國(guó)國(guó)家鐵路集團(tuán)有限公司 科技和信息化部，北京 100844；2.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081）

隨著云計(jì)算、物聯(lián)網(wǎng)、人工智能等信息新技術(shù)在鐵路工程建設(shè)、運(yùn)輸生產(chǎn)、經(jīng)營(yíng)管理和客戶服務(wù)等領(lǐng)域的廣泛應(yīng)用，鐵路業(yè)務(wù)對(duì)信息化的依賴程度越來(lái)越高，面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)日趨凸顯。鐵路重要信息系統(tǒng)承載著大量的鐵路業(yè)務(wù)數(shù)據(jù)、公民個(gè)人信息等，是鐵路網(wǎng)絡(luò)安全防護(hù)工作的關(guān)鍵所在。一旦遭到破壞并影響正常使用，將對(duì)國(guó)家安全、經(jīng)濟(jì)穩(wěn)定和公眾安全產(chǎn)生一定程度的影響。鑒于上述情況，需根據(jù)我國(guó)鐵路信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀，開(kāi)展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估技術(shù)和評(píng)估方法研究，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，為保障鐵路重要信息系統(tǒng)穩(wěn)定運(yùn)行，提供有力支撐和重要保障。

目前，我國(guó)電網(wǎng)、電信和煙草等行業(yè)均已針對(duì)本行業(yè)重要信息系統(tǒng)開(kāi)展了風(fēng)險(xiǎn)評(píng)估方法的研究[1-7]。當(dāng)前，對(duì)信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估研究主要以特定評(píng)估模型對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行定量評(píng)估，如郭秀峰等人[8]提出了基于評(píng)判矩陣的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估，王庭鈞等人[9]提出了基于模糊層次分析的電力通信系統(tǒng)網(wǎng)絡(luò)安全評(píng)估指標(biāo)體系，張新躍等人[10]提出基于二維矩陣的關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估方法。上述研究在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域較為深入地探索了信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估技術(shù)的具體應(yīng)用，但缺乏對(duì)信息系統(tǒng)運(yùn)營(yíng)者整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理水平的評(píng)估，需要在具體行業(yè)做進(jìn)一步的研究和探索。

本文結(jié)合鐵路行業(yè)網(wǎng)絡(luò)安全和信息化治理體系相關(guān)要求，以及鐵路行業(yè)網(wǎng)絡(luò)安全工作實(shí)際，提出以安全管理保障、安全技術(shù)保障和安全運(yùn)維保障為框架的三級(jí)風(fēng)險(xiǎn)評(píng)估指標(biāo)體系，如圖1所示。

圖1 風(fēng)險(xiǎn)評(píng)估指標(biāo)體系框架

1 風(fēng)險(xiǎn)評(píng)估指標(biāo)體系

1.1 安全管理保障

安全管理保障是鐵路信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估體系的重要內(nèi)容之一，安全管理保障可劃分為組織體系建設(shè)、規(guī)章制度落實(shí)、資金保障和人員安全管理4項(xiàng)。

（1）組織體系建設(shè)包含第一責(zé)任人確立、網(wǎng)絡(luò)安全責(zé)任落實(shí)、機(jī)構(gòu)及崗位設(shè)置、網(wǎng)絡(luò)安全人員配備；

（2）規(guī)章制度包含網(wǎng)絡(luò)安全策略、規(guī)章制度體系完整性、運(yùn)維流程制定和規(guī)章制度發(fā)布；

（3）資金保障包括經(jīng)費(fèi)預(yù)算、建設(shè)經(jīng)費(fèi)投入、運(yùn)維經(jīng)費(fèi)投入；

（4）人員安全管理包括安全培訓(xùn)與考核、保密協(xié)議簽訂、人員背景審查、崗位調(diào)整管控。

安全管理保障體系風(fēng)險(xiǎn)評(píng)估項(xiàng)、評(píng)估內(nèi)容、權(quán)重和量化判定指標(biāo)，如表1所示。

表1 安全管理保障風(fēng)險(xiǎn)評(píng)估項(xiàng)及量化判定指標(biāo)

1.2 安全技術(shù)保障

在參考國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)基礎(chǔ)上，結(jié)合鐵路網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)及技術(shù)規(guī)范，將安全技術(shù)保障劃分為安全分區(qū)防御體系、網(wǎng)絡(luò)和通信安全、主機(jī)和設(shè)備安全、應(yīng)用系統(tǒng)和數(shù)據(jù)安全、物理環(huán)境安全和業(yè)務(wù)連續(xù)性保護(hù)6個(gè)層面。

（1）安全分區(qū)防御體系包括物理隔離、邏輯隔離、國(guó)密認(rèn)證、安全接入?yún)^(qū)設(shè)置和敏感信息隔離；

（2）網(wǎng)絡(luò)和通信安全包括網(wǎng)絡(luò)安全防護(hù)情況、互聯(lián)網(wǎng)出口安全管理情況、無(wú)線網(wǎng)絡(luò)安全和移動(dòng)設(shè)備接入安全；

（3）主機(jī)和設(shè)備安全防護(hù)包括補(bǔ)丁更新情況、惡意代碼防護(hù)、系統(tǒng)安全整改加固、移動(dòng)存儲(chǔ)介質(zhì)管理、辦公終端管理和主機(jī)設(shè)備身份鑒別；

（4）應(yīng)用系統(tǒng)和數(shù)據(jù)安全包括應(yīng)用系統(tǒng)安全配置、監(jiān)控及防御情況、應(yīng)用系統(tǒng)身份鑒別和重要數(shù)據(jù)安全保護(hù)；

（5）物理環(huán)境安全為信息系統(tǒng)機(jī)房等級(jí)保護(hù)標(biāo)準(zhǔn)符合性情況；

（6）業(yè)務(wù)連續(xù)性保護(hù)包括鏈路及設(shè)備冗余、數(shù)據(jù)備份和異地災(zāi)備。

安全技術(shù)保障體系風(fēng)險(xiǎn)評(píng)估項(xiàng)、評(píng)估內(nèi)容、權(quán)重和量化判定指標(biāo)，如表2所示。

表2 安全技術(shù)保障風(fēng)險(xiǎn)評(píng)估項(xiàng)及量化判定指標(biāo)

1.3 安全運(yùn)維保障

在參考國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0相關(guān)標(biāo)準(zhǔn)基礎(chǔ)上，結(jié)合鐵路網(wǎng)絡(luò)安全運(yùn)維工作實(shí)際，將安全運(yùn)維保障劃分為服務(wù)外包管控、資產(chǎn)管控、運(yùn)行管理、產(chǎn)品采購(gòu)管理、日常維護(hù)管理和應(yīng)急管理6個(gè)層面。

（1）服務(wù)外包管控包括外包服務(wù)協(xié)議、外部人員訪問(wèn)管理、遠(yuǎn)程服務(wù)管理和開(kāi)發(fā)管理；

（2）資產(chǎn)管控包括資產(chǎn)管理和資產(chǎn)銷控；

（3）運(yùn)行管理包括網(wǎng)絡(luò)安全方案審核、上線前安全測(cè)評(píng)、等級(jí)保護(hù)建設(shè)、等級(jí)保護(hù)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估；

（4）產(chǎn)品采購(gòu)管理包括核心業(yè)務(wù)產(chǎn)品采購(gòu)、安全防護(hù)產(chǎn)品采購(gòu)、密碼產(chǎn)品采購(gòu)；

（5）日常維護(hù)管理包括日常維護(hù)、安全審計(jì)、補(bǔ)丁管理和安全監(jiān)測(cè)；

（6）應(yīng)急管理包括信息通報(bào)、應(yīng)急防護(hù)、應(yīng)急預(yù)案、應(yīng)急演練、應(yīng)急資源配置和網(wǎng)絡(luò)安全事件調(diào)查。

安全運(yùn)維保障體系風(fēng)險(xiǎn)評(píng)估項(xiàng)、評(píng)估內(nèi)容、權(quán)重和量化判定指標(biāo)，如表3所示。

2 風(fēng)險(xiǎn)評(píng)估應(yīng)用

2.1 風(fēng)險(xiǎn)分析

根據(jù)某鐵路企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全工作實(shí)際，對(duì)每一檢查項(xiàng)進(jìn)行賦權(quán)，權(quán)值系數(shù)賦值情況根據(jù)該檢查項(xiàng)對(duì)信息系統(tǒng)重要程度而定，為檢查項(xiàng)賦權(quán)重Qij，根據(jù)檢查結(jié)果進(jìn)行定量判定，判定值記為L(zhǎng)ij，見(jiàn)表1～表3，風(fēng)險(xiǎn)評(píng)估值為：

2.2 應(yīng)用示例

選擇某鐵路企業(yè)作為示例，依照本文提出的風(fēng)險(xiǎn)評(píng)估指標(biāo)體系進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)，測(cè)評(píng)結(jié)果統(tǒng)計(jì)，如表5所示。

表3 安全運(yùn)維保障風(fēng)險(xiǎn)評(píng)估項(xiàng)及量化判定指標(biāo)

依據(jù)式（1）計(jì)算，可得某鐵路企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估值R=58.8，根據(jù)表4風(fēng)險(xiǎn)分析定性判定結(jié)果，該鐵路企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)為中。根據(jù)該結(jié)果得出結(jié)論為網(wǎng)絡(luò)安全技術(shù)防護(hù)和安全管理存在一定不足，存在一定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患。

表4 風(fēng)險(xiǎn)分析定性判定結(jié)果

表5 某鐵路企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估結(jié)果

3 結(jié)束語(yǔ)

本文對(duì)鐵路信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)開(kāi)展了深入研究，從網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全技術(shù)防護(hù)和網(wǎng)絡(luò)安全運(yùn)維3個(gè)層面建立了鐵路信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系。該體系能夠?qū)﹁F路重要信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和安全檢查等提供可實(shí)施的量化指標(biāo)，使信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估從單個(gè)系統(tǒng)擴(kuò)展到對(duì)鐵路企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行整體評(píng)估，對(duì)開(kāi)展信息系統(tǒng)檢查評(píng)估工作，具有一定理論參考和技術(shù)參考價(jià)值。