建立鐵路三位一體網(wǎng)絡(luò)安全測(cè)評(píng)指標(biāo)庫(kù)研究

司 群，田 文，陳 彤

（1.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081；2.中國(guó)鐵路太原局集團(tuán)有限公司 科技和信息化部，太原 030027）

國(guó)家法律法規(guī)明確要求對(duì)于交通、能源等重要行業(yè)和領(lǐng)域的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)實(shí)施重點(diǎn)保護(hù)[1]。鐵路作為交通行業(yè)的重要組成部分，其重要系統(tǒng)被納入到國(guó)家的網(wǎng)絡(luò)安全重點(diǎn)防護(hù)范圍，每年需配合國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部等部門(mén)開(kāi)展安全風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)測(cè)試、攻防演練等工作，遇到重要國(guó)事活動(dòng)，也需對(duì)相關(guān)地區(qū)的鐵路局集團(tuán)有限公司范圍內(nèi)重要系統(tǒng)開(kāi)展有針對(duì)性的網(wǎng)絡(luò)安全檢查。

當(dāng)前，中國(guó)國(guó)家鐵路集團(tuán)有限公司（簡(jiǎn)稱：國(guó)鐵集團(tuán)）在貫徹國(guó)家網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)、加強(qiáng)鐵路系統(tǒng)安全防護(hù)方面開(kāi)展安全檢查和測(cè)試工作，但是同一時(shí)期針對(duì)不同部門(mén)的要求，對(duì)同一系統(tǒng)可能會(huì)開(kāi)展等保測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、安全檢查等不同類(lèi)型的安全測(cè)評(píng)工作。另外，除等級(jí)保護(hù)測(cè)評(píng)可依據(jù)國(guó)家標(biāo)準(zhǔn)開(kāi)展相關(guān)工作外，安全檢查和風(fēng)險(xiǎn)評(píng)估工作的檢查范圍、內(nèi)容、流程、指標(biāo)和方法沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，各測(cè)評(píng)機(jī)構(gòu)掌握的尺度不一致，給安全評(píng)判工作帶來(lái)不確定性。所以，研究提出了鐵路三位一體網(wǎng)絡(luò)安全檢測(cè)方法，從測(cè)評(píng)內(nèi)容、測(cè)評(píng)方法、測(cè)評(píng)指標(biāo)及測(cè)評(píng)流程幾個(gè)方面梳理關(guān)鍵檢測(cè)技術(shù)。

1 鐵路三位一體網(wǎng)絡(luò)安全測(cè)評(píng)體系概述

1.1 典型鐵路測(cè)評(píng)工作介紹

（1）鐵路網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作是為了梳理鐵路各部門(mén)系統(tǒng)重要程度和系統(tǒng)安全保護(hù)措施是否合規(guī)，結(jié)合等級(jí)保護(hù)2.0對(duì)系統(tǒng)開(kāi)展合規(guī)性驗(yàn)證；

（2）鐵路風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)工作是為了評(píng)估系統(tǒng)整體安全風(fēng)險(xiǎn)，結(jié)合風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)對(duì)系統(tǒng)資產(chǎn)存在的脆弱點(diǎn)、面臨的威脅和存在的安全風(fēng)險(xiǎn)進(jìn)行定量和定性的認(rèn)識(shí)；

（3）鐵路安全檢查工作是為了全面了解鐵路各單位網(wǎng)絡(luò)安全總體狀況和網(wǎng)絡(luò)安全工作落實(shí)情況。

3類(lèi)安全檢測(cè)工作在測(cè)評(píng)目的、測(cè)評(píng)對(duì)象選擇、測(cè)評(píng)內(nèi)容、測(cè)評(píng)流程和數(shù)據(jù)采集等方面存在著較多的一致性和關(guān)聯(lián)性[2]，總結(jié)如下。

（1）測(cè)評(píng)目的：均是為了發(fā)現(xiàn)鐵路系統(tǒng)存在的安全隱患和面臨的安全威脅，及時(shí)掌握系統(tǒng)安全狀況，修復(fù)漏洞，降低安全風(fēng)險(xiǎn)，確保系統(tǒng)平穩(wěn)運(yùn)行。

（2）測(cè)評(píng)對(duì)象選擇：均應(yīng)覆蓋機(jī)房物理環(huán)境、網(wǎng)絡(luò)/安全設(shè)備、主機(jī)設(shè)備、業(yè)務(wù)系統(tǒng)/網(wǎng)站、各類(lèi)數(shù)據(jù)、管理制度規(guī)范、安全人員等方面。

（3）測(cè)評(píng)內(nèi)容：圍繞系統(tǒng)資產(chǎn)開(kāi)展檢查和測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括技術(shù)安全測(cè)評(píng)和管理安全檢查兩方面。技術(shù)安全檢測(cè)主要包含物理環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計(jì)算環(huán)境安全、安全管理中心和工具測(cè)試；安全管理測(cè)評(píng)主要包含安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理方面內(nèi)容[3-4]。

（4）測(cè)評(píng)流程：均可分為測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)實(shí)施、數(shù)據(jù)分析和報(bào)告編制4個(gè)階段[5]。測(cè)評(píng)準(zhǔn)備包括組建項(xiàng)目實(shí)施團(tuán)隊(duì)，開(kāi)展系統(tǒng)資產(chǎn)調(diào)研；方案編制包括確定測(cè)評(píng)依據(jù)、測(cè)評(píng)內(nèi)容和測(cè)評(píng)范圍，編纂測(cè)評(píng)方案、進(jìn)度計(jì)劃，調(diào)試檢測(cè)工具；現(xiàn)場(chǎng)實(shí)施包括對(duì)被測(cè)評(píng)對(duì)象進(jìn)行物理、網(wǎng)絡(luò)、設(shè)備、應(yīng)用、數(shù)據(jù)和管理等方面的安全檢查，識(shí)別資產(chǎn)存在的脆弱點(diǎn)和可能面臨的安全威脅，梳理已有安全防護(hù)措施，記錄現(xiàn)場(chǎng)檢測(cè)結(jié)果；報(bào)告編制包括對(duì)現(xiàn)場(chǎng)采集證據(jù)數(shù)據(jù)和測(cè)評(píng)結(jié)果進(jìn)行整理分析，通過(guò)等保測(cè)評(píng)結(jié)論判定或風(fēng)險(xiǎn)分析模型計(jì)算，給出測(cè)評(píng)結(jié)論，編制3類(lèi)測(cè)評(píng)報(bào)告。

（5）數(shù)據(jù)采集：都可通過(guò)漏洞掃描、滲透測(cè)試、配置核查等方法和測(cè)試工具采集測(cè)試數(shù)據(jù)。

1.2 鐵路三位一體網(wǎng)絡(luò)安全測(cè)評(píng)體系

盡管等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估和安全檢查3類(lèi)測(cè)評(píng)方法之間保持一致性，但其在分析方法和結(jié)果輸出方面卻存在差異性。

（1）等級(jí)測(cè)評(píng)需要對(duì)每個(gè)測(cè)評(píng)對(duì)象進(jìn)行單元測(cè)評(píng)項(xiàng)分析和整體測(cè)評(píng)分析，并對(duì)被測(cè)系統(tǒng)做出安全等級(jí)的符合性評(píng)價(jià)，輸出等級(jí)測(cè)評(píng)報(bào)告。

（2）風(fēng)險(xiǎn)評(píng)估需要結(jié)合測(cè)評(píng)結(jié)果對(duì)資產(chǎn)賦值、脆弱性賦值、威脅的賦值，依據(jù)風(fēng)險(xiǎn)計(jì)算模型計(jì)算風(fēng)險(xiǎn)值，判定風(fēng)險(xiǎn)等級(jí)，對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)并輸出風(fēng)險(xiǎn)評(píng)估報(bào)告[6]。

（3）安全檢查是根據(jù)對(duì)抽測(cè)對(duì)象的檢查結(jié)果，分析被查單位的網(wǎng)絡(luò)安全現(xiàn)狀，發(fā)現(xiàn)單位存在的安全問(wèn)題，確認(rèn)單位網(wǎng)絡(luò)安全措施落實(shí)情況，輸出安全檢查報(bào)告。

通過(guò)上述分析，等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估和安全檢查3類(lèi)測(cè)評(píng)方法既有共性，又存在差異。所以，需要融合以上3類(lèi)測(cè)評(píng)方法，形成三位一體測(cè)評(píng)方法，從其共性出發(fā)，結(jié)合各自特征，實(shí)現(xiàn)通過(guò)開(kāi)展一次性采集數(shù)據(jù)，同步完成等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估和安全檢查不同類(lèi)檢測(cè)報(bào)告輸出的目標(biāo)。

2 建立鐵路三位一體網(wǎng)絡(luò)安全體測(cè)評(píng)指標(biāo)庫(kù)

2.1 測(cè)評(píng)指標(biāo)庫(kù)結(jié)構(gòu)介紹

本文提出建立鐵路網(wǎng)絡(luò)安全測(cè)評(píng)指標(biāo)庫(kù)，指標(biāo)庫(kù)包括通用指標(biāo)和專用指標(biāo)，其中，通用指標(biāo)是按照等級(jí)保護(hù)2.0基本要求和測(cè)評(píng)要求梳理[1-2]，專用指標(biāo)是針對(duì)鐵路典型重要系統(tǒng)如客票預(yù)訂與發(fā)售系統(tǒng)、貨運(yùn)系統(tǒng)、運(yùn)輸調(diào)度管理系統(tǒng)從系統(tǒng)業(yè)務(wù)應(yīng)用和日常運(yùn)維人員關(guān)注安全方面梳理。主要指標(biāo)層次結(jié)構(gòu)，如1圖所示。

2.2 通用指標(biāo)

本文提出的通用指標(biāo)主要的結(jié)構(gòu)是系統(tǒng)安全等級(jí)、安全層面、類(lèi)別、一級(jí)指標(biāo)、二級(jí)指標(biāo)、關(guān)聯(lián)風(fēng)險(xiǎn)組成，主要是參考網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0基本要求、測(cè)評(píng)要求和風(fēng)險(xiǎn)評(píng)估規(guī)范等國(guó)家相關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)梳理的，其中，鐵路系統(tǒng)主要安全級(jí)別包括一級(jí)系統(tǒng)、二級(jí)系統(tǒng)、三級(jí)系統(tǒng)和四級(jí)系統(tǒng)，安全層面包括技術(shù)層面和管理層面。類(lèi)別又分為安全通用要求、云安全擴(kuò)展要求、移動(dòng)互聯(lián)網(wǎng)安全擴(kuò)展要求和物聯(lián)網(wǎng)安全擴(kuò)展要求。

圖1 鐵路三位一體網(wǎng)絡(luò)安全測(cè)評(píng)指標(biāo)庫(kù)層次結(jié)構(gòu)

2.2.1 技術(shù)類(lèi)通用指標(biāo)

技術(shù)類(lèi)通用指標(biāo)安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心5個(gè)技術(shù)層面，具體內(nèi)容，如圖2～圖6所示。

圖2 鐵路網(wǎng)絡(luò)安全檢測(cè)通用指標(biāo)-安全物理環(huán)境

圖3 鐵路網(wǎng)絡(luò)安全檢測(cè)通用指標(biāo)-安全通信網(wǎng)絡(luò)

圖4 鐵路網(wǎng)絡(luò)安全檢測(cè)通用指標(biāo)-安全區(qū)域邊界

圖5 鐵路網(wǎng)絡(luò)安全檢測(cè)通用指標(biāo)-安全計(jì)算環(huán)境

圖6 鐵路網(wǎng)絡(luò)安全檢測(cè)通用指標(biāo)-安全管理中心

2.2.2 管理類(lèi)通用指標(biāo)

管理類(lèi)通用指標(biāo)包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理5個(gè)管理層面，具體內(nèi)容，如圖7～圖11所示。

圖7 鐵路網(wǎng)絡(luò)安全檢測(cè)通用指標(biāo)-安全管理機(jī)構(gòu)

圖8 鐵路網(wǎng)絡(luò)安全檢測(cè)通用指標(biāo)-安全管理制度

圖9 鐵路網(wǎng)絡(luò)安全檢測(cè)通用指標(biāo)-安全管理人員

圖10 鐵路網(wǎng)絡(luò)安全檢測(cè)通用指標(biāo)-安全建設(shè)管理

2.3 專用指標(biāo)

2.3.1 專用指標(biāo)概念提出

按照網(wǎng)絡(luò)安全風(fēng)險(xiǎn)經(jīng)典理論闡述，網(wǎng)絡(luò)安全基本屬性即3要素包括完整性、保密性和可用性，為適應(yīng)業(yè)務(wù)需求的不斷發(fā)展變化和網(wǎng)絡(luò)技術(shù)的變遷，可靠性和不可抵賴性等網(wǎng)絡(luò)安全要求越來(lái)越廣泛。

（1）完整性是防止信息未經(jīng)授權(quán)被篡改的特性，重點(diǎn)要求保證信息在產(chǎn)生、存儲(chǔ)和傳輸過(guò)程中的原樣性。

（2）可用性是信息允許被授權(quán)實(shí)體訪問(wèn)和按需求使用的特性，是系統(tǒng)面向用戶的安全要求，一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來(lái)度量。

（3）保密性是指防止重要數(shù)據(jù)信息非法泄露給非授權(quán)用戶或供其使用的特性[7]。

（4）可靠性是系統(tǒng)可以在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性，主要表現(xiàn)為抗毀性、生存性和有效性3方面。

圖11 鐵路網(wǎng)絡(luò)安全檢測(cè)通用指標(biāo)-安全運(yùn)維管理

（5）不可抵賴性，也可稱為不可否認(rèn)性，主要是確認(rèn)信息交互參與者身份是否真實(shí)可信，所有參與方均不可否認(rèn)或抵賴已經(jīng)完成的操作和協(xié)議。采用數(shù)據(jù)源證據(jù)，為避免發(fā)信方否認(rèn)已發(fā)送的消息；采用數(shù)據(jù)接收證據(jù)，為避免收信方否認(rèn)已經(jīng)接收的消息。

根據(jù)以往開(kāi)展的安全測(cè)評(píng)實(shí)踐經(jīng)驗(yàn)，發(fā)現(xiàn)對(duì)于重要系統(tǒng)，單純按通用安全指標(biāo)開(kāi)展測(cè)試，往往不能滿足系統(tǒng)全面安全檢測(cè)需要，會(huì)遺漏系統(tǒng)某些方面的重要業(yè)務(wù)安全內(nèi)容，因此，對(duì)于鐵路重要的系統(tǒng)而言，需要從業(yè)務(wù)角度出發(fā)，按照保密性、完整性、可用性、可靠性、不可抵賴性等安全屬性，進(jìn)一步梳理安全測(cè)評(píng)指標(biāo)，形成專用指標(biāo)。

2.3.2 典型鐵路系統(tǒng)專用指標(biāo)研究

業(yè)務(wù)安全同業(yè)務(wù)本身具備的形態(tài)及其所提供的服務(wù)密不可分，業(yè)務(wù)安全最典型特征是個(gè)性化，因此，本文以鐵路運(yùn)輸調(diào)度管理信息系統(tǒng)（TDMS）作為典型鐵路系統(tǒng)，從計(jì)劃、命令和調(diào)度3類(lèi)典型業(yè)務(wù)研究，梳理出完整性、保密性、可用性3方面的專用指標(biāo)，指標(biāo)組成，如圖12所示。

圖12 鐵路三位一體網(wǎng)絡(luò)安全專用指標(biāo)

3 測(cè)評(píng)指標(biāo)庫(kù)要求及應(yīng)用

3.1 測(cè)評(píng)指標(biāo)舉例說(shuō)明

為了更好地開(kāi)展鐵路三位一體網(wǎng)絡(luò)安全測(cè)評(píng)工作，梳理出以上測(cè)評(píng)指標(biāo)庫(kù)，其中，通用指標(biāo)庫(kù)中的二級(jí)指標(biāo)及專用指標(biāo)庫(kù)中的三級(jí)指標(biāo)對(duì)于指導(dǎo)現(xiàn)場(chǎng)測(cè)試人員編制測(cè)評(píng)指導(dǎo)書(shū)和測(cè)評(píng)工作具有實(shí)際意義。以三級(jí)系統(tǒng)安全計(jì)算環(huán)境的云安全擴(kuò)展要求為例，介紹測(cè)評(píng)指標(biāo)庫(kù)的要求及內(nèi)容，并且分析出關(guān)聯(lián)的安全風(fēng)險(xiǎn)，如表1所示。

3.2 測(cè)評(píng)應(yīng)用案例

參照以上梳理的通用指標(biāo)進(jìn)行現(xiàn)場(chǎng)測(cè)試時(shí)，比如需對(duì)云安全擴(kuò)展要求的一級(jí)指標(biāo)“訪問(wèn)控制”開(kāi)展現(xiàn)場(chǎng)測(cè)試和報(bào)告編寫(xiě)時(shí)，可針對(duì)訪問(wèn)控制的兩個(gè)要求項(xiàng)，梳理出3個(gè)二級(jí)指標(biāo)，其中，要求項(xiàng)1包括“訪問(wèn)控制策略遷移”“遷移記錄及配置”2個(gè)二級(jí)指標(biāo)；要求項(xiàng)2包括“不同虛擬機(jī)間訪問(wèn)控制策略”1個(gè)二級(jí)指標(biāo)，可以清晰地了解和掌握基本要求項(xiàng)的關(guān)鍵測(cè)評(píng)關(guān)注點(diǎn)。以下分別從3類(lèi)測(cè)評(píng)方法判定該“訪問(wèn)控制”項(xiàng)的結(jié)果。

（1）按照等級(jí)保護(hù)測(cè)評(píng)要求，現(xiàn)場(chǎng)測(cè)試中，若二級(jí)指標(biāo)全部滿足，則此測(cè)評(píng)項(xiàng)為符合[8]，符合程度為1分；全部不滿足，則此測(cè)評(píng)項(xiàng)為不符合，符合程度為0分；部分滿足，則此測(cè)評(píng)項(xiàng)為部分符合，符合程度為0.5分。根據(jù)等級(jí)保護(hù)測(cè)評(píng)結(jié)論計(jì)算系統(tǒng)最終得分，判定系統(tǒng)安全狀況和等級(jí)保護(hù)測(cè)評(píng)結(jié)論。

（2）按照風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)要求，二級(jí)指標(biāo)若為符合，則進(jìn)一步從中識(shí)別出系統(tǒng)已有的安全措施；若為部分符合和不符合，則結(jié)合系統(tǒng)面臨的安全風(fēng)險(xiǎn)項(xiàng)，分析得出系統(tǒng)存在的脆弱點(diǎn)，此脆弱點(diǎn)和等級(jí)保護(hù)測(cè)評(píng)中梳理的安全問(wèn)題相關(guān)聯(lián)，根據(jù)風(fēng)險(xiǎn)評(píng)估模型或各類(lèi)算法，對(duì)脆弱性進(jìn)行賦值，結(jié)合資產(chǎn)從完整性、保密性和可用性賦值，以及威脅發(fā)生的頻率，計(jì)算系統(tǒng)安全風(fēng)險(xiǎn)值，確定系統(tǒng)總體安全狀況[9-10]。

（3）從國(guó)鐵集團(tuán)定期開(kāi)展的安全檢查，檢查指標(biāo)從本文中梳理的指標(biāo)中進(jìn)行抽選，結(jié)果判定為符合、部分符合和不符合3種情況，并結(jié)合工具測(cè)試和滲透測(cè)試的結(jié)果對(duì)系統(tǒng)進(jìn)行整體評(píng)斷。

4 結(jié)束語(yǔ)

表1 三級(jí)系統(tǒng)安全計(jì)算環(huán)境通用指標(biāo)-云安全擴(kuò)展指標(biāo)訪問(wèn)控制內(nèi)容

鐵路作為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，其網(wǎng)絡(luò)安全重要性不言而喻，通過(guò)安全方案設(shè)計(jì)、安全建設(shè)整改、安全等級(jí)保護(hù)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)、安全檢查和安

全運(yùn)維等各種手段保障系統(tǒng)安全穩(wěn)定運(yùn)行。為了保證3類(lèi)測(cè)評(píng)方法可以更高效、更客觀地反映系統(tǒng)安全狀況，本文提出建立三位一體網(wǎng)絡(luò)安全測(cè)評(píng)指標(biāo)庫(kù)，包括通用指標(biāo)和專用指標(biāo)，通用指標(biāo)涵蓋安全保護(hù)等級(jí)一級(jí)～四級(jí)的保護(hù)對(duì)象，保護(hù)對(duì)象包括信息系統(tǒng)、云計(jì)算平臺(tái)、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等鐵路重要系統(tǒng)和應(yīng)用，梳理出一級(jí)和二級(jí)指標(biāo)。專用指標(biāo)針對(duì)鐵路典型重要系統(tǒng)的業(yè)務(wù)，從完整性、保密性及可用性梳理出一級(jí)指標(biāo)、二級(jí)指標(biāo)和三級(jí)指標(biāo)。通過(guò)指標(biāo)的梳理，更好地開(kāi)展現(xiàn)場(chǎng)測(cè)評(píng)工作，本文梳理的專用指標(biāo)僅以運(yùn)輸調(diào)度管理信息系統(tǒng)為例，還不具備廣泛性，需進(jìn)一步梳理出其他系統(tǒng)的專用指標(biāo)，并梳理三位一體測(cè)評(píng)實(shí)施流程，提出鐵路三位一體網(wǎng)絡(luò)安全測(cè)評(píng)實(shí)施指南建議。