鐵路網絡與信息安全風險管理研究

高春霞，陳光偉，張文塔，岳雪梅

（1.北京交通大學 交通運輸學院，北京 100044；2.中國鐵路總公司 信息技術中心，北京 100038）

隨著信息技術在鐵路的廣泛應用，信息網絡和信息系統的基礎性、全局性、全員性日益增強。鐵路運輸組織、客貨服務、經營管理、建設管理和安全保障等對其依賴程度越來越高，特別是隨著鐵路生產與管理向著智能化和管控一體化方向的進一步發展，對網絡和信息安全提出了更高的要求。由信息安全引入的風險越來越大。網絡和信息系統一旦發生問題，將給鐵路生產、服務和經營帶來重大威脅和損失。

隨著信息系統在鐵路應用范圍的擴大、功能的增強、網絡覆蓋的延伸、開放性與互聯性的增強以及技術復雜性的提升，由于信息網絡和信息系統自身的缺陷、脆弱性以及來自內外部的安全威脅等所帶來的信息安全風險日益凸現，必須采取先進的管理理念和科學的管理方法。

1 現狀分析

目前國際上主流的信息安全管理體系的標準有ISO/IEC的國際標準17799，英國標準協會（BSI）的7799系統，美國國家標準和技術委員會（NIST）的特別出版物NIST SP 800系列等。

來自內部的安全威脅，是當前鐵路信息安全重要的風險源，對在安全邊界控制、訪問安全控制、物理安全控制、外部服務控制等方面存在的薄弱環節和安全隱患，需要有針對性地采取措施，切實使網絡和重要信息系統安全得到有效加強。

2013年，鐵路體制深化改革，成立鐵路總公司，總公司領導對鐵路安全生產高度重視，將2013年確立為安全風險管理年，全路信息部門在總公司、運輸局信息化部的領導下，全面推進安全生產大檢查和專項整治工作，從管理基礎、領導作風、過程控制三個方面進行檢查，從安全職責、規章制度、機房場地、網絡環境、系統平臺、應用系統、工程建設、技術資料等方面開展專項整治工作。

2 信息安全管理體系結構

2.1 信息安全風險管理體系結構模型

信息安全的構成要素包括信息安全技術要素和信息安全管理要素兩大部分。信息安全技術要素是保護信息安全目標實現的技術措施，而信息安全管理要素是確保信息安全技術要素在實施和運行中能夠發揮其作用的管理措施，它也可以用來彌補信息安全技術的不足。目前，鑒于信息安全漏洞在所難免，加之信息安全技術需要人來實施和運行，信息安全管理就顯得尤為重要。在業界流行的“三分技術，七分管理”的說法，可見信息安全管理的重要性。信息安全管理包括宏觀管理和微觀管理。宏觀管理是指從政策、法律法規到各級安全機構的設置等為確保國家信息安全所采取的管理措施；微觀管理是指圍繞信息系統安全所采取的一系列管理措施。

圖1給出了信息系統安全體系結構的三維模型，包括安全的技術要素、管理要素、信息系統生命周期3個維度，并都遵循國家和行業的相應政策、法規和標準。分析信息安全體系結構時，離不開人、機構和制度3大管理要素；在設計信息系統安全體系結構時，需要從環境安全、系統安全、網絡安全和應用安全4個技術角度來考慮；信息系統安全體系結構遵循多層次、動態的安全過程，在信息系統生命周期的各個階段，都從安全風險的識別、評估和控制3個層次的縱深防御體系，體現一個循序漸進的動態過程。

圖1 信息安全風險管理體系結構模型

信息安全風險貫穿于信息系統整個生命周期的各階段中。信息安全生命周期包括規劃、設計、實施、運維和廢棄5個基本階段，各階段中涉及的風險評估的原則和方法是一致的，即各階段都要涉及風險識別、風險評估、風險控制等，但由于各階段實施的內容、對象、安全需求不同，使得風險評估的對象、目的、要求等各方面也有所不同。

2.2 技術要素

本部分只對技術要素做個簡單介紹，針對當前鐵路網絡與信息在各技術要素的安全風險，本文從全生命周期的角度，進行了全面梳理。

2.2.1 環境安全

信息系統環境安全是信息安全的基礎和屏障，是信息系統安全最基本的要素。信息系統環境安全是指信息系統所在環境的安全，即電子信息系統機房（以下簡稱機房）安全，主要包括機房受災防護的能力和區域防護的能力。

當前，全數字化信息系統的建設正在全路逐步有序開展，信息化建設所應用的關鍵技術的核心硬件工作狀態的安全與穩定性要求也將不斷提高，因此機房環境無論是對信息系統自身運行的安全，還是對其信息處理的安全的保駕護航作用也是日趨顯著。

針對機房環境安全方面的要求，在進行機房設計和建設時，除了要在選址、建筑、分區方面考慮環境基礎安全，還需要在防火、防雷擊、防水和防潮、防鼠害、粉塵、噪音、震動等方面對機房技術安全要有全面和細致的考慮。

機房運行維護階段主要包括機房管理與場地保障工作，存在值班人員管理、設備管理、環境安全、電源與空調系統保障、機房訪問控制、機房保密等風險源。

2.2.2 系統安全

本部分主要介紹系統平臺的安全。系統平臺主要包括服務器、存儲設備、操作系統、數據庫管理軟件、應用中間件等硬件、軟件。保障系統安全就是對屬于系統平臺的硬件、軟件和數據加以保護，不因偶然的或者惡意的原因而造成破壞、更改或泄露，使計算機系統得以連續正常地運行。系統平臺的風險是指它的脆弱性或漏洞，以及以它為目標的威脅和攻擊。脆弱性和漏洞是風險產生的內在原因，威脅或攻擊是風險的結果。

2.2.3 網絡安全

網絡安全就是網絡上的信息安全，是指網絡系統的硬件、軟件、及其系統中的數據受到保護，不被偶然的或者惡意的原因破壞、更改和泄露，系統連續可靠正常地運行，網絡服務不中斷。廣義來說，凡是涉及網絡上信息的保密性、完整性、可用性、可控性和不可否認性的相關技術和理論都是網絡安全所要研究的領域。網絡安全涉及的內容既有技術方面的問題，又有管理方面的問題，兩方面相互補充，缺一不可。技術方面主要側重于防范外部非法用戶的攻擊，管理方面則側重于內容人為因素的管理。

我們主要從結構安全、訪問控制、安全審計、邊界完整性、入侵防范、惡意代碼防范、網絡設備防護等7個方面考慮存在的安全風險以及應采取的風險應對措施。

2.2.4 應用安全

在應用系統中應當實現嚴格的權限管理，對于權限的賦予應當進行不相容角色檢查，對于權限的賦予、變更、撤銷制定嚴格的審核、批準、操作流程；用戶信息、用戶口令、敏感業務數據的存儲應當進行加密，系統間跨網絡的數據傳輸應當實現加密；應當對Web服務定期進行弱點掃描并進行安全加固，盡量采用HTTPS來發布Web服務；應用系統應當提供身份認證功能，應當對口令長度、復雜度、生存周期進行強制要求；建立數字證書體系，向用戶發放數字證書，以支持用戶訪問應用的身份認證；應用程序應采用操作日志與公鑰密碼（PKI）體系結合，以實現業務操作的不可抵賴性；應用日志應實現對各用戶的主要業務操作進行記錄，應能保證對敏感業務操作進行復核；制定安全開發管理規范，以保證應用系統開發過程得到相應的控制，從而保障系統開發到生產運行的全過程的安全管控；保證應用間共享目錄服務（如AD、RADIUS等）的安全等。

結合鐵路總公司信息系統的實際情況，對應用安全有如下安全需求：

（1）應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別；應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。

（2）應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問；訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限。

（3）有對重要信息資源設置敏感標記的功能；應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。

（4）用密碼技術保證通信過程中數據的完整性；在通信雙方建立連接之前，應用系統應利用密碼技術進行會話初始化驗證；應對通信過程中的整個報文或會話過程進行加密。

（5）應保證應用系統的高可用性，防止單點故障。

（6）能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；應提供服務優先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優先級，根據優先級分配系統資源。

2.3 管理要素

2.3.1 組織機構

建立信息安全風險管理機構和相應的職責體系是信息安全風險管理工作的基本組織保證。可以說，信息安全風險管理機構如何，決定了信息安全風險管理的成敗。在信息系統所涉及的組織機構中建立安全風險管理機構，要根據信息安全風險管理的具體情況而定。信息安全風險管理需要建立從上到下的由領導層、管理層和執行層構成的組織管理體系，由這3個層次的組織與職責構成整個信息安全管理的組織體系。

鐵路信息系統安全應該在組織機構上加以保證。在具體組織形式上應該由鐵路總公司主管領導和運輸局信息化部具體負責鐵路信息安全的相關領導和組織工作，由相關專業職能部門分工協作，在鐵路信息化的整體工作布局中設置專門機構和崗位、明確相關職責、配備信息安全專業技術和管理人員，確保信息安全風險管理制度的有效落實和信息安全技術機制的可操作性。建立以鐵路總公司和鐵路局兩級安全風險管理為核心，以及鐵路總公司、鐵路局、站段3級運維管理為重點的鐵路信息安全風險管理組織機構架，設立相應的管理機構或崗位，配備必要的人員。明確各機構和崗位的信息安全職責。建立信息安全運行協調機制，使各級組織各司其職、各負其責，共同保證信息安全。圖2給出了鐵路總公司安全風險機構設置示意圖。

圖2 鐵路總公司信息安全風險管理組織機構

2.3.2 管理制度

以信息安全相關管理和技術規范，以及不同層次的信息安全制度為重點，構建科學嚴謹、有效適用、系統規范的信息安全管理標準制度體系，制定相應的管理規章制度、技術標準、作業辦法等，明確工作標準、工作流程，落實管理責任，規范作業行為。安全管理制度包括網絡安全管理規定、系統安全管理規定、數據安全管理規定、防病毒規定、機房安全管理規定、設備使用管理規定、人員安全管理規定、安全審計管理規定、用戶管理規定、風險管理規章制度、信息分類分級管理規定、安全事件報告規定、事故處理規定、應急管理規定、災難恢復管理規定以及相關操作規程。

按照信息安全風險管理要求，對各項管理規章制度、規章規范進行全面的清理和修訂完善，不斷加強鐵路信息安全標準制度體系建設，使鐵路信息安全風險管理工作制度化、規范化和標準化。

2.3.3 人員管理

人員管理是信息安全風險管理的一個重要組成部分，該部分主要包括信息安全認知和人員任用控制。

（1）信息安全認知是組織和人員管理的重要基礎，組織工作的落實都有賴于員工對信息安全工作的充分認識，對自己職責的準確把握以及對必要技能的掌握。對信息安全認知工作的開展要建立3種手段：信息安全宣傳、信息安全培訓和信息安全教育。

（2）人員控制不僅指組織內部人員的安全管理與控制，也包括簽約合作方及第三方人員的安全管理與控制，健全的人員安全控制是減少安全事件發生的關鍵因素，人員控制包括人員任用或合作前、任用或使用期間、任用或合作終止及變更時不同情況。

2.4 按生命周期劃分各技術要素安全風險分析

規劃階段的信息安全風險管理，本階段風險管理中，主要根據鐵路信息系統的應用對象、應用環境、業務狀況、操作要求等方面進行分析。因為鐵路信息系統的建設具有長期性，且系統龐大、業務繁多，一旦發生事故必會影響大量用戶的使用。

設計階段的安全風險管理，訂要根據規劃階段所明確的系統運行環境、資產重要性，提出安全功能需求。設計階段的風險管理過程應對設計方案中所提供的安全功能符合性進行判斷，作為采購過程風險控制的依據。本階段風險管理過程中，應詳細評估設計方案中對系統可能面臨威脅的描述，將使用的具體設備、軟件等資產及其安全功能需求列表。

實施階段安全風險管理，主要是根據系統安全需求和運行環境對系統開發、實施過程進行風險識別，并對系統建成后的安全功能進行驗證，以減緩或消除各種可能的風險。根據設計階段分析的威脅和制定的安全措施，在實施及驗收時進行質量控制。基于設計階段的資產列表、安全措施，實施階段應對規劃階段的安全威脅進行進一步細分，同時評估安全措施的實現程度，從而確定安全措施能否抵御現有威脅、脆弱性的影響。實施階段風險管理主要對系統的開發與技術、產品獲取，系統交付實施兩個過程進行控制。

運行維護階段的安全風險管理，主要是了解和控制運行過程中的安全風險，是一種較為全面的風險管理過程， 運行維護階段的風險評估應采取定期和非定期兩種方式；當組織的業務流程、系統狀況發生重大變更時，也應進行風險評估。在運行階段，需要進行持續的風險監控。為了實現持續的風險監控，需要兩種機制：安全風險探測機制和設置安全風險監控中心。

當信息系統不能滿足要求時，信息系統進入廢棄階段，對信息系統的過時或無用部分進行報廢處理。根據廢棄的程度，分為部分廢棄和全部廢棄兩種。

針對鐵路網絡與信息的生命周期各階段的安全風險分析，詳見附錄。

3 結束語

鐵路信息安全需要從技術與管理兩方面進行保障，應嚴格貫徹執行國家的信息安全等級保護規定，等保措施與信息系統應同步規劃、同步設計、同步實施、同步維護，應建立長效的信息安全管理機制，從組織機構、制度、人員、經費等各方面保障信息安全風險的動態識別、定期評估，采取有效措施防范安全風險，將信息安全事故造成的損失控制在可接受的程度。通過本文的研究，為了有效預防鐵路信息安全風險，建議采取以下措施：

（1）在信息系統規劃、設計階段，應對信息系統的安全需求進行分析，同步規劃、設計信息系統的安全等級和保護措施，建立安全環境，從源頭上保障信息安全。

（2）對已定級的信息系統，應嚴格按照等保要求進行區域劃分、邊界防護、訪問控制、安全審計及安全管理。

（3）構建一個全路信息系統可視化管理平臺，對網絡、計算機設備、應用系統部署、操作用戶及角色、運維狀態等關鍵信息進行全局監控，提高對系統中安全問題及其隱患的發現、分析和防范能力。

（4）按照鐵路信息安全的邏輯層次，構建從基礎網絡平臺、安全產品、到應用系統的信息安全防護體系。

（5）建立全路統一的身份認證與授權機制，對各信息系統的用戶進行統一管理，確保信息在產生、存儲、傳輸、處理過程中的保密性、完整性、抗抵賴性和可用性。

（6）建立信息安全風險管理機制，定期進行信息安全風險評估，通過對信息安全管理策略、信息系統結構、網絡、系統、數據庫、應用等方面進行信息安全風險評估，確定所存在的信息安全隱患及信息安全事故可能造成的損失和風險，了解在信息安全工作方面存在的問題和應采取的措施。

[1]全國信息安全標準化技術委員會.GB/T 22080-2008 信息安全技術 安全技術 信息安全管理體系要求[S].北京：中國標準出版社，2008.

[2]全國信息安全標準化技術委員會.GB/T 22081-2008 信息技術 安全技術 信息安全管理實用規則[S].北京：中國標準出版社，2008.

[3]全國信息安全標準化技術委員會.GB/T 20984-2007 信息安全技術 信息安全風險評估規 范[S].北京：中國標準出版社，2007.

[4]全國信息安全標準化技術委員會.GB/Z 20985-2007 信息技術 安全技術 信息安全事件管理指南[S].北京：中國標準出版社，2007.

[5]武 彬，張玉清，毛 劍. 信息安全風險管理系統的設計與實現[J].計算機工程，2007（11）：134-139.

[6]范正河，王 麗，李 燕. 信息安全的風險管理[J].網絡與信息安全，2011（5）：84-85.

[7]蘇 立. 電力系統信息安全風險管理體系的研究與應用[J].現代計算機，2011（9）：42-46.

[8]曲 成. 在企業建立有效的信息安全管理體系[J].計算機安全，2011（11）.