鐵路信息系統等級保護測評工作模式探討

祝詠升

（中國鐵道科學研究院 電子計算技術研究所， 北京 100081）

鐵路信息系統等級保護測評工作模式探討

祝詠升

（中國鐵道科學研究院 電子計算技術研究所， 北京 100081）

針對我國鐵路行業等級保護測評工作中缺乏統一的評判標準和專業評測機構，測評工作缺乏行之有效的常態化管理機制等現狀，結合其它行業等級保護測評工作模式對鐵路信息系統等級保護測評工作模式展開研究和探討，分析等級保護自查和等級測評的作用及工作內容，并將切實有效推進等級保護工作的開展，促使等級保護測評工作常態化。

等級保護自查；等級保護測評；測評工作模式

《信息安全等級保護管理辦法》（公通字[2007]43號，以下簡稱《管理辦法》）第十四條規定，信息系統建設完成后，運營、使用單位或者其主管部門應當選擇規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。第3級信息系統應當每年至少進行一次等級測評，第4級信息系統應當每半年至少進行一次等級測評。同時，信息系統運營、使用單位及其主管部門也應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第3級信息系統應當每年至少進行一次自查，第4級信息系統應當每半年至少進行一次自查。

本文將探討如何將等級保護自查和等級保護測評工作有效結合，實現鐵路信息系統等級保護測評工作的常態化發展。

在鐵路行業推進等級保護測評工作的有序和高效開展，首要工作是制定并落實各項等級保護測評制度，其次，要組織人員編制《鐵路信息系統等保測評指標體系》（簡稱“指標體系”）及《鐵路信息系統等級保護測評作業指導手冊》（簡稱“測評指導手冊”）作為開展等級保護測評的指導性文件，需要在全路范圍內組織定期或不定期開展等級保護自查及風險評估活動，為等級保護測評提供參考依據。

1 等級保護自查工作模式

（1）要加強鐵路局及車站相關單位運維人員的專業水平，不斷增強信息安全意識；（2）要規范化地推進等級保護自查工作，并結合自查結果統一規劃，客觀對待已有的系統脆弱性并進行持續的系統整改。

1.1 等級保護自查的作用

信息系統等級保護安全自查一般要在第三方等級保護測評開展之前進行，且主要針對系統的安全保護制度落實情況、業務安全和網絡安全現狀開展自查。等級保護自查工作可以由鐵路局信息化處牽頭邀請測評單位和系統安全運維人員組成，從而能盡量保證提交第三方測評機構進行等級測評時，系統的等級符合性更趨接近，且第三方測評機構依據系統自查結果也更能準確定位系統不符合項。

首先，針對系統的安全設計方案要進行合理性分析和自查，以發現系統與等級保護要求之間的差距，通過差距分析制定合理有效的整改方案并實施整改，從而滿足信息系統等級保護要求。其次，完成系統等級保護自查和初步整改后，可以申請有資質的第三方測評機構開展等級符合性測評，把第三方測評機構提交的測試結果與自查結果進行分析比對，對不符合項進行再次整改，并開展新一輪自查及自測后，再申請第三方測評，周而復始，直至系統滿足等級保護要求及設計要求。

信息系統投入運營使用之后，如果系統運營使用超過一年，則應當根據系統使用現狀及使用中發生的信息安全事件，對系統進行內部信息安全自查、自測，確認系統是否有必要進行等級變更并向上級管理部門提交變更申請；或者系統進行了大規模軟件升級、變更關鍵主機或網絡設備及配置，應再次向測評機構申請等級測評，而第三方測評機構應根據系統最新定級情況，開展系統的等級測評，出具最新等級測評報告。

1.2 等級保護自查工作內容

首先，在企業內部要根據系統的安全級別，不定期開展系統網絡及應用安全專項自查，及時發現并完善系統網絡設備、安全設備、主機和終端設備等層面的安全策略配置、安全防范措施、保密和審計策略方面的不足，在不斷的信息安全自查和安全加固工作之后，系統的信息安全保護等級就越接近系統實際定級要求，進而，依據等級保護測評要求，企業內部人員再進行針對性的對系統等級開展符合性自查，初步掌握系統的安全防范手段與實際等級之間的差距。信息系統等級保護自查主要內容如下：

1.2.1 信息安全管理情況

包括信息安全管理制度制定及落實情況、組織領導和工作部署情況，安全管理人員安全培訓及安全責任落實情況，系統安全建設及運行維護管理落實情況等。

1.2.2 網絡安全防護情況

主要檢查系統網絡架構和技術防護體系的建立情況；網絡邊界防護措施，不同網絡或信息系統之間安全隔離措施，互聯網接入安全防護措施，安全防護策略等；服務器、網絡設備、安全設備等安全策略配置及有效性等。

1.2.3 系統業務安全情況

主要檢查應用系統及對外服務網站是否存在明顯的SQL注入、跨站腳本、緩沖區溢出、弱口令等漏洞；運行系統業務的終端及主機操作系統補丁安裝、應用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、端口開放情況、系統管理權限開放情況、訪問權限開放情況、網頁篡改等情況；應用系統安全功能配置及有效性；重要數據傳輸、存儲的安全防護措施等。

2 等級保護測評工作模式

按照等級保護要求完成信息系統安全建設之后，由具有相關資質、獨立的第三方測評機構通過等級測評判定信息系統是否按照預先設定的安全模式運行，安全控制措施是否得到合理的應用，信息系統是否達到相關標準的要求，是否具備相應等級的安全防護能力等。

2.1 等級保護測評的作用

信息系統等級保護全生命周期包括系統定級備案、規劃設計、建設實施、運維管理、系統廢止幾個關鍵階段。鐵路行業對已經確定安全保護等級的系統，應適時根據信息技術發展，對不同等級系統在技術和管理兩個方面10個部分制定適合行業特色及系統業務特點的安全基本要求，在安全基本要求之上，構建符合系統相應等級的安全保護體系，達到了一個基本的安全狀態。這個安全狀態是等級保護的核心，已經確定安全保護等級的系統是否滿足基本要求是需要通過信息安全等級測評來判斷的。

鐵路信息系統安全等級測評不同于一般的安全檢測和風險評估活動，等級測評活動的完成首先是依據系統安全保護等級和該級別系統的基本保護要求；同時還需要測評人員具有把握國家及鐵路行業政策，理解和掌握相關技術標準，熟悉等級測評的方法、流程和工作規范等方面的能力及知識；最為重要的是等級測評的結果將是鐵路總公司信息安全監督管理部門依法行政管理的技術依據。因此等級測評活動是一項政策性很強和技術專業化的信息安全服務。

由此可見，鐵路行業信息安全等級測評是開展信息安全等級保護工作的重要環節，是在鐵路安全生產及安全管理模式下的技術支撐服務活動，和純粹的商業化評估有明顯的區別。信息安全等級測評首先要滿足國家管理需要，其次要符合行業發展需要，采取市場化的運作模式有序開展。（1）可以掌握信息系統安全狀況、排查系統安全隱患和薄弱環節、明確信息系統安全建設整改需求；（2）衡量信息系統的安全保護管理措施和技術措施是否符合等級保護基本要求，是否具備了相應的安全保護能力，未達到相應等級的基本安全保護能力的信息系統，其運營、使用單位應當根據等級測評報告，制定方案進行整改，盡快達到相應等級的安全保護能力。

2.2 等級保護測評的工作內容

通過等級測評判定信息系統是否按照預先設定的安全模式運行，安全控制措施是否得到合理的應用，信息系統是否達到相關標準的要求，是否具備相應等級的安全防護能力等。等級保護測評圍繞以下4方面開展工作：

2.2.1 信息收集與分析

信息收集與分析是開展現場測評工作的前提和基礎，主要包括被測單位的各種方針文件、規章制度及相關過程管理記錄、被測系統總體描述文件、被測系統詳細描述文件、被測系統安全保護等級定級報告、安全需求分析報告、被測系統安全總體方案、安全現狀評價報告、被測系統安全詳細設計方案、用戶指南、運行步驟、網絡拓撲圖、配置管理文檔、服務器配置等相關資產信息。信息收集完成后，還需要對采集的信息進行分析、綜合、整理，篩除無效信息，留取有效的足量信息。

2.2.2 等級符合性測評

按照《指標體系》的要求及《測評指導手冊》的方法和流程，對系統的物理安全、主機安全、網絡安全、應用安全、數據安全、管理安全等多個維度逐項測評指標進行符合性測評，并進行差距分析，定位系統與等級保護標準之間的差距。

2.2.3 測評結果分析驗證

針對等級測評的結果進行有效性驗證，使運營使用單位更清晰了解系統的安全現狀與差距，便于安全整改工作的進行。主要包括對系統進行漏洞掃描和滲透性測試。

2.2.4 測評結果的綜合評定

等級保護評測結果反映了信息系統與等級保護要求之間的差距。不同信息系統的關注點不同，使得各個測評項在不同信息系統測評結果中作用不盡相同，在對信息系統測評項統計分析的基礎上，首先確定各測評指標的重要程度以確定測評項的指標權重，再依據等級測評結果確定安全指標得分，根據指標權重和指標分值計算出信息系統最終的綜合評價值。

3 結束語

中國鐵路總公司運輸局下設的信息化部分管全路的信息安全監督和管理工作，各鐵路局下設信息化處分管信息系統安全建設和運維工作。鐵路行業開展信息系統等級保護測評，則需要在安全組織管理方面，建立并逐步健全一套自上而下的安全組織，成立鐵路信息系統等級保護工作管理領導機構，作為信息安全管理的常設組織，從運營使用單位中抽調適量專業人員開展系統等級保護測評專項培訓，使運維人員在了解等級保護工作重要性，熟悉與掌握等級保護自查的基本流程與方法，使自查工作與第三方等級測評工作有機結合，這樣各單位的信息安全等級保護工作才能進入螺旋狀上升的良性循環。

[1]徐 銳.淺談金融業信息系統等級保護工作的常態化[J].網絡安全技術與應用，2014（1）：179-180.

[2]朱世順，陳雪鴻.淺談行業測評機構在等級保護工作中的作用[J].信息網絡安全，2012（S）：78-79.

[3]朱建平.等級測評如何在等級保護工作中發揮更大作用[J].信息網絡安全，2011（S）：55-57.

[4]張 昊，黃曉昆.信息安全等級保護測評工作實踐與探討[J].信息網絡安全，2012（z1）：32-34.

[5]肖國煜.信息系統等級保護測評實踐[J]. 信息網絡安全，2011（7）：86-88.

責任編輯 徐侃春

Working mode of level protection evaluation for Railway Information System

ZHU Yongsheng
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

In view of lack of uniform evaluation standard and professional assessment organization for level protection evaluation in railway industry, and lack of effective normalized management mechanism, the paper researched and discussed on the working mode of level protection evaluation for Railway Information System based on other industries, analyzed the function and contents about level protection self-inspection and level evaluation, pushed on the development of level protection work, precipitated the normalization of evaluation work.

level protection self-inspection; level protection evaluation; evaluation working mode

U29-39

A

1005-8451（2015）02-0045-03

2014-10-08

祝詠升，助理研究員。