鐵路行業(yè)信息安全等級保護工作與其他行業(yè)對比分析

蔣笑冰

（北京鐵路通信技術(shù)中心，北京 100038）

行業(yè)分析

鐵路行業(yè)信息安全等級保護工作與其他行業(yè)對比分析

蔣笑冰

（北京鐵路通信技術(shù)中心，北京 100038）

本文介紹了鐵路行業(yè)信息安全等級保護工作現(xiàn)狀，并與電力、金融等行業(yè)等級保護工作進行了對比分析，從等級保護工作實施程度、行業(yè)標準制定、行業(yè)評測機構(gòu)成立幾方面，指出了當前鐵路等級保護工作存在的不足，為未來鐵路等級保護工作的進一步開展和推進提供參考。

信息安全等級保護；鐵路等級保護；等級保護行業(yè)標準；等級保護測評機構(gòu)

信息系統(tǒng)安全保護等級，是指根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，由低到高劃分為5級[1]。信息安全等級保護工作，即按照信息系統(tǒng)不同的安全保護等級，實施不同等級不同強度的安全防護工作。按照中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)的《國家信息化領導小組關(guān)于加強信息安全保障工作的意見》，全國各行業(yè)陸續(xù)實行等級保護工作。

1 鐵路行業(yè)信息安全等級保護工作現(xiàn)狀

2007 年，原鐵道部成立了鐵路信息安全等級保護工作協(xié)調(diào)領導小組，印發(fā)了《關(guān)于開展鐵路重要信息系統(tǒng)安全等級保護定級工作的通知》。多次組織會議研究具體工作，并每年將等級保護工作列入全國鐵路信息化工作要點，提出明確要求，重點督促落實。

2012 年，發(fā)布了《關(guān)于進一步做好鐵路信息安全等級保護工作的通知》，進一步推進鐵路信息安全等級保護工作。截至2012年，鐵路行業(yè)已對33個信息系統(tǒng)進行了定級，其中二級8個，三級22個，四級3個，結(jié)合系統(tǒng)建設、升級改造、專項工程等，對部分已定級的信息系統(tǒng)進行了相應的信息安全防護改造，起到了一定的防護作用。

2 其他行業(yè)信息安全等級保護工作現(xiàn)狀

2.1 電力行業(yè)

電力信息系統(tǒng)包括發(fā)電、輸電、變電、配電、用電等環(huán)節(jié)的生產(chǎn)、調(diào)度與控制系統(tǒng)，還包括與生產(chǎn)、營銷等工作相關(guān)的管理系統(tǒng)。

2004年10 月，國家電網(wǎng)公司轉(zhuǎn)發(fā)了公安部發(fā)布的《關(guān)于信息安全等級保護工作的實施意見》的通知，要求下屬單位認識信息安全保障體系。2005年，電力行業(yè)監(jiān)管部門頒發(fā)了《電力二次系統(tǒng)安全防護規(guī)定》，后陸續(xù)制定了《電力二次系統(tǒng)安全防護總體方案》、《省級及以上調(diào)度中心二次系統(tǒng)安全防護方案》、《變電站二次系統(tǒng)安全防護方案》，高度重視信息安全保護工作[2]。

2007年8 月，電監(jiān)會發(fā)布了《關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知》；隨后11月下發(fā)了《電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導意見》，要求貫徹落實國家關(guān)于信息安全等級保護工作。

2010年6 月，電力行業(yè)信息安全等級保護測評中心通過國家信息安全等級保護工作協(xié)調(diào)小組評審[3]，成為國內(nèi)首個行業(yè)信息安全等級保護測評機構(gòu)，為電力行業(yè)信息安全等級保護工作開展提供測評及咨詢等服務。

2011 年，電力行業(yè)按照國家信息安全等級保護相關(guān)標準和管理規(guī)范，結(jié)合自身行業(yè)現(xiàn)狀和特點，制定了本行業(yè)的等保標準——《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》(送審稿)[2]，指導行業(yè)信息安全等級保護工作。

以國家電網(wǎng)公司為代表，電力行業(yè)等級保護工作有序穩(wěn)步推進，2006年開展了信息系統(tǒng)安全等級保護制度研究與試點工作，2007年進行了試點，2009年全面展開等級保護建設工作。2010年以來，電力行業(yè)形成了以網(wǎng)絡隔離、邊界防護和分層分級縱深防御為主要特點的立體化安全防護體系[4]，成為全國首個率先組織開展信息安全等級保護工作并深入應用的行業(yè)。

2.2 金融行業(yè)

金融行業(yè)信息系統(tǒng)包括中國人民銀行信息系統(tǒng)和銀行業(yè)金融機構(gòu)信息系統(tǒng)兩大類。中國人民銀行除擁有政府行政管理的各類信息系統(tǒng)外，還有履行金融調(diào)控、金融服務、金融市場職能的13類信息系統(tǒng)。銀行業(yè)金融機構(gòu)信息系統(tǒng)分為兩類：各類銀行、各類金融機構(gòu)[5]。

2007 年，中國人民銀行印發(fā)《中國人民銀行、中國銀行業(yè)監(jiān)督管理委員會關(guān)于印發(fā)<開展銀行業(yè)金融機構(gòu)重要信息系統(tǒng)安全等級保護定級工作>的通知》[6]，開始在金融行業(yè)開展信息安全等級保護工作。

2011年1 月，經(jīng)中國人民銀行、公安部國家信息安全等級保護工作協(xié)調(diào)小組辦公室批準，中國金融電子化公司測評中心成為行業(yè)指定的信息安全等級保護測評服務機構(gòu)[3]，開始了金融行業(yè)信息安全等級保護測評和風險評估工作。

2012年7 月，人民銀行制定出臺了《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》、《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》、《金融行業(yè)信息安全等級保護測評服務安全指引》3項標準[7]，成為金融行業(yè)的等級保護標準。

同年，人民銀行發(fā)布了《中國人民銀行關(guān)于進一步推進銀行業(yè)信息安全等級保護工作的通知》，將等級保護工作長效化、制度化。

2013 年以來，人民銀行先后發(fā)布了《中國人民銀行信息系統(tǒng)安全等級保護定級和備案流程實施辦法》、《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)信息系統(tǒng)安全等級保護定級的指導意見》，進一步完善了等級保護工作流程，并組織對21 家全國性銀行業(yè)金融機構(gòu)信息系統(tǒng)定級情況進行了評審。

2.3 教育行業(yè)

教育行業(yè)信息系統(tǒng)包括教育行政管理信息系統(tǒng)和學校信息系統(tǒng)兩大類，如教育部全國學前教育管理信息系統(tǒng)、全國中小學校舍信息管理系統(tǒng)、高考報名與招生相關(guān)系統(tǒng)；各高校教師學生管理信息系統(tǒng)、考試與成績管理系統(tǒng)、遠程教育系統(tǒng)等[8]。

2009 年，教育部辦公廳印發(fā)《關(guān)于開展信息系統(tǒng)安全等級保護工作的通知》，隨后，教育部批準成立了“教育信息安全等級保護測評中心”，具體承擔相關(guān)等級保護工作。

2010 年～2011年 ，教育部辦公廳先后印發(fā)了《關(guān)于開展教育系統(tǒng)信息安全等級保護工作專項檢查的通知》、《關(guān)于進一步加強網(wǎng)絡信息系統(tǒng)安全保障工作的通知》，要求做好教育系統(tǒng)網(wǎng)絡信息安全保障工作，加快建立完備的教育網(wǎng)絡信息安全保障體系。

2011年6 月，國家信息安全等級保護工作協(xié)調(diào)小組評審并通過了教育信息安全等級保護測評中心作為國家信息安全等級保護測評機構(gòu)的資質(zhì)申請[9]，成為繼電力、金融行業(yè)之后第三家行業(yè)信息安全等級保護測評機構(gòu)。

教育部積極組織開展信息安全等級保護行業(yè)標準的制定，研究制定了《教育系統(tǒng)信息安全等級保護定級指南》、《教育系統(tǒng)信息安全等級保護基本要求》等技術(shù)標準[10]，進一步規(guī)范了教育行業(yè)等級保護工作在技術(shù)層面的落實。

2012 年以來，教育行業(yè)等級保護工作繼續(xù)深入開展，教育部直屬機關(guān)100多個系統(tǒng)完成定級及評審工作，國家教育管理信息系統(tǒng)安全保障體系建設完成，行業(yè)具備了獨立進行信息安全等級測評、風險評估服務的能力。

2.4 廣電行業(yè)

廣電行業(yè)信息系統(tǒng)可分為3大類：生產(chǎn)業(yè)務系統(tǒng)、外網(wǎng)系統(tǒng)、專網(wǎng)系統(tǒng)[11]。

鑒于廣電系統(tǒng)的專業(yè)特色，無法照搬基于IP網(wǎng)絡的信息安全評估方法，廣電行業(yè)進行了一系列的研究工作。2007年，廣電總局以光纜干線網(wǎng)風險評估為切入點，開始了行業(yè)內(nèi)風險評估的探索；2008年，完成了“廣播電視光纜干線網(wǎng)信息安全風險評估方法研究”項目，探索出一條適用于行業(yè)信息安全評估之路；2009年，在此基礎之上，廣電總局完成了“廣播電視衛(wèi)星地球站信息安全風險評估方法研究”；2010年，啟動了電視中心、廣播中心、無線發(fā)射3大播出類型的專業(yè)風險評估方法研究。

2007 年，廣電行業(yè)下發(fā)了相應的定級工作指導意見，開始了重要播出信息系統(tǒng)定級工作。2009年，廣電總局開始著手研究編制適合行業(yè)的等級保護標準；2011年，廣電總局頒布出臺了《廣播電視相關(guān)信息系統(tǒng)安全等級保護定級指南》和《廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求》[12]，作為行業(yè)內(nèi)信息安全等級保護標準，為信息系統(tǒng)建設整改提供指導。

2012 年，國家廣播電影電視總局廣播電視信息安全測評中心通過國家信息安全等級保護工作領導協(xié)調(diào)小組辦公室評審[3]，獲得廣電行業(yè)信息安全等級保護測評機構(gòu)推薦證書，成為國內(nèi)第4家行業(yè)信息安全等級保護測評機構(gòu)。

目前，按照廣電總局的統(tǒng)一部署和要求，廣電行業(yè)已完成主要信息系統(tǒng)的分類和定級，完成了相關(guān)系統(tǒng)在公安機關(guān)網(wǎng)絡安全保衛(wèi)部門的備案，并有計劃地開展安全建設整改工作。

3 鐵路與其他行業(yè)信息安全等級保護工作對比分析

3.1 對工作的認識和推進程度

作為關(guān)系國計民生的重要運輸系統(tǒng)，早在2007年，鐵路行業(yè)即開始了信息安全等級保護工作，與教育等行業(yè)相比，信息安全等級保護工作在鐵路行業(yè)的起步更早，等級保護工作被列作全國鐵路信息化工作的要點，獲得了較多的關(guān)注和重視。

然而，與電力等其他行業(yè)相比，鐵路信息安全等級保護工作也存在著不足：（1）行業(yè)的先行性自我研究欠缺且滯后，沒有在等級保護工作全面開展之前進行行業(yè)信息安全工作的調(diào)研和考察，這使得本行業(yè)對信息安全等級保護工作的認識缺乏良好的理論和實踐基礎；（2）信息安全等級保護工作在全路的實施力度有待加強，有些行業(yè)已將等級保護工作實現(xiàn)了例行化和常態(tài)化，而且較早時候即按照等級保護工作的要求完成了本行業(yè)信息系統(tǒng)的定級、備案等工作，而鐵路行業(yè)內(nèi)的上述工作尚處于未實現(xiàn)狀態(tài)或?qū)崿F(xiàn)較晚。

3.2 行業(yè)標準的制定

信息安全等級保護工作的行業(yè)標準，是本行業(yè)按照信息安全等級保護國家標準的要求、結(jié)合行業(yè)自身特點而制定的等級保護工作標準。行業(yè)標準是行業(yè)開展信息安全等級保護工作的依據(jù)和指導性文件，其集中體現(xiàn)了本行業(yè)信息安全等級保護工作的研究現(xiàn)狀和最高水平，是判斷一個行業(yè)信息安全等級保護工作水平的重要依據(jù)。

當前電力、金融、廣電等行業(yè)已按照信息安全等級保護國家標準要求、結(jié)合自身行業(yè)特點，制定出臺了本行業(yè)的等級保護標準，有的結(jié)合使用反饋情況，對已有標準進行了重新修訂和完善，形成了第二版的標準。鐵路信息系統(tǒng)的行業(yè)特點，決定了鐵路信息系統(tǒng)安全不能完全照搬等級保護國家標準，而應依據(jù)國家標準結(jié)合行業(yè)特點實施信息安全保護工作；然而，此項工作尚處于空白狀態(tài)，鐵路行業(yè)亟待出臺行業(yè)標準以指導行業(yè)信息安全等級保護工作。

3.3 行業(yè)評測機構(gòu)的成立

為進一步推進國家信息安全等級保護工作，公安部依據(jù)機構(gòu)信息安全等級保護測評能力，授權(quán)第三方機構(gòu)進行信息安全等級保護測評。等級保護測評機構(gòu)的主要工作是根據(jù)等級保護標準規(guī)范，對各信息系統(tǒng)測評；作為等級保護測評工作的實施者，它推動著等級保護工作的前進，是信息安全等級保護工作的重要組成部分。

截至目前，全國已有數(shù)十家機構(gòu)獲得信息安全等級保護測評資質(zhì)，列入公安部信息安全等級保護評估中心推薦的全國等級保護測評機構(gòu)目錄。其中，已有7家機構(gòu)獲得國家級測評資質(zhì)，這包括了電力、金融、教育及廣電等行業(yè)的測評機構(gòu)，另外的機構(gòu)則獲得了省市級的測評資質(zhì)。

當前，鐵路行業(yè)尚無一家具有認可測評資質(zhì)的第三方測評機構(gòu)，導致鐵路內(nèi)信息系統(tǒng)安全等級保護工作的推進，不得不求助于鐵路外的社會評測機構(gòu)，然而這些機構(gòu)并不了解鐵路行業(yè)的特點，給鐵路等級保護工作的實施帶來了很大被動。另外，鐵路信息系統(tǒng)大多覆蓋全國，實行全國統(tǒng)一管理，省市級測評機構(gòu)已不能勝任鐵路的需求。因此，成立一家行業(yè)內(nèi)的國家級測評機構(gòu)，是鐵路等級保護工作進一步開展的必然要求。

4 結(jié)束語

本文闡述了鐵路行業(yè)當前信息系統(tǒng)安全等級保護工作的現(xiàn)狀，結(jié)合電力、金融、教育及廣電行業(yè)現(xiàn)狀，從等級保護工作的實施程度、行業(yè)標準的制定及行業(yè)測評機構(gòu)的成立3個方面進行了對比分析，為鐵路行業(yè)信息安全等級保護工作的進一步開展提供參考。

[1] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局.. GB/T 22239-2008，信息安全技術(shù)—信息系統(tǒng)安全等級保護基本要求[S].北京：中國標準出版社，2008.

[2] 唐 斐. 信息安全等級保護標準在電力行業(yè)的應用 [C]. 2012年電力通信管理暨智能電網(wǎng)通信技術(shù)論壇論文集，2013.

[3] 全國等級保護測評機構(gòu)推薦目錄[EB/OL].http://www.cspec. gov.cn/web/detail/de95.html，2011-11-02.

[4] 朱世順. 信息安全等級保護在電力信息系統(tǒng)中的應用[J]. 電力信息化， 2010（4）.

[5] 胡曉荷. 銀行業(yè)信息安全等級保護工作經(jīng)驗—專訪人民銀行科技司安全處郭全明處長 [J]. 信息安全與通信保密，2010（1）：32-35.

[6] 楊 晨. 中國人民銀行緊鑼密鼓開展信息安全等級保護工作[J]. 信息網(wǎng)絡安全，2007（11）.

[7] 王珊珊. 金融標準化在行業(yè)信息安全等級保護中的實踐—人民銀行昆明中心支行貫徹金融標準的實踐經(jīng)驗 [J]. 時代金融，2014（1）.

[8] 《中國教育信息化》編輯部. 2010年度中國教育信息化十大事件 [J]. 中國教育信息化，2011（1）.

[9] 《中國教育信息化》編輯部. 教育信息安全等級保護測評中心成立 [J]. 中國教育信息化，2011（14）.

[10] 安 宏. 以國家教育管理信息系統(tǒng)建設為契機全面加強教育網(wǎng)絡與信息安全建設 [J]. 中國教育信息化，2013（14）.

[11] 關(guān)麗霞. 談廣播電視信息安全[J]. 廣播與電視技術(shù)，2012（4）.

[12] 鄒娟娟. 等級保護在電視制播業(yè)務方面的應用研究[J]. 廣播與電視技術(shù)，2013（10）.

責任編輯 陳 蓉

Contrast and analysis of information security level protection work between railway industry and other industries

JIANG Xiaobing
( Beijing Railway Communication Technology Center, Beijing 100038, China )

After reviewing present situation of railway information security level protection and comparing with other industries such as power and f i nancial industry, this paper pointed out shortages of level protection work from aspects of implemented degree, industry standards and industry evaluation agency, provided reference for further work.

information security level protection; railway level protection; industry standards for level protection; level protection evaluation agency

U29-39

A

1005-8451（2015）02-0062-04

2014-10-08

蔣笑冰，高級工程師。