鐵路信息安全等級保護自查方案設計

劉 剛

（中國鐵路信息技術中心，北京 100844）

鐵路信息安全等級保護自查方案設計

劉 剛

（中國鐵路信息技術中心，北京 100844）

通過對信息安全專項檢查的內容和方法進行深入分析和細化，形成可操作性的自查內容和指標體系，并提出一套合理規范的自查方法及流程，將等級保護自查與等級保護測評工作有機結合，切實有效地推進鐵路行業等級保護工作的高效開展。

等級保護自查；等級保護測評；安全專項檢查

鐵路信息安全等級保護自查能為等級保護測評提供有價值的信息和參考。各鐵路局組織內部人員對本局范圍內使用的信息系統安全情況開展等級保護自查，不僅可以使工程技術人員通過實踐工作得到了鍛煉，提高了信息安全的專業技能，深刻理解信息安全等級保護法規對信息安全工作的指導性意義，也使決策者全面了解本單位信息系統整體信息安全狀況，為信息安全方面的決策提供了數據支持。組織內部的自查工作與專業機構的等級測評有機結合，可以使信息安全建設整改工作常態化，穩步推進鐵路信息系統安全保障水平。

1 等級保護自查內容

鐵路信息安全等級保護自查分為信息安全專項檢查及不定期等級保護自查。

鐵路信息安全專項檢查一般是針對發生的安全事故或安全事件進行的全面安全工作，它是鐵路運輸安全大檢查的重要組成部分，在各級主管部門的監督和組織下開展。不定期等級保護自查是各單位內部為了順利完成系統的等級測評，實現系統的安全設計目標，結合系統網絡架構和自身業務特點，依據《信息安全等級保護測評要求》而開展的“等級符合性預測評”。

1.1 網絡及安全設備自查

主要對系統的網絡架構合理性進行分析，排查網絡及安全設備等安全配置策略及有效性、系統內外網訪問控制措施、網絡的流量及連接數限制等策略是否合理。

1.2 終端及主機系統自查

對重要信息系統的終端接入及外聯、主機系統防病毒能力、終端及主機系統身份鑒別和安全審計功能是否完整并有效。

1.3 應用系統安全自查

包括應用系統安全功能配置及有效性，是否有明顯的SQL注入、跨站腳本、緩沖區溢出等常見安全漏洞，對外服務網站防入侵、防攻擊、防篡改的能力情況。

1.4 數據庫安全自查

針對重要數據庫的存儲及備份策略進行自查。

1.5 網絡安全策略制定及落實情況自查

檢測預警、備份恢復、應急處置等工作開展情況；網絡安全事件的發生情況。

1.6 信息安全管理制度建立和落實情況自查

各類信息安全管理規章制度的建立情況、人員崗位及責任、安全知識及技能培訓工作開展情況、應急處置預案及應急處置演練活動開展情況等。

2 等級保護自查指標

將等級保護自查內容逐步細化，形成可操作性的自查指標，主要技術安全及管理安全部分自查指標分別如表1和表2所示。鐵路總公司作為信息安全管理部門還可以將自查表單進行技術衍生，形成監督檢查表，引入定期安全督導機制，遠程對下屬各單位等級保護整改情況進行及時的匯總和分析。各鐵路局信息化處亦可根據本單位信息系統實際情況對自查表單內容進行適度細化和修改，全面掌握本單位內及所管轄各站段的信息系統信息安全自查情況，并對信息系統安全現狀向上級部門匯報。

表1 鐵路信息系統等級保護技術安全自查簡表

3 等級保護自查方法和流程

3.1 自查方法

等級保護自查主要采用訪談和現場檢查的方式。

訪談是對信息系統整體情況進行了解，依據《鐵路信息系統等級保護自查表》中自查項及指標要求，與信息系統相關管理人員（如系統管理員、網絡管理員、數據庫管理員等個人或群體）進行咨詢性和針對性的會談、交流，了解系統業務功能、實現方式、網絡拓撲結構等基本信息，針對重要信息系統的安全設計方案深入分析，了解其安全策略。

現場檢查是自查的最主要的方法，重點檢查文檔類信息包括信息安全管理制度方針等；網絡及安全設備、終端及主機系統、應用系統、數據庫系統的配置文件的檢查。如對于安全領導機構的建立及運行情況、安全規劃、策略制定和落實情況、信息安全管理制度建立和落實情況需要仔細閱讀相關文檔查找判斷自查指標結果是否符合的證據；對于網絡流量及網絡連接數、終端及主機登陸系統失敗處理功能、應用系統訪問權限開放情況等配置文檔的查看需要登錄設備輸入命令查看結果中是否存在能夠驗證自查指標結果的證據。

3.2 自查流程

3.2.1 等級保護自查準備

各單位各部門抽調信息安全管理及維護人員組成檢查工作組，按照檢查任務要求，制定具體檢查方案，明確檢查目標，制定工作計劃并編制《鐵路信息安全等級保護自查表》，報送上級管理部門審批。

3.2.2 現場信息安全自查

全路各鐵路局及相關單位對本單位內信息系統進行現場安全技術檢查、檢測，重點針對系統網絡安全、終端及主機安全、數據庫安全及信息安全管理制度的建立及落實情況等方面開展自查。其中，路局層面，重點檢查各項信息安全管理制度的建立及落實情況、重要信息系統的網絡架構、網絡及安全設備的運行情況、重要的終端及主機設備的安全狀況進行系統的排查和分析；下屬各站段重點檢查安全人員的責任落實情況、各項管理制度的執行情況、各類系統的安全運行現狀等。

3.2.3 自查報告編制

各單位、各部門自查工作完成后，要全面總結信息安全專項自查及等級保護自查工作的情況，并通報檢查結果，撰寫總結報告，針對自查過程中發現的問題要及時總結，避免類似問題再次發生。

3.2.4 自查結果的分析與整理

各單位、各部門要匯總現場自查結果并全面分析，通報系統當前網絡安全形勢，匯報自查工作情況，并對重要信息系統存在安全隱患的情況進行核實，及時形成自查意見和安全整改建議。

3.2.5 整改計劃制定與落實

針對信息安全自查結果，鐵路局信息化處積極組織各單位開展系統整改工作，做好重要信息系統等級保護政策宣講。同時，要聽取被檢查單位和部門自查工作情況匯報，對自查中發現的問題要提出整改意見和計劃，并督促各單位及時開展系統安全整改。經技術檢測發現存在安全隱患的重要信息系統和對外服務網站，要重點把控，責令其限期整改并全程跟蹤。

同時，中國鐵路總公司運輸局信息化部應牽頭建立督導檢查制度，組織制定鐵路行業的信息安全自查工作規范，定期或不定期對自查工作開展情況進行檢查，督促落實信息安全等級保護制度，達到重點督促，以點帶面的目的。

4 等級保護自查工作組織

中國鐵路總公司運輸局信息化部擬成立專項檢查組按職責分工深入現場檢查；建議各鐵路局信息化處會同信息所、各業務處室、基層站段、專業運輸公司主要領導要貫徹鐵路總公司指示并安排部署，分管領導不定期深入現場檢查督導，各專業檢查組分系統落實安全專項自查和等級保護自查。自查組織機構設置如圖1所示。

圖1 安全自查和等級保護自查組織機構圖

中國鐵路總公司運輸局信息化部成立信息系統安全自查和等級保護自查工作領導小組，對鐵路總公司所屬其它單位和各鐵路局安全專項自查和等級保護自查進行指導。各鐵路局信息化處會同信息所執行鐵路總公司決定，認真開展本路局安全自查和等級保護自查工作，期間鐵路局各業務處室、基層站段做好積極配合檢查工作。建議邀請中國鐵路信息技術中心、中國鐵道科學研究院、各安全廠商為信息安全自查工作提供技術支持及后續咨詢服務。

5 結束語

鐵路行業信息系統等級保護工作尚處于起步階段，與其它行業相比，缺乏相關標準和管理規范制度，也未建立行業信息安全等級保護測評認證體系，缺乏行之有效的測評手段。采用安全檢查、風險評估、內外評測、安全運維等管理和技術手段，建立有效的安全測評與技術督查體系，切實深入地推進等級保護自查工作的開展。

等級保護自查必然會是伴隨著系統等級保護生命周期的一個不斷循序漸進的過程，也是等級保護測評有效開展的前提。通過在重要時間節點（如春運、暑運等）開展安全檢查專項檢查及等級保護自查，一方面提高了系統運維人員的專業測評效率，節約了各類資源；另一方面，將安全建設整改工作常態化穩步推進的同時，必將使鐵路總公司及鐵路局、管理人員保持安全意識，逐漸深刻理解信息安全防護的實際意義，更是從實際出發推動等級保護測評體系及制度盡快建立和實施的有效手段。

[1]中華人民共和國質量監督檢驗檢疫局，中國國家標準化管理委員會. GBT 22239-2008，信息安全技術—信息系統安全等級保護基本要求[S].北京：中國標準化出版社，2008.

[2] 中華人民共和國質量監督檢驗檢疫局，中國國家標準化管理委員會.GBT 28448-2012，信息安全技術信息—信息系統安全等級保護測評要求[S]. 北京：中國標準化出版社，2012.

[3] 劉 寅.發電集團等級保護自測評實踐分析[J].中國電力，2012，10（2）：77-79.

[4] 郭啟全. 國家信息安全等級保護工作的開展與實施[J]. 警察技術，2007（5）： 52-55.

責任編輯 徐侃春

Scheme design of railway information security level protection self-inspection

LIU Gang
( China Railway Information Technology Center, Beijing 100844, China )

By deeply analyzing and ref i ning the methods and content of special information security inspection, it was formed operational self-inspection contents and index systems, given the reasonable and normative self-inspection methods and procedures. The level protection self-inspection was combined with evaluation to push on level protection work effectively.

level protection self-inspection; level protection evaluation; special security inspection

U29-39

A

1005-8451（2015）02-0048-04

2014-10-08

劉 剛，高級工程師。