建立鐵路行業信息安全等級保護測評機構必要性分析

史 宏

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

建立鐵路行業信息安全等級保護測評機構必要性分析

史 宏

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

我國信息安全管理工作遵循分等級保護原則，要求各行各業按照等級保護思想對本行業的信息系統進行安全防護。鐵路行業的信息系統具有行業特色，并與運輸安全息息相關，信息系統安全的好壞需要專業的測評機構進行把控。本文就行業測評機構的優勢、作用和必要性進行了分析。

信息安全；等級保護；測評機構

信息系統安全等級保護是國家信息安全保障工作的基本制度、基本策略和基本方法，開展信息系統安全等級保護工作既是加強國家信息安全保障工作的重要內容，也是各行業開展好信息系統安全工作的關鍵。信息系統安全措施是否落實到位不僅要在設計和建設階段嚴格把關，而且要在驗收和檢查階段嚴格管理，因此，在建立等級保護管理體系的同時，需要配套建立等級保護測評體系。

1 我國信息安全等級保護測評機構建設情況

公安部于2009年開始等級保護測評體系的建設，2010年以來，對國家和地方等級保護協調小組推薦的測評機構開展能力評估工作，到目前為止，已完成120多家測評機構的申請和評估，并頒發了《信息安全等級保護測評機構》推薦證書。120多家機構按國家和地方兩級管理，國家級目前有7家，其中有4家主要承擔行業內的測評工作，分別是電力、金融、教育和廣電。國家級信息安全等級保護測評機構情況如表1所示。

表1 國家級信息安全等級保護測評機構

2 電力行業等級保護測評機構的借鑒作用

國家信息安全等級保護工作協調小組鼓勵具有信息系統特色的行業申請等級保護測評機構，旨在對具有行業特色、安全建設情況又不便向外界透露的信息系統開展本行業的等級測評工作。在電力、金融、教育和廣電4大行業中，電力行業信息安全等級保護測評中心是最早獲批國家級測評機構的單位，其成功經驗對其它行業開展信息安全測評工作具有重要的借鑒作用。

電力行業等級保護測評中心設有3個測評實驗室，分別掛靠在國網電力科學研究院、中國電力科學研究院、華電卓識測評中心。3個實驗室均為獨立法人單位，獨立承接測評業務，測評業務指導統一歸口電力行業信息安全等級保護測評中心。電力行業等級保護測評機構的組織結構如圖1所示。

圖1 電力行業等級保護測評機構組織結構圖

各測評單位的主要職能有：技術研究、安全測評、風險評估、業務咨詢服務、行業相關標準及規范編制等，對電力行業信息安全等級保護工作的開展起到引領和推動作用。

電力行業信息系統數量多，工業控制類信息系統占多數，其中三級系統有1 700多個，四級系統有40～50個，按照公安部的要求，測評中心對本行業的三級、四級系統定期開展等級保護測評工作。

3 建立鐵路行業等級保護測評機構的必要性

鐵路行業的業務與電力行業十分相似，都屬于國家的重要基礎設施。電力行業的信息系統主要是電網控制類系統，屬工業控制專業，信息安全要求高；鐵路行業信息化工作主要為行車控制、客貨運輸提供重要支撐，信息系統涉及控制和實時交易處理等，具有明顯的行業特點，專業性要求高。因此，借鑒電力行業等級保護測評機構在本行業信息安全工作中起到的作用，有必要在鐵路行業內部建立正規的信息安全技術隊伍，對鐵路行業的網絡與信息安全工作的開展起支撐作用。

3.1 行業測評機構的優勢

如上所述，鐵路行業的信息系統有著行業運行特點和專業特殊要求，客、貨運輸交易及管理類系統涉及國計民生，列車運行控制類系統與老百姓的生命安全息息相關，行業內的測評機構依托其自身長期的專業知識的積累，具有以下幾個方面的優勢：

（1）行業測評機構容易理解行業信息系統的業務并把控安全風險

行業測評機構的從業人員大多是有著行業信息系統研發經驗的科研人員，熟悉系統的功能特點和應用背景，長期從事行業信息安全服務工作，對行業信息系統的安全風險把握較準確。

（2）便于培養行業內的信息安全服務技術力量

行業測評機構通過長期積累，在技術裝備上能得到不斷提升，通過構建與實際生產系統一致的模擬仿真測試環境，可以有效跟蹤生產應用系統的安全風險；長期從事行業內的信息安全等級保護測評工作也給測評機構的檢測人員提供良好的行業應用平臺，積累服務經驗和技術經驗；通過組織培訓班等形式，又可以將測評機構積累的豐富經驗以技術研討會的形式在行業內信息安全從業人員中傳授，有效提高行業內信息安全整體技術服務水平。

（3）行業測評機構隊伍穩定且人員可控性強

公安部要求從事信息安全等級保護測評工作的人員要可控，對從事四級系統（重要系統）以上的測評人員進行嚴格管理。行業測評機構一般都是國企，主要從事行業內的信息安全技術研究、等級保護測評服務等相關工作，人員除簽訂勞動服務合同，與單位定期簽訂保密協議外，機構也會對員工在職業發展、工資待遇、培訓教育機會等方面給予慎重安排，使得測評人員保持較高的穩定性和可控性。

3.2 行業測評機構的作用

（1）行業信息安全技術支撐

信息安全測評第三方機構有著豐富的信息安全專業知識，熟悉國家、行業各層級的標準和規范，通過長期在鐵路行業內開展測評、咨詢等服務性工作，了解行業應用系統的業務特點，掌握行業信息系統安全的普遍性和特殊性要求，可以為行業單位提供定制化的信息安全解決方案，對行業信息安全工作的開展起到積極的技術支撐作用。

（2）行業標準規范制定

根據公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安[2009]1429 號）的要求，重點行業信息系統主管部門可以按照等級保護國家標準，結合行業特點，確定行業信息系統安全等級保護的具體指標[2]。在不低于等級保護國標基本要求的情況下，結合鐵路行業信息系統安全保護的特殊需求，在行業主管部門的指導下制定鐵路行業的相關標準、規范或細則，指導鐵路行業信息系統安全建設、整改與測評工作。

（3）信息系統全生命周期測評服務

信息系統全生命周期包含5個基本階段：規劃、設計、實施、運維和廢棄。行業測評機構可以在信息系統生命周期各階段為用戶提供有針對性的信息安全服務，使等級保護工作貫穿于信息系統生命周期的各個階段。規劃階段測評機構可以幫助用戶識別危險源和安全風險，確定系統應達到的安全目標，提供定級指導；設計階段協助提出系統需滿足的安全指標，在關鍵節點提供安全測評服務；實施階段測評機構提供漏洞掃描、滲透性測試、源代碼安全檢查等深度安全檢測，并根據測評結果提供安全建設整改建議；運維階段等級保護測評的目的是掌控信息系統運行期間的安全風險，按國家標準要求定期開展等級保護測評，遇網絡結構調整、應用系統升級改造等重大變更時進行等級保護測評；業務廢棄階段行業測評機構可為用戶提供軟、硬件等資產及殘留信息的廢棄處置方案，防止系統廢棄可能引入的新的風險[3]。

（4）信息安全咨詢與評估服務

由于測評機構熟悉信息安全相關的標準和規范，實踐經驗豐富，可以根據用戶的需要開展定制化的咨詢服務，如等級保護合規性咨詢與評估服務，風險管理咨詢服務，安全體系建設咨詢與評估服務，軟件源代碼安全咨詢服務等。

（5）行業信息安全持續改進能力培養

測評機構在實施某一測評任務時，一般需要在測評前期、中期和后期與用戶進行充分的溝通，通過技術交流、設計聯絡等方式，提高用戶對等級保護基本概念、安全指標的理解以及測評方法、檢測工具的運用，在完成測評任務的同時，也幫助用戶提升信息安全自測能力。行業測評機構還可通過技術講座等形式，對用戶單位信息安全分管領導、系統運維人員和業務部門關鍵崗位人員進行培訓，通過培訓增強用戶信息安全意識和運維人員專業技術水平，使用戶具備對信息系統進行安全持續改進的能力。

3.3 行業信息安全測評工作的需要

鐵路行業目前已投入使用的信息系統按大系統分有上百個，每個大系統按照應用范圍又分為鐵路總公司級系統、鐵路局/地區中心系統和站段級系統，這些系統一般采取統一規劃、統一設計、分系統建設的模式投入使用，各級系統采用不同的等級保護定級，在開展信息系統測評時，一般需要將大系統拆分為不同的子系統分開測評，每年可參與評測的信息系統數量不低。按1個鐵路總公司、18個鐵路局、上千個車站規模考慮，鐵路每年可參評的信息系統數量大約有上萬個左右。

因此，成立鐵路行業信息安全等級保護專業測評機構不僅是信息系統安全保障的需要，也是建立健全完善的鐵路運輸整體安全體系的需要。

4 結束語

信息安全等級保護建設是一項長期任務，作為行業的第三方測評機構，應協助鐵路信息安全主管部門將行業信息安全工作落到實處，開展行業相關標準與規范制訂、安全方案設計、等級保護測評、定級備案、整改建設指導、安全咨詢等實效性工作，在落實好公安部和行業主管部門等級保護測評工作要求的同時，幫助用戶培養信息安全持續改進能力，促進行業信息安全水平整體提升，全面發揮對行業等級保護建設工作的技術支撐作用。

[1] 朱世順，陳雪鴻，石 磊.淺談行業測評機構在等級保護工作中的作用[J].信息網絡安全，2012（Z1）.

[2] 中華人民共和國公安部. 關于開展信息安全等級保護安全建設整改工作的指 導意見，公信安[2009]1429 號[Z].北京：中華人民共和國公安部，2009.

[3] 白 璐. 信息系統安全等級保護物理安全測評方法研究[J].信息網絡安全，2011（12）：89-92.

責任編輯 陳 蓉

Necessity of establishing railway information security protection evaluation agency

SHI Hong
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

China's information security management work was followed the principle of level protection, in accordance with the level of protection requirements. Since the railway industry information systems was with the industry characteristics, the information system was also a matter of safety of railway transportation, specialized agencies were required to estimate the quality of information system security. In this paper, the advantages, the role and necessity of industry evaluation agency were analyzed.

information security; level protection; evaluation agency

U29-39

A

1005-8451（2015）02-0066-03

2014-10-08

史 宏，研究員。