鐵路網絡安全等級保護管理系統研究

馮凱亮，張德棟，陳 勛，王紅偉

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

隨著國內外網絡安全形勢日益嚴峻，我國陸續出臺了《網絡安全法》、網絡安全等級保護（簡稱：等級保護）2.0標準，促使網絡安全工作清晰化、規范化，對業務系統風險管控、網絡安全防護能力的要求提升到新的高度[1]。近年來，鐵路作為國家重要的關鍵基礎設施，其信息化水平高速發展，信息系統與信息網絡在鐵路建設中發揮著越來越重要的作用。因而，正常、穩定的鐵路信息系統和信息網絡，對鐵路安全運輸起到重要的安全保障作用。鐵路安全與國家安全、社會秩序和人民財產安全緊密相連，因此，加強和鞏固鐵路網絡安全、做好鐵路信息系統等級保護管理工作刻不容緩。

當前，鐵路等級保護工作處于常態化，各鐵路局集團有限公司（簡稱：鐵路局）相關單位已陸續開展等級保護測評工作。由于等級保護測評數據無法統一匯總和集中存儲，且鐵路信息系統部署及管理較復雜，導致管理人員工作量日益繁重，因此在鐵路網絡安全方面，急需統一的安全管理手段[2]。為更好地推動鐵路行業信息系統等級保護測評工作[3]，把控信息臺賬，全觀安全狀況，規范等級保護工作中定級備案[4]、等級保護測評、差距分析、整改建設和監督檢查等各個環節的流程[5]，健全等級保護工作管理體系[6]，使鐵路行業的等級保護工作滿足上級部門的監管要求和政策法規的合規需求,研究鐵路網絡安全等級保護管理系統已成為開展等級保護工作的重中之重。

1 需求分析

本文按照中國國家鐵路集團有限公司（簡稱：國鐵集團）、鐵路局、站段的三級網絡安全管理模式，將鐵路等級保護工作細化為可量化的技術和管理指標，梳理鐵路網絡安全辦公管理流程，完成線上定級、備案、整改、測評、監督等主要工作，實現等級保護工作任務的下發、執行、監控和督辦等功能，使鐵路各級單位的日常網絡安全管理工作與等級保護相結合。

1.1 評測工作方面

系統應參照國家法律法規和等級保護政策標準，結合鐵路行業實際運行場景，實現統一評測標準及規范要求，進而減少不同單位及人員在測評工作中結論不一致的現象。

1.2 流程管理方面

系統應提供人員角色、工作流程等功能，方便等級保護工作開展過程中分工協作、各司其職，實現可視化的等級保護工作管理，有效改善工作不透明、流程不完善等問題。

1.3 數據存儲方面

系統應將系統臺賬數據、等級保護測評數據進行集中存儲和統一管理，不僅可保證數據的完整性和一致性，還可為后續鐵路等級保護工作開展提供依據。

1.4 數據分析方面

系統應為國鐵集團領導、鐵路局領導提供鐵路網絡安全整體狀況分析，為推動網絡安全工作開展和決策網絡安全規劃提供數據支持。

1.5 網絡安全知識庫方面

系統應將國家網絡安全法律法規和等級保護技術標準的規范要求、成功案例、分析方法、整改措施等統一管理，為鐵路行業網絡安全技術人員提供技術分享功能。

2 系統架構

2.1 總體架構

系統的總體架構由數據基礎層、應用支撐層、展示層、用戶層4個層次組成，如圖1所示。

圖1 鐵路網絡安全等級保護管理系統總體架構

（1）數據基礎層：平臺基礎數據的來源包括鐵路局、站段等單位的人員、資產、系統相關基礎信息，各種法律法規、標準規范的要求，及合規檢查結果。該層用于實現基礎數據登記和安全狀況匯總。

（2）應用支撐層：該層負責建立流程模型，包括定級模型、備案模型、測評模型、整改規劃模型等；應用大數據分析技術批量處理測評數據，為管理層的安全決策提供支撐；同時，系統還提供API服務，為第三方系統提供數據輸入、輸出功能。

（3）展示層：系統提供工作分工界面，包括工作臺、臺賬管理、定級備案、測評管理、整改規劃、統計分析、知識庫等，按照依據用戶職責分工和權限最小化原則，實現各類角色的專有功能界面；系統通過自定義流程引擎[7]，結合等級保護管理相關規范及鐵路辦公習慣，實現鐵路網絡安全特有的業務流程。

（4）用戶層：鐵路等級保護管理工作的相關用戶包括國鐵集團領導用戶、信息化管理人員、業務管理人員、鐵路公安備案人員、測評機構人員。

2.2 網絡架構

系統采用國鐵集團集中部署模式，通過權限最小化原則，將國鐵集團用戶、鐵路局公安備案用戶、測評機構用戶訪問的資源進行有效分離。通過接入鐵路統一身份認證平臺[8]實現各用戶登陸的可信性，通過使用Https協議進行數據傳輸，保護交換數據的私密性與完整性，網絡架構如圖2所示。

圖2 網絡架構

3 系統設計

系統基于B/S架構，采用jQuery+LayUI框架進行布局渲染，使用開源的EChart技術對數據報表進行展示，采用接口服務+業務邏輯的形式進行構建，對外提供接口業務[9]。系統涉及大量文檔的讀寫，通過采用NPOI技術對Word和Excel進行操作，減少對Office組件的依賴。系統提供整個項目的數據訪問與持久化功能，考慮整體的易用性及可擴展性，對查詢服務、事務管理、并發處理、延時加載等進行設計。

3.1 業務用戶設計

本文結合鐵路網絡安全整體管理結構進行規劃，采用等級保護要求的方式方法，對系統相關業務用戶進行角色設計，包括國鐵集團領導、信息化管理人員、業務管理人員、鐵路公安備案人員、測評機構人員，如圖3所示。

圖3 業務用戶角色設計

3.2 流程設計

本文結合鐵路管理要求和等級保護相關標準規范進行功能梳理、流程提取。系統流程包括定級備案流程、規劃整改流程、測評任務流程等，以滿足鐵路網絡安全日常工作的要求。

3.2.1 定級備案流程

業務系統運營單位和使用單位基于系統內置定級備案模型，確定定級對象和保護等級，并將相關材料提交鐵路局網絡安全主管單位進行審核。定級為二級及以上的信息系統需組織專家評審。最終定級為二級及以上的信息系統需將定級備案材料提交鐵路公安單位進行備案，設計流程如圖4所示。

圖4 定級備案流程

3.2.2 規劃整改流程

測評機構依據系統內置的測評模型完成業務系統差距分析并將安全問題納入問題庫。鐵路局網絡安全主管單位采用整改規劃模型對安全問題進行分析規劃，運營、使用單位負責整改建設，鐵路公安單位、國鐵集團領導負責監督檢查，設計流程如圖5所示。

圖5 安全問題規劃整改流程

3.2.3 測評任務流程

鐵路網絡安全總體規劃要求，鐵路統一建設系統由國鐵集團統一定級、整體規劃網絡安全測評工作，鐵路局配合進行網絡安全測評。各鐵路局及單位自建系統可自行定級，同時負責管理信息系統網絡安全工作，設計流程如圖6所示。

圖6 測評任務流程

3.3 功能設計

本文采用敏捷開發方法對系統功能進行總體設計，功能包括工作臺、臺賬管理、定級備案、測評管理、整改規劃、監督檢查、知識庫、統計分析 ，功能結構如圖7所示。

圖7 系統功能結構

（1）工作臺

為方便用戶日常辦公，用戶登入系統后能在工作臺功能界面直觀看到急需處理的工作任務，并快速開展相關工作。系統通過角色職權的區別，展現不同風格的工作界面。同時，該功能涵蓋等級保護相關工作的全流程設計，實現等級保護工作信息化、流程化、規范化管理。

（2）臺賬管理

該功能采用標準化模板，實現信息系統統一管理、信息資產統一收集，為定級備案工作奠定了堅實的數據基礎。同時，管理層可直觀了解信息系統測評狀況以及網絡安全工作進展情況。

（3）定級備案

該功能提出并實現了可量化定級指標，使系統定級更客觀，用戶使用更直觀。公安機關線上審核信息定級備案材料，可根據材料的完整度確認是否可發放電子備案證明。系統通過備案編號自調整和電子備案證明發放功能，減少了線下審核大量備案材料的情況，提高了備案專員的辦公效率。

（4）測評管理

系統通過研究和設計指導知識庫模型、測評模型、風險分析模型[10]，實現調研評估、差距分析、整改建議等測評相關工作，同時增加了離線測評功能，使測評不受環境限制。

（5）整改規劃

該功能以整改規劃知識庫的內容為參考，對不符合項進行分析，并將需要增加或改進的差距項分解成若干項任務或項目，明確每個任務或項目的目標和工作內容，分析任務或項目的實施優先級，根據實施優先級規劃這些任務或項目的實施時間、實施范圍及參與人員，并對這些任務進行評審以保證任務的順利完成。

（6）監督檢查

國鐵集團領導通過該功能可對各鐵路局、各單位等級保護測評工作的開展情況進行監督，有效地推進等級保護工作。鐵路局領導可對各站段及單位問題整改工作進行監督檢查，實時把控測評整改進度。

（7）統計分析

該功能以報表和報告的方式對等級保護相關的重要數據進行統計和分析[11]。該功能從不同維度和層次自動生成各類統計結果，主要包括單位信息系統狀況、資產狀況、安全人員、信息系統定級狀況、測評結果、整改落實狀況、重要信息系統測評結果橫向比較等各類型數據的統計分析，直觀展示全路網絡安全狀況。

（8）知識庫

知識庫是等級保護測評的核心和依據[12]，主要包括政策法規、標準規范、等保要求、安全指標庫、安全技術方案庫、安全管理策略知識庫、安全整改知識庫、安全管理制度庫等。根據等級保護工作的不斷推進，系統逐步完善相關知識庫，用來指導等級保護測評及管理工作。

3.4 安全設計

該系統管理和存儲的數據包括應用系統基本信息、網絡信息、相關責任人員信息等，以及一些網絡和人員的敏感信息，因而其安全設計不容忽視。該系統的安全設計遵守《網絡安全法》及等級保護2.0標準的相關要求，從架構、訪問、傳輸、存儲等方面進行安全防護設計，防止外部的非法破壞和內部的蓄意攻擊，從而保證信息系統的可用性和數據的保密性、完整性。

（1）架構安全

在前期設計階段就開始考慮架構安全，從應用程序框架、會話管理、驗證管理、配置管理、權限管理、認證管理、加密管理等方面進行設計，有效防止DDoS攻擊、XSS攻擊、SQL注入、CSRF攻擊等非法行為。

（2）數據安全

數據安全應從保證業務的正常運行，以及數據傳輸和數據存儲的保密性、完整性方面進行設計，防止對數據的非法竊取和利用。在進行系統設計時應考慮數據的備份功能，數據訪問時的認證功能，數據傳輸、存儲時的加密功能。

4 結束語

本文設計的鐵路網絡安全等級保護管理系統通過線上臺賬管理、定級和備案，可建立鐵路信息系統的統一臺賬，為網絡安全工作后期的規劃提供數據支撐。通過專業的流程設計，實現定級、備案、測評、整改、規劃等網絡安全管理事項的流程化、規范化、智能化，顯著減少網絡安全工作人員的日常辦公時間。通過大數據分析技術[13]，把全路范圍內發現的信息系統網絡安全共性和非共性問題進行圖形化、界面化展示，為管理層在網絡安全規劃方面提供了數據決策。該系統可為鐵路相關單位在開展網絡安全管理工作方面提供參考。