面向鐵路信息網絡的資產安全屬性量化評估方法

田海波，王一芃，李向陽

（中國鐵路信息科技集團有限公司 網信安全處，北京 100038）

隨著鐵路信息化的快速發展，鐵路運輸組織、貨運營銷、經營管理等多個業務領域均已部署信息系統，相關業務流程對信息系統的依賴程度也越來越高[1]。與此同時，信息系統的安全風險也影響著所支撐業務的平穩運行。鐵路是涉及國家安全、國計民生和公共利益的行業，信息系統的安全風險更有可能引發社會性問題[2]。因此，針對鐵路信息系統及其資產的安全防護工作十分必要。

對信息資產進行價值評估是采取安全防護措施和建立安全防護策略前的基礎性工作之一。合理的資產賦值方法不僅需要分析資產本身的配置情況，還應當將資產所屬信息系統的業務特點和安全要求納入考慮。基于對鐵路信息系統及信息資產的分析結果，本文提出了一種適用于鐵路信息網絡的資產安全屬性量化評估方法。該方法考慮到信息系統所承擔業務的特點，以信息系統的安全要求為基礎，結合信息資產個體對信息系統整體的安全影響，計算得出具體信息系統中特定信息資產的安全屬性評分。結合通用漏洞評分系統（CVSS ，CommonVulerability Scoring System），可以在評估漏洞威脅時準確衡量信息環境的安全要求，從而獲得更客觀的漏洞威脅評價。

1 信息資產評估及其方法簡述

1.1 信息資產評估內容

信息安全風險評估工作一般包含信息資產評估、脆弱性評估、威脅評估、風險確定和風險處理等階段[3]。信息資產是指信息系統中具有價值并需要保護的對象，主要包括網絡系統、主機系統、平臺系統、應用軟件、數據資產、物理環境和人員組織[4]。由于脆弱性評估、威脅評估、風險確定和風險處理等工作均圍繞信息資產開展，因此信息資產評估是風險評估工作中的基礎工作。

1.2 信息資產評估方法概述

根據《信息安全風險評估規范》，信息資產價值主要由資產在保密性、完整性和可用性3個安全屬性的賦值決定[3]。由于《信息安全風險評估規范》未提供具體的賦值評估方法，如果完全憑借主觀打分進行資產評估將產生較大偏差。為了盡量減少主觀判斷帶來的偏差，業內已提出若干種針對信息資產安全屬性的評估方法。以文獻[5]和文獻[6]為代表的研究提出從信息資產的具體配置對相應安全屬性進行評估。例如，文獻[5]從信息資產的服務功能、網絡位置和安全防護措施3方面對安全屬性進行評定，利用層次分析法（AHP ，Analytic Hierarchy Process ）得到信息資產的安全屬性估值。以文獻[7]和文獻[8]為代表的研究則提出將信息資產所屬信息系統將保密性、完整性和可用性的要求作為主要依據，對信息資產本身的安全屬性進行評定。例如，文獻[7]通過分析工控系統的業務特點，總結出工控系統的安全屬性權重分配不同于傳統信息系統。因此認為在對工控系統信息資產進行賦值時也應當遵循工控系統的安全屬性權重。

鐵路信息系統所承擔的業務類型多樣，不同業務類型對于信息系統安全屬性的要求差別很大。因此，針對鐵路信息資產的安全屬性評定需要綜合考慮資產本身和所屬信息系統的安全屬性、業務特點。

2 鐵路信息系統安全屬性要求分析

通過對鐵路信息網絡空間內既有信息系統的調研，發現系統所承擔的業務可以分為核心生產、生產管理、行政管理和公共信息4種類型。

（1）從業務角度考慮，信息系統的保密性要求是為了保證敏感業務信息不被泄露或非授權訪問。

（2）信息系統的完整性要求可以保障業務功能邏輯和信息數據的完整性。

（3）信息系統的可用性要求可以保證業務的穩定開展，確保在所期望的時間和空間內持續不斷地提供業務能力輸出。

為了對各類業務進行更確切的評估，將信息保密性作為衡量業務保密性要求的指標；將數據完整性和功能完整性作為衡量業務完整性的指標；將數據可用性和功能穩定性作為衡量業務可用性的指標。每個指標均以高、中和低3個等級進行評價。對4種業務類型的評價結果，如表1所示。

表1 信息系統業務特點評價

參考表1中不同業務對于保密性、完整性和可用性的要求，可以得到承擔不同類型業務的信息系統對于各項安全屬性的要求，如表2所示。

表2 信息系統安全屬性要求

3 信息資產影響程度評估

3.1 信息資產關聯影響分析

（1）從信息資產之間的關聯影響考慮，保密性影響是指被暴露的信息資產對于網絡內其他設備乃至網絡整體工作狀態的影響，稱為保密關聯影響C1。對于大部分信息系統，數據資產的保密關聯影響是最顯著的，應用軟件、數據庫平臺系統等利用承載數據的信息資產，而網絡設備、服務器設備和其他平臺系統對網絡內其他設備和整體網絡保密關聯影響相對較小。

（2）完整性可以理解為當信息資產數據和功能的準確性、完整性或可依賴性被破壞時，對網絡鏈路上其他設備及網絡整體工作狀態的影響，可以簡稱為完整關聯影響I1。通常情況下，數據資產、應用軟件和關鍵網絡設備的完整關聯影響較高。

（3）當信息資產不可用時，對網絡整體的影響可以稱之為可用關聯影響A1。例如，與單機部署的設備相比，采用冗余部署的設備具有較低的可用關聯影響。

3.2 業務整體影響分析

（1）信息資產的保密性影響主要與其所承載服務或傳輸的數據是與否涉密有關，本文將其定義為保密關鍵影響C2。一般而言，與生產業務直接相關的信息系統具有較高的保密關鍵影響，而行政管理等業務的保密關鍵影響相對較低。

（2）信息資產的完整性影響主要指信息資產被破壞后對信息系統業務邏輯和業務數據造成的影響，例如：業務功能或數據遭到篡改或偽造，稱為完整關鍵影響I2。完整關鍵影響主要與該信息資產所承載服務或傳輸數據的重要性有關。

（3）信息資產的可用性影響主要指信息資產所承載或使用的應用服務對于系統整體業務的關鍵程度，稱為可用關鍵影響A2。對于要求在所期望的時間和空間內持續不斷地提供能力輸出的業務，例如，核心生產和對外信息服務，相關信息資產的可用性對業務的影響更加關鍵。

3.3 資產風險影響量化表達

基于上述6項風險影響指標，可以評估信息資產對信息系統整體風險的影響程度。本文將各指標的影響程度劃分為直接影響、容易影響、可能影響和難以影響4個級別，相應取值分別為4、3、2和1；每個安全屬性均對應2項風險影響指標，相應取值組合共有16種。通過建立針對各系統安全屬性的AHP模型，構造相應判斷矩陣，可以得出不同指標取值組合對于系統安全屬性影響的量化估計結果。下面以系統保密性為例，闡述不同指標取值組合對系統保密性影響的量化評估過程。

（1） 系統保密性對應指標為保密關聯影響和保密關鍵影響指標。對每種指標組合所產生的系統保密性影響進行打分，并構造判斷矩陣B為

矩陣元素bij（i=1,···,16；j=1,···,16）表示與第i種指標組合相比，第j種指標組合對系統保密性的影響顯著程度。

（2） 對構造的判斷矩陣B進行計算，得到最大特征根 λmax及 其對應的特征向量M為

（3） 將最大特征根對應的特征向量M進行歸一化，得到表示各個指標組合對系統保密性影響權重向量W為

（4） 對判斷矩陣B進行一致性驗證，計算得到一致性指標CI為

其中，n為判斷矩陣B的階數，此處為16。

（5） 計算得到一致性比率CR為

其中，RI為一致性指標。根據文獻[9]提供的不同階矩陣對應的RI取值情況，判斷矩陣為16階時RI的取值為1.594 3。如果計算得到CR＜0.1，表明判斷矩陣一致性成立，則權重向量W可以作為各種指標組合的合理權重值。

3.4 考慮系統安全要求的資產評估方法

為給出更直觀的評價結果，可以通過設定合理的取值區間，將資產的關聯影響和業務整體影響量化結果劃分為高、中、低3個級別。在對資產安全屬性要求進行評估時，將考慮資產安全屬性影響等級，在所屬信息系統安全屬性要求的基礎上進行調整。例如：如果資產安全屬性影響等級為“高”，而所屬系統安全屬性要求為“低”，則資產的安全屬性要求為“中”。

4 驗證測試

4.1 驗證場景介紹

為驗證所提出資產安全屬性評估方法的有效性，參考鐵路信息網中常見的應用系統類型，本文設定了一種同時包含核心生產業務和行政管理業務的網絡場景，相應的網絡拓撲，如圖1所示。

圖1 評估實例網絡拓撲

該場景中包含2個信息系統，車輛追蹤系統和會計核算系統。其中，車輛追蹤系統屬于核心生產業務系統；會計核算系統屬于行政管理業務系統。場景所涉及的信息資產主要包括網絡系統、主機系統、平臺系統、應用軟件和數據資產5類，部分資產基本信息以及風險影響指標值，如表3所示。

4.2 信息資產安全屬性評估

通過對上述資產的風險影響指標進行賦值，可以得到各個資產對于系統保密性、完整性和可用性的影響等級。結合表2中列舉的行政管理系統和核心生產系統對于安全屬性的要求等級，可以得到場景中各個信息資產對于安全屬性的要求等級，如表4所示。

結合表3和表4可以發現：

表3 信息資產基本信息列表

表4 信息資產安全屬性評估結果

（1）對于同一信息系統中的不同信息資產，由于對系統整體風險的影響程度不同，相應信息資產對于安全屬性的要求也可能不同。例如，車輛追蹤系統中的車輛追蹤交換機A和應用服務器1。

（2）對于同一類型的信息資產，所屬信息系統的安全要求差異也會導致信息資產的安全屬性要求不相同。以應用服務器1和應用服務器3為例進行說明。

根據表3可知，2臺應用服務器對于系統整體的安全影響評估完全一致。但由于應用服務器1所屬信息系統承擔了核心生產業務，相較于應用服務器3承擔的行政管理業務具有更高的安全要求，因此應用服務器1的3項安全屬性要求均高于應用服務器3。

4.3 安全屬性量化評估在漏洞威脅評估中應用

漏洞是信息系統安全風險的重要內因，其存在于鐵路信息系統的各個層次和環節之中，一旦被惡意利用會影響信息系統的正常運行，并可能間接影響所承載業務的可靠運行，從而造成重大損失[10]。CVSS標準從基本、時態和環境3個維度對漏洞的特點與影響進行打分評價[11]。其中，基本維度和時態維度的指標變量均由信息安全專家及廠商進行評價賦值，而環境維度的指標變量完全取決于漏洞所屬信息資產及信息系統對安全屬性的要求，無法從漏洞本身的屬性中直接獲取[12]。因此，對漏洞環境的安全需求進行合理量化分析，是利用CVSS標準進行風險分析的過程中較困難的環節。

CVSS標準在環境維度中主要包含漏洞所處環境的安全性要求指標，即保密性要求、完整性要求和可用性要求[11]。通過參考信息資產安全屬性要求的評估結果，可以對CVSS標準在漏洞基本維度的評價結果進行調整，以準確評估在特定環境下漏洞的嚴重程度。CVSS環境指標的賦值情況，如表5所示。

表5 CVSS環境指標賦值標準

通過對信息資產進行漏洞掃描，部分信息資產的漏洞情況及CVSS基本評分如表6中CVSS基本評分項目所示[13]。結合表4中信息資產安全屬性要求，可以獲得考慮環境安全要求的漏洞威脅綜合評估結果，車輛追蹤綜合評分和會計核算綜合評分項目，如表6所示。

表6 漏洞威脅評估結果

通過對表6進行分析可以發現，同一漏洞在核心生產信息系統中的威脅評分高于CVSS基本評分。這是由于核心生產業務對于業務數據和業務功能的完整性、保密性和可用性要求很高。因此，對于任意漏洞，其存在于支撐核心生產業務的信息系統中所帶來的威脅影響明顯大于在其他業務類型的信息系統中。而對于行政管理信息系統中的漏洞，評估結果與CVSS基本評分持平，甚至存在部分漏洞評分低于基本評分的情況（如CVE-2021-1 541和CVE-2021-1 543）。實驗結果表明，結合本文所提出信息資產安全屬性評價方法，可以在評估漏洞威脅時準確把握信息環境的安全要求，獲得更客觀的漏洞威脅評價結果。

5 結束語

基于對鐵路信息系統及信息資產的分析結果，本文提出了一種適用于鐵路信息網絡的資產安全屬性量化評估方法。從信息系統層面，根據業務特點將鐵路既有信息系統歸納為4種類型，并提出各類信息系統的安全屬性要求等級。在資產層面，從資產之間關聯情況和整體業務角度出發，提出6個資產安全屬性指標，利用層次分析法計算得到不同指標配置的信息資產對系統整體安全狀況的影響等級。最終，以系統層面得出的安全屬性要求等級為基礎，由資產層面得出的安全屬性影響等級進行修正，計算得出具體信息系統中特定信息資產的安全屬性等級。基于典型的鐵路信息系統場景，實驗驗證了所提出評價方法對鐵路信息資產安全屬性量化評估的適用性和有效性。此外，實驗證明利用本文所提出評價方法可以對CVSS評價標準中的環境指標進行更準確地賦值，從而更合理地評估漏洞在不同環境中的影響情況。