对建设铁路信息安全管理标准体系的探讨

周张俊

对建设铁路信息安全管理标准体系的探讨

周张俊

（武汉铁路局办公室（党委办公室）工程师，湖北武汉430071）

建立和健全信息安全管理及其标准体系对铁路运输生产和安全管理工作至关重要。从铁路信息安全管理现状入手，在阐述和分析国内外信息安全标准化情况的基础上，提出了铁路信息安全管理及标准体系的创建思路。

铁路系统；信息；安全；标准体系

0 引言

目前，信息化应用全面渗透到铁路运输生产和安全管理的各个环节当中，信息系统的基础性、全局性作用日益增强。铁路信息网络从中国铁路总公司（以下简称“铁路总公司”）、铁路局延伸到基层站段、车间甚至工区、班组，分布相当广泛，连接着众多生产、办公节点。信息网络与运输生产形成不可分割的有机体，信息系统已经成为铁路运输生产系统中重要的基础设施。如何用好、管好信息系统并确保信息安全，成为各级信息管理部门关注的焦点。

传统的信息安全管理通常着重于防火墙、VPN、入侵检测系统、防病毒系统、认证系统等常规信息安全设备，利用它们构筑起一道道信息安全防护屏障。实际上，仅仅依靠技术保障信息安全的做法是有局限性的。实践证明，要保证信息安全，应同时做好技术、管理和法制三个方面的工作。在铁路迈向现代化和信息化的今天，与铁路新技术、新装备密切相关的信息手段及其安全性显得格外重要，建立健全信息安全管理标准体系迫在眉睫。

1 建立信息安全管理体系的作用与意义

信息安全管理体系ISMS（Information Security Management Systems)是组织在整体或特定范围内建立信息安全方针和目标以及实现这些目标所需策略和方法的体系。信息安全管理体系是一种基于业务风险的方法，用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全；也是组织直接管理活动的结果，体系集合了方针、原则、目标、方法、过程、核查等各种要素，并涉及人、程序和信息技术等方面。

首先，建立信息安全管理体系能够提高组织内员工的信息安全意识，提升组织信息安全管理水平，规范组织从领导到员工的信息安全行为，强化组织抵御信息系统崩毁、中毒等灾难性突发事件的能力，达成组织信息管理工作的高安全性和高可靠性，确保组织业务进入快速、高效和持续发展的良性循环轨道。

其次，建立信息安全管理体系能够有效地对组织信息系统实施安全风险监管和控制，通过与等级保护、风险评估等工作结合，在信息系统受到外部侵袭时能确保业务持续开展，并将损失降到最低程度，最终使关键信息资产获得全面系统的保护。

再次，建立覆盖面广、目标超前、部署正确、措施完善的信息安全管理体系，能够实现以预防为主的信息安全管理方式，达到成本最低、成效最高的信息安全保障合理水平，保证组织业务的有效性与连续性，使组织管理水平与国际先进水平接轨，提高组织的知名度、信任度和竞争力。

2 铁路信息安全管理现状

2.1政府的信息安全管理举措

我国政府高度重视信息安全保密工作，从敏感性、特殊性和战略性的要求出发，把信息安全工作放到十分重要的地位，建成维护国家信息安全强有力的管理体系。其中，国家信息安全产品测评认证中心和国家计算机网络与信息安全管理中心是2个非常重要的信息安全管理工作机构。国家信息安全产品测评认证中心负责管理和运行国家信息安全测评认证体系，对信息安全产品、信息系统、信息安全服务单位及其人员进行测试、考试和认证；国家计算机网络与信息安全管理中心负责管理和运行国家计算机网络的内容监控和应急协调工作，对国内信息安全管理发挥技术支撑功能。

近年来，ISO（国际标准化组织）、IEC（国际电工委员会）等国际组识和一些发达国家发布修订了一系列信息安全管理标准，其中最具代表性的是ISO/ IEC联合技术委员会颁发的ISO/IEC 13335、ISO/ IEC 27000等国际标准。我国采用ISO/IEC 27001：2005《信息安全管理体系要求》、ISO/IEC 17799：2005《信息安全管理实用规则》、ISO/IEC 15408：1999《IT安全评估准则》和SSE-CMM《系统安全工程能力成熟度模型》等国际标准，制定了GB 17895—1999《计算机信息系统安全保护等级划分准则》、GB/T 18336—2001《信息技术安全性评估准则》和GB/T 20269—2006《信息安全技术信息系统安全管理要求》等一批信息安全管理的国家标准。同时，还制定颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《软件产品管理办法》、《电信网间互联管理暂行规定》、《电子签名法》等一系列信息安全管理法律法规。

2.2 铁路信息安全管理概况

铁路信息化经过近30年的建设，已经初具规模。特别是近年来，TMIS,ATIS，列车运行控制，集装箱、统计、工务、机务和物资等信息管理系统相继建成，铁路客票系统、调度管理系统和办公自动化系统等也在铁路各个部门全面推广应用。中国铁路总公司成立后，不断加大在网络和信息安全方面的管理力度，启动了铁路信息安全管理体系建设试点工作，对试点单位进行风险评估，确定风险源，将其作为今后进一步制定信息安全管理策略的依据；确定了研究铁路网络与信息安全统一平台、强化网络安全、灾难备份技术和开发各业务子系统及其安全保障技术等一系列部署，标志着铁路信息安全管理工作进入全新发展阶段。

2.3 铁路信息安全目前存在的问题

一是铁路信息系统根据铁路运输生产需要建立，大多各自独立，存在信息安全管理基础平台不统一、资源难以共享、无法整体监控管理等缺陷。

二是铁路信息系统所涉及的部门和专业范围较广，特别是高速的发展加速了铁路信息化进程，各种形式信息应用系统层出不穷，但信息安全管理却缺乏统一有效的监管。

三是不少铁路单位尚没有把握好安全与投资的均衡关系，对待信息安全往往采取“头痛医头，脚痛医脚”的办法，没有一整套行之有效的管理机制、法制措施和相应的技术标准，导致信息系统存在各种不确定的安全因素和隐患。

四是随着铁路体制和机构改革的不断深入发展，基层站段整合，铁路公安部门属地化，以及通信、信息技术机构建制变更，在一定程度上导致了信息安全管理职能、分工界定不清，监管和执行的有效性、协调性不强。

3 铁路信息安全管理体系的探讨

3.1 铁路信息安全管理模型

铁路信息安全管理体系是铁路系统组织、实施和监督信息安全工作的一个不可缺失的重要基础，也是铁路运输生产安全管理工作的一个重要组成部分。铁路信息安全管理体系模型则是铁路信息安全管理体系的具体化表述，一般情况下，铁路信息安全管理体系模型可视为整个铁路系统对信息化所采取的安全策略，并通过相关部门或机构加以强制实施，以达到检验安全策略完整性和一致性的目的。实践证明，铁路信息安全管理是一个长期持续发展的过程，像质量管理等其他领域管理一样，它也适用于为人们所熟知的堪称成熟有效的循环模型，即PDCA的4个循环阶段的运行模式，如图1所示。

3.1.1 计划阶段(Plan Step)

信息安全管理的准备阶段，为后续活动提供基础和依据。其中包括建立组织机构，明晰责任，确定安全目标、战略和策略，进行风险评估和选择安全措施，并在明确安全需求基础上制定安全计划、业务连续性计划、安全意识培训计划等程序。

3.1.2 实施阶段(Do Step)

实现计划阶段所确定的各个目标的过程，包括安全策略、安全措施或控制手段、安全意识培训等活动。

3.1.3 检查阶段(Check Step)

通过监视、审计、复查、评估等手段进行检查的过程，检查内容包括安全策略、目标、程序以及标准、法律法规和实践经验，其结果作为进一步采取措施的依据。

3.1.4 改进阶段(Action Step)

对不能满足计划阶段所确定的目标、发生意外事件或某些因素引起的变化，采取应对措施进行改进的过程。必要时，可进入新的一轮信息安全管理周期，以便持续改进和发展铁路信息安全。

3.2 铁路信息安全保障模型

铁路信息系统可能面临来自各种网络层面的攻击，常见的威胁包括：身份窃听、伪装、回放攻击、数据窃听、操纵、病毒、拒绝服务、恶意的移动代码等。内部网络、外部网络、大量的分布式C/S系统和Web服务增加了保护铁路信息资源的风险。要防止这些威胁带来危害，克服传统信息系统在安全防护上的局限性，需要加固增强系统，具备保密、完整、可用、可控、不可否认性，其模型如图2所示。

图2 铁路信息安全管理保障模型

3.3 铁路信息安全管理体系建设的思考

中国铁路总公司把建设健全铁路信息安全管理体系纳入现代化铁路建设范畴是必要的、合理的。开展铁路信息安全管理体系建设，应注意下列方面的问题：

一要注重实用性。由于文化背景的不同，管理方法和模式也有所不同，不能盲目照搬照抄国外模式。国外铁路信息系统的风险管理与安全评估力求规范、完整。例如，泛欧铁路的软件开发和信息系统的管理规范，不仅内容十分全面完整，而且流程非常周密详尽。我国铁路信息系统也有独特有效的安全风险管理方法，如针对重点安全问题进行有明确目标的安全检查，方法简单实用，对及时处理既有网络信息安全问题较为有效。有必要学习借鉴国内外标准、规范和实践经验，创建一套符合我国铁路特色的信息安全管理和评估的标准体系和方法。

二要注重效率性。铁路信息安全风险管理与安全评估工作，以往都是按照相关办法和规范对所有项目进行人工核查，不仅工作量大、效率低，而且过于烦琐，核查成本也比较高，在一定程度上影响了信息安全风险管理与安全评估工作的顺利开展，降低了可行性和有效性。因此，有必要在信息安全风险管理与安全评估实际操作过程中采用现代化的信息技术手段。例如，开发专用核查和评估软件，建立专用数据库和知识库，使用各种辅助软件工具，提高核查和评估的工作效率，增强可靠性和有效性，降低人为因素的影响。

三要注重整体性。铁路信息安全必须整体把握，而不是仅仅注重单项产品。以往不少铁路单位和部门，为信息项目采用某个厂商推荐的安全产品，如某品牌的防火墙、入侵防御系统（IPS）、安全认证体系等。实践证明，如果不从总体上考虑和设计铁路信息安全系统，就事论事的局部性工程最终会推倒重来，造成不必要的浪费。

4 铁路信息安全管理体系创建方法

铁路信息安全管理体系是一个系统化、程序化和文件化的管理体系，它的建立应基于系统、全面、科学的安全风险评估之上，体现预防控制为主的导向，应符合法制性、持续性、完整性、过程性、动态性和合理性等原则。建设铁路信息安全管理体系涉及面广、内容繁杂、规模大、投资多，不可能一蹴而就。不同业务性质单位或部门应根据自身信息系统的运用特点和具体情况，采取不同的步骤和方法，以达到既符合铁路信息系统整体安全要求，又适应自身信息运用的技术要求。建立信息安全管理体系的基本步骤和方法如下：

1）确定信息安全管理体系的适用范围，即需要重点管理的安全领域，既可以覆盖整个系统、单位，也可以局限于某个部门。同时，做好教育培训、计划拟订、信息安全管理现状调研，以及人财物的配置和管理。

2）进行信息安全管理现状调查与风险评估，依据有关信息安全技术和管理标准，对信息系统及由其处理、传输和存储的信息进行保密性、完整性和可用性等安全属性的调研和评价，包括对安全威胁、安全事故发生的可能性，以及发生安全问题会造成的后果损失。

3）建立信息安全管理框架，从整体和全局的视角出发，对信息系统所有层面进行安全规划，且根据业务性质、组织特征、信息资产状况和技术条件建立信息资产清单，通过风险分析、需求分析和选择安全控制技术，确定安全体系和安全解决方案。

4）按照ISO/IEC 27001：2005标准的总体要求，编写信息安全管理体系文件，包括安全方针、适用范围、风险评估、实施与控制、适用性声明等文档资料。

5）实施信息安全管理体系运行和改进工作，即按照体系文件的控制要求进行审核、批准、发布和实施，正式进入运行阶段，充分发挥体系功能，及时发现存在的问题，找出问题根源并采取纠正措施，按照PDCA模型进一步完善体系。

6）实施信息安全管理体系的审核工作，即开展体系评价以获得审核证据，用来判断信息安全管理体系的有效性，包括内部审核和外部审核(第三方审核)两种形式，内部审核由单位自行组织进行合格检查，外部审核由具备认证资质的独立机构进行。

5 结语

目前，一些铁路单位将创建信息安全管理体系作为铁路信息化建设的重点任务之一，并开展了研究测试工作，为形成完备的铁路信息安全标准体系进行了有益探索，但还存在着一些不足，主要表现在：缺乏权威、统一和专门的组织、规划、管理、协调机构；信息安全管理与信息系统建设不同步、不匹配，后期安全管理工作处于被动状态的情况未能从根本上得到解决；大部分信息安全管理建设还在采取被动解决方案，缺乏科学、全面的技术规划。铁路各级信息管理部门只有高度重视这些问题，并从基础管理入手，建立起一套行之有效的标准体系，科学分析信息安全风险和威胁，加强预警和应急处置，才能实现信息系统规范、安全的运用。

[1]Christopher M King,Curtis E Dalton,T Ertem Osmanoglu.安全体系结构的设计部署与操作[M].常晓波,杨剑峰,译.北京：清华大学出版社, 2003

[2]范建华,薛岩龙.基于业务的信息安全等级保护风险评估方法[J].计算机与数字工程，2010,38(3)：112-115

[3]姜勇,田正山.浅析供电企业信息安全防护体系建设[J].机电信息，2011(6)：4-5

[4]叶年发.水利网络与信息安全防护体系研究[J].甘肃水利水电技术,2011,47(1)：35-37

[5]谢宗晓.信息安全管理体系应用手册[M].北京：中国标准出版社, 2008

[6]魏军.信息安全管理体系审核指南[M].北京：中国标准出版社,2012

[7]臧鑫.铁路信息安全管理研究[J].铁道经济研究，2014（5）：22-25，46

（责任编辑：魏艳红）

Establishing and improving the standard system for railway information securitymanagement is very important. Starting from the current situation of railway information securitymanagement,on the basis of expounding and analyzing the standardization of information security at home and abroad,this article proposes the path of railway information securitymanagement standard system construction.

railway system;information;security;standard system

A

1004-9746（2014）06-0033-04

2014-10-25）