铁路网络与信息安全风险管理研究

高春霞，陈光伟，张文塔，岳雪梅

（1.北京交通大学 交通运输学院，北京 100044；2.中国铁路总公司 信息技术中心，北京 100038）

随着信息技术在铁路的广泛应用，信息网络和信息系统的基础性、全局性、全员性日益增强。铁路运输组织、客货服务、经营管理、建设管理和安全保障等对其依赖程度越来越高，特别是随着铁路生产与管理向着智能化和管控一体化方向的进一步发展，对网络和信息安全提出了更高的要求。由信息安全引入的风险越来越大。网络和信息系统一旦发生问题，将给铁路生产、服务和经营带来重大威胁和损失。

随着信息系统在铁路应用范围的扩大、功能的增强、网络覆盖的延伸、开放性与互联性的增强以及技术复杂性的提升，由于信息网络和信息系统自身的缺陷、脆弱性以及来自内外部的安全威胁等所带来的信息安全风险日益凸现，必须采取先进的管理理念和科学的管理方法。

1 现状分析

目前国际上主流的信息安全管理体系的标准有ISO/IEC的国际标准17799，英国标准协会（BSI）的7799系统，美国国家标准和技术委员会（NIST）的特别出版物NIST SP 800系列等。

来自内部的安全威胁，是当前铁路信息安全重要的风险源，对在安全边界控制、访问安全控制、物理安全控制、外部服务控制等方面存在的薄弱环节和安全隐患，需要有针对性地采取措施，切实使网络和重要信息系统安全得到有效加强。

2013年，铁路体制深化改革，成立铁路总公司，总公司领导对铁路安全生产高度重视，将2013年确立为安全风险管理年，全路信息部门在总公司、运输局信息化部的领导下，全面推进安全生产大检查和专项整治工作，从管理基础、领导作风、过程控制三个方面进行检查，从安全职责、规章制度、机房场地、网络环境、系统平台、应用系统、工程建设、技术资料等方面开展专项整治工作。

2 信息安全管理体系结构

2.1 信息安全风险管理体系结构模型

信息安全的构成要素包括信息安全技术要素和信息安全管理要素两大部分。信息安全技术要素是保护信息安全目标实现的技术措施，而信息安全管理要素是确保信息安全技术要素在实施和运行中能够发挥其作用的管理措施，它也可以用来弥补信息安全技术的不足。目前，鉴于信息安全漏洞在所难免，加之信息安全技术需要人来实施和运行，信息安全管理就显得尤为重要。在业界流行的“三分技术，七分管理”的说法，可见信息安全管理的重要性。信息安全管理包括宏观管理和微观管理。宏观管理是指从政策、法律法规到各级安全机构的设置等为确保国家信息安全所采取的管理措施；微观管理是指围绕信息系统安全所采取的一系列管理措施。

图1给出了信息系统安全体系结构的三维模型，包括安全的技术要素、管理要素、信息系统生命周期3个维度，并都遵循国家和行业的相应政策、法规和标准。分析信息安全体系结构时，离不开人、机构和制度3大管理要素；在设计信息系统安全体系结构时，需要从环境安全、系统安全、网络安全和应用安全4个技术角度来考虑；信息系统安全体系结构遵循多层次、动态的安全过程，在信息系统生命周期的各个阶段，都从安全风险的识别、评估和控制3个层次的纵深防御体系，体现一个循序渐进的动态过程。

图1 信息安全风险管理体系结构模型

信息安全风险贯穿于信息系统整个生命周期的各阶段中。信息安全生命周期包括规划、设计、实施、运维和废弃5个基本阶段，各阶段中涉及的风险评估的原则和方法是一致的，即各阶段都要涉及风险识别、风险评估、风险控制等，但由于各阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方面也有所不同。

2.2 技术要素

本部分只对技术要素做个简单介绍，针对当前铁路网络与信息在各技术要素的安全风险，本文从全生命周期的角度，进行了全面梳理。

2.2.1 环境安全

信息系统环境安全是信息安全的基础和屏障，是信息系统安全最基本的要素。信息系统环境安全是指信息系统所在环境的安全，即电子信息系统机房（以下简称机房）安全，主要包括机房受灾防护的能力和区域防护的能力。

当前，全数字化信息系统的建设正在全路逐步有序开展，信息化建设所应用的关键技术的核心硬件工作状态的安全与稳定性要求也将不断提高，因此机房环境无论是对信息系统自身运行的安全，还是对其信息处理的安全的保驾护航作用也是日趋显著。

针对机房环境安全方面的要求，在进行机房设计和建设时，除了要在选址、建筑、分区方面考虑环境基础安全，还需要在防火、防雷击、防水和防潮、防鼠害、粉尘、噪音、震动等方面对机房技术安全要有全面和细致的考虑。

机房运行维护阶段主要包括机房管理与场地保障工作，存在值班人员管理、设备管理、环境安全、电源与空调系统保障、机房访问控制、机房保密等风险源。

2.2.2 系统安全

本部分主要介绍系统平台的安全。系统平台主要包括服务器、存储设备、操作系统、数据库管理软件、应用中间件等硬件、软件。保障系统安全就是对属于系统平台的硬件、软件和数据加以保护，不因偶然的或者恶意的原因而造成破坏、更改或泄露，使计算机系统得以连续正常地运行。系统平台的风险是指它的脆弱性或漏洞，以及以它为目标的威胁和攻击。脆弱性和漏洞是风险产生的内在原因，威胁或攻击是风险的结果。

2.2.3 网络安全

网络安全就是网络上的信息安全，是指网络系统的硬件、软件、及其系统中的数据受到保护，不被偶然的或者恶意的原因破坏、更改和泄露，系统连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及网络上信息的保密性、完整性、可用性、可控性和不可否认性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，又有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内容人为因素的管理。

我们主要从结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护等7个方面考虑存在的安全风险以及应采取的风险应对措施。

2.2.4 应用安全

在应用系统中应当实现严格的权限管理，对于权限的赋予应当进行不相容角色检查，对于权限的赋予、变更、撤销制定严格的审核、批准、操作流程；用户信息、用户口令、敏感业务数据的存储应当进行加密，系统间跨网络的数据传输应当实现加密；应当对Web服务定期进行弱点扫描并进行安全加固，尽量采用HTTPS来发布Web服务；应用系统应当提供身份认证功能，应当对口令长度、复杂度、生存周期进行强制要求；建立数字证书体系，向用户发放数字证书，以支持用户访问应用的身份认证；应用程序应采用操作日志与公钥密码（PKI）体系结合，以实现业务操作的不可抵赖性；应用日志应实现对各用户的主要业务操作进行记录，应能保证对敏感业务操作进行复核；制定安全开发管理规范，以保证应用系统开发过程得到相应的控制，从而保障系统开发到生产运行的全过程的安全管控；保证应用间共享目录服务（如AD、RADIUS等）的安全等。

结合铁路总公司信息系统的实际情况，对应用安全有如下安全需求：

（1）应提供专用的登录控制模块对登录用户进行身份标识和鉴别；应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

（2）应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限。

（3）有对重要信息资源设置敏感标记的功能；应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

（4）用密码技术保证通信过程中数据的完整性；在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；应对通信过程中的整个报文或会话过程进行加密。

（5）应保证应用系统的高可用性，防止单点故障。

（6）能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。

2.3 管理要素

2.3.1 组织机构

建立信息安全风险管理机构和相应的职责体系是信息安全风险管理工作的基本组织保证。可以说，信息安全风险管理机构如何，决定了信息安全风险管理的成败。在信息系统所涉及的组织机构中建立安全风险管理机构，要根据信息安全风险管理的具体情况而定。信息安全风险管理需要建立从上到下的由领导层、管理层和执行层构成的组织管理体系，由这3个层次的组织与职责构成整个信息安全管理的组织体系。

铁路信息系统安全应该在组织机构上加以保证。在具体组织形式上应该由铁路总公司主管领导和运输局信息化部具体负责铁路信息安全的相关领导和组织工作，由相关专业职能部门分工协作，在铁路信息化的整体工作布局中设置专门机构和岗位、明确相关职责、配备信息安全专业技术和管理人员，确保信息安全风险管理制度的有效落实和信息安全技术机制的可操作性。建立以铁路总公司和铁路局两级安全风险管理为核心，以及铁路总公司、铁路局、站段3级运维管理为重点的铁路信息安全风险管理组织机构架，设立相应的管理机构或岗位，配备必要的人员。明确各机构和岗位的信息安全职责。建立信息安全运行协调机制，使各级组织各司其职、各负其责，共同保证信息安全。图2给出了铁路总公司安全风险机构设置示意图。

图2 铁路总公司信息安全风险管理组织机构

2.3.2 管理制度

以信息安全相关管理和技术规范，以及不同层次的信息安全制度为重点，构建科学严谨、有效适用、系统规范的信息安全管理标准制度体系，制定相应的管理规章制度、技术标准、作业办法等，明确工作标准、工作流程，落实管理责任，规范作业行为。安全管理制度包括网络安全管理规定、系统安全管理规定、数据安全管理规定、防病毒规定、机房安全管理规定、设备使用管理规定、人员安全管理规定、安全审计管理规定、用户管理规定、风险管理规章制度、信息分类分级管理规定、安全事件报告规定、事故处理规定、应急管理规定、灾难恢复管理规定以及相关操作规程。

按照信息安全风险管理要求，对各项管理规章制度、规章规范进行全面的清理和修订完善，不断加强铁路信息安全标准制度体系建设，使铁路信息安全风险管理工作制度化、规范化和标准化。

2.3.3 人员管理

人员管理是信息安全风险管理的一个重要组成部分，该部分主要包括信息安全认知和人员任用控制。

（1）信息安全认知是组织和人员管理的重要基础，组织工作的落实都有赖于员工对信息安全工作的充分认识，对自己职责的准确把握以及对必要技能的掌握。对信息安全认知工作的开展要建立3种手段：信息安全宣传、信息安全培训和信息安全教育。

（2）人员控制不仅指组织内部人员的安全管理与控制，也包括签约合作方及第三方人员的安全管理与控制，健全的人员安全控制是减少安全事件发生的关键因素，人员控制包括人员任用或合作前、任用或使用期间、任用或合作终止及变更时不同情况。

2.4 按生命周期划分各技术要素安全风险分析

规划阶段的信息安全风险管理，本阶段风险管理中，主要根据铁路信息系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。因为铁路信息系统的建设具有长期性，且系统庞大、业务繁多，一旦发生事故必会影响大量用户的使用。

设计阶段的安全风险管理，订要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求。设计阶段的风险管理过程应对设计方案中所提供的安全功能符合性进行判断，作为采购过程风险控制的依据。本阶段风险管理过程中，应详细评估设计方案中对系统可能面临威胁的描述，将使用的具体设备、软件等资产及其安全功能需求列表。

实施阶段安全风险管理，主要是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证，以减缓或消除各种可能的风险。根据设计阶段分析的威胁和制定的安全措施，在实施及验收时进行质量控制。基于设计阶段的资产列表、安全措施，实施阶段应对规划阶段的安全威胁进行进一步细分，同时评估安全措施的实现程度，从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险管理主要对系统的开发与技术、产品获取，系统交付实施两个过程进行控制。

运行维护阶段的安全风险管理，主要是了解和控制运行过程中的安全风险，是一种较为全面的风险管理过程， 运行维护阶段的风险评估应采取定期和非定期两种方式；当组织的业务流程、系统状况发生重大变更时，也应进行风险评估。在运行阶段，需要进行持续的风险监控。为了实现持续的风险监控，需要两种机制：安全风险探测机制和设置安全风险监控中心。

当信息系统不能满足要求时，信息系统进入废弃阶段，对信息系统的过时或无用部分进行报废处理。根据废弃的程度，分为部分废弃和全部废弃两种。

针对铁路网络与信息的生命周期各阶段的安全风险分析，详见附录。

3 结束语

铁路信息安全需要从技术与管理两方面进行保障，应严格贯彻执行国家的信息安全等级保护规定，等保措施与信息系统应同步规划、同步设计、同步实施、同步维护，应建立长效的信息安全管理机制，从组织机构、制度、人员、经费等各方面保障信息安全风险的动态识别、定期评估，采取有效措施防范安全风险，将信息安全事故造成的损失控制在可接受的程度。通过本文的研究，为了有效预防铁路信息安全风险，建议采取以下措施：

（1）在信息系统规划、设计阶段，应对信息系统的安全需求进行分析，同步规划、设计信息系统的安全等级和保护措施，建立安全环境，从源头上保障信息安全。

（2）对已定级的信息系统，应严格按照等保要求进行区域划分、边界防护、访问控制、安全审计及安全管理。

（3）构建一个全路信息系统可视化管理平台，对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局监控，提高对系统中安全问题及其隐患的发现、分析和防范能力。

（4）按照铁路信息安全的逻辑层次，构建从基础网络平台、安全产品、到应用系统的信息安全防护体系。

（5）建立全路统一的身份认证与授权机制，对各信息系统的用户进行统一管理，确保信息在产生、存储、传输、处理过程中的保密性、完整性、抗抵赖性和可用性。

（6）建立信息安全风险管理机制，定期进行信息安全风险评估，通过对信息安全管理策略、信息系统结构、网络、系统、数据库、应用等方面进行信息安全风险评估，确定所存在的信息安全隐患及信息安全事故可能造成的损失和风险，了解在信息安全工作方面存在的问题和应采取的措施。

[1]全国信息安全标准化技术委员会.GB/T 22080-2008 信息安全技术 安全技术 信息安全管理体系要求[S].北京：中国标准出版社，2008.

[2]全国信息安全标准化技术委员会.GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则[S].北京：中国标准出版社，2008.

[3]全国信息安全标准化技术委员会.GB/T 20984-2007 信息安全技术 信息安全风险评估规 范[S].北京：中国标准出版社，2007.

[4]全国信息安全标准化技术委员会.GB/Z 20985-2007 信息技术 安全技术 信息安全事件管理指南[S].北京：中国标准出版社，2007.

[5]武 彬，张玉清，毛 剑. 信息安全风险管理系统的设计与实现[J].计算机工程，2007（11）：134-139.

[6]范正河，王 丽，李 燕. 信息安全的风险管理[J].网络与信息安全，2011（5）：84-85.

[7]苏 立. 电力系统信息安全风险管理体系的研究与应用[J].现代计算机，2011（9）：42-46.

[8]曲 成. 在企业建立有效的信息安全管理体系[J].计算机安全，2011（11）.