铁路信息系统等级保护测评工作模式探讨

祝咏升

（中国铁道科学研究院 电子计算技术研究所， 北京 100081）

铁路信息系统等级保护测评工作模式探讨

祝咏升

（中国铁道科学研究院 电子计算技术研究所， 北京 100081）

针对我国铁路行业等级保护测评工作中缺乏统一的评判标准和专业评测机构，测评工作缺乏行之有效的常态化管理机制等现状，结合其它行业等级保护测评工作模式对铁路信息系统等级保护测评工作模式展开研究和探讨，分析等级保护自查和等级测评的作用及工作内容，并将切实有效推进等级保护工作的开展，促使等级保护测评工作常态化。

等级保护自查；等级保护测评；测评工作模式

《信息安全等级保护管理办法》（公通字[2007]43号，以下简称《管理办法》）第十四条规定，信息系统建设完成后，运营、使用单位或者其主管部门应当选择规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第3级信息系统应当每年至少进行一次等级测评，第4级信息系统应当每半年至少进行一次等级测评。同时，信息系统运营、使用单位及其主管部门也应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第3级信息系统应当每年至少进行一次自查，第4级信息系统应当每半年至少进行一次自查。

本文将探讨如何将等级保护自查和等级保护测评工作有效结合，实现铁路信息系统等级保护测评工作的常态化发展。

在铁路行业推进等级保护测评工作的有序和高效开展，首要工作是制定并落实各项等级保护测评制度，其次，要组织人员编制《铁路信息系统等保测评指标体系》（简称“指标体系”）及《铁路信息系统等级保护测评作业指导手册》（简称“测评指导手册”）作为开展等级保护测评的指导性文件，需要在全路范围内组织定期或不定期开展等级保护自查及风险评估活动，为等级保护测评提供参考依据。

1 等级保护自查工作模式

（1）要加强铁路局及车站相关单位运维人员的专业水平，不断增强信息安全意识；（2）要规范化地推进等级保护自查工作，并结合自查结果统一规划，客观对待已有的系统脆弱性并进行持续的系统整改。

1.1 等级保护自查的作用

信息系统等级保护安全自查一般要在第三方等级保护测评开展之前进行，且主要针对系统的安全保护制度落实情况、业务安全和网络安全现状开展自查。等级保护自查工作可以由铁路局信息化处牵头邀请测评单位和系统安全运维人员组成，从而能尽量保证提交第三方测评机构进行等级测评时，系统的等级符合性更趋接近，且第三方测评机构依据系统自查结果也更能准确定位系统不符合项。

首先，针对系统的安全设计方案要进行合理性分析和自查，以发现系统与等级保护要求之间的差距，通过差距分析制定合理有效的整改方案并实施整改，从而满足信息系统等级保护要求。其次，完成系统等级保护自查和初步整改后，可以申请有资质的第三方测评机构开展等级符合性测评，把第三方测评机构提交的测试结果与自查结果进行分析比对，对不符合项进行再次整改，并开展新一轮自查及自测后，再申请第三方测评，周而复始，直至系统满足等级保护要求及设计要求。

信息系统投入运营使用之后，如果系统运营使用超过一年，则应当根据系统使用现状及使用中发生的信息安全事件，对系统进行内部信息安全自查、自测，确认系统是否有必要进行等级变更并向上级管理部门提交变更申请；或者系统进行了大规模软件升级、变更关键主机或网络设备及配置，应再次向测评机构申请等级测评，而第三方测评机构应根据系统最新定级情况，开展系统的等级测评，出具最新等级测评报告。

1.2 等级保护自查工作内容

首先，在企业内部要根据系统的安全级别，不定期开展系统网络及应用安全专项自查，及时发现并完善系统网络设备、安全设备、主机和终端设备等层面的安全策略配置、安全防范措施、保密和审计策略方面的不足，在不断的信息安全自查和安全加固工作之后，系统的信息安全保护等级就越接近系统实际定级要求，进而，依据等级保护测评要求，企业内部人员再进行针对性的对系统等级开展符合性自查，初步掌握系统的安全防范手段与实际等级之间的差距。信息系统等级保护自查主要内容如下：

1.2.1 信息安全管理情况

包括信息安全管理制度制定及落实情况、组织领导和工作部署情况，安全管理人员安全培训及安全责任落实情况，系统安全建设及运行维护管理落实情况等。

1.2.2 网络安全防护情况

主要检查系统网络架构和技术防护体系的建立情况；网络边界防护措施，不同网络或信息系统之间安全隔离措施，互联网接入安全防护措施，安全防护策略等；服务器、网络设备、安全设备等安全策略配置及有效性等。

1.2.3 系统业务安全情况

主要检查应用系统及对外服务网站是否存在明显的SQL注入、跨站脚本、缓冲区溢出、弱口令等漏洞；运行系统业务的终端及主机操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改等情况；应用系统安全功能配置及有效性；重要数据传输、存储的安全防护措施等。

2 等级保护测评工作模式

按照等级保护要求完成信息系统安全建设之后，由具有相关资质、独立的第三方测评机构通过等级测评判定信息系统是否按照预先设定的安全模式运行，安全控制措施是否得到合理的应用，信息系统是否达到相关标准的要求，是否具备相应等级的安全防护能力等。

2.1 等级保护测评的作用

信息系统等级保护全生命周期包括系统定级备案、规划设计、建设实施、运维管理、系统废止几个关键阶段。铁路行业对已经确定安全保护等级的系统，应适时根据信息技术发展，对不同等级系统在技术和管理两个方面10个部分制定适合行业特色及系统业务特点的安全基本要求，在安全基本要求之上，构建符合系统相应等级的安全保护体系，达到了一个基本的安全状态。这个安全状态是等级保护的核心，已经确定安全保护等级的系统是否满足基本要求是需要通过信息安全等级测评来判断的。

铁路信息系统安全等级测评不同于一般的安全检测和风险评估活动，等级测评活动的完成首先是依据系统安全保护等级和该级别系统的基本保护要求；同时还需要测评人员具有把握国家及铁路行业政策，理解和掌握相关技术标准，熟悉等级测评的方法、流程和工作规范等方面的能力及知识；最为重要的是等级测评的结果将是铁路总公司信息安全监督管理部门依法行政管理的技术依据。因此等级测评活动是一项政策性很强和技术专业化的信息安全服务。

由此可见，铁路行业信息安全等级测评是开展信息安全等级保护工作的重要环节，是在铁路安全生产及安全管理模式下的技术支撑服务活动，和纯粹的商业化评估有明显的区别。信息安全等级测评首先要满足国家管理需要，其次要符合行业发展需要，采取市场化的运作模式有序开展。（1）可以掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；（2）衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力，未达到相应等级的基本安全保护能力的信息系统，其运营、使用单位应当根据等级测评报告，制定方案进行整改，尽快达到相应等级的安全保护能力。

2.2 等级保护测评的工作内容

通过等级测评判定信息系统是否按照预先设定的安全模式运行，安全控制措施是否得到合理的应用，信息系统是否达到相关标准的要求，是否具备相应等级的安全防护能力等。等级保护测评围绕以下4方面开展工作：

2.2.1 信息收集与分析

信息收集与分析是开展现场测评工作的前提和基础，主要包括被测单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、被测系统详细描述文件、被测系统安全保护等级定级报告、安全需求分析报告、被测系统安全总体方案、安全现状评价报告、被测系统安全详细设计方案、用户指南、运行步骤、网络拓扑图、配置管理文档、服务器配置等相关资产信息。信息收集完成后，还需要对采集的信息进行分析、综合、整理，筛除无效信息，留取有效的足量信息。

2.2.2 等级符合性测评

按照《指标体系》的要求及《测评指导手册》的方法和流程，对系统的物理安全、主机安全、网络安全、应用安全、数据安全、管理安全等多个维度逐项测评指标进行符合性测评，并进行差距分析，定位系统与等级保护标准之间的差距。

2.2.3 测评结果分析验证

针对等级测评的结果进行有效性验证，使运营使用单位更清晰了解系统的安全现状与差距，便于安全整改工作的进行。主要包括对系统进行漏洞扫描和渗透性测试。

2.2.4 测评结果的综合评定

等级保护评测结果反映了信息系统与等级保护要求之间的差距。不同信息系统的关注点不同，使得各个测评项在不同信息系统测评结果中作用不尽相同，在对信息系统测评项统计分析的基础上，首先确定各测评指标的重要程度以确定测评项的指标权重，再依据等级测评结果确定安全指标得分，根据指标权重和指标分值计算出信息系统最终的综合评价值。

3 结束语

中国铁路总公司运输局下设的信息化部分管全路的信息安全监督和管理工作，各铁路局下设信息化处分管信息系统安全建设和运维工作。铁路行业开展信息系统等级保护测评，则需要在安全组织管理方面，建立并逐步健全一套自上而下的安全组织，成立铁路信息系统等级保护工作管理领导机构，作为信息安全管理的常设组织，从运营使用单位中抽调适量专业人员开展系统等级保护测评专项培训，使运维人员在了解等级保护工作重要性，熟悉与掌握等级保护自查的基本流程与方法，使自查工作与第三方等级测评工作有机结合，这样各单位的信息安全等级保护工作才能进入螺旋状上升的良性循环。

[1]徐 锐.浅谈金融业信息系统等级保护工作的常态化[J].网络安全技术与应用，2014（1）：179-180.

[2]朱世顺，陈雪鸿.浅谈行业测评机构在等级保护工作中的作用[J].信息网络安全，2012（S）：78-79.

[3]朱建平.等级测评如何在等级保护工作中发挥更大作用[J].信息网络安全，2011（S）：55-57.

[4]张 昊，黄晓昆.信息安全等级保护测评工作实践与探讨[J].信息网络安全，2012（z1）：32-34.

[5]肖国煜.信息系统等级保护测评实践[J]. 信息网络安全，2011（7）：86-88.

责任编辑 徐侃春

Working mode of level protection evaluation for Railway Information System

ZHU Yongsheng
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

In view of lack of uniform evaluation standard and professional assessment organization for level protection evaluation in railway industry, and lack of effective normalized management mechanism, the paper researched and discussed on the working mode of level protection evaluation for Railway Information System based on other industries, analyzed the function and contents about level protection self-inspection and level evaluation, pushed on the development of level protection work, precipitated the normalization of evaluation work.

level protection self-inspection; level protection evaluation; evaluation working mode

U29-39

A

1005-8451（2015）02-0045-03

2014-10-08

祝咏升，助理研究员。