铁路行业信息安全等级保护工作与其他行业对比分析

蒋笑冰

（北京铁路通信技术中心，北京 100038）

行业分析

铁路行业信息安全等级保护工作与其他行业对比分析

蒋笑冰

（北京铁路通信技术中心，北京 100038）

本文介绍了铁路行业信息安全等级保护工作现状，并与电力、金融等行业等级保护工作进行了对比分析，从等级保护工作实施程度、行业标准制定、行业评测机构成立几方面，指出了当前铁路等级保护工作存在的不足，为未来铁路等级保护工作的进一步开展和推进提供参考。

信息安全等级保护；铁路等级保护；等级保护行业标准；等级保护测评机构

信息系统安全保护等级，是指根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，由低到高划分为5级[1]。信息安全等级保护工作，即按照信息系统不同的安全保护等级，实施不同等级不同强度的安全防护工作。按照中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》，全国各行业陆续实行等级保护工作。

1 铁路行业信息安全等级保护工作现状

2007 年，原铁道部成立了铁路信息安全等级保护工作协调领导小组，印发了《关于开展铁路重要信息系统安全等级保护定级工作的通知》。多次组织会议研究具体工作，并每年将等级保护工作列入全国铁路信息化工作要点，提出明确要求，重点督促落实。

2012 年，发布了《关于进一步做好铁路信息安全等级保护工作的通知》，进一步推进铁路信息安全等级保护工作。截至2012年，铁路行业已对33个信息系统进行了定级，其中二级8个，三级22个，四级3个，结合系统建设、升级改造、专项工程等，对部分已定级的信息系统进行了相应的信息安全防护改造，起到了一定的防护作用。

2 其他行业信息安全等级保护工作现状

2.1 电力行业

电力信息系统包括发电、输电、变电、配电、用电等环节的生产、调度与控制系统，还包括与生产、营销等工作相关的管理系统。

2004年10 月，国家电网公司转发了公安部发布的《关于信息安全等级保护工作的实施意见》的通知，要求下属单位认识信息安全保障体系。2005年，电力行业监管部门颁发了《电力二次系统安全防护规定》，后陆续制定了《电力二次系统安全防护总体方案》、《省级及以上调度中心二次系统安全防护方案》、《变电站二次系统安全防护方案》，高度重视信息安全保护工作[2]。

2007年8 月，电监会发布了《关于开展电力行业信息系统安全等级保护定级工作的通知》；随后11月下发了《电力行业信息系统安全等级保护定级工作指导意见》，要求贯彻落实国家关于信息安全等级保护工作。

2010年6 月，电力行业信息安全等级保护测评中心通过国家信息安全等级保护工作协调小组评审[3]，成为国内首个行业信息安全等级保护测评机构，为电力行业信息安全等级保护工作开展提供测评及咨询等服务。

2011 年，电力行业按照国家信息安全等级保护相关标准和管理规范，结合自身行业现状和特点，制定了本行业的等保标准——《电力行业信息系统安全等级保护基本要求》(送审稿)[2]，指导行业信息安全等级保护工作。

以国家电网公司为代表，电力行业等级保护工作有序稳步推进，2006年开展了信息系统安全等级保护制度研究与试点工作，2007年进行了试点，2009年全面展开等级保护建设工作。2010年以来，电力行业形成了以网络隔离、边界防护和分层分级纵深防御为主要特点的立体化安全防护体系[4]，成为全国首个率先组织开展信息安全等级保护工作并深入应用的行业。

2.2 金融行业

金融行业信息系统包括中国人民银行信息系统和银行业金融机构信息系统两大类。中国人民银行除拥有政府行政管理的各类信息系统外，还有履行金融调控、金融服务、金融市场职能的13类信息系统。银行业金融机构信息系统分为两类：各类银行、各类金融机构[5]。

2007 年，中国人民银行印发《中国人民银行、中国银行业监督管理委员会关于印发<开展银行业金融机构重要信息系统安全等级保护定级工作>的通知》[6]，开始在金融行业开展信息安全等级保护工作。

2011年1 月，经中国人民银行、公安部国家信息安全等级保护工作协调小组办公室批准，中国金融电子化公司测评中心成为行业指定的信息安全等级保护测评服务机构[3]，开始了金融行业信息安全等级保护测评和风险评估工作。

2012年7 月，人民银行制定出台了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》3项标准[7]，成为金融行业的等级保护标准。

同年，人民银行发布了《中国人民银行关于进一步推进银行业信息安全等级保护工作的通知》，将等级保护工作长效化、制度化。

2013 年以来，人民银行先后发布了《中国人民银行信息系统安全等级保护定级和备案流程实施办法》、《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》，进一步完善了等级保护工作流程，并组织对21 家全国性银行业金融机构信息系统定级情况进行了评审。

2.3 教育行业

教育行业信息系统包括教育行政管理信息系统和学校信息系统两大类，如教育部全国学前教育管理信息系统、全国中小学校舍信息管理系统、高考报名与招生相关系统；各高校教师学生管理信息系统、考试与成绩管理系统、远程教育系统等[8]。

2009 年，教育部办公厅印发《关于开展信息系统安全等级保护工作的通知》，随后，教育部批准成立了“教育信息安全等级保护测评中心”，具体承担相关等级保护工作。

2010 年～2011年 ，教育部办公厅先后印发了《关于开展教育系统信息安全等级保护工作专项检查的通知》、《关于进一步加强网络信息系统安全保障工作的通知》，要求做好教育系统网络信息安全保障工作，加快建立完备的教育网络信息安全保障体系。

2011年6 月，国家信息安全等级保护工作协调小组评审并通过了教育信息安全等级保护测评中心作为国家信息安全等级保护测评机构的资质申请[9]，成为继电力、金融行业之后第三家行业信息安全等级保护测评机构。

教育部积极组织开展信息安全等级保护行业标准的制定，研究制定了《教育系统信息安全等级保护定级指南》、《教育系统信息安全等级保护基本要求》等技术标准[10]，进一步规范了教育行业等级保护工作在技术层面的落实。

2012 年以来，教育行业等级保护工作继续深入开展，教育部直属机关100多个系统完成定级及评审工作，国家教育管理信息系统安全保障体系建设完成，行业具备了独立进行信息安全等级测评、风险评估服务的能力。

2.4 广电行业

广电行业信息系统可分为3大类：生产业务系统、外网系统、专网系统[11]。

鉴于广电系统的专业特色，无法照搬基于IP网络的信息安全评估方法，广电行业进行了一系列的研究工作。2007年，广电总局以光缆干线网风险评估为切入点，开始了行业内风险评估的探索；2008年，完成了“广播电视光缆干线网信息安全风险评估方法研究”项目，探索出一条适用于行业信息安全评估之路；2009年，在此基础之上，广电总局完成了“广播电视卫星地球站信息安全风险评估方法研究”；2010年，启动了电视中心、广播中心、无线发射3大播出类型的专业风险评估方法研究。

2007 年，广电行业下发了相应的定级工作指导意见，开始了重要播出信息系统定级工作。2009年，广电总局开始着手研究编制适合行业的等级保护标准；2011年，广电总局颁布出台了《广播电视相关信息系统安全等级保护定级指南》和《广播电视相关信息系统安全等级保护基本要求》[12]，作为行业内信息安全等级保护标准，为信息系统建设整改提供指导。

2012 年，国家广播电影电视总局广播电视信息安全测评中心通过国家信息安全等级保护工作领导协调小组办公室评审[3]，获得广电行业信息安全等级保护测评机构推荐证书，成为国内第4家行业信息安全等级保护测评机构。

目前，按照广电总局的统一部署和要求，广电行业已完成主要信息系统的分类和定级，完成了相关系统在公安机关网络安全保卫部门的备案，并有计划地开展安全建设整改工作。

3 铁路与其他行业信息安全等级保护工作对比分析

3.1 对工作的认识和推进程度

作为关系国计民生的重要运输系统，早在2007年，铁路行业即开始了信息安全等级保护工作，与教育等行业相比，信息安全等级保护工作在铁路行业的起步更早，等级保护工作被列作全国铁路信息化工作的要点，获得了较多的关注和重视。

然而，与电力等其他行业相比，铁路信息安全等级保护工作也存在着不足：（1）行业的先行性自我研究欠缺且滞后，没有在等级保护工作全面开展之前进行行业信息安全工作的调研和考察，这使得本行业对信息安全等级保护工作的认识缺乏良好的理论和实践基础；（2）信息安全等级保护工作在全路的实施力度有待加强，有些行业已将等级保护工作实现了例行化和常态化，而且较早时候即按照等级保护工作的要求完成了本行业信息系统的定级、备案等工作，而铁路行业内的上述工作尚处于未实现状态或实现较晚。

3.2 行业标准的制定

信息安全等级保护工作的行业标准，是本行业按照信息安全等级保护国家标准的要求、结合行业自身特点而制定的等级保护工作标准。行业标准是行业开展信息安全等级保护工作的依据和指导性文件，其集中体现了本行业信息安全等级保护工作的研究现状和最高水平，是判断一个行业信息安全等级保护工作水平的重要依据。

当前电力、金融、广电等行业已按照信息安全等级保护国家标准要求、结合自身行业特点，制定出台了本行业的等级保护标准，有的结合使用反馈情况，对已有标准进行了重新修订和完善，形成了第二版的标准。铁路信息系统的行业特点，决定了铁路信息系统安全不能完全照搬等级保护国家标准，而应依据国家标准结合行业特点实施信息安全保护工作；然而，此项工作尚处于空白状态，铁路行业亟待出台行业标准以指导行业信息安全等级保护工作。

3.3 行业评测机构的成立

为进一步推进国家信息安全等级保护工作，公安部依据机构信息安全等级保护测评能力，授权第三方机构进行信息安全等级保护测评。等级保护测评机构的主要工作是根据等级保护标准规范，对各信息系统测评；作为等级保护测评工作的实施者，它推动着等级保护工作的前进，是信息安全等级保护工作的重要组成部分。

截至目前，全国已有数十家机构获得信息安全等级保护测评资质，列入公安部信息安全等级保护评估中心推荐的全国等级保护测评机构目录。其中，已有7家机构获得国家级测评资质，这包括了电力、金融、教育及广电等行业的测评机构，另外的机构则获得了省市级的测评资质。

当前，铁路行业尚无一家具有认可测评资质的第三方测评机构，导致铁路内信息系统安全等级保护工作的推进，不得不求助于铁路外的社会评测机构，然而这些机构并不了解铁路行业的特点，给铁路等级保护工作的实施带来了很大被动。另外，铁路信息系统大多覆盖全国，实行全国统一管理，省市级测评机构已不能胜任铁路的需求。因此，成立一家行业内的国家级测评机构，是铁路等级保护工作进一步开展的必然要求。

4 结束语

本文阐述了铁路行业当前信息系统安全等级保护工作的现状，结合电力、金融、教育及广电行业现状，从等级保护工作的实施程度、行业标准的制定及行业测评机构的成立3个方面进行了对比分析，为铁路行业信息安全等级保护工作的进一步开展提供参考。

[1] 中华人民共和国国家质量监督检验检疫总局.. GB/T 22239-2008，信息安全技术—信息系统安全等级保护基本要求[S].北京：中国标准出版社，2008.

[2] 唐 斐. 信息安全等级保护标准在电力行业的应用 [C]. 2012年电力通信管理暨智能电网通信技术论坛论文集，2013.

[3] 全国等级保护测评机构推荐目录[EB/OL].http://www.cspec. gov.cn/web/detail/de95.html，2011-11-02.

[4] 朱世顺. 信息安全等级保护在电力信息系统中的应用[J]. 电力信息化， 2010（4）.

[5] 胡晓荷. 银行业信息安全等级保护工作经验—专访人民银行科技司安全处郭全明处长 [J]. 信息安全与通信保密，2010（1）：32-35.

[6] 杨 晨. 中国人民银行紧锣密鼓开展信息安全等级保护工作[J]. 信息网络安全，2007（11）.

[7] 王珊珊. 金融标准化在行业信息安全等级保护中的实践—人民银行昆明中心支行贯彻金融标准的实践经验 [J]. 时代金融，2014（1）.

[8] 《中国教育信息化》编辑部. 2010年度中国教育信息化十大事件 [J]. 中国教育信息化，2011（1）.

[9] 《中国教育信息化》编辑部. 教育信息安全等级保护测评中心成立 [J]. 中国教育信息化，2011（14）.

[10] 安 宏. 以国家教育管理信息系统建设为契机全面加强教育网络与信息安全建设 [J]. 中国教育信息化，2013（14）.

[11] 关丽霞. 谈广播电视信息安全[J]. 广播与电视技术，2012（4）.

[12] 邹娟娟. 等级保护在电视制播业务方面的应用研究[J]. 广播与电视技术，2013（10）.

责任编辑 陈 蓉

Contrast and analysis of information security level protection work between railway industry and other industries

JIANG Xiaobing
( Beijing Railway Communication Technology Center, Beijing 100038, China )

After reviewing present situation of railway information security level protection and comparing with other industries such as power and f i nancial industry, this paper pointed out shortages of level protection work from aspects of implemented degree, industry standards and industry evaluation agency, provided reference for further work.

information security level protection; railway level protection; industry standards for level protection; level protection evaluation agency

U29-39

A

1005-8451（2015）02-0062-04

2014-10-08

蒋笑冰，高级工程师。