铁路信息系统全生命周期质量与风险评估体系研究

王瑞民，司 群，雷丝萦

（中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

铁路网络安全和信息化建设发展迅速，铁路“十四五”网络安全和信息化规划颁布实施以来，铁路系统建设数量和规模越来越大，复杂程度也日益提升。该系统具有种类繁多、功能强大、硬件高度集成，以及深入参与铁路业务决策、控制及管理的特点，对铁路各项业务的平稳运行起着至关重要的作用。当前，铁路部门注重铁路信息系统上线投产后软、硬件的稳定性，而弱化其他阶段，然而，质量问题与风险会存在于其全生命周期的每一个阶段，因此，非常有必要对铁路信息系统开展全生命周期的质量与风险评估。

国外的项目风险管理始于1989 年，Boehm 发表文章《软件风险管理：原则和实践》，提出了软件风险管理体系Boehm 模型，把风险管理活动分成风险估计和风险控制两大阶段，列出了10 项风险列表[1]；Charette 建立的风险分析和管理体系，把风险分成分析和管理2 个阶段[2]；美国卡内基梅隆大学软件研究所提出的CMM 模型，是基于实践的全面风险管理体系，但未考虑系统软件质量风险要素，缺乏对质量方面风险管控措施的研究和应用[3]。我国学者针对软件风险管理模型和风险识别及评估技术等开展大量研究工作，张子剑等人对全生命周期软件过程风险管理模型展开研究，提出了基于能力成熟度整合模型（CMMI，Capability Maturity Model Integration）和软件生命周期的软件项目风险管理模型[4]，可降低风险管理的难度和管理成本，但对于如何分析和识别全过程质量管理活动可能带来的风险，快速定位和处置风险还有待研究。

CMMI 是一种软件能力成熟度评估标准，相对于ISO9000，CMMI 更适合项目管理[5]。CMMI 包含5 个级别22 个过程域，5 个级别为一级初始级、二级管理级、三级定义级、四级定量管理级、五级优化级，22 个过程域包括项目计划、需求管理、风险管理、配置管理、决策分析与解决、度量与分析等，每个过程域分别表示了整个项目管理过程中应侧重关注或改进的某个方面的问题。CMMI 提供的目标和实践在铁路信息系统研发领域获得广泛应用，可指导研发项目的过程管理，具有广泛应用前景。

本文参考CMMI，为解决铁路信息系统全生命周期质量风险管理问题，从全生命周期、质量和风险评估过程这3 个维度提出全生命周期质量与风险评估体系，并设计质量风险识别清单，实现铁路信息系统各阶段风险可控的目标，对提升铁路信息系统质量及保障铁路安全稳定运行具有参考价值。

1 全生命周期质量与风险评估体系

本文构建了铁路信息系统全生命周期质量与风险评估体系，该体系包括系统全生命周期、质量和风险评估过程3 个维度，体系架构如图1 所示。

图1 铁路信息系统全生命周期质量与风险评估体系架构

1.1 全生命周期维度

铁路信息系统全生命周期质量与风险评估体系的全生命周期维度包括该系统从开始立项到替代下线所经历的立项、设计、研发、测试、部署、运营维护（简称：运维）和下线等7 个过程阶段。这些阶段与CMMI 22 个过程域中项目监督与控制、过程与产品质量保证、配置管理、度量与分析、风险管理、供方管理、培训管理、决策分析与解决等10 个关键过程相互支撑[6-7]。铁路信息系统全生命周期管理架构，如图2 所示。

图2 铁路信息系统全生命周期管理架构

1.2 质量维度

铁路信息系统全生命周期质量与风险评估体系的质量维度是围绕1.1 节提出的铁路信息系统全生命周期各阶段的子活动任务梳理整合的各项质量指标[8]，包括立项管理、项目经理及角色管理、评审控制、需求分析、功能性能要求、项目计划管理、安全开发、代码审计、验收交付、变更管理等方面，进一步梳理形成指标内容，即风险评估内容，具体的铁路信息系统质量指标风险评估内容如图3 所示。

图3 铁路信息系统质量指标风险评估内容

1.3 风险评估过程维度

风险评估过程维度参照GB/T 20984-2022 《信息安全技术信息安全风险评估方法》中的风险评估流程[9]，在风险识别、风险分析、风险评价、风险处置阶段的基础上，增加了风险跟踪阶段，构成本文的风险评估过程，该过程可为铁路信息系统质量风险评估工作提供依据，通常风险评估过程是由技术和管理2 类人员参与的一个复杂的循环过程，具体风险评估过程如图4 所示。

图4 风险评估过程

一般风险评估工作是项目经理、技术评估师和管理评估师共同进行的，按照图4 中的流程，有计划地开展风险识别、分析等评估工作。

1.3.1 风险识别

根据图3 中提出的质量指标内容，对铁路信息系统全生命周期各阶段开展风险识别，识别出各类安全风险，并对其严重程度进行判定。风险识别的过程主要采用文档查阅、人工技术检查及访谈等手段，尽可能识别出各类风险因素，保证全面性。

1.3.2 风险分析

从风险发生的概率和风险发生后产生的损失两方面进行风险分析，明确影响系统质量的因素，继而分析风险的影响范围、影响程度、发生概率、损失等方面的量化值，用定量的方法进行风险值的计算[10]，为后续风险评价提供依据。

1.3.3 风险评价

采用定性分析的方法对风险值进行评价，即对风险进行等级划分，参照国家标准，将铁路信息系统风险划分为很高、高、中、低、很低等5 个等级，并通过分析该系统全生命周期各阶段的风险特点，对能否有效降低风险进行关联分析，得出最终的风险等级划分结果；依据评判算法，判定风险是否可接受，在结果中删除可接受风险，对不可接受风险开展进一步的风险处置工作[11]。

1.3.4 风险处置

根据不可接受的风险清单，制定详细的整改措施建议，对风险进行集中处置。根据帕累托法则[12]，威胁较大的风险往往只占一小部分，因此，需要对小部分威胁较大的风险开展处置和管理，制定详细的风险处置计划，降低风险发生的可能性、不良影响的后果和损失，风险处置的主要方法有回避风险、减少风险、转移风险和接受风险。

1.3.5 风险跟踪

制定风险跟踪表，根据作业条件风险性评价法（LEC 法）[13]开展风险跟踪，对风险处置情况进行跟踪，适度优化并修改风险处置策略。同时，还需要对残余风险进行监控，及时修订风险处置计划，并对残余风险重新开展风险评估工作，保证项目稳步推进[14-15]。

2 质量与风险评估应用

本文基于铁路信息系统全生命周期质量与风险评估体系，对某铁路信息系统从立项开发到下线各阶段的质量指标开展风险识别过程验证应用，分析各阶段质量面临的风险因素，形成风险识别清单，由于篇幅有限，文中仅给出部分质量指标的风险清单，如表1 所示。

表1 某铁路信息系统质量风险识别清单（部分）

通过质量风险评估清单可快速定位该系统全生命周期某个阶段的风险因素，包括风险名称、带来的影响和风险等级等，提高了对该系统开展风险识别的效率，可针对性开展风险处置，重点对清单中很高、高风险等级的质量问题开展整改及跟踪，降低风险管理的成本。

3 结束语

本文根据铁路信息系统质量管理和风险管理现状及需求分析，提出基于全生命周期、质量和风险评估过程这3 个维度的铁路信息系统全生命周期质量与风险评估体系。从全生命周期管理架构、质量指标风险评估内容、风险评估流程等方面进一步明确了保证铁路信息系统安全可靠的关键活动和关键质量指标；基于提出的体系架构，分析某铁路信息系统常见质量风险因素，形成风险清单。后续将进一步丰富和完善铁路信息系统质量铁路信息指标内容，优化风险计算评价准则，更真实地反映铁路信息系统全生命周期各阶段面临的安全风险，并准确定位和开展风险跟踪处置。