基于层次分析法的铁路网络安全检查评价方法研究

刘国梁，姚洪磊，解辰辉，吴 若，曹祎杰

（1.中国铁道科学研究院集团有限公司 科技和信息化部，北京 100081；2.中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

随着信息化的发展，网络技术在各行各业得到了广泛应用，随之而来的是愈发严峻的安全隐患。国际上针对他国的网络安全攻击日趋激烈，给国家安全造成重大威胁，保护国家网络安全已成为国际社会关注的焦点。基于上述情况，迫切需要针对铁路网络安全检查工作开展研究，为保障铁路关键信息基础设施稳定运行创造必要条件。

现有网络安全检查方法有很多，包括故障树分析法（ FTA，Fault Tree Analysis）[1-3]、卷积神经网络（CNN，Convolutional Neural Network）[4-6]、层次分析 法（AHP，Analytic Hierarchy Process）等[7-10]。安慧等人[3]将故障树分析法运用在建筑施工风险评估中，分析高处坠落事故的相关风险及后果，该方法以事故为起始，通过因果关系逐层分析，其优势在于能够分析出事故发生的直接原因，但其分析过程中的专家评判需要耗费大量人力和时间，且其指标权重具有一定的概率数据偏差；颜蔚[5]采用基于卷积神经网络模型的无线网络安全风险评估方法评估无线网络安全风险，以提高其评估准确性，其优势在于对于已训练的模型能够较快分析得到较为精准的结果，但其劣势在于训练过程需要大量数据资源，且对位置和尺度敏感，当评判指标发生改变后需要重新耗费大量资源训练其权重；郭琳等人[7]利用AHP 计算网络态势评估中攻击类型的影响权重，分别通过对准则层和指标层构建判断矩阵以计算各指标的最终权重，相比之下，通过该方法进行网络安全检查分析可以较好地规避上述2 种方法存在的问题。

鉴于此，本文结合相关要求及行业标准，提出基于层次分析法的铁路网络安全检查评价方法。构建以组织制度保障、网络安全测评、安全运营维护（简称：运维）、供应链安全和数据安全为框架的3 级铁路网络安全检查指标体系，并基于AHP 计算各指标权限，最终实现定量定性的铁路网络安全风险评价。

1 铁路网络安全检查指标体系构建

通过对组织制度保障、网络安全测评、安全运维、供应链安全和数据安全等5 个层面网络安全检查指标的进一步细化，提出3 级铁路网络安全检查指标体系，如图1 所示。

图1 铁路网络安全检查指标体系

（1）组织制度保障（B1）。主要包括：网络安全相关管理制度标准规范制定实施情况（b1），检查是否结合目标单位或系统的实际情况，制定网络安全标准或制度；网络安全机构设置情况（b2），检查目标单位或部门是否设置相应的网络安全机构；网络安全岗位和人员管理情况（b3），检查目标单位是否存在网络安全相关岗位及人员；网络安全教育培训执行情况（b4），检查是否定期进行网络安全教育的培训；网络安全经费保障（b5），检查单位或部门为网络安全经费投入的占比。

（2）网络安全测评（B2）。主要包括：等级保护测评及整改情况（b6），检查目标系统是否经过等级保护测评，相关单位及部门是否根据报告及时进行整改；关键信息基础设施风险评估测试情况（b7），检查相关系统是否经过风险评估测试，测试结果是否符合规定；商用密码应用安全评估情况（b8），检查应用商用密码是否符合相关安全规定；监督检查问题整改情况（b9），检查是否有专项人员监督整改，检查问题是否已整改完善。

（3）安全运维（B3）。主要包括：安全研发及上线运行安全执行情况（b10），检查系统软件研发和运行阶段是否处于安全环境；日常安全运维执行及记录情况（b11），是否存在系统软件安全检查记录，检查记录各项结果是否符合规定；资产台账记录情况（b12），检查目标单位中各资产是否记录在台账中；互联网、移动互联网、物联网安全接入情况（b13），检查目标单位是否按照安全规定进行互联网准入；应急预案及处置响应情况（b14），检查目标单位面对应急情况是否存在相应合理的预案，是否能及时进行响应；终端安全管理情况（b15），检查是否定期对单位内终端机器进行管理；集中监控指挥中心运行实施情况（b16），检查单位指挥中心是否能进行全方位监控，是否能对目标部门及时进行任务调度指挥控制。

（4）供应链安全（B4）。主要包括：第三方供应商清单建立情况（b17），检查是否对供应商建立产品的详细清单；供应商访问权限（b18），检查供应商在目标系统上所掌握的访问权限；第三方产品和服务采购管理实施情况（b19），检查是否部署相关制度以管理第三方产品及服务；源代码安全审计情况（b20），检查是否能对第三方软件或系统的开源代码进行审计；国产化代替实施情况（b21），检查当前使用国产化产品的占比。

（5）数据安全（B5）。主要包括：数据全生命周期技术防护措施情况（b22），检查是否基于数据全生命周期部署相应的防护措施；数据分级分类（b23），检查数据是否进行分级分类；数据出境安全情况（b24），检查运行数据是否存在出境情况，出入境数据是否进行隔离和检查；国产密码技术和产品应用情况（b25），检查单位及系统是否应用国产密码技术及产品。

2 铁路网络安全检查评价方法

基于上述铁路网络安全检查指标，引入AHP 进行分析。AHP 是一种结合定性定量的综合风险评估分析方法，其原理是按照一定关系将各种判断因素分层分解为目标层、准则层和指标层，再将各因素之间的差异数值化并赋予不同重要性权重，最终适用于复杂系统的检查评价。

为实现对铁路网络的安全检查，将安全检查指标体系作为目标层，5 项安全检查内容作为准则层，相对应的25 项检查指标作为指标层，对每项检查指标制定计算方法，从而建立铁路网络安全检查指标体系，实现基于AHP 的风险评价模型。在对各单位系统检查时，检查人员依据各指标的具体实施完成情况进行打分（0～100 分），再结合各指标的权重计算系统最终的风险评价值。

为计算各指标的权重，邀请10 位来自高校、科研院所和生产单位的专家对两两指标间的重要性程度进行比较打分，其判断尺度如表1 所示。若因素i与因素j的重要性之比为aij，则因素j与因素i的重要性之比为aji=1/aij。

2.1 构造判断矩阵

基于专家意见，结合准则层5 项准则之间的重要性判断分值，构建目标层铁路网络安全检查指标体系A 的比较判断矩阵A，如下所示

通过同样的方法比较指标层中各项指标间的重要性分值，构造出B1～B5的比较判断矩阵B1～B5。

2.2 矩阵的一致性检验

考虑到在建立判断矩阵时存在大量的专家主观经验，为清除由于主观性而导致的明显逻辑错误，需要先对矩阵进行一致性检验。

经过计算，上文中判断矩阵的CR值分别为：0.0205, 0.0205, 0.0194, 0.0578, 0.0416, 0.0117，均小于0.1，通过了一致性检验，确保了矩阵构建的合理性。

2.3 计算各判断矩阵权重向量

为确定各准则及指标间的权重值，需要先对判断矩阵使用算术平均法进行归一化处理，其步骤如下。

各矩阵的权重向量以及一致性检验结果如表2所示。

表2 各矩阵的权重向量以及一致性检验结果

2.4 各指标最终权重计算及分析

铁路网络安全检查指标体系的最终权重通过对应准则及指标所在权重值乘积所得（例：指标 b1的最终权重为判断矩阵A中的w1乘判断矩阵B1中的w1），如表3 所示，其中，组织制度保障比重占检查总指标的41.85%，位于检查指标的主导地位，因此在对铁路网络安全检查时，应该结合目标单位及系统的规章制度，重点检查其是否按要求执行实施。数据安全占检查指标的26.25%，对数据全生命周期技术防护措施的部署和国产化密码技术产品的应用也是检查的重点内容。另外，网络安全测评也是不可忽视的重要环节。

表3 各指标所占总权重

2.5 运用AHP 量化检查结果

在铁路网络安全检查过程中，根据检查指标逐项打分网络安全情况，对每一项得到的分值Si，与该指标所占总权重Mi相乘，得到该项检查指标的最终分值；通过汇总全部检查指标的分值，计算出目标网络安全检查得分，式中n为检测指标数量。将计算的分值结合表4 中的判定标准，得出最终的评价等级。

2.6 铁路网络安全检查评价指标验证

为验证本文所提方法计算权重的正确性，以铁路典型二级信息系统、三级信息系统和四级信息系统为例开展验证分析。检查人员根据本文第一章中的指标内容完成情况进行打分，再用网络安全检查得分公式计算目标系统的风险评价得分，最后根据网络安全检查风险判定标准得出目标系统的风险程度。最终结果同系统等级保护测评、风险评估等相关测评结论得出的安全防护情况相同，基本反映信息系统的实际安全风险状况，从而证实本文方法计算权重值的有效性。

3 结束语

本文构建了铁路网络安全检查指标体系，提出了一种基于AHP 的综合评价方法。通过分析检查内容和检查指标的重要性计算各评价指标的权重，最终定量定性地给出目标系统风险值及评价结果，该方法对网络安全检查工作具有一定参考意义。在后续常态化网络安全检查过程中，有待进一步研究如何进行指标和权重的持续性更新，以满足铁路新的网络安全要求。