基于关键信息基础设施安全保护要求的风险管控研究

崔日云，付晓丹

（中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

随着信息技术的飞速发展，网络安全风险日益突出，铁路关键信息基础设施安全保护工作逐渐受到了各方重视。关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融等重要行业和领域，以及其他影响国家安全、国计民生、公共利益的重要网络设施、信息系统等，其一旦遭到破坏，将严重威胁国家财产和安全[1]。因此，加强铁路关键信息基础设施的安全防护成为铁路行业网络安全工作的重中之重。

众多学者对关键信息基础设施的安全防护作了相关研究。吕欣等人[2]从战略规划、安全运作管理和安全技术保障等3 个维度设计了大数据安全保障技术方案，为建立可持续提升的大数据安全和隐私保护能力提供技术参考；刘金瑞[3]提出我国网络关键基础设施立法的基本思路和制度建构；洪延青[4]提出关键信息基础设施的安全保护制度应有新的设计思路和工作要求。

基于以上研究，本文设计基于关键信息基础设施安全保护要求的风险管控流程，从风险识别、分析、评价、处置等方面提出风险管控方法，以期为我国铁路关键信息基础设施安全防护工作提供支撑。

1 关键信息基础设施的信息安全风险管控流程

关键信息基础设施的信息安全风险管控遵循整体防控、重点保护、动态防护、协同联动原则，其流程如图1 所示。

图1 关键信息基础设施风险管控流程

通过风险识别与风险分析，对风险作出评估和分类，以确定风险的可能性、影响程度及频率；对风险进行评价，对其中不可接受的风险进行风险处置，针对不同的风险采取不同的手段或措施，由此，实现对风险的全方面管控。

2 前期风险管控

2.1 风险识别

风险识别是风险管理的基础，指通过识别风险源、风险影响范围、风险原因及其潜在的后果等形成的风险列表。风险识别应遵循符合性、全面性、客观性、系统化的基本原则[5]，包括以下3 个方面。

2.1.1 业务识别

业务识别主要确定业务服务的能力、对象、业务流程和范围，以及对业务整体性与关联性的识别，包括关键业务与其他业务的关系等。

2.1.2 资产识别

资产识别是指通过正确的方式识别对组织产生重要影响且需要保护的资产的过程。系统资产价值要根据系统资产的保密性、完整性和可用性赋值，并根据系统业务承载性、服务重要性综合计算其价值。

2.1.3 重点风险识别

根据GB/T20984-2022[6]等安全评价准则，对关键业务链进行安全风险分析，确定关键业务链各环节的威胁、脆弱性，确定现有安全控制措施，剖析重点安全风险点。

2.2 风险分析

风险分析是在风险识别的基础上开展的，其过程为：（1）根据威胁的风险及脆弱性被利用的难易程度，计算出安全事件发生的可能性；（2）根据脆弱性的影响程度和资产价值，计算出安全事件发生后对评估对象造成的损失；（3）根据安全事件发生的可能性和安全事件发生后造成的损失，计算出系统资产面临的风险值；（4）根据资产风险值计算出业务风险值[6]。

2.3 风险评价

风险评价包括系统资产风险评价和业务风险评价，是根据风险分析结果与风险准则的比较结果来判定风险是否属于可接受的过程。在确保目标规划更合理和计划更可行的基础上，根据实际情况选择恰当的风险策略，可得到最佳的风险策略组合。

3 风险处置措施

风险处置指为了将风险始终控制在可接受的范围内，通过选择并执行风险处置措施来更改风险的过程[5]，处置措施如图2 所示。

图2 风险处置措施

3.1 技术安全保护

3.1.1 收敛暴露面

识别并降低互联网和内部网络资产的网络协议地址、终端、应用业务等暴露面，减少互联网出口总量；减少对外曝光机构结构、电子邮件账号、组织通信录等内部信息，预防社会工程学入侵；避免在公共存储空间保存能够被攻击者使用的技术文档。

3.1.2 攻击的发现与阻断

研究网络攻击的途径、方法，根据观察发现的进攻行为，划分进攻路径、进攻对象，设定多道防御。

3.1.3 安全通信网络

对通信线路、网络重要节点及关键设备进行冗余备份；各个网络安全等级保护系统间、各个业务系统间、各个区域的系统间形成安全互联政策，严格控制其运行、数据交换和方向，且其同一使用者的使用身份和访问控制策略保持一致性；应当通过网络审计措施，监控、录入网络安全事件。

3.1.4 安全计算环境

通过多因子身份识别方法对用户进行身份识别；对关键客户服务操作、关键客户服务及非正常客户使用情况实施审核记录；通过安全标记等方式，对重要业务数据资源进行有效访问；通过技术手段，预防高级可持续威胁，进行主动防御，有效辨识、抑制病毒的入侵活动；通过自动化手段，对用户、漏洞、补丁、病毒库等信息进行集中管理。

3.1.5 数据安全防护

基于数据分类的国家安全防护策略，确立安全管理责任和评估考核，在国家境内经营中获取并形成的个人信息和关键数据保存于国内；敏感数据通过加密、脱敏、去标识化等技术手段保护；控制行业的连续性并建立容灾备份体系；当关键数据废弃后，根据数据安全保护策略对已保存的信息加以管理。

3.1.6 攻防演练

根据攻防训练中出现的安全问题和风险加以及时修正，减少结构性、全局性风险。

3.2 管理安全保护

3.2.1 安全等级保障

依据我国网络安全等级保护制度有关规定，进行计算机网络和信息系统的定级、备案、安全建设整改和等级测评等工作[7]。

3.2.2 安全管理制度

建立适应本组织关键信息基础设施的安全保护规划文件，并经审查后下发至有关工作人员；建立基于关键服务链安全的管理体系与安全策略。

3.2.3 安全管理机构

设立安全工作委员会或领导小组，专门负责管理关键信息基础设施安全保障工作；设置专业安全机构，设置、执行安全考评和监管问责制度。

3.2.4 安全建设管理

网络安全技术措施和关键信息基础设施修建、改造、升级等工作同步计划、同步施工、同步使用，并通过检测、考核、攻防训练等多种形式验证。

3.2.5 安全运维管理

确保关键信息基础设施的运行维护（简称：运维）地址设在我国境内，否则，应满足国家有关法规；签定运维保密协定，使用已登记备案的运维工具，否则，应对工具进行使用前恶意代码检查。

3.2.6 攻防演练管理

根据关键业务的可持续性确定训练场地，定期组织进行攻防训练；将关键信息基础设施核心供应链、紧密上下游产业链等有关单位列入训练内容。

3.3 预警处置

预警处置是在对风险信号接收、评估、衡量的基础上，提出有无风险、风险大小、风险危害程度及风险处置方案的过程，其流程如图3 所示。

图3 闭环预警机制流程

3.3.1 预警监测

在互联网边界、出口等互联网重要节点部署攻击监控装置，识别网络攻击和未知危险；构建常见系统通信流量或事态的模式，全面获取安全日志；引入智能化制度，对关键业务所包含的系统的所有监测信息进行综合分析，分析整体的安全态势。

在出现可能影响关键业务的情况后，主动报警，并主动采取相应保护措施，减少重点业务被干扰的风险。对可能产生很大危害的内部预警信息，应当根据有关机关规定加以通告。

3.3.2 预警研判

在出现有可能影响关键业务的安全事故时，根据网络攻击的途径、方法，划分进攻路径、进攻对象；及时对网络攻击活动进行溯源，系统、全面地剖析网络攻击意图、技能及流程，并做好相关数据分析和还原，以此完善预警研判，形成事件汇报。

3.3.3 预警响应

根据预警研判结果，形成不同的预警响应时间、部门及不同的预警处置方案[5]。

3.3.4 预警处置

根据技术安全保护和管理安全保护方法，对安全事件预警进行处置。

3.3.5 预警解除

风险评价问题得以处理，系统可以正常工作后，将按时公布响应工作完成。责任单位按照主动防御状态，判断是否解除警报，并适时发出预警解除信息。

3.4 重新识别

针对风险识别、监测与预警、在主动防御中出现的重大安全隐患及已发现的重大安全事件，以及处理后果，根据安全威胁和风险变动状况进行评价，在必要时再次开展风险识别、资产管理、风险分析和评价的工作，并调整安全策略。

4 风险报告

风险评估报告是风险分析阶段的输出文件，是对风险分析阶段工作的总结，其内容包括但不限于：项目背景、评估范围、评估目标、评估依据、评估原则、风险分析模型、风险评估方法、评估流程、风险识别和分析、风险计算方法及风险评价等[8]。风险评估报告输出文档示例如表1 所示。

表1 风险报告输出内容示例

5 结束语

关键信息基础设施风险管控对维护国家安全、保障社会经济健康发展等具有重大意义，本文从技术、管理、预警处置等方面设计风险管控流程，可为铁路信息系统构建全面的网络安全防御体系提供支撑。未来可在网络安全检查、网络安全等级保护测评、网络安全建设等方向持续深入研究，为铁路关键信息基础设施安全防护提供新的建设思路。