劉 剛

（中國(guó)鐵路信息技術(shù)中心，北京 100844）

鐵路信息安全等級(jí)保護(hù)自查方案設(shè)計(jì)

劉 剛

（中國(guó)鐵路信息技術(shù)中心，北京 100844）

通過對(duì)信息安全專項(xiàng)檢查的內(nèi)容和方法進(jìn)行深入分析和細(xì)化，形成可操作性的自查內(nèi)容和指標(biāo)體系，并提出一套合理規(guī)范的自查方法及流程，將等級(jí)保護(hù)自查與等級(jí)保護(hù)測(cè)評(píng)工作有機(jī)結(jié)合，切實(shí)有效地推進(jìn)鐵路行業(yè)等級(jí)保護(hù)工作的高效開展。

等級(jí)保護(hù)自查；等級(jí)保護(hù)測(cè)評(píng)；安全專項(xiàng)檢查

鐵路信息安全等級(jí)保護(hù)自查能為等級(jí)保護(hù)測(cè)評(píng)提供有價(jià)值的信息和參考。各鐵路局組織內(nèi)部人員對(duì)本局范圍內(nèi)使用的信息系統(tǒng)安全情況開展等級(jí)保護(hù)自查，不僅可以使工程技術(shù)人員通過實(shí)踐工作得到了鍛煉，提高了信息安全的專業(yè)技能，深刻理解信息安全等級(jí)保護(hù)法規(guī)對(duì)信息安全工作的指導(dǎo)性意義，也使決策者全面了解本單位信息系統(tǒng)整體信息安全狀況，為信息安全方面的決策提供了數(shù)據(jù)支持。組織內(nèi)部的自查工作與專業(yè)機(jī)構(gòu)的等級(jí)測(cè)評(píng)有機(jī)結(jié)合，可以使信息安全建設(shè)整改工作常態(tài)化，穩(wěn)步推進(jìn)鐵路信息系統(tǒng)安全保障水平。

1 等級(jí)保護(hù)自查內(nèi)容

鐵路信息安全等級(jí)保護(hù)自查分為信息安全專項(xiàng)檢查及不定期等級(jí)保護(hù)自查。

鐵路信息安全專項(xiàng)檢查一般是針對(duì)發(fā)生的安全事故或安全事件進(jìn)行的全面安全工作，它是鐵路運(yùn)輸安全大檢查的重要組成部分，在各級(jí)主管部門的監(jiān)督和組織下開展。不定期等級(jí)保護(hù)自查是各單位內(nèi)部為了順利完成系統(tǒng)的等級(jí)測(cè)評(píng)，實(shí)現(xiàn)系統(tǒng)的安全設(shè)計(jì)目標(biāo)，結(jié)合系統(tǒng)網(wǎng)絡(luò)架構(gòu)和自身業(yè)務(wù)特點(diǎn)，依據(jù)《信息安全等級(jí)保護(hù)測(cè)評(píng)要求》而開展的“等級(jí)符合性預(yù)測(cè)評(píng)”。

1.1 網(wǎng)絡(luò)及安全設(shè)備自查

主要對(duì)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)合理性進(jìn)行分析，排查網(wǎng)絡(luò)及安全設(shè)備等安全配置策略及有效性、系統(tǒng)內(nèi)外網(wǎng)訪問控制措施、網(wǎng)絡(luò)的流量及連接數(shù)限制等策略是否合理。

1.2 終端及主機(jī)系統(tǒng)自查

對(duì)重要信息系統(tǒng)的終端接入及外聯(lián)、主機(jī)系統(tǒng)防病毒能力、終端及主機(jī)系統(tǒng)身份鑒別和安全審計(jì)功能是否完整并有效。

1.3 應(yīng)用系統(tǒng)安全自查

包括應(yīng)用系統(tǒng)安全功能配置及有效性，是否有明顯的SQL注入、跨站腳本、緩沖區(qū)溢出等常見安全漏洞，對(duì)外服務(wù)網(wǎng)站防入侵、防攻擊、防篡改的能力情況。

1.4 數(shù)據(jù)庫安全自查

針對(duì)重要數(shù)據(jù)庫的存儲(chǔ)及備份策略進(jìn)行自查。

1.5 網(wǎng)絡(luò)安全策略制定及落實(shí)情況自查

檢測(cè)預(yù)警、備份恢復(fù)、應(yīng)急處置等工作開展情況；網(wǎng)絡(luò)安全事件的發(fā)生情況。

1.6 信息安全管理制度建立和落實(shí)情況自查

各類信息安全管理規(guī)章制度的建立情況、人員崗位及責(zé)任、安全知識(shí)及技能培訓(xùn)工作開展情況、應(yīng)急處置預(yù)案及應(yīng)急處置演練活動(dòng)開展情況等。

2 等級(jí)保護(hù)自查指標(biāo)

將等級(jí)保護(hù)自查內(nèi)容逐步細(xì)化，形成可操作性的自查指標(biāo)，主要技術(shù)安全及管理安全部分自查指標(biāo)分別如表1和表2所示。鐵路總公司作為信息安全管理部門還可以將自查表單進(jìn)行技術(shù)衍生，形成監(jiān)督檢查表，引入定期安全督導(dǎo)機(jī)制，遠(yuǎn)程對(duì)下屬各單位等級(jí)保護(hù)整改情況進(jìn)行及時(shí)的匯總和分析。各鐵路局信息化處亦可根據(jù)本單位信息系統(tǒng)實(shí)際情況對(duì)自查表單內(nèi)容進(jìn)行適度細(xì)化和修改，全面掌握本單位內(nèi)及所管轄各站段的信息系統(tǒng)信息安全自查情況，并對(duì)信息系統(tǒng)安全現(xiàn)狀向上級(jí)部門匯報(bào)。

表1 鐵路信息系統(tǒng)等級(jí)保護(hù)技術(shù)安全自查簡(jiǎn)表

3 等級(jí)保護(hù)自查方法和流程

3.1 自查方法

等級(jí)保護(hù)自查主要采用訪談和現(xiàn)場(chǎng)檢查的方式。

訪談是對(duì)信息系統(tǒng)整體情況進(jìn)行了解，依據(jù)《鐵路信息系統(tǒng)等級(jí)保護(hù)自查表》中自查項(xiàng)及指標(biāo)要求，與信息系統(tǒng)相關(guān)管理人員（如系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員等個(gè)人或群體）進(jìn)行咨詢性和針對(duì)性的會(huì)談、交流，了解系統(tǒng)業(yè)務(wù)功能、實(shí)現(xiàn)方式、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等基本信息，針對(duì)重要信息系統(tǒng)的安全設(shè)計(jì)方案深入分析，了解其安全策略。

現(xiàn)場(chǎng)檢查是自查的最主要的方法，重點(diǎn)檢查文檔類信息包括信息安全管理制度方針等；網(wǎng)絡(luò)及安全設(shè)備、終端及主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的配置文件的檢查。如對(duì)于安全領(lǐng)導(dǎo)機(jī)構(gòu)的建立及運(yùn)行情況、安全規(guī)劃、策略制定和落實(shí)情況、信息安全管理制度建立和落實(shí)情況需要仔細(xì)閱讀相關(guān)文檔查找判斷自查指標(biāo)結(jié)果是否符合的證據(jù)；對(duì)于網(wǎng)絡(luò)流量及網(wǎng)絡(luò)連接數(shù)、終端及主機(jī)登陸系統(tǒng)失敗處理功能、應(yīng)用系統(tǒng)訪問權(quán)限開放情況等配置文檔的查看需要登錄設(shè)備輸入命令查看結(jié)果中是否存在能夠驗(yàn)證自查指標(biāo)結(jié)果的證據(jù)。

3.2 自查流程

3.2.1 等級(jí)保護(hù)自查準(zhǔn)備

各單位各部門抽調(diào)信息安全管理及維護(hù)人員組成檢查工作組，按照檢查任務(wù)要求，制定具體檢查方案，明確檢查目標(biāo)，制定工作計(jì)劃并編制《鐵路信息安全等級(jí)保護(hù)自查表》，報(bào)送上級(jí)管理部門審批。

3.2.2 現(xiàn)場(chǎng)信息安全自查

全路各鐵路局及相關(guān)單位對(duì)本單位內(nèi)信息系統(tǒng)進(jìn)行現(xiàn)場(chǎng)安全技術(shù)檢查、檢測(cè)，重點(diǎn)針對(duì)系統(tǒng)網(wǎng)絡(luò)安全、終端及主機(jī)安全、數(shù)據(jù)庫安全及信息安全管理制度的建立及落實(shí)情況等方面開展自查。其中，路局層面，重點(diǎn)檢查各項(xiàng)信息安全管理制度的建立及落實(shí)情況、重要信息系統(tǒng)的網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)及安全設(shè)備的運(yùn)行情況、重要的終端及主機(jī)設(shè)備的安全狀況進(jìn)行系統(tǒng)的排查和分析；下屬各站段重點(diǎn)檢查安全人員的責(zé)任落實(shí)情況、各項(xiàng)管理制度的執(zhí)行情況、各類系統(tǒng)的安全運(yùn)行現(xiàn)狀等。

3.2.3 自查報(bào)告編制

各單位、各部門自查工作完成后，要全面總結(jié)信息安全專項(xiàng)自查及等級(jí)保護(hù)自查工作的情況，并通報(bào)檢查結(jié)果，撰寫總結(jié)報(bào)告，針對(duì)自查過程中發(fā)現(xiàn)的問題要及時(shí)總結(jié)，避免類似問題再次發(fā)生。

3.2.4 自查結(jié)果的分析與整理

各單位、各部門要匯總現(xiàn)場(chǎng)自查結(jié)果并全面分析，通報(bào)系統(tǒng)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)，匯報(bào)自查工作情況，并對(duì)重要信息系統(tǒng)存在安全隱患的情況進(jìn)行核實(shí)，及時(shí)形成自查意見和安全整改建議。

3.2.5 整改計(jì)劃制定與落實(shí)

針對(duì)信息安全自查結(jié)果，鐵路局信息化處積極組織各單位開展系統(tǒng)整改工作，做好重要信息系統(tǒng)等級(jí)保護(hù)政策宣講。同時(shí)，要聽取被檢查單位和部門自查工作情況匯報(bào)，對(duì)自查中發(fā)現(xiàn)的問題要提出整改意見和計(jì)劃，并督促各單位及時(shí)開展系統(tǒng)安全整改。經(jīng)技術(shù)檢測(cè)發(fā)現(xiàn)存在安全隱患的重要信息系統(tǒng)和對(duì)外服務(wù)網(wǎng)站，要重點(diǎn)把控，責(zé)令其限期整改并全程跟蹤。

同時(shí)，中國(guó)鐵路總公司運(yùn)輸局信息化部應(yīng)牽頭建立督導(dǎo)檢查制度，組織制定鐵路行業(yè)的信息安全自查工作規(guī)范，定期或不定期對(duì)自查工作開展情況進(jìn)行檢查，督促落實(shí)信息安全等級(jí)保護(hù)制度，達(dá)到重點(diǎn)督促，以點(diǎn)帶面的目的。

4 等級(jí)保護(hù)自查工作組織

中國(guó)鐵路總公司運(yùn)輸局信息化部擬成立專項(xiàng)檢查組按職責(zé)分工深入現(xiàn)場(chǎng)檢查；建議各鐵路局信息化處會(huì)同信息所、各業(yè)務(wù)處室、基層站段、專業(yè)運(yùn)輸公司主要領(lǐng)導(dǎo)要貫徹鐵路總公司指示并安排部署，分管領(lǐng)導(dǎo)不定期深入現(xiàn)場(chǎng)檢查督導(dǎo)，各專業(yè)檢查組分系統(tǒng)落實(shí)安全專項(xiàng)自查和等級(jí)保護(hù)自查。自查組織機(jī)構(gòu)設(shè)置如圖1所示。

圖1 安全自查和等級(jí)保護(hù)自查組織機(jī)構(gòu)圖

中國(guó)鐵路總公司運(yùn)輸局信息化部成立信息系統(tǒng)安全自查和等級(jí)保護(hù)自查工作領(lǐng)導(dǎo)小組，對(duì)鐵路總公司所屬其它單位和各鐵路局安全專項(xiàng)自查和等級(jí)保護(hù)自查進(jìn)行指導(dǎo)。各鐵路局信息化處會(huì)同信息所執(zhí)行鐵路總公司決定，認(rèn)真開展本路局安全自查和等級(jí)保護(hù)自查工作，期間鐵路局各業(yè)務(wù)處室、基層站段做好積極配合檢查工作。建議邀請(qǐng)中國(guó)鐵路信息技術(shù)中心、中國(guó)鐵道科學(xué)研究院、各安全廠商為信息安全自查工作提供技術(shù)支持及后續(xù)咨詢服務(wù)。

5 結(jié)束語

鐵路行業(yè)信息系統(tǒng)等級(jí)保護(hù)工作尚處于起步階段，與其它行業(yè)相比，缺乏相關(guān)標(biāo)準(zhǔn)和管理規(guī)范制度，也未建立行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)認(rèn)證體系，缺乏行之有效的測(cè)評(píng)手段。采用安全檢查、風(fēng)險(xiǎn)評(píng)估、內(nèi)外評(píng)測(cè)、安全運(yùn)維等管理和技術(shù)手段，建立有效的安全測(cè)評(píng)與技術(shù)督查體系，切實(shí)深入地推進(jìn)等級(jí)保護(hù)自查工作的開展。

等級(jí)保護(hù)自查必然會(huì)是伴隨著系統(tǒng)等級(jí)保護(hù)生命周期的一個(gè)不斷循序漸進(jìn)的過程，也是等級(jí)保護(hù)測(cè)評(píng)有效開展的前提。通過在重要時(shí)間節(jié)點(diǎn)（如春運(yùn)、暑運(yùn)等）開展安全檢查專項(xiàng)檢查及等級(jí)保護(hù)自查，一方面提高了系統(tǒng)運(yùn)維人員的專業(yè)測(cè)評(píng)效率，節(jié)約了各類資源；另一方面，將安全建設(shè)整改工作常態(tài)化穩(wěn)步推進(jìn)的同時(shí)，必將使鐵路總公司及鐵路局、管理人員保持安全意識(shí)，逐漸深刻理解信息安全防護(hù)的實(shí)際意義，更是從實(shí)際出發(fā)推動(dòng)等級(jí)保護(hù)測(cè)評(píng)體系及制度盡快建立和實(shí)施的有效手段。

[1]中華人民共和國(guó)質(zhì)量監(jiān)督檢驗(yàn)檢疫局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì). GBT 22239-2008，信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].北京：中國(guó)標(biāo)準(zhǔn)化出版社，2008.

[2] 中華人民共和國(guó)質(zhì)量監(jiān)督檢驗(yàn)檢疫局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GBT 28448-2012，信息安全技術(shù)信息—信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求[S]. 北京：中國(guó)標(biāo)準(zhǔn)化出版社，2012.

[3] 劉 寅.發(fā)電集團(tuán)等級(jí)保護(hù)自測(cè)評(píng)實(shí)踐分析[J].中國(guó)電力，2012，10（2）：77-79.

[4] 郭啟全. 國(guó)家信息安全等級(jí)保護(hù)工作的開展與實(shí)施[J]. 警察技術(shù)，2007（5）： 52-55.

責(zé)任編輯 徐侃春

Scheme design of railway information security level protection self-inspection

LIU Gang
( China Railway Information Technology Center, Beijing 100844, China )

By deeply analyzing and ref i ning the methods and content of special information security inspection, it was formed operational self-inspection contents and index systems, given the reasonable and normative self-inspection methods and procedures. The level protection self-inspection was combined with evaluation to push on level protection work effectively.

level protection self-inspection; level protection evaluation; special security inspection

U29-39

A

1005-8451（2015）02-0048-04

2014-10-08

劉 剛，高級(jí)工程師。