史 宏

（中國鐵道科學研究院 電子計算技術(shù)研究所，北京 100081）

建立鐵路行業(yè)信息安全等級保護測評機構(gòu)必要性分析

史 宏

（中國鐵道科學研究院 電子計算技術(shù)研究所，北京 100081）

我國信息安全管理工作遵循分等級保護原則，要求各行各業(yè)按照等級保護思想對本行業(yè)的信息系統(tǒng)進行安全防護。鐵路行業(yè)的信息系統(tǒng)具有行業(yè)特色，并與運輸安全息息相關(guān)，信息系統(tǒng)安全的好壞需要專業(yè)的測評機構(gòu)進行把控。本文就行業(yè)測評機構(gòu)的優(yōu)勢、作用和必要性進行了分析。

信息安全；等級保護；測評機構(gòu)

信息系統(tǒng)安全等級保護是國家信息安全保障工作的基本制度、基本策略和基本方法，開展信息系統(tǒng)安全等級保護工作既是加強國家信息安全保障工作的重要內(nèi)容，也是各行業(yè)開展好信息系統(tǒng)安全工作的關(guān)鍵。信息系統(tǒng)安全措施是否落實到位不僅要在設(shè)計和建設(shè)階段嚴格把關(guān)，而且要在驗收和檢查階段嚴格管理，因此，在建立等級保護管理體系的同時，需要配套建立等級保護測評體系。

1 我國信息安全等級保護測評機構(gòu)建設(shè)情況

公安部于2009年開始等級保護測評體系的建設(shè)，2010年以來，對國家和地方等級保護協(xié)調(diào)小組推薦的測評機構(gòu)開展能力評估工作，到目前為止，已完成120多家測評機構(gòu)的申請和評估，并頒發(fā)了《信息安全等級保護測評機構(gòu)》推薦證書。120多家機構(gòu)按國家和地方兩級管理，國家級目前有7家，其中有4家主要承擔行業(yè)內(nèi)的測評工作，分別是電力、金融、教育和廣電。國家級信息安全等級保護測評機構(gòu)情況如表1所示。

表1 國家級信息安全等級保護測評機構(gòu)

2 電力行業(yè)等級保護測評機構(gòu)的借鑒作用

國家信息安全等級保護工作協(xié)調(diào)小組鼓勵具有信息系統(tǒng)特色的行業(yè)申請等級保護測評機構(gòu)，旨在對具有行業(yè)特色、安全建設(shè)情況又不便向外界透露的信息系統(tǒng)開展本行業(yè)的等級測評工作。在電力、金融、教育和廣電4大行業(yè)中，電力行業(yè)信息安全等級保護測評中心是最早獲批國家級測評機構(gòu)的單位，其成功經(jīng)驗對其它行業(yè)開展信息安全測評工作具有重要的借鑒作用。

電力行業(yè)等級保護測評中心設(shè)有3個測評實驗室，分別掛靠在國網(wǎng)電力科學研究院、中國電力科學研究院、華電卓識測評中心。3個實驗室均為獨立法人單位，獨立承接測評業(yè)務(wù)，測評業(yè)務(wù)指導統(tǒng)一歸口電力行業(yè)信息安全等級保護測評中心。電力行業(yè)等級保護測評機構(gòu)的組織結(jié)構(gòu)如圖1所示。

圖1 電力行業(yè)等級保護測評機構(gòu)組織結(jié)構(gòu)圖

各測評單位的主要職能有：技術(shù)研究、安全測評、風險評估、業(yè)務(wù)咨詢服務(wù)、行業(yè)相關(guān)標準及規(guī)范編制等，對電力行業(yè)信息安全等級保護工作的開展起到引領(lǐng)和推動作用。

電力行業(yè)信息系統(tǒng)數(shù)量多，工業(yè)控制類信息系統(tǒng)占多數(shù)，其中三級系統(tǒng)有1 700多個，四級系統(tǒng)有40～50個，按照公安部的要求，測評中心對本行業(yè)的三級、四級系統(tǒng)定期開展等級保護測評工作。

3 建立鐵路行業(yè)等級保護測評機構(gòu)的必要性

鐵路行業(yè)的業(yè)務(wù)與電力行業(yè)十分相似，都屬于國家的重要基礎(chǔ)設(shè)施。電力行業(yè)的信息系統(tǒng)主要是電網(wǎng)控制類系統(tǒng)，屬工業(yè)控制專業(yè)，信息安全要求高；鐵路行業(yè)信息化工作主要為行車控制、客貨運輸提供重要支撐，信息系統(tǒng)涉及控制和實時交易處理等，具有明顯的行業(yè)特點，專業(yè)性要求高。因此，借鑒電力行業(yè)等級保護測評機構(gòu)在本行業(yè)信息安全工作中起到的作用，有必要在鐵路行業(yè)內(nèi)部建立正規(guī)的信息安全技術(shù)隊伍，對鐵路行業(yè)的網(wǎng)絡(luò)與信息安全工作的開展起支撐作用。

3.1 行業(yè)測評機構(gòu)的優(yōu)勢

如上所述，鐵路行業(yè)的信息系統(tǒng)有著行業(yè)運行特點和專業(yè)特殊要求，客、貨運輸交易及管理類系統(tǒng)涉及國計民生，列車運行控制類系統(tǒng)與老百姓的生命安全息息相關(guān)，行業(yè)內(nèi)的測評機構(gòu)依托其自身長期的專業(yè)知識的積累，具有以下幾個方面的優(yōu)勢：

（1）行業(yè)測評機構(gòu)容易理解行業(yè)信息系統(tǒng)的業(yè)務(wù)并把控安全風險

行業(yè)測評機構(gòu)的從業(yè)人員大多是有著行業(yè)信息系統(tǒng)研發(fā)經(jīng)驗的科研人員，熟悉系統(tǒng)的功能特點和應(yīng)用背景，長期從事行業(yè)信息安全服務(wù)工作，對行業(yè)信息系統(tǒng)的安全風險把握較準確。

（2）便于培養(yǎng)行業(yè)內(nèi)的信息安全服務(wù)技術(shù)力量

行業(yè)測評機構(gòu)通過長期積累，在技術(shù)裝備上能得到不斷提升，通過構(gòu)建與實際生產(chǎn)系統(tǒng)一致的模擬仿真測試環(huán)境，可以有效跟蹤生產(chǎn)應(yīng)用系統(tǒng)的安全風險；長期從事行業(yè)內(nèi)的信息安全等級保護測評工作也給測評機構(gòu)的檢測人員提供良好的行業(yè)應(yīng)用平臺，積累服務(wù)經(jīng)驗和技術(shù)經(jīng)驗；通過組織培訓班等形式，又可以將測評機構(gòu)積累的豐富經(jīng)驗以技術(shù)研討會的形式在行業(yè)內(nèi)信息安全從業(yè)人員中傳授，有效提高行業(yè)內(nèi)信息安全整體技術(shù)服務(wù)水平。

（3）行業(yè)測評機構(gòu)隊伍穩(wěn)定且人員可控性強

公安部要求從事信息安全等級保護測評工作的人員要可控，對從事四級系統(tǒng)（重要系統(tǒng)）以上的測評人員進行嚴格管理。行業(yè)測評機構(gòu)一般都是國企，主要從事行業(yè)內(nèi)的信息安全技術(shù)研究、等級保護測評服務(wù)等相關(guān)工作，人員除簽訂勞動服務(wù)合同，與單位定期簽訂保密協(xié)議外，機構(gòu)也會對員工在職業(yè)發(fā)展、工資待遇、培訓教育機會等方面給予慎重安排，使得測評人員保持較高的穩(wěn)定性和可控性。

3.2 行業(yè)測評機構(gòu)的作用

（1）行業(yè)信息安全技術(shù)支撐

信息安全測評第三方機構(gòu)有著豐富的信息安全專業(yè)知識，熟悉國家、行業(yè)各層級的標準和規(guī)范，通過長期在鐵路行業(yè)內(nèi)開展測評、咨詢等服務(wù)性工作，了解行業(yè)應(yīng)用系統(tǒng)的業(yè)務(wù)特點，掌握行業(yè)信息系統(tǒng)安全的普遍性和特殊性要求，可以為行業(yè)單位提供定制化的信息安全解決方案，對行業(yè)信息安全工作的開展起到積極的技術(shù)支撐作用。

（2）行業(yè)標準規(guī)范制定

根據(jù)公安部《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》（公信安[2009]1429 號）的要求，重點行業(yè)信息系統(tǒng)主管部門可以按照等級保護國家標準，結(jié)合行業(yè)特點，確定行業(yè)信息系統(tǒng)安全等級保護的具體指標[2]。在不低于等級保護國標基本要求的情況下，結(jié)合鐵路行業(yè)信息系統(tǒng)安全保護的特殊需求，在行業(yè)主管部門的指導下制定鐵路行業(yè)的相關(guān)標準、規(guī)范或細則，指導鐵路行業(yè)信息系統(tǒng)安全建設(shè)、整改與測評工作。

（3）信息系統(tǒng)全生命周期測評服務(wù)

信息系統(tǒng)全生命周期包含5個基本階段：規(guī)劃、設(shè)計、實施、運維和廢棄。行業(yè)測評機構(gòu)可以在信息系統(tǒng)生命周期各階段為用戶提供有針對性的信息安全服務(wù)，使等級保護工作貫穿于信息系統(tǒng)生命周期的各個階段。規(guī)劃階段測評機構(gòu)可以幫助用戶識別危險源和安全風險，確定系統(tǒng)應(yīng)達到的安全目標，提供定級指導；設(shè)計階段協(xié)助提出系統(tǒng)需滿足的安全指標，在關(guān)鍵節(jié)點提供安全測評服務(wù)；實施階段測評機構(gòu)提供漏洞掃描、滲透性測試、源代碼安全檢查等深度安全檢測，并根據(jù)測評結(jié)果提供安全建設(shè)整改建議；運維階段等級保護測評的目的是掌控信息系統(tǒng)運行期間的安全風險，按國家標準要求定期開展等級保護測評，遇網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、應(yīng)用系統(tǒng)升級改造等重大變更時進行等級保護測評；業(yè)務(wù)廢棄階段行業(yè)測評機構(gòu)可為用戶提供軟、硬件等資產(chǎn)及殘留信息的廢棄處置方案，防止系統(tǒng)廢棄可能引入的新的風險[3]。

（4）信息安全咨詢與評估服務(wù)

由于測評機構(gòu)熟悉信息安全相關(guān)的標準和規(guī)范，實踐經(jīng)驗豐富，可以根據(jù)用戶的需要開展定制化的咨詢服務(wù)，如等級保護合規(guī)性咨詢與評估服務(wù)，風險管理咨詢服務(wù)，安全體系建設(shè)咨詢與評估服務(wù)，軟件源代碼安全咨詢服務(wù)等。

（5）行業(yè)信息安全持續(xù)改進能力培養(yǎng)

測評機構(gòu)在實施某一測評任務(wù)時，一般需要在測評前期、中期和后期與用戶進行充分的溝通，通過技術(shù)交流、設(shè)計聯(lián)絡(luò)等方式，提高用戶對等級保護基本概念、安全指標的理解以及測評方法、檢測工具的運用，在完成測評任務(wù)的同時，也幫助用戶提升信息安全自測能力。行業(yè)測評機構(gòu)還可通過技術(shù)講座等形式，對用戶單位信息安全分管領(lǐng)導、系統(tǒng)運維人員和業(yè)務(wù)部門關(guān)鍵崗位人員進行培訓，通過培訓增強用戶信息安全意識和運維人員專業(yè)技術(shù)水平，使用戶具備對信息系統(tǒng)進行安全持續(xù)改進的能力。

3.3 行業(yè)信息安全測評工作的需要

鐵路行業(yè)目前已投入使用的信息系統(tǒng)按大系統(tǒng)分有上百個，每個大系統(tǒng)按照應(yīng)用范圍又分為鐵路總公司級系統(tǒng)、鐵路局/地區(qū)中心系統(tǒng)和站段級系統(tǒng)，這些系統(tǒng)一般采取統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計、分系統(tǒng)建設(shè)的模式投入使用，各級系統(tǒng)采用不同的等級保護定級，在開展信息系統(tǒng)測評時，一般需要將大系統(tǒng)拆分為不同的子系統(tǒng)分開測評，每年可參與評測的信息系統(tǒng)數(shù)量不低。按1個鐵路總公司、18個鐵路局、上千個車站規(guī)?？紤]，鐵路每年可參評的信息系統(tǒng)數(shù)量大約有上萬個左右。

因此，成立鐵路行業(yè)信息安全等級保護專業(yè)測評機構(gòu)不僅是信息系統(tǒng)安全保障的需要，也是建立健全完善的鐵路運輸整體安全體系的需要。

4 結(jié)束語

信息安全等級保護建設(shè)是一項長期任務(wù)，作為行業(yè)的第三方測評機構(gòu)，應(yīng)協(xié)助鐵路信息安全主管部門將行業(yè)信息安全工作落到實處，開展行業(yè)相關(guān)標準與規(guī)范制訂、安全方案設(shè)計、等級保護測評、定級備案、整改建設(shè)指導、安全咨詢等實效性工作，在落實好公安部和行業(yè)主管部門等級保護測評工作要求的同時，幫助用戶培養(yǎng)信息安全持續(xù)改進能力，促進行業(yè)信息安全水平整體提升，全面發(fā)揮對行業(yè)等級保護建設(shè)工作的技術(shù)支撐作用。

[1] 朱世順，陳雪鴻，石 磊.淺談行業(yè)測評機構(gòu)在等級保護工作中的作用[J].信息網(wǎng)絡(luò)安全，2012（Z1）.

[2] 中華人民共和國公安部. 關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指 導意見，公信安[2009]1429 號[Z].北京：中華人民共和國公安部，2009.

[3] 白 璐. 信息系統(tǒng)安全等級保護物理安全測評方法研究[J].信息網(wǎng)絡(luò)安全，2011（12）：89-92.

責任編輯 陳 蓉

Necessity of establishing railway information security protection evaluation agency

SHI Hong
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

China's information security management work was followed the principle of level protection, in accordance with the level of protection requirements. Since the railway industry information systems was with the industry characteristics, the information system was also a matter of safety of railway transportation, specialized agencies were required to estimate the quality of information system security. In this paper, the advantages, the role and necessity of industry evaluation agency were analyzed.

information security; level protection; evaluation agency

U29-39

A

1005-8451（2015）02-0066-03

2014-10-08

史 宏，研究員。