鐵路站段信息系統安全風險評估

劉玉琦 上海鐵路局蚌埠站

為適應國民經濟的發展和民航、高速公路的雙重競爭壓力，鐵路企業最終選擇了高速度和快建設的發展策略，但是如何真正健康、有效的發展值得深思。鐵路7.23特別重大交通事故的發生足以給廣大職工以警醒，深刻的教訓讓鐵路企業認識到鐵路的發展必須徹底的遵守科學發展和安全發展的要求，才能使鐵路發展壯大。

隨著鐵路多年來信息產業的建設，各種各樣功能豐富的信息系統遍布在站段的各個角落，分別執行著調度、制票、統計、辦公、管理等等任務，信息系統在鐵路發揮重大作用的同時，信息系統的安全對鐵路運輸安全的影響也越來越大，如果投入使用的信息系統存在缺陷、漏洞等風險將直接導致鐵路資產的損失甚至鐵路運輸安全事故的發生，所以基層站段在關注鐵路運輸安全的同時，應該更加注重信息系統的安全建設。

鐵路7.23特別重大交通事故發生后，盛部長指出“動員全路認真吸取事故教訓，迅速行動，振奮精神，采取堅決有力措施，認真開展安全大檢查活動，全面排查和消除安全隱患，堅決防止發生新的事故，迅速穩定運輸安全局面。”，當前對于信息系統安全的風險控制和管理最為有效的方式就是信息系統風險評估，風險評估方法為基層站段開展安全大檢查活動，排查和消除信息系統安全隱患提供了依據和具體方法。國信辦（2006）5號文《關于開展信息安全風險評估工作的意見》中提出“信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。并為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地保障網絡和信息安全提供科學依據”，顯然信息系統的風險評估工作已經得到了國家的認可和重視。

信息系統風險評估工作開展之前，需要明確鐵路信息系統和風險評估兩個概念。鐵路信息系統，泛指所有為鐵路運輸、辦公、生產提供服務，并以計算機、小型機、工控機或單片機為主的，安裝有信息化操作系統的平臺，包括硬件、軟件、通信信道、網絡設備、信息系統操作人員。風險評估，是指對信息系統內部存在的風險進行識別和定性定量分析，并通過投入一定資源的方式來消除風險，從而達到保障信息系統安全穩定的目的。

1 站段信息系統安全的現狀

經過在站段職工中進行信息系統調查后發現，能夠列舉出一些常見的信息系統的職工很多，比如常用的TMIS車站管理信息系統、調度系統、OMIS辦公系統、PMIS客票系統、ATIS車號識別系統、貨票信息系統等等，但是幾乎沒有幾個職工能夠說出這些信息系統存在何種風險和潛在的威脅。

在調查中還發現信息系統的操作人員關心的是系統是否好用，站段領導關心的是系統是否能用，而信息系統的管理人員所關心的只是系統是否容易維護，因此站段進行信息系統安全風險評估的基礎非常薄弱。站段信息系統運行、維護、管理工作也往往形同滅火隊，哪里出問題了解決哪里，設備狀態無法掌握，故障的處置也很隨意，沒有防范意識和風險控制的措施。

基層站段甚至整個鐵路企業對于各種信息系統安全事故處置的方法目前還是主要依賴于經驗型的方法，就是通過以往事故的發生來總結經驗和教訓，依靠調查研究和統計分析來找出解決問題的方法，從而防止和避免類似事故的再次發生。但是，經驗型方法不夠積極主動，沒有預估性和前瞻性。經驗型方法依據的是以往事故的發生，對于未知事故、低發性事故或者從來沒有發生過的事故在經驗型方法中沒有得到很好的解決，經驗型方法也無法讓管理人員提前預知可能故障的設備，故障后的危害范圍、程度和處置預案。

因此，我們急需一種新的安全控制方法來改變目前的現狀。

2 站段信息系統風險評估的方法

經驗型方法和風險評估方法就像是兩個成語“亡羊補牢”和“杞人憂天”。傳統的經驗型方法屬于事后總結法，制定出來的規章、制度有事實依據，準確而且符合實際，將在以后很長一段時間里為鐵路安全繼續發揮作用。風險評估方法屬于事先預防法，通過在安全事故發生之前，對可能引發事故的因素進行識別、預測、評估和管理，投入人力、物力、財力資源來控制和降低風險，風險是事故的前提，風險評估方法首先承認了風險的存在，定性定量的分析風險，通過消除和減弱風險的大小來預防事故的發生。盛部長在講話中多次強調“安全責任大如天，安全工作壓倒一切”，不時時刻刻的小心謹慎，事故就在不經意間發生，不總結經驗教訓，災難就來教訓我們。經驗型方法目前在鐵路基層站段中已經非常成熟，因此在站段信息系統安全工作中引入風險評估的方法作為安全風險控制的輔助措施意義重大。

在風險評估的過程中，首先要承認風險的存在，不管是信息系統的使用人還是信息系統設備都應該納入信息系統風險評估中考慮。信息系統設備由于采購成本的限制或設計缺陷的存在，故障率和穩定性會有很大不同，所有的設備不可能在同一時間都能有效的運轉，所有的操作人員不可能實時的做到遵章守紀，這就是信息系統存在的脆弱性，正是由于這種脆弱性，才產生了事故發生的可能性和風險的存在。

另外，還要對風險有正確的認識和對待。風險是無處不在的，不能聽到風險就感到害怕，覺得風險就等于事故，風險只是事故的前提條件，只有當風險不加以控制，遇到一定的誘因時才會演變成事故。在實際的評估過程中，要區分出可以避免的風險和不能避免的風險。根據鐵路的特殊情況，可以避免的風險要盡量避免，不能避免的風險要加以識別、管理和控制。

基層站段信息系統風險的評估，有自評估、上級檢查、委托評估三種方式。在實際使用中，可以選擇一種方法單獨評估，也可以選擇兩到三種方法混合評估。

自評估就是在站段內部組建一個信息系統風險評估組，評估組人員應由站段領導、信息技術管理人員、車間和科室的負責人、車間技術骨干組成，并根據不同的信息系統分成若干個工作小組。由信息系統評估組制定站段信息系統風險評估基準，各工作小組成員遵照執行。風險基準是站段進行信息系統風險評估的標準，站段在制定風險基準時可參考國際上一些比較通用和成熟的標準，例如信息技術安全性通用評估準則CC，可操作的關鍵威脅、資產和薄弱點評估方法OCTAVE，信息安全管理體系BS7799等。

上級檢查和委托評估方式與自評估方式過程相差不大，只是實施的主體不同。上級檢查的方式，是由上級主管部門（如路局信息技術所）制定站段信息系統風險基準，根據風險基準對站段進行檢查評估。委托評估的方式是將站段信息系統風險評估工作交由第三方有資質的公司進行，站段信息部門負責配合。具體使用哪種風險評估方法，站段可以根據自己的信息系統規模進行選擇。上級檢查方式適用于站段信息系統規模較小的情況，自評估方式適用于站段信息系統規模較大，信息系統專業管理人員較多，能夠組建自己的信息系統評估組的情況，委托評估適用于站段信息系統規模很大，而站段自己內部又沒有能力組建自己的信息系統評估小組的情況。基層站段也可以采用先自評估再申請上級檢查的組合方式進行信息系統風險評估。

3 站段信息系統風險評估的過程

站段信息系統風險評估的過程大致可以分為風險識別、風險預測、風險評估和風險控制四個過程。

3.1 風險識別

由信息系統風險評估小組統計站段內信息系統操作人員和設備情況，按照信息系統服務對象進行分類。風險評估小組指定人員對不同的信息系統進行風險標注，標注出所有影響信息系統安全的人員和設備，將選擇出的存在風險的人員和設備信息報工作組核準。

風險識別工作必須做到詳細，必須要涵蓋到管內所有的信息系統設備和相關人員。

3.2 風險預測

信息系統評估工作組將核準后的信息反饋給各工作小組，工作小組成員進行風險預測，風險預測是工作小組假定操作人員誤操作、故意破壞或者設備故障的情況下所可能造成的危害，根據危害的種類和大小進行分類匯總。

3.3 風險評估

風險評估是工作小組根據工作組制定的風險基準對風險賦予權值，并進行大小排序。風險賦值采用定性定量的方式，計算公式如下：

風險優先級數=嚴重程度×出現頻率×易發現性

嚴重程度是按照故障發生后對信息系統安全產生危害的程度劃分等級，等級劃分10檔。出現頻率是指信息系統設備發生故障或者操作人員誤操作的概率，可以根據以往的經驗進行統計分析，等級劃分10檔。易發現性是指故障檢查、排除的難易程度，等級劃分10檔。

3.4 風險控制

風險控制就是風險評估工作組根據風險評估的結果，安排不同的人力、財力、物力去降低風險或者排除風險，風險等級最高危害最大的在資源分配時應該安排最多的人力、財力和物力。對于重要的信息系統應制定專門的應急預案和管理辦法，定期開展培訓和事故演練。

但是在執行風險控制的過程中一定要遵守適度安全和安全有價的原則，無論需要消除或者降低何種風險都必須要投入一定的資源，因此在執行風險控制之前必須要預先估計風險控制所要達到的程度。

風險評估工作組將風險控制的措施、安排和預算情況報站段領導批準，經領導批準后分發給各相關車間、科室執行。風險評估工作組還應對各科室執行的結果進行監測。

3.5 循環風險評估

通常風險評估工作只是執行風險識別、風險預測、風險評估、風險控制四個流程，從風險識別開始到風險控制結束。但是，鐵路站段信息系統風險評估工作在實際操作中并不同于其它行業的風險評估，站段信息系統風險評估工作有其特殊性、復雜性和隱蔽性，特殊性是指信息系統設備分布在站段的各個角落甚至其它城市，擔任著各種各樣的任務，在風險識別的時候不可能把所有存在風險的設備統計全面，如果疏漏了那些潛在的不易察覺的風險就不能保證風險識別階段的準確性。復雜性是指信息系統設備不同于其它行車設備，信息系統設備包括軟件和硬件系統，硬件系統故障容易排查、修復，即使無法修復也可以通過替換備用設備解決，但是軟件系統風險往往難以預測，故障以后的危害也難以估計，排查和修復比較困難，也沒有備用程序進行替換。另外，鐵路信息系統安全往往受到內部和外部共同威脅的影響，風險難以定量，處理時間難以掌握。隱蔽性是指信息系統設備故障往往沒有明顯的預警，在故障早期一般沒有任何特征，不易察覺。所以，站段信息系統評估工作在執行完風險控制過程后，風險評估工作不應該就此結束，信息系統風險評估組需要根據站段管內信息系統的復雜程度，重復2-3次的風險評估流程，并將每次風險評估的結果進行比對，進行記錄。

4 站段信息系統風險評估工作的目標

站段信息系統風險評估工作的目標是為了讓站段信息系統能夠滿足鐵路安全發展的需要，達到國家相關信息系統安全的標準，消除因信息系統安全導致影響鐵路生產，甚至鐵路事故發生的可能。

5 結束語

鐵路運輸安全工作無小事，信息系統安全更應謹小慎微。風險評估方法可以作為傳統經驗型方法的有效補充，通過在基層站段中進行信息系統風險評估，能夠讓站段信息系統達到安全、高效、穩定，從而為鐵路運輸安全提供強有力的保障。