鐵路信息安全等級保護(hù)實(shí)施工作建議

王亞民

（中國鐵路總公司 運(yùn)輸局信息化部，北京 100038）

等級保護(hù)

鐵路信息安全等級保護(hù)實(shí)施工作建議

王亞民

（中國鐵路總公司 運(yùn)輸局信息化部，北京 100038）

信息安全等級保護(hù)制度是國家信息安全工作的基本制度，鐵路行業(yè)在信息安全等級保護(hù)方面做了大量工作，對整個(gè)行業(yè)的信息安全工作起到了促進(jìn)作用。本文從行業(yè)標(biāo)準(zhǔn)、系統(tǒng)定級備案、安全現(xiàn)狀評估、等級保護(hù)測評、建設(shè)整改、安全措施落實(shí)等角度對如何將該等級保護(hù)工作落到實(shí)處進(jìn)行了闡述。

信息安全；等級保護(hù)；安全實(shí)施

為適應(yīng)國家鐵路運(yùn)輸高速發(fā)展的需要，中國鐵路總公司充分利用信息化手段，積極推進(jìn)生產(chǎn)、經(jīng)營、管理、決策等業(yè)務(wù)處理的全過程信息化，初步達(dá)到了行業(yè)運(yùn)輸生產(chǎn)自動(dòng)化、客貨管理現(xiàn)代化、高層決策科學(xué)化的總體目標(biāo)，為鐵路行業(yè)人、財(cái)、物集約化管理和數(shù)字化鐵路建設(shè)提供了強(qiáng)有力的支撐。

中國鐵路總公司（以下簡稱：總公司）從維護(hù)國家安全、社會(huì)穩(wěn)定與公民權(quán)益出發(fā)，按照國家信息安全等級保護(hù)制度要求，將信息安全納入鐵路運(yùn)輸生產(chǎn)安全體系，自2007年鐵路全面開展信息安全等級保護(hù)工作以來，對已投產(chǎn)運(yùn)行的49個(gè)信息系統(tǒng)進(jìn)行了定級，其中二級系統(tǒng)24個(gè)、三級系統(tǒng)21個(gè)、四級系統(tǒng)4個(gè)。但總公司信息安全等級保護(hù)工作相對國家有關(guān)標(biāo)準(zhǔn)規(guī)范和總公司信息安全實(shí)際需求還有一定距離，需要從以下幾個(gè)方面加強(qiáng)。

1 行業(yè)標(biāo)準(zhǔn)制定

在信息安全方面，國家有一套完善的安全標(biāo)準(zhǔn)，涉及安全技術(shù)、等級保護(hù)、安全管理、安全設(shè)備等各個(gè)層面。但是國家標(biāo)準(zhǔn)是從宏觀層面制定的策略，缺乏行業(yè)的針對性，需要在國家標(biāo)準(zhǔn)的基礎(chǔ)上，針對行業(yè)的特殊要求，制定相應(yīng)的行業(yè)標(biāo)準(zhǔn)。根據(jù)鐵路現(xiàn)有信息化建設(shè)的總體情況，迫切需要制定以下幾個(gè)方面的行業(yè)標(biāo)準(zhǔn)：

（1）與設(shè)計(jì)相關(guān)的標(biāo)準(zhǔn)：《鐵路行業(yè)信息系統(tǒng)安全定級指南》，《鐵路行業(yè)信息系統(tǒng)等級保護(hù)基本要求》，《鐵路行業(yè)信息系統(tǒng)安全體系總體設(shè)計(jì)方案》，《鐵路行業(yè)信息機(jī)房設(shè)計(jì)及建設(shè)規(guī)范》。

（2）與建設(shè)相關(guān)的標(biāo)準(zhǔn)：《鐵路行業(yè)信息系統(tǒng)安全加固實(shí)施指南》，《鐵路行業(yè)信息安全等級保護(hù)建設(shè)實(shí)施指南》。

（3）與運(yùn)維管理相關(guān)的標(biāo)準(zhǔn)：《鐵路行業(yè)信息系統(tǒng)上下線管理規(guī)范》，《鐵路行業(yè)信息機(jī)房管理規(guī)范》。

2 系統(tǒng)定級備案

遵照公安部《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安[2007]861號）和《關(guān)于進(jìn)一步做好鐵路信息安全等級保護(hù)工作的通知》（鐵公安[2012]94號）的文件精神，鐵路總公司組織對目前用的部分信息系統(tǒng)進(jìn)行了定級，但仍有部分信息系統(tǒng)的安全方案還沒有按GB/T 22239-2008《信息安全技術(shù)—信息系統(tǒng)安全等級保護(hù)基本要求》和GB/T 25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》對系統(tǒng)進(jìn)行定級和安全設(shè)計(jì)。主要原因是國家標(biāo)準(zhǔn)只規(guī)定了定級的原則，對定級方法缺少可操作的指導(dǎo)意見，造成相關(guān)人員對定級標(biāo)準(zhǔn)和有關(guān)規(guī)定掌握不準(zhǔn)，系統(tǒng)定為幾級安全等級不好界定，因此需要針對鐵路行業(yè)信息系統(tǒng)的業(yè)務(wù)特點(diǎn)，提出可操作的定級模型和定級方法，指導(dǎo)行業(yè)內(nèi)人員對新建或已建信息系統(tǒng)開展系統(tǒng)安全定級工作。

3 安全現(xiàn)狀評估

鐵路投產(chǎn)運(yùn)行的信息系統(tǒng)很多，有的系統(tǒng)按照等級保護(hù)要求確定了安全等級并建立了安全系統(tǒng)；有的系統(tǒng)在設(shè)計(jì)中考慮了安全等級，但在建設(shè)過程中并未按設(shè)計(jì)要求實(shí)施安全方案；還有的系統(tǒng)沒有考慮安全措施。針對鐵路信息系統(tǒng)投產(chǎn)運(yùn)行后的實(shí)際情況，鐵路總公司有必要組織內(nèi)外部測評隊(duì)伍，根據(jù)國家和總公司對信息安全的建設(shè)要求，對信息系統(tǒng)開展技術(shù)和管理兩方面的現(xiàn)狀評估，檢查信息系統(tǒng)在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全管理上與相應(yīng)安全等級標(biāo)準(zhǔn)的差距，進(jìn)行差距分析，提出建設(shè)整改意見。

4 安全等級測評

在信息系統(tǒng)等級保護(hù)安全建設(shè)完成和投產(chǎn)之前，首先組織內(nèi)部測評隊(duì)伍對安全建設(shè)情況進(jìn)行效果測評，發(fā)現(xiàn)不符合性提出整改建議。內(nèi)部測評結(jié)束及整改驗(yàn)收后，再聘請有第三方測評資質(zhì)的測評機(jī)構(gòu)進(jìn)行等級測評，驗(yàn)證與國家及行業(yè)等級保護(hù)標(biāo)準(zhǔn)的符合性。通過總公司內(nèi)部和專業(yè)測評機(jī)構(gòu)的兩級測評，可有效地推進(jìn)國家及行業(yè)信息安全標(biāo)準(zhǔn)在全路的落實(shí)完善。

按照GB/T 22239-2008《信息安全技術(shù)—信息系統(tǒng)安全等級保護(hù)基本要求》中的等級測評要求，信息系統(tǒng)在運(yùn)行過程中，等級保護(hù)測評工作要定期開展，其中三級系統(tǒng)每年要測評一次，四級系統(tǒng)每半年要測評一次。根據(jù)該要求，結(jié)合每年鐵路安全大檢查工作的需要，制定每年的安全大檢查計(jì)劃，組織內(nèi)外部專業(yè)測評隊(duì)伍，對三級及以上的信息系統(tǒng)開展安全等級測評工作。

5 安全建設(shè)整改

5.1 機(jī)房物理環(huán)境整改

按照《鐵路行業(yè)信息機(jī)房設(shè)計(jì)及建設(shè)規(guī)范》、《鐵路行業(yè)信息機(jī)房管理規(guī)范》的要求，完善機(jī)房環(huán)境、設(shè)備管理、電源管理、安全管理和資料管理，并從防雷、防火、防水、防靜電、防盜竊、防破壞、電力供應(yīng)、機(jī)房電源及環(huán)境監(jiān)控等方面對機(jī)房環(huán)境進(jìn)行改造。

5.2 安全域劃分

按照《鐵路行業(yè)信息系統(tǒng)安全體系總體設(shè)計(jì)方案》，根據(jù)信息系統(tǒng)的安全等級，采用交換機(jī)劃分VLAN、設(shè)置訪問控制策略、部署防火墻等技術(shù)措施對信息系統(tǒng)進(jìn)行安全域劃分[1]。

5.3 邊界網(wǎng)絡(luò)防護(hù)

明確總公司信息網(wǎng)絡(luò)、業(yè)務(wù)專網(wǎng)和互聯(lián)網(wǎng)的網(wǎng)絡(luò)邊界，對網(wǎng)絡(luò)邊界部署內(nèi)、外部網(wǎng)絡(luò)訪問控制策略、入侵檢測等多項(xiàng)防護(hù)措施，并加強(qiáng)網(wǎng)絡(luò)邊界的監(jiān)測。

5.4 主機(jī)安全加固

遵照《鐵路行業(yè)信息系統(tǒng)安全加固實(shí)施指南》，通過配置安全策略、安裝安全補(bǔ)丁、修補(bǔ)系統(tǒng)漏洞、強(qiáng)化身份鑒別等方法對各類主機(jī)設(shè)備的操作系統(tǒng)、數(shù)據(jù)庫、中間件等及時(shí)進(jìn)行策略配置和加固。

5.5 應(yīng)用及數(shù)據(jù)安全防護(hù)

依照國家和行業(yè)標(biāo)準(zhǔn)，從用戶身份認(rèn)證、訪問控制、數(shù)據(jù)加密、容錯(cuò)能力、日志審計(jì)等方面進(jìn)行應(yīng)用系統(tǒng)安全改造和建設(shè)。在數(shù)據(jù)安全防護(hù)方面，采用有效的數(shù)據(jù)備份策略對重要數(shù)據(jù)進(jìn)行定期和增量備份，采用安全移動(dòng)存儲介質(zhì)進(jìn)行必要的數(shù)據(jù)交換。

5.6 強(qiáng)化信息安全隊(duì)伍建設(shè)

從安全管理、運(yùn)行、監(jiān)督、技術(shù)支持等方面加強(qiáng)行業(yè)內(nèi)信息安全隊(duì)伍建設(shè)，確保安全責(zé)任落實(shí)。做好總公司、鐵路局兩級和一線服務(wù)、二線運(yùn)維、三線技術(shù)支持安全運(yùn)維服務(wù)隊(duì)伍，負(fù)責(zé)各系統(tǒng)日常安全運(yùn)行維護(hù)工作。

5.7 完善信息安全管理工作

為切實(shí)做好信息安全管理工作，總公司需要結(jié)合信息安全管理體系建設(shè)項(xiàng)目，以等級保護(hù)為抓手，將等級保護(hù)與信息安全日常管理緊密結(jié)合，將信息安全管理全面納入鐵路運(yùn)輸安全生產(chǎn)管理體系，按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)”和屬地化管理原則，逐級落實(shí)信息安全責(zé)任，建立與總公司信息化發(fā)展相適應(yīng)的信息安全監(jiān)督機(jī)制、應(yīng)急機(jī)制、故障通報(bào)與處理機(jī)制、事件責(zé)任追究機(jī)制和風(fēng)險(xiǎn)管理機(jī)制[2]。

總公司在加強(qiáng)信息系統(tǒng)建設(shè)管理方面，需制定一系列的規(guī)章制度，包括《鐵路行業(yè)信息系統(tǒng)上下線管理規(guī)范》和《鐵路行業(yè)計(jì)算機(jī)應(yīng)用軟件通用安全要求》等，明確系統(tǒng)定級備案、方案設(shè)計(jì)、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、驗(yàn)收交付、等級測評、安全服務(wù)等管理內(nèi)容。

6 安全措施落實(shí)

6.1 建立鐵路信息系統(tǒng)安全技術(shù)體系

研究建立“一個(gè)中心（安全管理中心），三重防護(hù)（計(jì)算環(huán)境、區(qū)域邊界、信息網(wǎng)絡(luò)）”的鐵路信息系統(tǒng)安全縱深防護(hù)和主動(dòng)防御的技術(shù)體系，按總公司、鐵路局、站段三級管理模式和信息系統(tǒng)運(yùn)輸生產(chǎn)專網(wǎng)、內(nèi)部服務(wù)網(wǎng)、外部服務(wù)網(wǎng)三網(wǎng)的特點(diǎn)，實(shí)現(xiàn)運(yùn)輸組織及客貨營銷類信息系統(tǒng)“分級分區(qū)、專網(wǎng)專用、橫向隔離、縱向認(rèn)證”的安全策略，經(jīng)營管理類信息系統(tǒng)“三級獨(dú)立成域、主動(dòng)防御、內(nèi)外兼防”的安全策略。

6.2 建設(shè)鐵路信息安全綜合管理平臺

鐵路信息安全綜合管理平臺是為總公司及下屬單位開展與信息安全管理相關(guān)工作的綜合工作平臺，功能將覆蓋總公司及其下屬單位的信息安全管理工作的主要內(nèi)容，并支持公安部等級保護(hù)管理工作。平臺主要提供以下3類功能：（1）以信息系統(tǒng)定級、備案、整改、測評和檢查等規(guī)定步驟為主線，實(shí)現(xiàn)等級保護(hù)工作任務(wù)的下發(fā)、執(zhí)行、進(jìn)度監(jiān)控和督辦；（2）風(fēng)險(xiǎn)管理、應(yīng)急管理、安全檢查和事故通報(bào)等專項(xiàng)管理功能；（3）日常辦公的綜合管理、培訓(xùn)教育、標(biāo)準(zhǔn)管理等。

6.3 建設(shè)鐵路信息安全一體化運(yùn)行監(jiān)控平臺

鐵路信息安全一體化運(yùn)行監(jiān)控平臺是集綜合網(wǎng)管、應(yīng)用防護(hù)、IT運(yùn)維、機(jī)房監(jiān)控為一體的信息系統(tǒng)安全運(yùn)行監(jiān)控管理平臺，實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控、主機(jī)監(jiān)控、機(jī)房監(jiān)控、邊界防御、桌面終端安全的全方位監(jiān)控功能。監(jiān)控平臺如圖1所示。

圖1 信息安全一體化運(yùn)行監(jiān)控平臺

6.4 開展國產(chǎn)化和自主可控技術(shù)研究

在信息安全越來越重視國產(chǎn)化的大技術(shù)背景下，開展鐵路行業(yè)的信息安全國產(chǎn)化和自主可控技術(shù)的研究尤為重要。在國產(chǎn)化方面，緊緊圍繞鐵路網(wǎng)絡(luò)安全自主可控戰(zhàn)略目標(biāo)，根據(jù)國產(chǎn)產(chǎn)品成熟情況，結(jié)合鐵路業(yè)務(wù)發(fā)展、業(yè)務(wù)需求，按照“統(tǒng)籌規(guī)劃、分步實(shí)施，應(yīng)用牽引、平臺重構(gòu)，項(xiàng)目推動(dòng)、政策保障”的工作思路，采取“直接采用、對等替換、平臺替換”技術(shù)策略，進(jìn)行信息系統(tǒng)國產(chǎn)化改造和構(gòu)建鐵路信息安全等級保護(hù)技術(shù)體系的積極探索。

在自主可控方面，通過統(tǒng)一標(biāo)準(zhǔn)、自主研發(fā)、自主實(shí)施、產(chǎn)權(quán)管理、風(fēng)險(xiǎn)評估、安全測評、安全管控、安全巡檢等手段實(shí)現(xiàn)信息系統(tǒng)全生命周期各階段的安全可控。

6.5 開展基于云計(jì)算的安全技術(shù)探索

云計(jì)算已成為信息技術(shù)的重要發(fā)展方向，建立鐵路云應(yīng)用平臺將對鐵路信息化應(yīng)用技術(shù)產(chǎn)生深遠(yuǎn)影響。云計(jì)算環(huán)境下的信息安全問題是信息安全技術(shù)領(lǐng)域面臨的一個(gè)新課題，在開展鐵路云應(yīng)用平臺研究的同時(shí)，同步開展云安全應(yīng)用技術(shù)的研究和探索，使基于云計(jì)算的鐵路應(yīng)用平臺在設(shè)計(jì)、建設(shè)、投產(chǎn)3個(gè)環(huán)節(jié)將信息安全同步納入。

6.6 建立鐵路信息安全評測體系與技術(shù)督查體系

采用安全檢查、風(fēng)險(xiǎn)評估、內(nèi)外評測、安全運(yùn)維等管理和技術(shù)手段，建立有效的安全測評與技術(shù)督查體系。通過在重要時(shí)間節(jié)點(diǎn)（如春運(yùn)、暑運(yùn)等）開展安全檢查和自查工作，使路局、站段管理人員保持安全意識；按照等級保護(hù)標(biāo)準(zhǔn)要求定期開展風(fēng)險(xiǎn)評估、等級評測等工作，確保等級保護(hù)安全手段能貫穿重要信息系統(tǒng)的始終；通過完善鐵路兩級三線安全運(yùn)維服務(wù)體系，建立總公司、鐵路局兩級信息安全技術(shù)督查工作機(jī)制，將信息安全技術(shù)和管理有機(jī)結(jié)合起來，實(shí)現(xiàn)安全管理、運(yùn)維、督辦相輔相成、相互監(jiān)督的局面。

6.7 等級保護(hù)示范工程仿真實(shí)驗(yàn)環(huán)境及試點(diǎn)工程建設(shè)

針對信息系統(tǒng)、安全產(chǎn)品建立等級測評驗(yàn)證與運(yùn)行仿真環(huán)境，開展等級保護(hù)定級模型、測評模型以及測評技術(shù)研究，按等級保護(hù)相關(guān)要求開展信息安全等級保護(hù)工程的試點(diǎn)建設(shè)，為鐵路信息安全等級保護(hù)工作提供技術(shù)支撐，確保鐵路信息系統(tǒng)與安全產(chǎn)品的高可靠性與穩(wěn)定性。

7 結(jié)束語

信息安全等級保護(hù)工作是我國規(guī)范信息安全管理工作的一種有效制度，鐵路行業(yè)除按等級保護(hù)管理流程做好定級備案、方案設(shè)計(jì)、等保測評、建設(shè)與整改幾方面的工作外，還需從源頭的標(biāo)準(zhǔn)制定和后期的措施落實(shí)兩方面抓好一頭一尾的工作，使得信息安全工作能在鐵路行業(yè)全面實(shí)施。

[1] 余 勇，林為民.電力行業(yè)信息系統(tǒng)等級保護(hù)的研究及實(shí)施[J]. 信息網(wǎng)絡(luò)安全，2009（12）.

責(zé)任編輯 徐侃春

Implementation of railway information security level protection

WANG Yamin
( Informatization Department of Transport Administration, China Railway, Beijing 100038, China )

Information security level protection system was the basic system of national information security work. A lot of work for the information security level protection was been down in railway industry to promote the industry of information security. This article was from the perspective of industry standards, system classif i cation, security situation assessment, level protection evaluation, construction rectif i cation and safety measures to elaborate on how to implement level protection work.

information security; level protection; security implementation

U29-39

A

1005-8451（2015）02-0038-04

2014-10-08

王亞民，高級工程師。