建立鐵路三位一體網絡安全測評指標庫研究

司 群，田 文，陳 彤

（1.中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081；2.中國鐵路太原局集團有限公司 科技和信息化部，太原 030027）

國家法律法規明確要求對于交通、能源等重要行業和領域的國家關鍵信息基礎設施應實施重點保護[1]。鐵路作為交通行業的重要組成部分，其重要系統被納入到國家的網絡安全重點防護范圍，每年需配合國家互聯網信息辦公室、公安部等部門開展安全風險評估、等級保護測試、攻防演練等工作，遇到重要國事活動，也需對相關地區的鐵路局集團有限公司范圍內重要系統開展有針對性的網絡安全檢查。

當前，中國國家鐵路集團有限公司（簡稱：國鐵集團）在貫徹國家網絡安全相關的法律法規、加強鐵路系統安全防護方面開展安全檢查和測試工作，但是同一時期針對不同部門的要求，對同一系統可能會開展等保測評、風險評估、安全檢查等不同類型的安全測評工作。另外，除等級保護測評可依據國家標準開展相關工作外，安全檢查和風險評估工作的檢查范圍、內容、流程、指標和方法沒有統一的標準，各測評機構掌握的尺度不一致，給安全評判工作帶來不確定性。所以，研究提出了鐵路三位一體網絡安全檢測方法，從測評內容、測評方法、測評指標及測評流程幾個方面梳理關鍵檢測技術。

1 鐵路三位一體網絡安全測評體系概述

1.1 典型鐵路測評工作介紹

（1）鐵路網絡安全等級保護測評工作是為了梳理鐵路各部門系統重要程度和系統安全保護措施是否合規，結合等級保護2.0對系統開展合規性驗證；

（2）鐵路風險評估測評工作是為了評估系統整體安全風險，結合風險評估標準對系統資產存在的脆弱點、面臨的威脅和存在的安全風險進行定量和定性的認識；

（3）鐵路安全檢查工作是為了全面了解鐵路各單位網絡安全總體狀況和網絡安全工作落實情況。

3類安全檢測工作在測評目的、測評對象選擇、測評內容、測評流程和數據采集等方面存在著較多的一致性和關聯性[2]，總結如下。

（1）測評目的：均是為了發現鐵路系統存在的安全隱患和面臨的安全威脅，及時掌握系統安全狀況，修復漏洞，降低安全風險，確保系統平穩運行。

（2）測評對象選擇：均應覆蓋機房物理環境、網絡/安全設備、主機設備、業務系統/網站、各類數據、管理制度規范、安全人員等方面。

（3）測評內容：圍繞系統資產開展檢查和測評，測評內容包括技術安全測評和管理安全檢查兩方面。技術安全檢測主要包含物理環境安全、通信網絡安全、區域邊界安全、計算環境安全、安全管理中心和工具測試；安全管理測評主要包含安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理方面內容[3-4]。

（4）測評流程：均可分為測評準備、方案編制、現場實施、數據分析和報告編制4個階段[5]。測評準備包括組建項目實施團隊，開展系統資產調研；方案編制包括確定測評依據、測評內容和測評范圍，編纂測評方案、進度計劃，調試檢測工具；現場實施包括對被測評對象進行物理、網絡、設備、應用、數據和管理等方面的安全檢查，識別資產存在的脆弱點和可能面臨的安全威脅，梳理已有安全防護措施，記錄現場檢測結果；報告編制包括對現場采集證據數據和測評結果進行整理分析，通過等保測評結論判定或風險分析模型計算，給出測評結論，編制3類測評報告。

（5）數據采集：都可通過漏洞掃描、滲透測試、配置核查等方法和測試工具采集測試數據。

1.2 鐵路三位一體網絡安全測評體系

盡管等級測評、風險評估和安全檢查3類測評方法之間保持一致性，但其在分析方法和結果輸出方面卻存在差異性。

（1）等級測評需要對每個測評對象進行單元測評項分析和整體測評分析，并對被測系統做出安全等級的符合性評價，輸出等級測評報告。

（2）風險評估需要結合測評結果對資產賦值、脆弱性賦值、威脅的賦值，依據風險計算模型計算風險值，判定風險等級，對風險進行評價并輸出風險評估報告[6]。

（3）安全檢查是根據對抽測對象的檢查結果，分析被查單位的網絡安全現狀，發現單位存在的安全問題，確認單位網絡安全措施落實情況，輸出安全檢查報告。

通過上述分析，等級測評、風險評估和安全檢查3類測評方法既有共性，又存在差異。所以，需要融合以上3類測評方法，形成三位一體測評方法，從其共性出發，結合各自特征，實現通過開展一次性采集數據，同步完成等級測評、風險評估和安全檢查不同類檢測報告輸出的目標。

2 建立鐵路三位一體網絡安全體測評指標庫

2.1 測評指標庫結構介紹

本文提出建立鐵路網絡安全測評指標庫，指標庫包括通用指標和專用指標，其中，通用指標是按照等級保護2.0基本要求和測評要求梳理[1-2]，專用指標是針對鐵路典型重要系統如客票預訂與發售系統、貨運系統、運輸調度管理系統從系統業務應用和日常運維人員關注安全方面梳理。主要指標層次結構，如1圖所示。

2.2 通用指標

本文提出的通用指標主要的結構是系統安全等級、安全層面、類別、一級指標、二級指標、關聯風險組成，主要是參考網絡安全等級保護2.0基本要求、測評要求和風險評估規范等國家相關網絡安全標準梳理的，其中，鐵路系統主要安全級別包括一級系統、二級系統、三級系統和四級系統，安全層面包括技術層面和管理層面。類別又分為安全通用要求、云安全擴展要求、移動互聯網安全擴展要求和物聯網安全擴展要求。

圖1 鐵路三位一體網絡安全測評指標庫層次結構

2.2.1 技術類通用指標

技術類通用指標安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心5個技術層面，具體內容，如圖2～圖6所示。

圖2 鐵路網絡安全檢測通用指標-安全物理環境

圖3 鐵路網絡安全檢測通用指標-安全通信網絡

圖4 鐵路網絡安全檢測通用指標-安全區域邊界

圖5 鐵路網絡安全檢測通用指標-安全計算環境

圖6 鐵路網絡安全檢測通用指標-安全管理中心

2.2.2 管理類通用指標

管理類通用指標包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理5個管理層面，具體內容，如圖7～圖11所示。

圖7 鐵路網絡安全檢測通用指標-安全管理機構

圖8 鐵路網絡安全檢測通用指標-安全管理制度

圖9 鐵路網絡安全檢測通用指標-安全管理人員

圖10 鐵路網絡安全檢測通用指標-安全建設管理

2.3 專用指標

2.3.1 專用指標概念提出

按照網絡安全風險經典理論闡述，網絡安全基本屬性即3要素包括完整性、保密性和可用性，為適應業務需求的不斷發展變化和網絡技術的變遷，可靠性和不可抵賴性等網絡安全要求越來越廣泛。

（1）完整性是防止信息未經授權被篡改的特性，重點要求保證信息在產生、存儲和傳輸過程中的原樣性。

（2）可用性是信息允許被授權實體訪問和按需求使用的特性，是系統面向用戶的安全要求，一般用系統正常使用時間和整個工作時間之比來度量。

（3）保密性是指防止重要數據信息非法泄露給非授權用戶或供其使用的特性[7]。

（4）可靠性是系統可以在規定條件下和規定的時間內完成規定的功能的特性，主要表現為抗毀性、生存性和有效性3方面。

圖11 鐵路網絡安全檢測通用指標-安全運維管理

（5）不可抵賴性，也可稱為不可否認性，主要是確認信息交互參與者身份是否真實可信，所有參與方均不可否認或抵賴已經完成的操作和協議。采用數據源證據，為避免發信方否認已發送的消息；采用數據接收證據，為避免收信方否認已經接收的消息。

根據以往開展的安全測評實踐經驗，發現對于重要系統，單純按通用安全指標開展測試，往往不能滿足系統全面安全檢測需要，會遺漏系統某些方面的重要業務安全內容，因此，對于鐵路重要的系統而言，需要從業務角度出發，按照保密性、完整性、可用性、可靠性、不可抵賴性等安全屬性，進一步梳理安全測評指標，形成專用指標。

2.3.2 典型鐵路系統專用指標研究

業務安全同業務本身具備的形態及其所提供的服務密不可分，業務安全最典型特征是個性化，因此，本文以鐵路運輸調度管理信息系統（TDMS）作為典型鐵路系統，從計劃、命令和調度3類典型業務研究，梳理出完整性、保密性、可用性3方面的專用指標，指標組成，如圖12所示。

圖12 鐵路三位一體網絡安全專用指標

3 測評指標庫要求及應用

3.1 測評指標舉例說明

為了更好地開展鐵路三位一體網絡安全測評工作，梳理出以上測評指標庫，其中，通用指標庫中的二級指標及專用指標庫中的三級指標對于指導現場測試人員編制測評指導書和測評工作具有實際意義。以三級系統安全計算環境的云安全擴展要求為例，介紹測評指標庫的要求及內容，并且分析出關聯的安全風險，如表1所示。

3.2 測評應用案例

參照以上梳理的通用指標進行現場測試時，比如需對云安全擴展要求的一級指標“訪問控制”開展現場測試和報告編寫時，可針對訪問控制的兩個要求項，梳理出3個二級指標，其中，要求項1包括“訪問控制策略遷移”“遷移記錄及配置”2個二級指標；要求項2包括“不同虛擬機間訪問控制策略”1個二級指標，可以清晰地了解和掌握基本要求項的關鍵測評關注點。以下分別從3類測評方法判定該“訪問控制”項的結果。

（1）按照等級保護測評要求，現場測試中，若二級指標全部滿足，則此測評項為符合[8]，符合程度為1分；全部不滿足，則此測評項為不符合，符合程度為0分；部分滿足，則此測評項為部分符合，符合程度為0.5分。根據等級保護測評結論計算系統最終得分，判定系統安全狀況和等級保護測評結論。

（2）按照風險評估測評要求，二級指標若為符合，則進一步從中識別出系統已有的安全措施；若為部分符合和不符合，則結合系統面臨的安全風險項，分析得出系統存在的脆弱點，此脆弱點和等級保護測評中梳理的安全問題相關聯，根據風險評估模型或各類算法，對脆弱性進行賦值，結合資產從完整性、保密性和可用性賦值，以及威脅發生的頻率，計算系統安全風險值，確定系統總體安全狀況[9-10]。

（3）從國鐵集團定期開展的安全檢查，檢查指標從本文中梳理的指標中進行抽選，結果判定為符合、部分符合和不符合3種情況，并結合工具測試和滲透測試的結果對系統進行整體評斷。

4 結束語

表1 三級系統安全計算環境通用指標-云安全擴展指標訪問控制內容

鐵路作為國家關鍵信息基礎設施，其網絡安全重要性不言而喻，通過安全方案設計、安全建設整改、安全等級保護測評、風險評估測評、安全檢查和安

全運維等各種手段保障系統安全穩定運行。為了保證3類測評方法可以更高效、更客觀地反映系統安全狀況，本文提出建立三位一體網絡安全測評指標庫，包括通用指標和專用指標，通用指標涵蓋安全保護等級一級～四級的保護對象，保護對象包括信息系統、云計算平臺、大數據、物聯網、移動互聯網、工業控制系統等鐵路重要系統和應用，梳理出一級和二級指標。專用指標針對鐵路典型重要系統的業務，從完整性、保密性及可用性梳理出一級指標、二級指標和三級指標。通過指標的梳理，更好地開展現場測評工作，本文梳理的專用指標僅以運輸調度管理信息系統為例，還不具備廣泛性，需進一步梳理出其他系統的專用指標，并梳理三位一體測評實施流程，提出鐵路三位一體網絡安全測評實施指南建議。