鐵路信息系統全生命周期質量與風險評估體系研究

王瑞民，司 群，雷絲縈

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

鐵路網絡安全和信息化建設發展迅速，鐵路“十四五”網絡安全和信息化規劃頒布實施以來，鐵路系統建設數量和規模越來越大，復雜程度也日益提升。該系統具有種類繁多、功能強大、硬件高度集成，以及深入參與鐵路業務決策、控制及管理的特點，對鐵路各項業務的平穩運行起著至關重要的作用。當前，鐵路部門注重鐵路信息系統上線投產后軟、硬件的穩定性，而弱化其他階段，然而，質量問題與風險會存在于其全生命周期的每一個階段，因此，非常有必要對鐵路信息系統開展全生命周期的質量與風險評估。

國外的項目風險管理始于1989 年，Boehm 發表文章《軟件風險管理：原則和實踐》，提出了軟件風險管理體系Boehm 模型，把風險管理活動分成風險估計和風險控制兩大階段，列出了10 項風險列表[1]；Charette 建立的風險分析和管理體系，把風險分成分析和管理2 個階段[2]；美國卡內基梅隆大學軟件研究所提出的CMM 模型，是基于實踐的全面風險管理體系，但未考慮系統軟件質量風險要素，缺乏對質量方面風險管控措施的研究和應用[3]。我國學者針對軟件風險管理模型和風險識別及評估技術等開展大量研究工作，張子劍等人對全生命周期軟件過程風險管理模型展開研究，提出了基于能力成熟度整合模型（CMMI，Capability Maturity Model Integration）和軟件生命周期的軟件項目風險管理模型[4]，可降低風險管理的難度和管理成本，但對于如何分析和識別全過程質量管理活動可能帶來的風險，快速定位和處置風險還有待研究。

CMMI 是一種軟件能力成熟度評估標準，相對于ISO9000，CMMI 更適合項目管理[5]。CMMI 包含5 個級別22 個過程域，5 個級別為一級初始級、二級管理級、三級定義級、四級定量管理級、五級優化級，22 個過程域包括項目計劃、需求管理、風險管理、配置管理、決策分析與解決、度量與分析等，每個過程域分別表示了整個項目管理過程中應側重關注或改進的某個方面的問題。CMMI 提供的目標和實踐在鐵路信息系統研發領域獲得廣泛應用，可指導研發項目的過程管理，具有廣泛應用前景。

本文參考CMMI，為解決鐵路信息系統全生命周期質量風險管理問題，從全生命周期、質量和風險評估過程這3 個維度提出全生命周期質量與風險評估體系，并設計質量風險識別清單，實現鐵路信息系統各階段風險可控的目標，對提升鐵路信息系統質量及保障鐵路安全穩定運行具有參考價值。

1 全生命周期質量與風險評估體系

本文構建了鐵路信息系統全生命周期質量與風險評估體系，該體系包括系統全生命周期、質量和風險評估過程3 個維度，體系架構如圖1 所示。

圖1 鐵路信息系統全生命周期質量與風險評估體系架構

1.1 全生命周期維度

鐵路信息系統全生命周期質量與風險評估體系的全生命周期維度包括該系統從開始立項到替代下線所經歷的立項、設計、研發、測試、部署、運營維護（簡稱：運維）和下線等7 個過程階段。這些階段與CMMI 22 個過程域中項目監督與控制、過程與產品質量保證、配置管理、度量與分析、風險管理、供方管理、培訓管理、決策分析與解決等10 個關鍵過程相互支撐[6-7]。鐵路信息系統全生命周期管理架構，如圖2 所示。

圖2 鐵路信息系統全生命周期管理架構

1.2 質量維度

鐵路信息系統全生命周期質量與風險評估體系的質量維度是圍繞1.1 節提出的鐵路信息系統全生命周期各階段的子活動任務梳理整合的各項質量指標[8]，包括立項管理、項目經理及角色管理、評審控制、需求分析、功能性能要求、項目計劃管理、安全開發、代碼審計、驗收交付、變更管理等方面，進一步梳理形成指標內容，即風險評估內容，具體的鐵路信息系統質量指標風險評估內容如圖3 所示。

圖3 鐵路信息系統質量指標風險評估內容

1.3 風險評估過程維度

風險評估過程維度參照GB/T 20984-2022 《信息安全技術信息安全風險評估方法》中的風險評估流程[9]，在風險識別、風險分析、風險評價、風險處置階段的基礎上，增加了風險跟蹤階段，構成本文的風險評估過程，該過程可為鐵路信息系統質量風險評估工作提供依據，通常風險評估過程是由技術和管理2 類人員參與的一個復雜的循環過程，具體風險評估過程如圖4 所示。

圖4 風險評估過程

一般風險評估工作是項目經理、技術評估師和管理評估師共同進行的，按照圖4 中的流程，有計劃地開展風險識別、分析等評估工作。

1.3.1 風險識別

根據圖3 中提出的質量指標內容，對鐵路信息系統全生命周期各階段開展風險識別，識別出各類安全風險，并對其嚴重程度進行判定。風險識別的過程主要采用文檔查閱、人工技術檢查及訪談等手段，盡可能識別出各類風險因素，保證全面性。

1.3.2 風險分析

從風險發生的概率和風險發生后產生的損失兩方面進行風險分析，明確影響系統質量的因素，繼而分析風險的影響范圍、影響程度、發生概率、損失等方面的量化值，用定量的方法進行風險值的計算[10]，為后續風險評價提供依據。

1.3.3 風險評價

采用定性分析的方法對風險值進行評價，即對風險進行等級劃分，參照國家標準，將鐵路信息系統風險劃分為很高、高、中、低、很低等5 個等級，并通過分析該系統全生命周期各階段的風險特點，對能否有效降低風險進行關聯分析，得出最終的風險等級劃分結果；依據評判算法，判定風險是否可接受，在結果中刪除可接受風險，對不可接受風險開展進一步的風險處置工作[11]。

1.3.4 風險處置

根據不可接受的風險清單，制定詳細的整改措施建議，對風險進行集中處置。根據帕累托法則[12]，威脅較大的風險往往只占一小部分，因此，需要對小部分威脅較大的風險開展處置和管理，制定詳細的風險處置計劃，降低風險發生的可能性、不良影響的后果和損失，風險處置的主要方法有回避風險、減少風險、轉移風險和接受風險。

1.3.5 風險跟蹤

制定風險跟蹤表，根據作業條件風險性評價法（LEC 法）[13]開展風險跟蹤，對風險處置情況進行跟蹤，適度優化并修改風險處置策略。同時，還需要對殘余風險進行監控，及時修訂風險處置計劃，并對殘余風險重新開展風險評估工作，保證項目穩步推進[14-15]。

2 質量與風險評估應用

本文基于鐵路信息系統全生命周期質量與風險評估體系，對某鐵路信息系統從立項開發到下線各階段的質量指標開展風險識別過程驗證應用，分析各階段質量面臨的風險因素，形成風險識別清單，由于篇幅有限，文中僅給出部分質量指標的風險清單，如表1 所示。

表1 某鐵路信息系統質量風險識別清單（部分）

通過質量風險評估清單可快速定位該系統全生命周期某個階段的風險因素，包括風險名稱、帶來的影響和風險等級等，提高了對該系統開展風險識別的效率，可針對性開展風險處置，重點對清單中很高、高風險等級的質量問題開展整改及跟蹤，降低風險管理的成本。

3 結束語

本文根據鐵路信息系統質量管理和風險管理現狀及需求分析，提出基于全生命周期、質量和風險評估過程這3 個維度的鐵路信息系統全生命周期質量與風險評估體系。從全生命周期管理架構、質量指標風險評估內容、風險評估流程等方面進一步明確了保證鐵路信息系統安全可靠的關鍵活動和關鍵質量指標；基于提出的體系架構，分析某鐵路信息系統常見質量風險因素，形成風險清單。后續將進一步豐富和完善鐵路信息系統質量鐵路信息指標內容，優化風險計算評價準則，更真實地反映鐵路信息系統全生命周期各階段面臨的安全風險，并準確定位和開展風險跟蹤處置。