基于關鍵信息基礎設施安全保護要求的風險管控研究

崔日云，付曉丹

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

隨著信息技術的飛速發展，網絡安全風險日益突出，鐵路關鍵信息基礎設施安全保護工作逐漸受到了各方重視。關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融等重要行業和領域，以及其他影響國家安全、國計民生、公共利益的重要網絡設施、信息系統等，其一旦遭到破壞，將嚴重威脅國家財產和安全[1]。因此，加強鐵路關鍵信息基礎設施的安全防護成為鐵路行業網絡安全工作的重中之重。

眾多學者對關鍵信息基礎設施的安全防護作了相關研究。呂欣等人[2]從戰略規劃、安全運作管理和安全技術保障等3 個維度設計了大數據安全保障技術方案，為建立可持續提升的大數據安全和隱私保護能力提供技術參考；劉金瑞[3]提出我國網絡關鍵基礎設施立法的基本思路和制度建構；洪延青[4]提出關鍵信息基礎設施的安全保護制度應有新的設計思路和工作要求。

基于以上研究，本文設計基于關鍵信息基礎設施安全保護要求的風險管控流程，從風險識別、分析、評價、處置等方面提出風險管控方法，以期為我國鐵路關鍵信息基礎設施安全防護工作提供支撐。

1 關鍵信息基礎設施的信息安全風險管控流程

關鍵信息基礎設施的信息安全風險管控遵循整體防控、重點保護、動態防護、協同聯動原則，其流程如圖1 所示。

圖1 關鍵信息基礎設施風險管控流程

通過風險識別與風險分析，對風險作出評估和分類，以確定風險的可能性、影響程度及頻率；對風險進行評價，對其中不可接受的風險進行風險處置，針對不同的風險采取不同的手段或措施，由此，實現對風險的全方面管控。

2 前期風險管控

2.1 風險識別

風險識別是風險管理的基礎，指通過識別風險源、風險影響范圍、風險原因及其潛在的后果等形成的風險列表。風險識別應遵循符合性、全面性、客觀性、系統化的基本原則[5]，包括以下3 個方面。

2.1.1 業務識別

業務識別主要確定業務服務的能力、對象、業務流程和范圍，以及對業務整體性與關聯性的識別，包括關鍵業務與其他業務的關系等。

2.1.2 資產識別

資產識別是指通過正確的方式識別對組織產生重要影響且需要保護的資產的過程。系統資產價值要根據系統資產的保密性、完整性和可用性賦值，并根據系統業務承載性、服務重要性綜合計算其價值。

2.1.3 重點風險識別

根據GB/T20984-2022[6]等安全評價準則，對關鍵業務鏈進行安全風險分析，確定關鍵業務鏈各環節的威脅、脆弱性，確定現有安全控制措施，剖析重點安全風險點。

2.2 風險分析

風險分析是在風險識別的基礎上開展的，其過程為：（1）根據威脅的風險及脆弱性被利用的難易程度，計算出安全事件發生的可能性；（2）根據脆弱性的影響程度和資產價值，計算出安全事件發生后對評估對象造成的損失；（3）根據安全事件發生的可能性和安全事件發生后造成的損失，計算出系統資產面臨的風險值；（4）根據資產風險值計算出業務風險值[6]。

2.3 風險評價

風險評價包括系統資產風險評價和業務風險評價，是根據風險分析結果與風險準則的比較結果來判定風險是否屬于可接受的過程。在確保目標規劃更合理和計劃更可行的基礎上，根據實際情況選擇恰當的風險策略，可得到最佳的風險策略組合。

3 風險處置措施

風險處置指為了將風險始終控制在可接受的范圍內，通過選擇并執行風險處置措施來更改風險的過程[5]，處置措施如圖2 所示。

圖2 風險處置措施

3.1 技術安全保護

3.1.1 收斂暴露面

識別并降低互聯網和內部網絡資產的網絡協議地址、終端、應用業務等暴露面，減少互聯網出口總量；減少對外曝光機構結構、電子郵件賬號、組織通信錄等內部信息，預防社會工程學入侵；避免在公共存儲空間保存能夠被攻擊者使用的技術文檔。

3.1.2 攻擊的發現與阻斷

研究網絡攻擊的途徑、方法，根據觀察發現的進攻行為，劃分進攻路徑、進攻對象，設定多道防御。

3.1.3 安全通信網絡

對通信線路、網絡重要節點及關鍵設備進行冗余備份；各個網絡安全等級保護系統間、各個業務系統間、各個區域的系統間形成安全互聯政策，嚴格控制其運行、數據交換和方向，且其同一使用者的使用身份和訪問控制策略保持一致性；應當通過網絡審計措施，監控、錄入網絡安全事件。

3.1.4 安全計算環境

通過多因子身份識別方法對用戶進行身份識別；對關鍵客戶服務操作、關鍵客戶服務及非正?？蛻羰褂们闆r實施審核記錄；通過安全標記等方式，對重要業務數據資源進行有效訪問；通過技術手段，預防高級可持續威脅，進行主動防御，有效辨識、抑制病毒的入侵活動；通過自動化手段，對用戶、漏洞、補丁、病毒庫等信息進行集中管理。

3.1.5 數據安全防護

基于數據分類的國家安全防護策略，確立安全管理責任和評估考核，在國家境內經營中獲取并形成的個人信息和關鍵數據保存于國內；敏感數據通過加密、脫敏、去標識化等技術手段保護；控制行業的連續性并建立容災備份體系；當關鍵數據廢棄后，根據數據安全保護策略對已保存的信息加以管理。

3.1.6 攻防演練

根據攻防訓練中出現的安全問題和風險加以及時修正，減少結構性、全局性風險。

3.2 管理安全保護

3.2.1 安全等級保障

依據我國網絡安全等級保護制度有關規定，進行計算機網絡和信息系統的定級、備案、安全建設整改和等級測評等工作[7]。

3.2.2 安全管理制度

建立適應本組織關鍵信息基礎設施的安全保護規劃文件，并經審查后下發至有關工作人員；建立基于關鍵服務鏈安全的管理體系與安全策略。

3.2.3 安全管理機構

設立安全工作委員會或領導小組，專門負責管理關鍵信息基礎設施安全保障工作；設置專業安全機構，設置、執行安全考評和監管問責制度。

3.2.4 安全建設管理

網絡安全技術措施和關鍵信息基礎設施修建、改造、升級等工作同步計劃、同步施工、同步使用，并通過檢測、考核、攻防訓練等多種形式驗證。

3.2.5 安全運維管理

確保關鍵信息基礎設施的運行維護（簡稱：運維）地址設在我國境內，否則，應滿足國家有關法規；簽定運維保密協定，使用已登記備案的運維工具，否則，應對工具進行使用前惡意代碼檢查。

3.2.6 攻防演練管理

根據關鍵業務的可持續性確定訓練場地，定期組織進行攻防訓練；將關鍵信息基礎設施核心供應鏈、緊密上下游產業鏈等有關單位列入訓練內容。

3.3 預警處置

預警處置是在對風險信號接收、評估、衡量的基礎上，提出有無風險、風險大小、風險危害程度及風險處置方案的過程，其流程如圖3 所示。

圖3 閉環預警機制流程

3.3.1 預警監測

在互聯網邊界、出口等互聯網重要節點部署攻擊監控裝置，識別網絡攻擊和未知危險；構建常見系統通信流量或事態的模式，全面獲取安全日志；引入智能化制度，對關鍵業務所包含的系統的所有監測信息進行綜合分析，分析整體的安全態勢。

在出現可能影響關鍵業務的情況后，主動報警，并主動采取相應保護措施，減少重點業務被干擾的風險。對可能產生很大危害的內部預警信息，應當根據有關機關規定加以通告。

3.3.2 預警研判

在出現有可能影響關鍵業務的安全事故時，根據網絡攻擊的途徑、方法，劃分進攻路徑、進攻對象；及時對網絡攻擊活動進行溯源，系統、全面地剖析網絡攻擊意圖、技能及流程，并做好相關數據分析和還原，以此完善預警研判，形成事件匯報。

3.3.3 預警響應

根據預警研判結果，形成不同的預警響應時間、部門及不同的預警處置方案[5]。

3.3.4 預警處置

根據技術安全保護和管理安全保護方法，對安全事件預警進行處置。

3.3.5 預警解除

風險評價問題得以處理，系統可以正常工作后，將按時公布響應工作完成。責任單位按照主動防御狀態，判斷是否解除警報，并適時發出預警解除信息。

3.4 重新識別

針對風險識別、監測與預警、在主動防御中出現的重大安全隱患及已發現的重大安全事件，以及處理后果，根據安全威脅和風險變動狀況進行評價，在必要時再次開展風險識別、資產管理、風險分析和評價的工作，并調整安全策略。

4 風險報告

風險評估報告是風險分析階段的輸出文件，是對風險分析階段工作的總結，其內容包括但不限于：項目背景、評估范圍、評估目標、評估依據、評估原則、風險分析模型、風險評估方法、評估流程、風險識別和分析、風險計算方法及風險評價等[8]。風險評估報告輸出文檔示例如表1 所示。

表1 風險報告輸出內容示例

5 結束語

關鍵信息基礎設施風險管控對維護國家安全、保障社會經濟健康發展等具有重大意義，本文從技術、管理、預警處置等方面設計風險管控流程，可為鐵路信息系統構建全面的網絡安全防御體系提供支撐。未來可在網絡安全檢查、網絡安全等級保護測評、網絡安全建設等方向持續深入研究，為鐵路關鍵信息基礎設施安全防護提供新的建設思路。