周張俊

對(duì)建設(shè)鐵路信息安全管理標(biāo)準(zhǔn)體系的探討

周張俊

（武漢鐵路局辦公室（黨委辦公室）工程師，湖北武漢430071）

建立和健全信息安全管理及其標(biāo)準(zhǔn)體系對(duì)鐵路運(yùn)輸生產(chǎn)和安全管理工作至關(guān)重要。從鐵路信息安全管理現(xiàn)狀入手，在闡述和分析國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)化情況的基礎(chǔ)上，提出了鐵路信息安全管理及標(biāo)準(zhǔn)體系的創(chuàng)建思路。

鐵路系統(tǒng)；信息；安全；標(biāo)準(zhǔn)體系

0 引言

目前，信息化應(yīng)用全面滲透到鐵路運(yùn)輸生產(chǎn)和安全管理的各個(gè)環(huán)節(jié)當(dāng)中，信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)。鐵路信息網(wǎng)絡(luò)從中國(guó)鐵路總公司（以下簡(jiǎn)稱(chēng)“鐵路總公司”）、鐵路局延伸到基層站段、車(chē)間甚至工區(qū)、班組，分布相當(dāng)廣泛，連接著眾多生產(chǎn)、辦公節(jié)點(diǎn)。信息網(wǎng)絡(luò)與運(yùn)輸生產(chǎn)形成不可分割的有機(jī)體，信息系統(tǒng)已經(jīng)成為鐵路運(yùn)輸生產(chǎn)系統(tǒng)中重要的基礎(chǔ)設(shè)施。如何用好、管好信息系統(tǒng)并確保信息安全，成為各級(jí)信息管理部門(mén)關(guān)注的焦點(diǎn)。

傳統(tǒng)的信息安全管理通常著重于防火墻、VPN、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、認(rèn)證系統(tǒng)等常規(guī)信息安全設(shè)備，利用它們構(gòu)筑起一道道信息安全防護(hù)屏障。實(shí)際上，僅僅依靠技術(shù)保障信息安全的做法是有局限性的。實(shí)踐證明，要保證信息安全，應(yīng)同時(shí)做好技術(shù)、管理和法制三個(gè)方面的工作。在鐵路邁向現(xiàn)代化和信息化的今天，與鐵路新技術(shù)、新裝備密切相關(guān)的信息手段及其安全性顯得格外重要，建立健全信息安全管理標(biāo)準(zhǔn)體系迫在眉睫。

1 建立信息安全管理體系的作用與意義

信息安全管理體系ISMS（Information Security Management Systems)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)以及實(shí)現(xiàn)這些目標(biāo)所需策略和方法的體系。信息安全管理體系是一種基于業(yè)務(wù)風(fēng)險(xiǎn)的方法，用來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)組織的信息安全系統(tǒng)，其目的是保障組織的信息安全；也是組織直接管理活動(dòng)的結(jié)果，體系集合了方針、原則、目標(biāo)、方法、過(guò)程、核查等各種要素，并涉及人、程序和信息技術(shù)等方面。

首先，建立信息安全管理體系能夠提高組織內(nèi)員工的信息安全意識(shí)，提升組織信息安全管理水平，規(guī)范組織從領(lǐng)導(dǎo)到員工的信息安全行為，強(qiáng)化組織抵御信息系統(tǒng)崩毀、中毒等災(zāi)難性突發(fā)事件的能力，達(dá)成組織信息管理工作的高安全性和高可靠性，確保組織業(yè)務(wù)進(jìn)入快速、高效和持續(xù)發(fā)展的良性循環(huán)軌道。

其次，建立信息安全管理體系能夠有效地對(duì)組織信息系統(tǒng)實(shí)施安全風(fēng)險(xiǎn)監(jiān)管和控制，通過(guò)與等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等工作結(jié)合，在信息系統(tǒng)受到外部侵襲時(shí)能確保業(yè)務(wù)持續(xù)開(kāi)展，并將損失降到最低程度，最終使關(guān)鍵信息資產(chǎn)獲得全面系統(tǒng)的保護(hù)。

再次，建立覆蓋面廣、目標(biāo)超前、部署正確、措施完善的信息安全管理體系，能夠?qū)崿F(xiàn)以預(yù)防為主的信息安全管理方式，達(dá)到成本最低、成效最高的信息安全保障合理水平，保證組織業(yè)務(wù)的有效性與連續(xù)性，使組織管理水平與國(guó)際先進(jìn)水平接軌，提高組織的知名度、信任度和競(jìng)爭(zhēng)力。

2 鐵路信息安全管理現(xiàn)狀

2.1政府的信息安全管理舉措

我國(guó)政府高度重視信息安全保密工作，從敏感性、特殊性和戰(zhàn)略性的要求出發(fā)，把信息安全工作放到十分重要的地位，建成維護(hù)國(guó)家信息安全強(qiáng)有力的管理體系。其中，國(guó)家信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心和國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心是2個(gè)非常重要的信息安全管理工作機(jī)構(gòu)。國(guó)家信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心負(fù)責(zé)管理和運(yùn)行國(guó)家信息安全測(cè)評(píng)認(rèn)證體系，對(duì)信息安全產(chǎn)品、信息系統(tǒng)、信息安全服務(wù)單位及其人員進(jìn)行測(cè)試、考試和認(rèn)證；國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心負(fù)責(zé)管理和運(yùn)行國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)的內(nèi)容監(jiān)控和應(yīng)急協(xié)調(diào)工作，對(duì)國(guó)內(nèi)信息安全管理發(fā)揮技術(shù)支撐功能。

近年來(lái)，ISO（國(guó)際標(biāo)準(zhǔn)化組織）、IEC（國(guó)際電工委員會(huì)）等國(guó)際組識(shí)和一些發(fā)達(dá)國(guó)家發(fā)布修訂了一系列信息安全管理標(biāo)準(zhǔn)，其中最具代表性的是ISO/ IEC聯(lián)合技術(shù)委員會(huì)頒發(fā)的ISO/IEC 13335、ISO/ IEC 27000等國(guó)際標(biāo)準(zhǔn)。我國(guó)采用ISO/IEC 27001：2005《信息安全管理體系要求》、ISO/IEC 17799：2005《信息安全管理實(shí)用規(guī)則》、ISO/IEC 15408：1999《IT安全評(píng)估準(zhǔn)則》和SSE-CMM《系統(tǒng)安全工程能力成熟度模型》等國(guó)際標(biāo)準(zhǔn)，制定了GB 17895—1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、GB/T 18336—2001《信息技術(shù)安全性評(píng)估準(zhǔn)則》和GB/T 20269—2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》等一批信息安全管理的國(guó)家標(biāo)準(zhǔn)。同時(shí)，還制定頒布了《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理?xiàng)l例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《電子簽名法》等一系列信息安全管理法律法規(guī)。

2.2 鐵路信息安全管理概況

鐵路信息化經(jīng)過(guò)近30年的建設(shè)，已經(jīng)初具規(guī)模。特別是近年來(lái)，TMIS,ATIS，列車(chē)運(yùn)行控制，集裝箱、統(tǒng)計(jì)、工務(wù)、機(jī)務(wù)和物資等信息管理系統(tǒng)相繼建成，鐵路客票系統(tǒng)、調(diào)度管理系統(tǒng)和辦公自動(dòng)化系統(tǒng)等也在鐵路各個(gè)部門(mén)全面推廣應(yīng)用。中國(guó)鐵路總公司成立后，不斷加大在網(wǎng)絡(luò)和信息安全方面的管理力度，啟動(dòng)了鐵路信息安全管理體系建設(shè)試點(diǎn)工作，對(duì)試點(diǎn)單位進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定風(fēng)險(xiǎn)源，將其作為今后進(jìn)一步制定信息安全管理策略的依據(jù)；確定了研究鐵路網(wǎng)絡(luò)與信息安全統(tǒng)一平臺(tái)、強(qiáng)化網(wǎng)絡(luò)安全、災(zāi)難備份技術(shù)和開(kāi)發(fā)各業(yè)務(wù)子系統(tǒng)及其安全保障技術(shù)等一系列部署，標(biāo)志著鐵路信息安全管理工作進(jìn)入全新發(fā)展階段。

2.3 鐵路信息安全目前存在的問(wèn)題

一是鐵路信息系統(tǒng)根據(jù)鐵路運(yùn)輸生產(chǎn)需要建立，大多各自獨(dú)立，存在信息安全管理基礎(chǔ)平臺(tái)不統(tǒng)一、資源難以共享、無(wú)法整體監(jiān)控管理等缺陷。

二是鐵路信息系統(tǒng)所涉及的部門(mén)和專(zhuān)業(yè)范圍較廣，特別是高速的發(fā)展加速了鐵路信息化進(jìn)程，各種形式信息應(yīng)用系統(tǒng)層出不窮，但信息安全管理卻缺乏統(tǒng)一有效的監(jiān)管。

三是不少鐵路單位尚沒(méi)有把握好安全與投資的均衡關(guān)系，對(duì)待信息安全往往采取“頭痛醫(yī)頭，腳痛醫(yī)腳”的辦法，沒(méi)有一整套行之有效的管理機(jī)制、法制措施和相應(yīng)的技術(shù)標(biāo)準(zhǔn)，導(dǎo)致信息系統(tǒng)存在各種不確定的安全因素和隱患。

四是隨著鐵路體制和機(jī)構(gòu)改革的不斷深入發(fā)展，基層站段整合，鐵路公安部門(mén)屬地化，以及通信、信息技術(shù)機(jī)構(gòu)建制變更，在一定程度上導(dǎo)致了信息安全管理職能、分工界定不清，監(jiān)管和執(zhí)行的有效性、協(xié)調(diào)性不強(qiáng)。

3 鐵路信息安全管理體系的探討

3.1 鐵路信息安全管理模型

鐵路信息安全管理體系是鐵路系統(tǒng)組織、實(shí)施和監(jiān)督信息安全工作的一個(gè)不可缺失的重要基礎(chǔ)，也是鐵路運(yùn)輸生產(chǎn)安全管理工作的一個(gè)重要組成部分。鐵路信息安全管理體系模型則是鐵路信息安全管理體系的具體化表述，一般情況下，鐵路信息安全管理體系模型可視為整個(gè)鐵路系統(tǒng)對(duì)信息化所采取的安全策略，并通過(guò)相關(guān)部門(mén)或機(jī)構(gòu)加以強(qiáng)制實(shí)施，以達(dá)到檢驗(yàn)安全策略完整性和一致性的目的。實(shí)踐證明，鐵路信息安全管理是一個(gè)長(zhǎng)期持續(xù)發(fā)展的過(guò)程，像質(zhì)量管理等其他領(lǐng)域管理一樣，它也適用于為人們所熟知的堪稱(chēng)成熟有效的循環(huán)模型，即PDCA的4個(gè)循環(huán)階段的運(yùn)行模式，如圖1所示。

3.1.1 計(jì)劃階段(Plan Step)

信息安全管理的準(zhǔn)備階段，為后續(xù)活動(dòng)提供基礎(chǔ)和依據(jù)。其中包括建立組織機(jī)構(gòu)，明晰責(zé)任，確定安全目標(biāo)、戰(zhàn)略和策略，進(jìn)行風(fēng)險(xiǎn)評(píng)估和選擇安全措施，并在明確安全需求基礎(chǔ)上制定安全計(jì)劃、業(yè)務(wù)連續(xù)性計(jì)劃、安全意識(shí)培訓(xùn)計(jì)劃等程序。

3.1.2 實(shí)施階段(Do Step)

實(shí)現(xiàn)計(jì)劃階段所確定的各個(gè)目標(biāo)的過(guò)程，包括安全策略、安全措施或控制手段、安全意識(shí)培訓(xùn)等活動(dòng)。

3.1.3 檢查階段(Check Step)

通過(guò)監(jiān)視、審計(jì)、復(fù)查、評(píng)估等手段進(jìn)行檢查的過(guò)程，檢查內(nèi)容包括安全策略、目標(biāo)、程序以及標(biāo)準(zhǔn)、法律法規(guī)和實(shí)踐經(jīng)驗(yàn)，其結(jié)果作為進(jìn)一步采取措施的依據(jù)。

3.1.4 改進(jìn)階段(Action Step)

對(duì)不能滿(mǎn)足計(jì)劃階段所確定的目標(biāo)、發(fā)生意外事件或某些因素引起的變化，采取應(yīng)對(duì)措施進(jìn)行改進(jìn)的過(guò)程。必要時(shí)，可進(jìn)入新的一輪信息安全管理周期，以便持續(xù)改進(jìn)和發(fā)展鐵路信息安全。

3.2 鐵路信息安全保障模型

鐵路信息系統(tǒng)可能面臨來(lái)自各種網(wǎng)絡(luò)層面的攻擊，常見(jiàn)的威脅包括：身份竊聽(tīng)、偽裝、回放攻擊、數(shù)據(jù)竊聽(tīng)、操縱、病毒、拒絕服務(wù)、惡意的移動(dòng)代碼等。內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、大量的分布式C/S系統(tǒng)和Web服務(wù)增加了保護(hù)鐵路信息資源的風(fēng)險(xiǎn)。要防止這些威脅帶來(lái)危害，克服傳統(tǒng)信息系統(tǒng)在安全防護(hù)上的局限性，需要加固增強(qiáng)系統(tǒng)，具備保密、完整、可用、可控、不可否認(rèn)性，其模型如圖2所示。

圖2 鐵路信息安全管理保障模型

3.3 鐵路信息安全管理體系建設(shè)的思考

中國(guó)鐵路總公司把建設(shè)健全鐵路信息安全管理體系納入現(xiàn)代化鐵路建設(shè)范疇是必要的、合理的。開(kāi)展鐵路信息安全管理體系建設(shè)，應(yīng)注意下列方面的問(wèn)題：

一要注重實(shí)用性。由于文化背景的不同，管理方法和模式也有所不同，不能盲目照搬照抄國(guó)外模式。國(guó)外鐵路信息系統(tǒng)的風(fēng)險(xiǎn)管理與安全評(píng)估力求規(guī)范、完整。例如，泛歐鐵路的軟件開(kāi)發(fā)和信息系統(tǒng)的管理規(guī)范，不僅內(nèi)容十分全面完整，而且流程非常周密詳盡。我國(guó)鐵路信息系統(tǒng)也有獨(dú)特有效的安全風(fēng)險(xiǎn)管理方法，如針對(duì)重點(diǎn)安全問(wèn)題進(jìn)行有明確目標(biāo)的安全檢查，方法簡(jiǎn)單實(shí)用，對(duì)及時(shí)處理既有網(wǎng)絡(luò)信息安全問(wèn)題較為有效。有必要學(xué)習(xí)借鑒國(guó)內(nèi)外標(biāo)準(zhǔn)、規(guī)范和實(shí)踐經(jīng)驗(yàn)，創(chuàng)建一套符合我國(guó)鐵路特色的信息安全管理和評(píng)估的標(biāo)準(zhǔn)體系和方法。

二要注重效率性。鐵路信息安全風(fēng)險(xiǎn)管理與安全評(píng)估工作，以往都是按照相關(guān)辦法和規(guī)范對(duì)所有項(xiàng)目進(jìn)行人工核查，不僅工作量大、效率低，而且過(guò)于煩瑣，核查成本也比較高，在一定程度上影響了信息安全風(fēng)險(xiǎn)管理與安全評(píng)估工作的順利開(kāi)展，降低了可行性和有效性。因此，有必要在信息安全風(fēng)險(xiǎn)管理與安全評(píng)估實(shí)際操作過(guò)程中采用現(xiàn)代化的信息技術(shù)手段。例如，開(kāi)發(fā)專(zhuān)用核查和評(píng)估軟件，建立專(zhuān)用數(shù)據(jù)庫(kù)和知識(shí)庫(kù)，使用各種輔助軟件工具，提高核查和評(píng)估的工作效率，增強(qiáng)可靠性和有效性，降低人為因素的影響。

三要注重整體性。鐵路信息安全必須整體把握，而不是僅僅注重單項(xiàng)產(chǎn)品。以往不少鐵路單位和部門(mén)，為信息項(xiàng)目采用某個(gè)廠商推薦的安全產(chǎn)品，如某品牌的防火墻、入侵防御系統(tǒng)（IPS）、安全認(rèn)證體系等。實(shí)踐證明，如果不從總體上考慮和設(shè)計(jì)鐵路信息安全系統(tǒng)，就事論事的局部性工程最終會(huì)推倒重來(lái)，造成不必要的浪費(fèi)。

4 鐵路信息安全管理體系創(chuàng)建方法

鐵路信息安全管理體系是一個(gè)系統(tǒng)化、程序化和文件化的管理體系，它的建立應(yīng)基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估之上，體現(xiàn)預(yù)防控制為主的導(dǎo)向，應(yīng)符合法制性、持續(xù)性、完整性、過(guò)程性、動(dòng)態(tài)性和合理性等原則。建設(shè)鐵路信息安全管理體系涉及面廣、內(nèi)容繁雜、規(guī)模大、投資多，不可能一蹴而就。不同業(yè)務(wù)性質(zhì)單位或部門(mén)應(yīng)根據(jù)自身信息系統(tǒng)的運(yùn)用特點(diǎn)和具體情況，采取不同的步驟和方法，以達(dá)到既符合鐵路信息系統(tǒng)整體安全要求，又適應(yīng)自身信息運(yùn)用的技術(shù)要求。建立信息安全管理體系的基本步驟和方法如下：

1）確定信息安全管理體系的適用范圍，即需要重點(diǎn)管理的安全領(lǐng)域，既可以覆蓋整個(gè)系統(tǒng)、單位，也可以局限于某個(gè)部門(mén)。同時(shí)，做好教育培訓(xùn)、計(jì)劃擬訂、信息安全管理現(xiàn)狀調(diào)研，以及人財(cái)物的配置和管理。

2）進(jìn)行信息安全管理現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估，依據(jù)有關(guān)信息安全技術(shù)和管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息進(jìn)行保密性、完整性和可用性等安全屬性的調(diào)研和評(píng)價(jià)，包括對(duì)安全威脅、安全事故發(fā)生的可能性，以及發(fā)生安全問(wèn)題會(huì)造成的后果損失。

3）建立信息安全管理框架，從整體和全局的視角出發(fā)，對(duì)信息系統(tǒng)所有層面進(jìn)行安全規(guī)劃，且根據(jù)業(yè)務(wù)性質(zhì)、組織特征、信息資產(chǎn)狀況和技術(shù)條件建立信息資產(chǎn)清單，通過(guò)風(fēng)險(xiǎn)分析、需求分析和選擇安全控制技術(shù)，確定安全體系和安全解決方案。

4）按照ISO/IEC 27001：2005標(biāo)準(zhǔn)的總體要求，編寫(xiě)信息安全管理體系文件，包括安全方針、適用范圍、風(fēng)險(xiǎn)評(píng)估、實(shí)施與控制、適用性聲明等文檔資料。

5）實(shí)施信息安全管理體系運(yùn)行和改進(jìn)工作，即按照體系文件的控制要求進(jìn)行審核、批準(zhǔn)、發(fā)布和實(shí)施，正式進(jìn)入運(yùn)行階段，充分發(fā)揮體系功能，及時(shí)發(fā)現(xiàn)存在的問(wèn)題，找出問(wèn)題根源并采取糾正措施，按照PDCA模型進(jìn)一步完善體系。

6）實(shí)施信息安全管理體系的審核工作，即開(kāi)展體系評(píng)價(jià)以獲得審核證據(jù)，用來(lái)判斷信息安全管理體系的有效性，包括內(nèi)部審核和外部審核(第三方審核)兩種形式，內(nèi)部審核由單位自行組織進(jìn)行合格檢查，外部審核由具備認(rèn)證資質(zhì)的獨(dú)立機(jī)構(gòu)進(jìn)行。

5 結(jié)語(yǔ)

目前，一些鐵路單位將創(chuàng)建信息安全管理體系作為鐵路信息化建設(shè)的重點(diǎn)任務(wù)之一，并開(kāi)展了研究測(cè)試工作，為形成完備的鐵路信息安全標(biāo)準(zhǔn)體系進(jìn)行了有益探索，但還存在著一些不足，主要表現(xiàn)在：缺乏權(quán)威、統(tǒng)一和專(zhuān)門(mén)的組織、規(guī)劃、管理、協(xié)調(diào)機(jī)構(gòu)；信息安全管理與信息系統(tǒng)建設(shè)不同步、不匹配，后期安全管理工作處于被動(dòng)狀態(tài)的情況未能從根本上得到解決；大部分信息安全管理建設(shè)還在采取被動(dòng)解決方案，缺乏科學(xué)、全面的技術(shù)規(guī)劃。鐵路各級(jí)信息管理部門(mén)只有高度重視這些問(wèn)題，并從基礎(chǔ)管理入手，建立起一套行之有效的標(biāo)準(zhǔn)體系，科學(xué)分析信息安全風(fēng)險(xiǎn)和威脅，加強(qiáng)預(yù)警和應(yīng)急處置，才能實(shí)現(xiàn)信息系統(tǒng)規(guī)范、安全的運(yùn)用。

[1]Christopher M King,Curtis E Dalton,T Ertem Osmanoglu.安全體系結(jié)構(gòu)的設(shè)計(jì)部署與操作[M].常曉波,楊劍峰,譯.北京：清華大學(xué)出版社, 2003

[2]范建華,薛巖龍.基于業(yè)務(wù)的信息安全等級(jí)保護(hù)風(fēng)險(xiǎn)評(píng)估方法[J].計(jì)算機(jī)與數(shù)字工程，2010,38(3)：112-115

[3]姜勇,田正山.淺析供電企業(yè)信息安全防護(hù)體系建設(shè)[J].機(jī)電信息，2011(6)：4-5

[4]葉年發(fā).水利網(wǎng)絡(luò)與信息安全防護(hù)體系研究[J].甘肅水利水電技術(shù),2011,47(1)：35-37

[5]謝宗曉.信息安全管理體系應(yīng)用手冊(cè)[M].北京：中國(guó)標(biāo)準(zhǔn)出版社, 2008

[6]魏軍.信息安全管理體系審核指南[M].北京：中國(guó)標(biāo)準(zhǔn)出版社,2012

[7]臧鑫.鐵路信息安全管理研究[J].鐵道經(jīng)濟(jì)研究，2014（5）：22-25，46

（責(zé)任編輯：魏艷紅）

Establishing and improving the standard system for railway information securitymanagement is very important. Starting from the current situation of railway information securitymanagement,on the basis of expounding and analyzing the standardization of information security at home and abroad,this article proposes the path of railway information securitymanagement standard system construction.

railway system;information;security;standard system

A

1004-9746（2014）06-0033-04

2014-10-25）