铁路站段信息系统安全风险评估

2012-04-14刘玉琦上海铁路局蚌埠站

上海铁道增刊 2012年3期

刘玉琦上海铁路局蚌埠站

为适应国民经济的发展和民航、高速公路的双重竞争压力，铁路企业最终选择了高速度和快建设的发展策略，但是如何真正健康、有效的发展值得深思。铁路7.23特别重大交通事故的发生足以给广大职工以警醒，深刻的教训让铁路企业认识到铁路的发展必须彻底的遵守科学发展和安全发展的要求，才能使铁路发展壮大。

随着铁路多年来信息产业的建设，各种各样功能丰富的信息系统遍布在站段的各个角落，分别执行着调度、制票、统计、办公、管理等等任务，信息系统在铁路发挥重大作用的同时，信息系统的安全对铁路运输安全的影响也越来越大，如果投入使用的信息系统存在缺陷、漏洞等风险将直接导致铁路资产的损失甚至铁路运输安全事故的发生，所以基层站段在关注铁路运输安全的同时，应该更加注重信息系统的安全建设。

铁路7.23特别重大交通事故发生后，盛部长指出“动员全路认真吸取事故教训，迅速行动，振奋精神，采取坚决有力措施，认真开展安全大检查活动，全面排查和消除安全隐患，坚决防止发生新的事故，迅速稳定运输安全局面。”，当前对于信息系统安全的风险控制和管理最为有效的方式就是信息系统风险评估，风险评估方法为基层站段开展安全大检查活动，排查和消除信息系统安全隐患提供了依据和具体方法。国信办（2006）5号文《关于开展信息安全风险评估工作的意见》中提出“信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据”，显然信息系统的风险评估工作已经得到了国家的认可和重视。

信息系统风险评估工作开展之前，需要明确铁路信息系统和风险评估两个概念。铁路信息系统，泛指所有为铁路运输、办公、生产提供服务，并以计算机、小型机、工控机或单片机为主的，安装有信息化操作系统的平台，包括硬件、软件、通信信道、网络设备、信息系统操作人员。风险评估，是指对信息系统内部存在的风险进行识别和定性定量分析，并通过投入一定资源的方式来消除风险，从而达到保障信息系统安全稳定的目的。

1 站段信息系统安全的现状

经过在站段职工中进行信息系统调查后发现，能够列举出一些常见的信息系统的职工很多，比如常用的TMIS车站管理信息系统、调度系统、OMIS办公系统、PMIS客票系统、ATIS车号识别系统、货票信息系统等等，但是几乎没有几个职工能够说出这些信息系统存在何种风险和潜在的威胁。

在调查中还发现信息系统的操作人员关心的是系统是否好用，站段领导关心的是系统是否能用，而信息系统的管理人员所关心的只是系统是否容易维护，因此站段进行信息系统安全风险评估的基础非常薄弱。站段信息系统运行、维护、管理工作也往往形同灭火队，哪里出问题了解决哪里，设备状态无法掌握，故障的处置也很随意，没有防范意识和风险控制的措施。

基层站段甚至整个铁路企业对于各种信息系统安全事故处置的方法目前还是主要依赖于经验型的方法，就是通过以往事故的发生来总结经验和教训，依靠调查研究和统计分析来找出解决问题的方法，从而防止和避免类似事故的再次发生。但是，经验型方法不够积极主动，没有预估性和前瞻性。经验型方法依据的是以往事故的发生，对于未知事故、低发性事故或者从来没有发生过的事故在经验型方法中没有得到很好的解决，经验型方法也无法让管理人员提前预知可能故障的设备，故障后的危害范围、程度和处置预案。

因此，我们急需一种新的安全控制方法来改变目前的现状。

2 站段信息系统风险评估的方法

经验型方法和风险评估方法就像是两个成语“亡羊补牢”和“杞人忧天”。传统的经验型方法属于事后总结法，制定出来的规章、制度有事实依据，准确而且符合实际，将在以后很长一段时间里为铁路安全继续发挥作用。风险评估方法属于事先预防法，通过在安全事故发生之前，对可能引发事故的因素进行识别、预测、评估和管理，投入人力、物力、财力资源来控制和降低风险，风险是事故的前提，风险评估方法首先承认了风险的存在，定性定量的分析风险，通过消除和减弱风险的大小来预防事故的发生。盛部长在讲话中多次强调“安全责任大如天，安全工作压倒一切”，不时时刻刻的小心谨慎，事故就在不经意间发生，不总结经验教训，灾难就来教训我们。经验型方法目前在铁路基层站段中已经非常成熟，因此在站段信息系统安全工作中引入风险评估的方法作为安全风险控制的辅助措施意义重大。

在风险评估的过程中，首先要承认风险的存在，不管是信息系统的使用人还是信息系统设备都应该纳入信息系统风险评估中考虑。信息系统设备由于采购成本的限制或设计缺陷的存在，故障率和稳定性会有很大不同，所有的设备不可能在同一时间都能有效的运转，所有的操作人员不可能实时的做到遵章守纪，这就是信息系统存在的脆弱性，正是由于这种脆弱性，才产生了事故发生的可能性和风险的存在。

另外，还要对风险有正确的认识和对待。风险是无处不在的，不能听到风险就感到害怕，觉得风险就等于事故，风险只是事故的前提条件，只有当风险不加以控制，遇到一定的诱因时才会演变成事故。在实际的评估过程中，要区分出可以避免的风险和不能避免的风险。根据铁路的特殊情况，可以避免的风险要尽量避免，不能避免的风险要加以识别、管理和控制。

基层站段信息系统风险的评估，有自评估、上级检查、委托评估三种方式。在实际使用中，可以选择一种方法单独评估，也可以选择两到三种方法混合评估。

自评估就是在站段内部组建一个信息系统风险评估组，评估组人员应由站段领导、信息技术管理人员、车间和科室的负责人、车间技术骨干组成，并根据不同的信息系统分成若干个工作小组。由信息系统评估组制定站段信息系统风险评估基准，各工作小组成员遵照执行。风险基准是站段进行信息系统风险评估的标准，站段在制定风险基准时可参考国际上一些比较通用和成熟的标准，例如信息技术安全性通用评估准则CC，可操作的关键威胁、资产和薄弱点评估方法OCTAVE，信息安全管理体系BS7799等。

上级检查和委托评估方式与自评估方式过程相差不大，只是实施的主体不同。上级检查的方式，是由上级主管部门（如路局信息技术所）制定站段信息系统风险基准，根据风险基准对站段进行检查评估。委托评估的方式是将站段信息系统风险评估工作交由第三方有资质的公司进行，站段信息部门负责配合。具体使用哪种风险评估方法，站段可以根据自己的信息系统规模进行选择。上级检查方式适用于站段信息系统规模较小的情况，自评估方式适用于站段信息系统规模较大，信息系统专业管理人员较多，能够组建自己的信息系统评估组的情况，委托评估适用于站段信息系统规模很大，而站段自己内部又没有能力组建自己的信息系统评估小组的情况。基层站段也可以采用先自评估再申请上级检查的组合方式进行信息系统风险评估。

3 站段信息系统风险评估的过程

站段信息系统风险评估的过程大致可以分为风险识别、风险预测、风险评估和风险控制四个过程。

3.1 风险识别

由信息系统风险评估小组统计站段内信息系统操作人员和设备情况，按照信息系统服务对象进行分类。风险评估小组指定人员对不同的信息系统进行风险标注，标注出所有影响信息系统安全的人员和设备，将选择出的存在风险的人员和设备信息报工作组核准。

风险识别工作必须做到详细，必须要涵盖到管内所有的信息系统设备和相关人员。

3.2 风险预测

信息系统评估工作组将核准后的信息反馈给各工作小组，工作小组成员进行风险预测，风险预测是工作小组假定操作人员误操作、故意破坏或者设备故障的情况下所可能造成的危害，根据危害的种类和大小进行分类汇总。

3.3 风险评估

风险评估是工作小组根据工作组制定的风险基准对风险赋予权值，并进行大小排序。风险赋值采用定性定量的方式，计算公式如下：

风险优先级数=严重程度×出现频率×易发现性

严重程度是按照故障发生后对信息系统安全产生危害的程度划分等级，等级划分10档。出现频率是指信息系统设备发生故障或者操作人员误操作的概率，可以根据以往的经验进行统计分析，等级划分10档。易发现性是指故障检查、排除的难易程度，等级划分10档。

3.4 风险控制

风险控制就是风险评估工作组根据风险评估的结果，安排不同的人力、财力、物力去降低风险或者排除风险，风险等级最高危害最大的在资源分配时应该安排最多的人力、财力和物力。对于重要的信息系统应制定专门的应急预案和管理办法，定期开展培训和事故演练。

但是在执行风险控制的过程中一定要遵守适度安全和安全有价的原则，无论需要消除或者降低何种风险都必须要投入一定的资源，因此在执行风险控制之前必须要预先估计风险控制所要达到的程度。

风险评估工作组将风险控制的措施、安排和预算情况报站段领导批准，经领导批准后分发给各相关车间、科室执行。风险评估工作组还应对各科室执行的结果进行监测。

3.5 循环风险评估

通常风险评估工作只是执行风险识别、风险预测、风险评估、风险控制四个流程，从风险识别开始到风险控制结束。但是，铁路站段信息系统风险评估工作在实际操作中并不同于其它行业的风险评估，站段信息系统风险评估工作有其特殊性、复杂性和隐蔽性，特殊性是指信息系统设备分布在站段的各个角落甚至其它城市，担任着各种各样的任务，在风险识别的时候不可能把所有存在风险的设备统计全面，如果疏漏了那些潜在的不易察觉的风险就不能保证风险识别阶段的准确性。复杂性是指信息系统设备不同于其它行车设备，信息系统设备包括软件和硬件系统，硬件系统故障容易排查、修复，即使无法修复也可以通过替换备用设备解决，但是软件系统风险往往难以预测，故障以后的危害也难以估计，排查和修复比较困难，也没有备用程序进行替换。另外，铁路信息系统安全往往受到内部和外部共同威胁的影响，风险难以定量，处理时间难以掌握。隐蔽性是指信息系统设备故障往往没有明显的预警，在故障早期一般没有任何特征，不易察觉。所以，站段信息系统评估工作在执行完风险控制过程后，风险评估工作不应该就此结束，信息系统风险评估组需要根据站段管内信息系统的复杂程度，重复2-3次的风险评估流程，并将每次风险评估的结果进行比对，进行记录。