刘 刚

（中国铁路信息技术中心，北京 100844）

铁路信息安全等级保护自查方案设计

刘 刚

（中国铁路信息技术中心，北京 100844）

通过对信息安全专项检查的内容和方法进行深入分析和细化，形成可操作性的自查内容和指标体系，并提出一套合理规范的自查方法及流程，将等级保护自查与等级保护测评工作有机结合，切实有效地推进铁路行业等级保护工作的高效开展。

等级保护自查；等级保护测评；安全专项检查

铁路信息安全等级保护自查能为等级保护测评提供有价值的信息和参考。各铁路局组织内部人员对本局范围内使用的信息系统安全情况开展等级保护自查，不仅可以使工程技术人员通过实践工作得到了锻炼，提高了信息安全的专业技能，深刻理解信息安全等级保护法规对信息安全工作的指导性意义，也使决策者全面了解本单位信息系统整体信息安全状况，为信息安全方面的决策提供了数据支持。组织内部的自查工作与专业机构的等级测评有机结合，可以使信息安全建设整改工作常态化，稳步推进铁路信息系统安全保障水平。

1 等级保护自查内容

铁路信息安全等级保护自查分为信息安全专项检查及不定期等级保护自查。

铁路信息安全专项检查一般是针对发生的安全事故或安全事件进行的全面安全工作，它是铁路运输安全大检查的重要组成部分，在各级主管部门的监督和组织下开展。不定期等级保护自查是各单位内部为了顺利完成系统的等级测评，实现系统的安全设计目标，结合系统网络架构和自身业务特点，依据《信息安全等级保护测评要求》而开展的“等级符合性预测评”。

1.1 网络及安全设备自查

主要对系统的网络架构合理性进行分析，排查网络及安全设备等安全配置策略及有效性、系统内外网访问控制措施、网络的流量及连接数限制等策略是否合理。

1.2 终端及主机系统自查

对重要信息系统的终端接入及外联、主机系统防病毒能力、终端及主机系统身份鉴别和安全审计功能是否完整并有效。

1.3 应用系统安全自查

包括应用系统安全功能配置及有效性，是否有明显的SQL注入、跨站脚本、缓冲区溢出等常见安全漏洞，对外服务网站防入侵、防攻击、防篡改的能力情况。

1.4 数据库安全自查

针对重要数据库的存储及备份策略进行自查。

1.5 网络安全策略制定及落实情况自查

检测预警、备份恢复、应急处置等工作开展情况；网络安全事件的发生情况。

1.6 信息安全管理制度建立和落实情况自查

各类信息安全管理规章制度的建立情况、人员岗位及责任、安全知识及技能培训工作开展情况、应急处置预案及应急处置演练活动开展情况等。

2 等级保护自查指标

将等级保护自查内容逐步细化，形成可操作性的自查指标，主要技术安全及管理安全部分自查指标分别如表1和表2所示。铁路总公司作为信息安全管理部门还可以将自查表单进行技术衍生，形成监督检查表，引入定期安全督导机制，远程对下属各单位等级保护整改情况进行及时的汇总和分析。各铁路局信息化处亦可根据本单位信息系统实际情况对自查表单内容进行适度细化和修改，全面掌握本单位内及所管辖各站段的信息系统信息安全自查情况，并对信息系统安全现状向上级部门汇报。

表1 铁路信息系统等级保护技术安全自查简表

3 等级保护自查方法和流程

3.1 自查方法

等级保护自查主要采用访谈和现场检查的方式。

访谈是对信息系统整体情况进行了解，依据《铁路信息系统等级保护自查表》中自查项及指标要求，与信息系统相关管理人员（如系统管理员、网络管理员、数据库管理员等个人或群体）进行咨询性和针对性的会谈、交流，了解系统业务功能、实现方式、网络拓扑结构等基本信息，针对重要信息系统的安全设计方案深入分析，了解其安全策略。

现场检查是自查的最主要的方法，重点检查文档类信息包括信息安全管理制度方针等；网络及安全设备、终端及主机系统、应用系统、数据库系统的配置文件的检查。如对于安全领导机构的建立及运行情况、安全规划、策略制定和落实情况、信息安全管理制度建立和落实情况需要仔细阅读相关文档查找判断自查指标结果是否符合的证据；对于网络流量及网络连接数、终端及主机登陆系统失败处理功能、应用系统访问权限开放情况等配置文档的查看需要登录设备输入命令查看结果中是否存在能够验证自查指标结果的证据。

3.2 自查流程

3.2.1 等级保护自查准备

各单位各部门抽调信息安全管理及维护人员组成检查工作组，按照检查任务要求，制定具体检查方案，明确检查目标，制定工作计划并编制《铁路信息安全等级保护自查表》，报送上级管理部门审批。

3.2.2 现场信息安全自查

全路各铁路局及相关单位对本单位内信息系统进行现场安全技术检查、检测，重点针对系统网络安全、终端及主机安全、数据库安全及信息安全管理制度的建立及落实情况等方面开展自查。其中，路局层面，重点检查各项信息安全管理制度的建立及落实情况、重要信息系统的网络架构、网络及安全设备的运行情况、重要的终端及主机设备的安全状况进行系统的排查和分析；下属各站段重点检查安全人员的责任落实情况、各项管理制度的执行情况、各类系统的安全运行现状等。

3.2.3 自查报告编制

各单位、各部门自查工作完成后，要全面总结信息安全专项自查及等级保护自查工作的情况，并通报检查结果，撰写总结报告，针对自查过程中发现的问题要及时总结，避免类似问题再次发生。

3.2.4 自查结果的分析与整理

各单位、各部门要汇总现场自查结果并全面分析，通报系统当前网络安全形势，汇报自查工作情况，并对重要信息系统存在安全隐患的情况进行核实，及时形成自查意见和安全整改建议。

3.2.5 整改计划制定与落实

针对信息安全自查结果，铁路局信息化处积极组织各单位开展系统整改工作，做好重要信息系统等级保护政策宣讲。同时，要听取被检查单位和部门自查工作情况汇报，对自查中发现的问题要提出整改意见和计划，并督促各单位及时开展系统安全整改。经技术检测发现存在安全隐患的重要信息系统和对外服务网站，要重点把控，责令其限期整改并全程跟踪。

同时，中国铁路总公司运输局信息化部应牵头建立督导检查制度，组织制定铁路行业的信息安全自查工作规范，定期或不定期对自查工作开展情况进行检查，督促落实信息安全等级保护制度，达到重点督促，以点带面的目的。

4 等级保护自查工作组织

中国铁路总公司运输局信息化部拟成立专项检查组按职责分工深入现场检查；建议各铁路局信息化处会同信息所、各业务处室、基层站段、专业运输公司主要领导要贯彻铁路总公司指示并安排部署，分管领导不定期深入现场检查督导，各专业检查组分系统落实安全专项自查和等级保护自查。自查组织机构设置如图1所示。

图1 安全自查和等级保护自查组织机构图

中国铁路总公司运输局信息化部成立信息系统安全自查和等级保护自查工作领导小组，对铁路总公司所属其它单位和各铁路局安全专项自查和等级保护自查进行指导。各铁路局信息化处会同信息所执行铁路总公司决定，认真开展本路局安全自查和等级保护自查工作，期间铁路局各业务处室、基层站段做好积极配合检查工作。建议邀请中国铁路信息技术中心、中国铁道科学研究院、各安全厂商为信息安全自查工作提供技术支持及后续咨询服务。

5 结束语

铁路行业信息系统等级保护工作尚处于起步阶段，与其它行业相比，缺乏相关标准和管理规范制度，也未建立行业信息安全等级保护测评认证体系，缺乏行之有效的测评手段。采用安全检查、风险评估、内外评测、安全运维等管理和技术手段，建立有效的安全测评与技术督查体系，切实深入地推进等级保护自查工作的开展。

等级保护自查必然会是伴随着系统等级保护生命周期的一个不断循序渐进的过程，也是等级保护测评有效开展的前提。通过在重要时间节点（如春运、暑运等）开展安全检查专项检查及等级保护自查，一方面提高了系统运维人员的专业测评效率，节约了各类资源；另一方面，将安全建设整改工作常态化稳步推进的同时，必将使铁路总公司及铁路局、管理人员保持安全意识，逐渐深刻理解信息安全防护的实际意义，更是从实际出发推动等级保护测评体系及制度尽快建立和实施的有效手段。

[1]中华人民共和国质量监督检验检疫局，中国国家标准化管理委员会. GBT 22239-2008，信息安全技术—信息系统安全等级保护基本要求[S].北京：中国标准化出版社，2008.

[2] 中华人民共和国质量监督检验检疫局，中国国家标准化管理委员会.GBT 28448-2012，信息安全技术信息—信息系统安全等级保护测评要求[S]. 北京：中国标准化出版社，2012.

[3] 刘 寅.发电集团等级保护自测评实践分析[J].中国电力，2012，10（2）：77-79.

[4] 郭启全. 国家信息安全等级保护工作的开展与实施[J]. 警察技术，2007（5）： 52-55.

责任编辑 徐侃春

Scheme design of railway information security level protection self-inspection

LIU Gang
( China Railway Information Technology Center, Beijing 100844, China )

By deeply analyzing and ref i ning the methods and content of special information security inspection, it was formed operational self-inspection contents and index systems, given the reasonable and normative self-inspection methods and procedures. The level protection self-inspection was combined with evaluation to push on level protection work effectively.

level protection self-inspection; level protection evaluation; special security inspection

U29-39

A

1005-8451（2015）02-0048-04

2014-10-08

刘 刚，高级工程师。