史 宏

（中国铁道科学研究院 电子计算技术研究所，北京 100081）

建立铁路行业信息安全等级保护测评机构必要性分析

史 宏

（中国铁道科学研究院 电子计算技术研究所，北京 100081）

我国信息安全管理工作遵循分等级保护原则，要求各行各业按照等级保护思想对本行业的信息系统进行安全防护。铁路行业的信息系统具有行业特色，并与运输安全息息相关，信息系统安全的好坏需要专业的测评机构进行把控。本文就行业测评机构的优势、作用和必要性进行了分析。

信息安全；等级保护；测评机构

信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略和基本方法，开展信息系统安全等级保护工作既是加强国家信息安全保障工作的重要内容，也是各行业开展好信息系统安全工作的关键。信息系统安全措施是否落实到位不仅要在设计和建设阶段严格把关，而且要在验收和检查阶段严格管理，因此，在建立等级保护管理体系的同时，需要配套建立等级保护测评体系。

1 我国信息安全等级保护测评机构建设情况

公安部于2009年开始等级保护测评体系的建设，2010年以来，对国家和地方等级保护协调小组推荐的测评机构开展能力评估工作，到目前为止，已完成120多家测评机构的申请和评估，并颁发了《信息安全等级保护测评机构》推荐证书。120多家机构按国家和地方两级管理，国家级目前有7家，其中有4家主要承担行业内的测评工作，分别是电力、金融、教育和广电。国家级信息安全等级保护测评机构情况如表1所示。

表1 国家级信息安全等级保护测评机构

2 电力行业等级保护测评机构的借鉴作用

国家信息安全等级保护工作协调小组鼓励具有信息系统特色的行业申请等级保护测评机构，旨在对具有行业特色、安全建设情况又不便向外界透露的信息系统开展本行业的等级测评工作。在电力、金融、教育和广电4大行业中，电力行业信息安全等级保护测评中心是最早获批国家级测评机构的单位，其成功经验对其它行业开展信息安全测评工作具有重要的借鉴作用。

电力行业等级保护测评中心设有3个测评实验室，分别挂靠在国网电力科学研究院、中国电力科学研究院、华电卓识测评中心。3个实验室均为独立法人单位，独立承接测评业务，测评业务指导统一归口电力行业信息安全等级保护测评中心。电力行业等级保护测评机构的组织结构如图1所示。

图1 电力行业等级保护测评机构组织结构图

各测评单位的主要职能有：技术研究、安全测评、风险评估、业务咨询服务、行业相关标准及规范编制等，对电力行业信息安全等级保护工作的开展起到引领和推动作用。

电力行业信息系统数量多，工业控制类信息系统占多数，其中三级系统有1 700多个，四级系统有40～50个，按照公安部的要求，测评中心对本行业的三级、四级系统定期开展等级保护测评工作。

3 建立铁路行业等级保护测评机构的必要性

铁路行业的业务与电力行业十分相似，都属于国家的重要基础设施。电力行业的信息系统主要是电网控制类系统，属工业控制专业，信息安全要求高；铁路行业信息化工作主要为行车控制、客货运输提供重要支撑，信息系统涉及控制和实时交易处理等，具有明显的行业特点，专业性要求高。因此，借鉴电力行业等级保护测评机构在本行业信息安全工作中起到的作用，有必要在铁路行业内部建立正规的信息安全技术队伍，对铁路行业的网络与信息安全工作的开展起支撑作用。

3.1 行业测评机构的优势

如上所述，铁路行业的信息系统有着行业运行特点和专业特殊要求，客、货运输交易及管理类系统涉及国计民生，列车运行控制类系统与老百姓的生命安全息息相关，行业内的测评机构依托其自身长期的专业知识的积累，具有以下几个方面的优势：

（1）行业测评机构容易理解行业信息系统的业务并把控安全风险

行业测评机构的从业人员大多是有着行业信息系统研发经验的科研人员，熟悉系统的功能特点和应用背景，长期从事行业信息安全服务工作，对行业信息系统的安全风险把握较准确。

（2）便于培养行业内的信息安全服务技术力量

行业测评机构通过长期积累，在技术装备上能得到不断提升，通过构建与实际生产系统一致的模拟仿真测试环境，可以有效跟踪生产应用系统的安全风险；长期从事行业内的信息安全等级保护测评工作也给测评机构的检测人员提供良好的行业应用平台，积累服务经验和技术经验；通过组织培训班等形式，又可以将测评机构积累的丰富经验以技术研讨会的形式在行业内信息安全从业人员中传授，有效提高行业内信息安全整体技术服务水平。

（3）行业测评机构队伍稳定且人员可控性强

公安部要求从事信息安全等级保护测评工作的人员要可控，对从事四级系统（重要系统）以上的测评人员进行严格管理。行业测评机构一般都是国企，主要从事行业内的信息安全技术研究、等级保护测评服务等相关工作，人员除签订劳动服务合同，与单位定期签订保密协议外，机构也会对员工在职业发展、工资待遇、培训教育机会等方面给予慎重安排，使得测评人员保持较高的稳定性和可控性。

3.2 行业测评机构的作用

（1）行业信息安全技术支撑

信息安全测评第三方机构有着丰富的信息安全专业知识，熟悉国家、行业各层级的标准和规范，通过长期在铁路行业内开展测评、咨询等服务性工作，了解行业应用系统的业务特点，掌握行业信息系统安全的普遍性和特殊性要求，可以为行业单位提供定制化的信息安全解决方案，对行业信息安全工作的开展起到积极的技术支撑作用。

（2）行业标准规范制定

根据公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429 号）的要求，重点行业信息系统主管部门可以按照等级保护国家标准，结合行业特点，确定行业信息系统安全等级保护的具体指标[2]。在不低于等级保护国标基本要求的情况下，结合铁路行业信息系统安全保护的特殊需求，在行业主管部门的指导下制定铁路行业的相关标准、规范或细则，指导铁路行业信息系统安全建设、整改与测评工作。

（3）信息系统全生命周期测评服务

信息系统全生命周期包含5个基本阶段：规划、设计、实施、运维和废弃。行业测评机构可以在信息系统生命周期各阶段为用户提供有针对性的信息安全服务，使等级保护工作贯穿于信息系统生命周期的各个阶段。规划阶段测评机构可以帮助用户识别危险源和安全风险，确定系统应达到的安全目标，提供定级指导；设计阶段协助提出系统需满足的安全指标，在关键节点提供安全测评服务；实施阶段测评机构提供漏洞扫描、渗透性测试、源代码安全检查等深度安全检测，并根据测评结果提供安全建设整改建议；运维阶段等级保护测评的目的是掌控信息系统运行期间的安全风险，按国家标准要求定期开展等级保护测评，遇网络结构调整、应用系统升级改造等重大变更时进行等级保护测评；业务废弃阶段行业测评机构可为用户提供软、硬件等资产及残留信息的废弃处置方案，防止系统废弃可能引入的新的风险[3]。

（4）信息安全咨询与评估服务

由于测评机构熟悉信息安全相关的标准和规范，实践经验丰富，可以根据用户的需要开展定制化的咨询服务，如等级保护合规性咨询与评估服务，风险管理咨询服务，安全体系建设咨询与评估服务，软件源代码安全咨询服务等。

（5）行业信息安全持续改进能力培养

测评机构在实施某一测评任务时，一般需要在测评前期、中期和后期与用户进行充分的沟通，通过技术交流、设计联络等方式，提高用户对等级保护基本概念、安全指标的理解以及测评方法、检测工具的运用，在完成测评任务的同时，也帮助用户提升信息安全自测能力。行业测评机构还可通过技术讲座等形式，对用户单位信息安全分管领导、系统运维人员和业务部门关键岗位人员进行培训，通过培训增强用户信息安全意识和运维人员专业技术水平，使用户具备对信息系统进行安全持续改进的能力。

3.3 行业信息安全测评工作的需要

铁路行业目前已投入使用的信息系统按大系统分有上百个，每个大系统按照应用范围又分为铁路总公司级系统、铁路局/地区中心系统和站段级系统，这些系统一般采取统一规划、统一设计、分系统建设的模式投入使用，各级系统采用不同的等级保护定级，在开展信息系统测评时，一般需要将大系统拆分为不同的子系统分开测评，每年可参与评测的信息系统数量不低。按1个铁路总公司、18个铁路局、上千个车站规模考虑，铁路每年可参评的信息系统数量大约有上万个左右。

因此，成立铁路行业信息安全等级保护专业测评机构不仅是信息系统安全保障的需要，也是建立健全完善的铁路运输整体安全体系的需要。

4 结束语

信息安全等级保护建设是一项长期任务，作为行业的第三方测评机构，应协助铁路信息安全主管部门将行业信息安全工作落到实处，开展行业相关标准与规范制订、安全方案设计、等级保护测评、定级备案、整改建设指导、安全咨询等实效性工作，在落实好公安部和行业主管部门等级保护测评工作要求的同时，帮助用户培养信息安全持续改进能力，促进行业信息安全水平整体提升，全面发挥对行业等级保护建设工作的技术支撑作用。

[1] 朱世顺，陈雪鸿，石 磊.浅谈行业测评机构在等级保护工作中的作用[J].信息网络安全，2012（Z1）.

[2] 中华人民共和国公安部. 关于开展信息安全等级保护安全建设整改工作的指 导意见，公信安[2009]1429 号[Z].北京：中华人民共和国公安部，2009.

[3] 白 璐. 信息系统安全等级保护物理安全测评方法研究[J].信息网络安全，2011（12）：89-92.

责任编辑 陈 蓉

Necessity of establishing railway information security protection evaluation agency

SHI Hong
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

China's information security management work was followed the principle of level protection, in accordance with the level of protection requirements. Since the railway industry information systems was with the industry characteristics, the information system was also a matter of safety of railway transportation, specialized agencies were required to estimate the quality of information system security. In this paper, the advantages, the role and necessity of industry evaluation agency were analyzed.

information security; level protection; evaluation agency

U29-39

A

1005-8451（2015）02-0066-03

2014-10-08

史 宏，研究员。