導(dǎo)語：鐵路行業(yè)信息安全等級(jí)保護(hù)研究一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1我國信息安全等級(jí)保護(hù)測評機(jī)構(gòu)建設(shè)情況

公安部于2009年開始等級(jí)保護(hù)測評體系的建設(shè)，2010年以來，對國家和地方等級(jí)保護(hù)協(xié)調(diào)小組推薦的測評機(jī)構(gòu)開展能力評估工作，到目前為止，已完成120多家測評機(jī)構(gòu)的申請和評估，并頒發(fā)了《信息安全等級(jí)保護(hù)測評機(jī)構(gòu)》推薦證書。120多家機(jī)構(gòu)按國家和地方兩級(jí)管理，國家級(jí)目前有7家，其中有4家主要承擔(dān)行業(yè)內(nèi)的測評工作，分別是電力、金融、教育和廣電。

2電力行業(yè)等級(jí)保護(hù)測評機(jī)構(gòu)的借鑒作用

國家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組鼓勵(lì)具有信息系統(tǒng)特色的行業(yè)申請等級(jí)保護(hù)測評機(jī)構(gòu)，旨在對具有行業(yè)特色、安全建設(shè)情況又不便向外界透露的信息系統(tǒng)開展本行業(yè)的等級(jí)測評工作。在電力、金融、教育和廣電4大行業(yè)中，電力行業(yè)信息安全等級(jí)保護(hù)測評中心是最早獲批國家級(jí)測評機(jī)構(gòu)的單位，其成功經(jīng)驗(yàn)對其它行業(yè)開展信息安全測評工作具有重要的借鑒作用。電力行業(yè)等級(jí)保護(hù)測評中心設(shè)有3個(gè)測評實(shí)驗(yàn)室，分別掛靠在國網(wǎng)電力科學(xué)研究院、中國電力科學(xué)研究院、華電卓識(shí)測評中心。3個(gè)實(shí)驗(yàn)室均為獨(dú)立法人單位，獨(dú)立承接測評業(yè)務(wù)，測評業(yè)務(wù)指導(dǎo)統(tǒng)一歸口電力行業(yè)信息安全等級(jí)保護(hù)測評中心。各測評單位的主要職能有：技術(shù)研究、安全測評、風(fēng)險(xiǎn)評估、業(yè)務(wù)咨詢服務(wù)、行業(yè)相關(guān)標(biāo)準(zhǔn)及規(guī)范編制等，對電力行業(yè)信息安全等級(jí)保護(hù)工作的開展起到引領(lǐng)和推動(dòng)作用。電力行業(yè)信息系統(tǒng)數(shù)量多，工業(yè)控制類信息系統(tǒng)占多數(shù)，其中三級(jí)系統(tǒng)有1700多個(gè)，四級(jí)系統(tǒng)有40～50個(gè)，按照公安部的要求，測評中心對本行業(yè)的三級(jí)、四級(jí)系統(tǒng)定期開展等級(jí)保護(hù)測評工作。

3建立鐵路行業(yè)等級(jí)保護(hù)測評機(jī)構(gòu)的必要性

鐵路行業(yè)的業(yè)務(wù)與電力行業(yè)十分相似，都屬于國家的重要基礎(chǔ)設(shè)施。電力行業(yè)的信息系統(tǒng)主要是電網(wǎng)控制類系統(tǒng)，屬工業(yè)控制專業(yè)，信息安全要求高；鐵路行業(yè)信息化工作主要為行車控制、客貨運(yùn)輸提供重要支撐，信息系統(tǒng)涉及控制和實(shí)時(shí)交易處理等，具有明顯的行業(yè)特點(diǎn)，專業(yè)性要求高。因此，借鑒電力行業(yè)等級(jí)保護(hù)測評機(jī)構(gòu)在本行業(yè)信息安全工作中起到的作用，有必要在鐵路行業(yè)內(nèi)部建立正規(guī)的信息安全技術(shù)隊(duì)伍，對鐵路行業(yè)的網(wǎng)絡(luò)與信息安全工作的開展起支撐作用。

3.1行業(yè)測評機(jī)構(gòu)的優(yōu)勢

如上所述，鐵路行業(yè)的信息系統(tǒng)有著行業(yè)運(yùn)行特點(diǎn)和專業(yè)特殊要求，客、貨運(yùn)輸交易及管理類系統(tǒng)涉及國計(jì)民生，列車運(yùn)行控制類系統(tǒng)與老百姓的生命安全息息相關(guān)，行業(yè)內(nèi)的測評機(jī)構(gòu)依托其自身長期的專業(yè)知識(shí)的積累，具有以下幾個(gè)方面的優(yōu)勢：（1）行業(yè)測評機(jī)構(gòu)容易理解行業(yè)信息系統(tǒng)的業(yè)務(wù)并把控安全風(fēng)險(xiǎn)行業(yè)測評機(jī)構(gòu)的從業(yè)人員大多是有著行業(yè)信息系統(tǒng)研發(fā)經(jīng)驗(yàn)的科研人員，熟悉系統(tǒng)的功能特點(diǎn)和應(yīng)用背景，長期從事行業(yè)信息安全服務(wù)工作，對行業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)把握較準(zhǔn)確。（2）便于培養(yǎng)行業(yè)內(nèi)的信息安全服務(wù)技術(shù)力量行業(yè)測評機(jī)構(gòu)通過長期積累，在技術(shù)裝備上能得到不斷提升，通過構(gòu)建與實(shí)際生產(chǎn)系統(tǒng)一致的模擬仿真測試環(huán)境，可以有效跟蹤生產(chǎn)應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)；長期從事行業(yè)內(nèi)的信息安全等級(jí)保護(hù)測評工作也給測評機(jī)構(gòu)的檢測人員提供良好的行業(yè)應(yīng)用平臺(tái)，積累服務(wù)經(jīng)驗(yàn)和技術(shù)經(jīng)驗(yàn)；通過組織培訓(xùn)班等形式，又可以將測評機(jī)構(gòu)積累的豐富經(jīng)驗(yàn)以技術(shù)研討會(huì)的形式在行業(yè)內(nèi)信息安全從業(yè)人員中傳授，有效提高行業(yè)內(nèi)信息安全整體技術(shù)服務(wù)水平。（3）行業(yè)測評機(jī)構(gòu)隊(duì)伍穩(wěn)定且人員可控性強(qiáng)公安部要求從事信息安全等級(jí)保護(hù)測評工作的人員要可控，對從事四級(jí)系統(tǒng)（重要系統(tǒng)）以上的測評人員進(jìn)行嚴(yán)格管理。行業(yè)測評機(jī)構(gòu)一般都是國企，主要從事行業(yè)內(nèi)的信息安全技術(shù)研究、等級(jí)保護(hù)測評服務(wù)等相關(guān)工作，人員除簽訂勞動(dòng)服務(wù)合同，與單位定期簽訂保密協(xié)議外，機(jī)構(gòu)也會(huì)對員工在職業(yè)發(fā)展、工資待遇、培訓(xùn)教育機(jī)會(huì)等方面給予慎重安排，使得測評人員保持較高的穩(wěn)定性和可控性。

3.2行業(yè)測評機(jī)構(gòu)的作用

（1）行業(yè)信息安全技術(shù)支撐信息安全測評第三方機(jī)構(gòu)有著豐富的信息安全專業(yè)知識(shí)，熟悉國家、行業(yè)各層級(jí)的標(biāo)準(zhǔn)和規(guī)范，通過長期在鐵路行業(yè)內(nèi)開展測評、咨詢等服務(wù)性工作，了解行業(yè)應(yīng)用系統(tǒng)的業(yè)務(wù)特點(diǎn)，掌握行業(yè)信息系統(tǒng)安全的普遍性和特殊性要求，可以為行業(yè)單位提供定制化的信息安全解決方案，對行業(yè)信息安全工作的開展起到積極的技術(shù)支撐作用。（2）行業(yè)標(biāo)準(zhǔn)規(guī)范制定根據(jù)公安部《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安[2009]1429號(hào)）的要求，重點(diǎn)行業(yè)信息系統(tǒng)主管部門可以按照等級(jí)保護(hù)國家標(biāo)準(zhǔn)，結(jié)合行業(yè)特點(diǎn)，確定行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)的具體指標(biāo)。在不低于等級(jí)保護(hù)國標(biāo)基本要求的情況下，結(jié)合鐵路行業(yè)信息系統(tǒng)安全保護(hù)的特殊需求，在行業(yè)主管部門的指導(dǎo)下制定鐵路行業(yè)的相關(guān)標(biāo)準(zhǔn)、規(guī)范或細(xì)則，指導(dǎo)鐵路行業(yè)信息系統(tǒng)安全建設(shè)、整改與測評工作。（3）信息系統(tǒng)全生命周期測評服務(wù)信息系統(tǒng)全生命周期包含5個(gè)基本階段：規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄。行業(yè)測評機(jī)構(gòu)可以在信息系統(tǒng)生命周期各階段為用戶提供有針對性的信息安全服務(wù)，使等級(jí)保護(hù)工作貫穿于信息系統(tǒng)生命周期的各個(gè)階段。規(guī)劃階段測評機(jī)構(gòu)可以幫助用戶識(shí)別危險(xiǎn)源和安全風(fēng)險(xiǎn)，確定系統(tǒng)應(yīng)達(dá)到的安全目標(biāo)，提供定級(jí)指導(dǎo)；設(shè)計(jì)階段協(xié)助提出系統(tǒng)需滿足的安全指標(biāo)，在關(guān)鍵節(jié)點(diǎn)提供安全測評服務(wù)；實(shí)施階段測評機(jī)構(gòu)提供漏洞掃描、滲透性測試、源代碼安全檢查等深度安全檢測，并根據(jù)測評結(jié)果提供安全建設(shè)整改建議；運(yùn)維階段等級(jí)保護(hù)測評的目的是掌控信息系統(tǒng)運(yùn)行期間的安全風(fēng)險(xiǎn)，按國家標(biāo)準(zhǔn)要求定期開展等級(jí)保護(hù)測評，遇網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、應(yīng)用系統(tǒng)升級(jí)改造等重大變更時(shí)進(jìn)行等級(jí)保護(hù)測評；業(yè)務(wù)廢棄階段行業(yè)測評機(jī)構(gòu)可為用戶提供軟、硬件等資產(chǎn)及殘留信息的廢棄處置方案，防止系統(tǒng)廢棄可能引入的新的風(fēng)險(xiǎn)。（4）信息安全咨詢與評估服務(wù)由于測評機(jī)構(gòu)熟悉信息安全相關(guān)的標(biāo)準(zhǔn)和規(guī)范，實(shí)踐經(jīng)驗(yàn)豐富，可以根據(jù)用戶的需要開展定制化的咨詢服務(wù)，如等級(jí)保護(hù)合規(guī)性咨詢與評估服務(wù)，風(fēng)險(xiǎn)管理咨詢服務(wù)，安全體系建設(shè)咨詢與評估服務(wù)，軟件源代碼安全咨詢服務(wù)等。（5）行業(yè)信息安全持續(xù)改進(jìn)能力培養(yǎng)測評機(jī)構(gòu)在實(shí)施某一測評任務(wù)時(shí)，一般需要在測評前期、中期和后期與用戶進(jìn)行充分的溝通，通過技術(shù)交流、設(shè)計(jì)聯(lián)絡(luò)等方式，提高用戶對等級(jí)保護(hù)基本概念、安全指標(biāo)的理解以及測評方法、檢測工具的運(yùn)用，在完成測評任務(wù)的同時(shí)，也幫助用戶提升信息安全自測能力。行業(yè)測評機(jī)構(gòu)還可通過技術(shù)講座等形式，對用戶單位信息安全分管領(lǐng)導(dǎo)、系統(tǒng)運(yùn)維人員和業(yè)務(wù)部門關(guān)鍵崗位人員進(jìn)行培訓(xùn)，通過培訓(xùn)增強(qiáng)用戶信息安全意識(shí)和運(yùn)維人員專業(yè)技術(shù)水平，使用戶具備對信息系統(tǒng)進(jìn)行安全持續(xù)改進(jìn)的能力。

3.3行業(yè)信息安全測評工作的需要

鐵路行業(yè)目前已投入使用的信息系統(tǒng)按大系統(tǒng)分有上百個(gè)，每個(gè)大系統(tǒng)按照應(yīng)用范圍又分為鐵路總公司級(jí)系統(tǒng)、鐵路局/地區(qū)中心系統(tǒng)和站段級(jí)系統(tǒng)，這些系統(tǒng)一般采取統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計(jì)、分系統(tǒng)建設(shè)的模式投入使用，各級(jí)系統(tǒng)采用不同的等級(jí)保護(hù)定級(jí)，在開展信息系統(tǒng)測評時(shí)，一般需要將大系統(tǒng)拆分為不同的子系統(tǒng)分開測評，每年可參與評測的信息系統(tǒng)數(shù)量不低。按1個(gè)鐵路總公司、18個(gè)鐵路局、上千個(gè)車站規(guī)模考慮，鐵路每年可參評的信息系統(tǒng)數(shù)量大約有上萬個(gè)左右。因此，成立鐵路行業(yè)信息安全等級(jí)保護(hù)專業(yè)測評機(jī)構(gòu)不僅是信息系統(tǒng)安全保障的需要，也是建立健全完善的鐵路運(yùn)輸整體安全體系的需要。

4結(jié)束語

信息安全等級(jí)保護(hù)建設(shè)是一項(xiàng)長期任務(wù)，作為行業(yè)的第三方測評機(jī)構(gòu)，應(yīng)協(xié)助鐵路信息安全主管部門將行業(yè)信息安全工作落到實(shí)處，開展行業(yè)相關(guān)標(biāo)準(zhǔn)與規(guī)范制訂、安全方案設(shè)計(jì)、等級(jí)保護(hù)測評、定級(jí)備案、整改建設(shè)指導(dǎo)、安全咨詢等實(shí)效性工作，在落實(shí)好公安部和行業(yè)主管部門等級(jí)保護(hù)測評工作要求的同時(shí)，幫助用戶培養(yǎng)信息安全持續(xù)改進(jìn)能力，促進(jìn)行業(yè)信息安全水平整體提升，全面發(fā)揮對行業(yè)等級(jí)保護(hù)建設(shè)工作的技術(shù)支撐作用。

作者:史宏 單位:中國鐵道科學(xué)研究院