沈 路

（武漢鐵路局 信息技術處，武漢 430071）

隨著我國經(jīng)濟社會的迅速發(fā)展，信息化建設取得令人矚目的成績，信息系統(tǒng)在各行各業(yè)的生產(chǎn)、經(jīng)營工作中發(fā)揮著越來越重要的作用。鐵路信息化是鐵路現(xiàn)代化的重要標志，也是覆蓋鐵路現(xiàn)代化全局的戰(zhàn)略舉措。隨著鐵路各專業(yè)對鐵路信息系統(tǒng)依賴程度的日益增加，信息系統(tǒng)安全問題受到普遍關注。

信息系統(tǒng)安全風險評估就是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，為防范和化解信息系統(tǒng)安全風險，將風險控制在可接受的水平，最大限度地保障信息系統(tǒng)安全提供科學依據(jù)。

1 信息系統(tǒng)安全風險評估

信息系統(tǒng)安全風險評估工作主要是評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對各單位造成的影響。評估中的要素包括資產(chǎn)、風險、威脅、脆弱性和安全措施等內容，見圖1所示。

圖1 風險評估要素關系

信息系統(tǒng)安全風險評估圍繞著基本要素展開，在對基本要素的評估過程中，要充分考慮業(yè)務戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等與這些基本要素相關的各類屬性。

通過信息系統(tǒng)安全風險評估，各單位能進一步提高對信息系統(tǒng)資產(chǎn)價值的認識，識別出資產(chǎn)中存在的威脅和威脅發(fā)生時資產(chǎn)的脆弱性，根據(jù)威脅和威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性，并由此計算安全事件可能給單位造成的損失，從而鑒別信息系統(tǒng)是否存在不可接受的風險，并因此確定是否要對當前的安全措施進行修正和完善，以不斷提高單位對信息系統(tǒng)安全管理的能力和水平。

2 鐵路信息系統(tǒng)安全風險評估的實施步驟

鐵路信息系統(tǒng)安全風險評估過程就是在評估標準的指導下，綜合利用相關評估技術、評估方法，針對鐵路信息系統(tǒng)展開評估工作的完整歷程。鐵路信息系統(tǒng)安全風險評估可以分為3個階段：評估準備階段、要素識別階段、風險分析階段。鐵路信息系統(tǒng)安全風險評估的具體過程可以參考圖2。

2.1 評估準備階段

評估準備階段主要是要明確評估目標、確定評估范圍、組建評估小組，對主要業(yè)務、組織結構、規(guī)章制度和信息系統(tǒng)進行初步調研，并進一步研究確定風險分析方法和評估項目的實施方案，以指導后續(xù)工作的開展。評估準備階段是進行鐵路信息系統(tǒng)風險評估的啟動環(huán)節(jié)，只有通過充分的調研、準確的分析和精密計劃，才能保證整個評估共組的順利開展。

2.2 要素識別階段

圖2 鐵路信息系統(tǒng)安全風險評估的實施步驟

要素識別階段的工作內容是對鐵路信息系統(tǒng)安全風險的資產(chǎn)、威脅和脆弱性等幾個要素進行識別，并驗證已有的安全措施的有效性，同時要根據(jù)風險評估方法對各相關要素進行分類量化賦值，為風險分析階段提供必要的基礎數(shù)據(jù)。

2.2.1 資產(chǎn)識別

鐵路信息系統(tǒng)的資產(chǎn)包括文檔數(shù)據(jù)、軟硬件產(chǎn)品、外部服務、關鍵人員等內容。資產(chǎn)識別主要是評價其保密性、完整性和可用性，3個安全屬性的達成程度或者是這3個安全屬性未達成時造成的影響程度。一般通過對資產(chǎn)的保密性、完整性和可用性進行量化賦值，并進行加權計算得到資產(chǎn)價值最終量化賦值結果。

2.2.2 威脅識別

鐵路信息系統(tǒng)的威脅主要包括自然災害、環(huán)境影響、系統(tǒng)故障、網(wǎng)絡故障、設備故障、操作錯誤、管理失職、越權訪問、網(wǎng)絡攻擊、惡意代碼攻擊、篡改信息、物理破壞、信息泄露等內容，可按威脅出現(xiàn)的頻率分類量化賦值。

2.2.3 脆弱性識別

脆弱性識別是風險評估中最重要的一個環(huán)節(jié)，要以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估。鐵路信息系統(tǒng)的脆弱性包括物理環(huán)境、網(wǎng)絡結構、系統(tǒng)軟件、應用系統(tǒng)、保護策略、組織管理等方面的內容，可以根據(jù)脆弱性對資產(chǎn)的暴露程度、技術實現(xiàn)的難易程度對已識別的脆弱性的嚴重程度進行量化賦值。

2.2.4 已有安全措施的確認

安全措施的確認應該是評估安全措施的有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施應當繼續(xù)保持，對確認不恰當?shù)陌踩胧斎∠蜻M行修正完善。

2.3 風險分析階段

風險分析階段的主要內容是根據(jù)前面兩個階段的數(shù)據(jù)，采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性，并對風險評估的結果進行等級化處理。對發(fā)現(xiàn)的不可接受的風險根據(jù)導致該風險的脆弱性制定風險處理計劃，選擇合適的安全措施以降低風險的影響，并進行再次評估以確定殘余風險是否已經(jīng)降低到可接受的水平。風險分析結束時，風險評估小組要提供風險分析報告和風險控制建議。

2.3.1 風險計算

風險計算的常用函數(shù)為：

R=f (L(t, v), F(a, v)) （1）

其中，R表示風險值，a表示資產(chǎn)價值，t表示威脅發(fā)生的頻率，v表示脆弱性嚴重程度，L表示威脅利用資產(chǎn)的脆弱性導致安全事件的可能性，F(xiàn)表示安全事件發(fā)生后造成的損失。常用的風險計算方法有矩陣法和相乘法兩種，相對而言相乘法比較簡單而且應用較廣。常用的相乘法的計算方法為：

其中x和y代表要素所賦的數(shù)值。

風險計算的步驟為：

（1）對要素威脅和脆弱性使用相乘法計算威脅利用資產(chǎn)的脆弱性導致安全事件的可能性；（2）其次對要素資產(chǎn)和脆弱性使用相乘法計算安全事件發(fā)生后造成的損失；（3）對安全事件發(fā)生的可能性和安全事件發(fā)生后造成的損失使用相乘法計算風險值。

對于信息系統(tǒng)的任何一個資產(chǎn)而言，可能面對不同的威脅和不同的脆弱性，而同一個脆弱性又可能被不同的威脅利用，因此對于信息系統(tǒng)的每一項資產(chǎn)所面對的每一項威脅及其對應的每一項脆弱性都要進行計算。

2.3.2 風險結果判定

為了實現(xiàn)對風險的控制與管理，應當對風險評估的結果進行等級化處理。一般可以將風險劃分為5個等級，等級越高，風險越大。評估小組要根據(jù)風險值的計算結果設定不同等級的風險值范圍，并對每一個風險計算結果都進行等級化處理。等級化處理后，如果資產(chǎn)的風險是可以接受的，應保持現(xiàn)有的安全措施不變；如果資產(chǎn)的風險不可接受，必須調整安全措施以降低安全風險。

3 對鐵路信息系統(tǒng)安全風險評估工作的建議

當前鐵路信息系統(tǒng)安全風險評估工作的重要性已經(jīng)得到廣大信息技術工作人員的認可，但是由于鐵路信息系統(tǒng)安全風險評估工作起步較晚，對鐵路信息系統(tǒng)安全風險評估的研究還不深入。另外，由于鐵路信息系統(tǒng)的不斷發(fā)展，以及其所在環(huán)境的不斷變化，任何安全措施都不能保證在鐵路信息系統(tǒng)長時間運行過程中的萬無一失。因此，應當對鐵路信息系統(tǒng)進行定期安全風險評估，以保證鐵路信息系統(tǒng)的安全運行。因此，對于鐵路信息系統(tǒng)安全風險評估工作建議如下：

3.1 進一步加強鐵路信息系統(tǒng)安全風險評估的制度建設

（1）建立鐵路信息系統(tǒng)安全風險評估標準，保證風險評估工作開展有據(jù)可依、方法正確。（2）建立鐵路信息系統(tǒng)安全風險評估機制，明確相關部門在信息系統(tǒng)安全風險評估工作中的職責，確定信息系統(tǒng)安全風險評估周期及結果運用辦法。（3）細化鐵路信息系統(tǒng)安全風險評估辦法，使信息系統(tǒng)安全風險評估在信息系統(tǒng)的規(guī)劃、研發(fā)、建設、運維、升級及退出的整個生命周期都能有效地開展。（4）解決好信息系統(tǒng)安全風險評估與鐵路信息系統(tǒng)等級保護工作之間的銜接問題，讓信息系統(tǒng)安全風險評估為鐵路信息系統(tǒng)安全保護工作提供科學的依據(jù)，為確立信息系統(tǒng)的安全保障能力提供判斷標準。

3.2 進一步加強鐵路信息系統(tǒng)安全風險評估人員培訓與技能管理

（1）加大培訓力度，制訂全路信息系統(tǒng)安全風險評估工作的培訓計劃，編寫培訓教材，通過學習提高技術水平。（2）合理使用社會資源，通過聘請富有經(jīng)驗的專家、學者，或是邀請第3方評估機構在路內進行評估試點，并組織評估人員現(xiàn)場學習和交流，不斷積累評估工作經(jīng)驗，提高實際評估技術能力。（3）對技術人員進行系統(tǒng)的認證培訓，實行信息系統(tǒng)安全風險評估工作持證上崗。

3.3 進一步加強鐵路信息系統(tǒng)安全風險評估的研發(fā)與創(chuàng)新

（1）加大研發(fā)力度，針對鐵路信息系統(tǒng)現(xiàn)狀研制出專業(yè)的風險評估工具。（2）創(chuàng)新工作思路，將信息系統(tǒng)安全風險評估工作與信息系統(tǒng)運維工作緊密結合，充分使用信息系統(tǒng)安全風險評估工具和計算機系統(tǒng)監(jiān)控等自動化平臺代替人工勞動，爭取對信息系統(tǒng)進行實時風險分析，實現(xiàn)鐵路信息系統(tǒng)的安全可控。

4 結束語

鐵路信息系統(tǒng)安全風險評估工作對于鐵路信息系統(tǒng)的安全運行至關重要，只有不斷提高認識、完善機制、加強管理，才能真正推動鐵路信息系統(tǒng)安全風險評估工作不斷發(fā)展，保證鐵路信息系統(tǒng)安全穩(wěn)定運行，為鐵路協(xié)調發(fā)展、和諧發(fā)展、可持續(xù)發(fā)展提供堅實的信息技術支撐。

[1]寧家駿.關于推進我國信息安全風險評估的思考[J].專題研究，2010，9.

[2]馮登國，張 陽，張玉清，等. 信息安全風險評估綜述[J]，通信學報，2004，7.

[3]信息安全技術信息安全風險評估規(guī)范[S]. GB/T 20984—2007.

[4]范 紅，馮登國，吳亞非.信息安全風險評估方法與應用[M]，北京：清華大學出版社，2006，5.