基于关键信息基础设施安全保护要求的风险管控研究.pdf

1、基于关键信息基础设施安全保护要求的风险管控研究崔日云，付晓丹（中国铁道科学研究院集团有限公司电子计算技术研究所，北京100081）摘要：为提升铁路关键信息基础设施综合防护水平，文章设计基于关键信息基础设施安全保护要求的风险管控流程，从风险识别与分析、技术安全保护、管理安全保护、预警处置等角度，提出关键信息基础设施的信息安全风险管控方法，并给出风险报告示例。研究结果可为铁路有关单位开展安全保护工作提供参考，为进一步完善我国关键信息基础设施安全防护工作提供支撑。关键词：关键信息基础设施；技术安全；管理安全；预警处置；风险报告中图分类号：U29:TP39文献标识码：ADOI：10.3969/j.is

2、sn.1005-8451.2023.11.03Risk management and control based on security protection requirements forcritical information infrastructureCUIRiyun，FUXiaodan(InstituteofComputingTechnologies,ChinaAcademyofRailwaysSciencesCorporationLimited,Beijing100081,China)Abstract:Inordertoimprovethecomprehensiveprotect

3、ionlevelofrailwaycriticalinformationinfrastructure,thispaper designed a risk management and control process based on the security protection requirements of criticalinformationinfrastructure,proposedinformationsecurityriskmanagementandcontrolmethodsforcriticalinformationinfrastructure from the persp

4、ectives of risk identification and analysis,technical security protection,managementsecurityprotection,earlywarninganddisposal,andprovidesriskreportexamples.Theresearchresultscanprovidereferenceforrailwayrelatedunitstocarryoutsecurityprotectionwork,andprovidesupportforfurtherimprovingthesecurityprot

5、ectionworkofkeyinformationinfrastructureinChina.Keywords:keyinformationinfrastructure；technicalsecurity；managementsecurity；earlywarninganddisposal；riskreporting随着信息技术的飞速发展，网络安全风险日益突出，铁路关键信息基础设施安全保护工作逐渐受到了各方重视。关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融等重要行业和领域，以及其他影响国家安全、国计民生、公共利益的重要网络设施、信息系统等，其一旦遭到破坏，将严重威胁国家财产

6、和安全1。因此，加强铁路关键信息基础设施的安全防护成为铁路行业网络安全工作的重中之重。众多学者对关键信息基础设施的安全防护作了相关研究。吕欣等人2从战略规划、安全运作管理和安全技术保障等 3 个维度设计了大数据安全保障技术方案，为建立可持续提升的大数据安全和隐私保护能力提供技术参考；刘金瑞3提出我国网络关键基础设施立法的基本思路和制度建构；洪延青4提出关键信息基础设施的安全保护制度应有新的设计思路和工作要求。基于以上研究，本文设计基于关键信息基础设施安全保护要求的风险管控流程，从风险识别、分析、评价、处置等方面提出风险管控方法，以期为我国铁路关键信息基础设施安全防护工作提供支撑。收稿日期：20

7、23-07-31基金项目：中国国家铁路集团有限公司科技研究开发计划系统性重大课题（P2022S007）作者简介：崔日云，工程师；付晓丹，高级工程师。第32卷 第11期Vol.32 No.11评估评价Estimation and Evaluation文章编号：1005-8451（2023）11-0011-04RCA2023.11 总第 320 期11 1 关键信息基础设施的信息安全风险管控流程关键信息基础设施的信息安全风险管控遵循整体防控、重点保护、动态防护、协同联动原则，其流程如图 1 所示。图1关键信息基础设施风险管控流程通过风险识别与风险分析，对风险作出评估和分类，以确定风险的可能性、影响

8、程度及频率；对风险进行评价，对其中不可接受的风险进行风险处置，针对不同的风险采取不同的手段或措施，由此，实现对风险的全方面管控。2 前期风险管控 2.1 风险识别风险识别是风险管理的基础，指通过识别风险源、风险影响范围、风险原因及其潜在的后果等形成的风险列表。风险识别应遵循符合性、全面性、客观性、系统化的基本原则5，包括以下 3 个方面。2.1.1业务识别业务识别主要确定业务服务的能力、对象、业务流程和范围，以及对业务整体性与关联性的识别，包括关键业务与其他业务的关系等。2.1.2资产识别资产识别是指通过正确的方式识别对组织产生重要影响且需要保护的资产的过程。系统资产价值要根据系统资产的保密性

9、、完整性和可用性赋值，并根据系统业务承载性、服务重要性综合计算其价值。2.1.3重点风险识别根据 GB/T20984-20226等安全评价准则，对关键业务链进行安全风险分析，确定关键业务链各环节的威胁、脆弱性，确定现有安全控制措施，剖析重点安全风险点。2.2 风险分析风险分析是在风险识别的基础上开展的，其过程为：（1）根据威胁的风险及脆弱性被利用的难易程度，计算出安全事件发生的可能性；（2）根据脆弱性的影响程度和资产价值，计算出安全事件发生后对评估对象造成的损失；（3）根据安全事件发生的可能性和安全事件发生后造成的损失，计算出系统资产面临的风险值；（4）根据资产风险值计算出业务风险值6。2.3

10、 风险评价风险评价包括系统资产风险评价和业务风险评价，是根据风险分析结果与风险准则的比较结果来判定风险是否属于可接受的过程。在确保目标规划更合理和计划更可行的基础上，根据实际情况选择恰当的风险策略，可得到最佳的风险策略组合。3 风险处置措施风险处置指为了将风险始终控制在可接受的范围内，通过选择并执行风险处置措施来更改风险的过程5，处置措施如图 2 所示。图2风险处置措施 3.1 技术安全保护3.1.1收敛暴露面识别并降低互联网和内部网络资产的网络协议地址、终端、应用业务等暴露面，减少互联网出口评估评价2023年11月RCA122023.11 总第 320 期总量；减少对外曝光机构结构、电子邮件

11、账号、组织通信录等内部信息，预防社会工程学入侵；避免在公共存储空间保存能够被攻击者使用的技术文档。3.1.2攻击的发现与阻断研究网络攻击的途径、方法，根据观察发现的进攻行为，划分进攻路径、进攻对象，设定多道防御。3.1.3安全通信网络对通信线路、网络重要节点及关键设备进行冗余备份；各个网络安全等级保护系统间、各个业务系统间、各个区域的系统间形成安全互联政策，严格控制其运行、数据交换和方向，且其同一使用者的使用身份和访问控制策略保持一致性；应当通过网络审计措施，监控、录入网络安全事件。3.1.4安全计算环境通过多因子身份识别方法对用户进行身份识别；对关键客户服务操作、关键客户服务及非正常客户使用

12、情况实施审核记录；通过安全标记等方式，对重要业务数据资源进行有效访问；通过技术手段，预防高级可持续威胁，进行主动防御，有效辨识、抑制病毒的入侵活动；通过自动化手段，对用户、漏洞、补丁、病毒库等信息进行集中管理。3.1.5数据安全防护基于数据分类的国家安全防护策略，确立安全管理责任和评估考核，在国家境内经营中获取并形成的个人信息和关键数据保存于国内；敏感数据通过加密、脱敏、去标识化等技术手段保护；控制行业的连续性并建立容灾备份体系；当关键数据废弃后，根据数据安全保护策略对已保存的信息加以管理。3.1.6攻防演练根据攻防训练中出现的安全问题和风险加以及时修正，减少结构性、全局性风险。3.2 管理安

13、全保护3.2.1安全等级保障依据我国网络安全等级保护制度有关规定，进行计算机网络和信息系统的定级、备案、安全建设整改和等级测评等工作7。3.2.2安全管理制度建立适应本组织关键信息基础设施的安全保护规划文件，并经审查后下发至有关工作人员；建立基于关键服务链安全的管理体系与安全策略。3.2.3安全管理机构设立安全工作委员会或领导小组，专门负责管理关键信息基础设施安全保障工作；设置专业安全机构，设置、执行安全考评和监管问责制度。3.2.4安全建设管理网络安全技术措施和关键信息基础设施修建、改造、升级等工作同步计划、同步施工、同步使用，并通过检测、考核、攻防训练等多种形式验证。3.2.5安全运维管理

14、确保关键信息基础设施的运行维护（简称：运维）地址设在我国境内，否则，应满足国家有关法规；签定运维保密协定，使用已登记备案的运维工具，否则，应对工具进行使用前恶意代码检查。3.2.6攻防演练管理根据关键业务的可持续性确定训练场地，定期组织进行攻防训练；将关键信息基础设施核心供应链、紧密上下游产业链等有关单位列入训练内容。3.3 预警处置预警处置是在对风险信号接收、评估、衡量的基础上，提出有无风险、风险大小、风险危害程度及风险处置方案的过程，其流程如图 3 所示。图3闭环预警机制流程3.3.1预警监测在互联网边界、出口等互联网重要节点部署攻击监控装置，识别网络攻击和未知危险；构建常见系统通信流量或

15、事态的模式，全面获取安全日志；引入智能化制度，对关键业务所包含的系统的所有监测信息进行综合分析，分析整体的安全态势。在出现可能影响关键业务的情况后，主动报警，第32卷 第11期崔日云等：基于关键信息基础设施安全保护要求的风险管控研究评估评价RCA2023.11 总第 320 期13并主动采取相应保护措施，减少重点业务被干扰的风险。对可能产生很大危害的内部预警信息，应当根据有关机关规定加以通告。3.3.2预警研判在出现有可能影响关键业务的安全事故时，根据网络攻击的途径、方法，划分进攻路径、进攻对象；及时对网络攻击活动进行溯源，系统、全面地剖析网络攻击意图、技能及流程，并做好相关数据分析和还原，以

16、此完善预警研判，形成事件汇报。3.3.3预警响应根据预警研判结果，形成不同的预警响应时间、部门及不同的预警处置方案5。3.3.4预警处置根据技术安全保护和管理安全保护方法，对安全事件预警进行处置。3.3.5预警解除风险评价问题得以处理，系统可以正常工作后，将按时公布响应工作完成。责任单位按照主动防御状态，判断是否解除警报，并适时发出预警解除信息。3.4 重新识别针对风险识别、监测与预警、在主动防御中出现的重大安全隐患及已发现的重大安全事件，以及处理后果，根据安全威胁和风险变动状况进行评价，在必要时再次开展风险识别、资产管理、风险分析和评价的工作，并调整安全策略。4 风险报告风险评估报告是风险分

17、析阶段的输出文件，是对风险分析阶段工作的总结，其内容包括但不限于：项目背景、评估范围、评估目标、评估依据、评估原则、风险分析模型、风险评估方法、评估流程、风险识别和分析、风险计算方法及风险评价等8。风险评估报告输出文档示例如表 1 所示。表1风险报告输出内容示例任务输出文档文档内容单元评估风险评估报告的单元评估部分汇总统计各评估指标的各个评估对象的脆弱性值脆弱性修正风险评估报告的安全措施作用后的脆弱性修正部分分析被评估系统安全状况及对各评估对象评估结果的修正情况风险分析与定性计算风险评估报告中风险计算与分析，以及总体评价部分结合单元评估和脆弱性修正结果，计算各个评估对象的风险值，从而获得被评估

18、系统中存在风险程度的顺序，明确风险的特点（无关紧要、可接收、待观察、不可接收等）评估结论形成综合分析结论对评估结果进行分析，形成评估结论（高/中/低危）风险控制建议风险控制建议针对被评估系统的安全问题提出整改建议风险评估报告编制经过评审和确认的风险评估报告项目背景、评估范围、评估目标、评估依据、评估原则、风险分析模型、风险评估方法、评估流程、被评估系统描述、风险识别和分析、风险计算方法及风险评价等 5 结束语关键信息基础设施风险管控对维护国家安全、保障社会经济健康发展等具有重大意义，本文从技术、管理、预警处置等方面设计风险管控流程，可为铁路信息系统构建全面的网络安全防御体系提供支撑。未来可在网

19、络安全检查、网络安全等级保护测评、网络安全建设等方向持续深入研究，为铁路关键信息基础设施安全防护提供新的建设思路。参考文献国家市场监督管理总局，国家标准化管理委员会.信息安全技术关键信息基础设施安全保护要求：GB/T39204-2022S.北京：中国标准出版社，2022.1吕欣，韩晓露.健全大数据安全保障体系研究J.信息安全研究，2015，1（3）：211-216.2刘金瑞.我国网络关键基础设施立法的基本思路和制度建构J.环球法律评论，2016，38（5）：116-133.3洪延青.以风险管理思想统筹设计关键信息基础设施保护工作J.中国信息安全，2017（8）：28-32.4曹雅斌，尤其，何志明.信息安全风险管理与实践M.北京：电子工业出版社，2021.10.5国家市场监督管理总局，国家标准化管理委员会.信息安全技术信息安全风险评估方法：GB/T20984-2022S.北京：中国标准出版社，2022.6李越，张振川，林川倩.网络安全等级保护下数据安全治理初探J.铁路计算机应用，2023，32（2）：78-81.7魏长水，姚洪磊.铁路信息系统网络安全风险评估指标体系研究J.铁路计算机应用，2020，29（8）：33-37.8责任编辑朱一评估评价2023年11月RCA142023.11 总第 320 期