文 | 公安部铁路公安局 高鹏;沈阳铁路公安局 杨灵国
网络安全等级保护制度的实施对保护国家重要信息资产、防止网络攻击和信息泄露,发挥了重要作用。铁路网络根据自身的特点不断推进网络安全等级保护的定级、备案及监督检查等相关工作。然而,由于其网络繁杂、多样,检查对象点多面广、数量众多,导致很多网络运营者在开展网络定级、监督检查方面仍面临严峻挑战。研究铁路行业网络安全等级保护管理情况,梳理定级、监督检查的思路、方法和流程,可以为铁路网络的等级保护管理提供指导和帮助。
一、铁路网络定级的依据和流程
《网络安全法》第二十一条规定:“国家实行网络安全等级保护制度”。《网络安全法》要求网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。《网络安全等级保护条例(征求意见稿)》要求网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作。根据《关于开展全国重要信息系统安全等级保护定级工作的通知》的要求,铁路等行业、部门的生产、调度、管理、办公等重要信息系统,需开展定级、备案、监督检查等工作。依据《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)的要求,结合铁路行业网络安全等级保护的定级和评审经验,铁路网络的定级流程通常包括确定定级对象、初步确定等级、专家评审、主管部门审核和公安机关备案审查五个方面,最终确定等级。
(一)确定定级对象
无论是在铁路网络安全生产网、内部服务网、外部服务网或者互联网的基础信息网络、工业控制系统、云计算平台、物联网、移动互联系统、大数据及其他系统,均需进行等级保护定级。作为定级对象的网络应具有三个基本特征:其一,能够明确定级对象网络的主要安全责任单位。由于铁路网络涉及的站段、部门较多,应避免在发生安全事件时出现“三不管”或“相互推脱”的现象,需按照“谁主管谁负责、谁使用谁负责、谁运营谁负责”的原则确定安全责任主体。其二,承载相对独立的业务。作为定级对象,应承载相对独立的业务。对完成不同业务目标或者支撑不同单位或不同部门职能的多个网络、存在少量业务交互、具有独立身份认证体系的网络,应划分为不同的定级对象。其三,具有网络的基本要素。作为定级对象的网络(除大数据等特殊对象外),应该由相关的和配套的设备、设施按照一定的目标和规则组合而成的多资源集合、单一设备(如服务器、终端、网络设备等),不单独定级。
(二)初步确定等级
初步定级应充分考虑定级对象的部署位置(安全生产网、内部服务网、外部服务网或互联网)、部署方式(单一单位或多站段部署等)、业务类型(生产控制或管理等)、数据量、是否涉及敏感信息等因素,结合定级对象的业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度,判定定级对象的等级。其中,与《网络安全等级保护定级指南》重复的内容,本文不再进行描述。结合铁路网络的定级经验,可以参考如下判定规则(见表 1)。
表1 铁路网络初步定级判定规则
部分网络定级的具体级别需参考以上判定规则进行调整,原则上不低于下表安全保护等级(见表 2)。
表2 铁路网络初步定级参考表
(三)专家评审
铁路网络定级的专家评审,需邀请至少由行业专家和安全专家组成的单数专家组进行,人数不少于 5 人。对拟确定为第四级及以上的,由运营使用单位或主管部门请国家网络安全保护等级专家评审委员会评审,人数不少于 7 人。对拟确定为第三级及以下的,行业专家需在铁路专家库、从事该业务 5 年及以上的行业公认的中级或高级工程师中抽选。安全专家可由铁路专家库网络安全等级保护方向的专家、上级主管部门网络安全方向的专家、网络安全主管等级保护工作的人员、测评机构高级测评师中进行抽选。网络安全专家人数应超过半数。当专家评审意见与网络运营者意见不一致时,由网络运营者决定网络的安全保护等级,并将定级情况及专家意见同时上报公安机关。为便于专家进行安全保护等级的评审,建议除提交定级报告外,需要附带或说明被测对象如下信息(见表 3)。
表3 被测对象基本信息表
(四)主管部门审核
铁路网络的安全保护等级,需经行业主管或上级主管部门审核。局集团公司网络需经中国铁路集团公司审核,站段网络需经所属局集团公司审核。专家评审中邀请上级主管部门网络安全专家的,无法代替主管部门审核意见。主管部门审核意见需加盖单位公章。
(五)公安机关备案审查
铁路网络定级对象的运营、使用单位将初步定级结果提交公安机关进行备案审查,安全保护等级为第一级的网络,需提交报备信息。审查不通过的,其运营使用单位组织重新定级;审查通过后最终确定定级对象的安全保护等级。
二、铁路网络的网络安全监督检查
针对铁路网络的定级,需通过开展网络安全监督检查工作,及时发现和整改网络安全风险隐患和问题,监督、指导网络运营者全面落实网络安全主体责任和保护措施,大力提升铁路网络安全和数据安全保护能力和水平。
(一)网络安全监督检查流程
网络安全检查工作是网络安全保障工作的重要环节,为确保等级保护监督检查的高效实施,切实落实网络安全等级保护制度,全面加强网络安全防范、网络安全事件应急处置、重大活动网络安全保护等关键任务,要依照国家法律法规规定和相关标准规范要求,明确网络安全监督检查流程,确保网络系统安全并识别潜在的安全风险。监督检查流程包括长期规划、检查准备工作、编制检查方案、现场检查和检查总结。
1. 长期规划
网络安全监督检查已常态化。在落实检查时,应制定长期规划。保证在完成基本的检查内容的同时,为每次检查设置不同的重点,如网络边界安全、供应链安全、数据安全等。每次检查依据长期规划实施,做到全面性与针对性并重。
2. 检查准备工作
在每次开展监督检查前,应依据总体规划并结合当时的网络安全形势,制定本次《检查工作方案》。明确本次检查的目标,确定被检查单位及被检查的信息系统,建立与被检查单位的沟通协调机制。组建由网络安全专家、行业专家组成的检查技术支撑团队。编制应急处置预案,组建监督检查工作的应急处置队伍。
3. 编制检查方案
为保证网络安全监督检查顺利进行,规划检查过程中可能遇到的问题,协调被检查单位做好前期准备,在检查前,应制定《检查方案》,明确检查目的、检查依据,确定检查对象,对被检查单位的配合人员及准备工作提出明确要求,说明现场检查的方式、方法及使用的检测工具,并规定现场检查中突发问题的处置流程。《现场检查方案》应由公安机关、被检查单位、技术支撑专家团队共同审核后执行。
4. 现场检查
进行现场网络安全监督检查时,检查组成员在被检查单位相关人员的配合下,综合使用安全审查、安全审计、漏洞扫描、应用扫描、渗透测试等检查方法,在技术层面上对物理环境、通信网络、安全边界、安全计算环境、安全计算中心进行检查,在管理层面上对被查单位的安全管理制度、安全管理机构、人员安全管理、系统安全建设、系统运维管理进行检查。检查人员对发现的问题进行详细记录。现场检查结束后,检查组向被检查单位反馈检查中发现的问题,问题严重的可下达限期整改通知。
5. 检查总结
网络安全监督检查工作全部结束后,对本次检查工作进行总结。总结内容主要包括:汇总检查中发现的问题,从单位类别、系统类型、应用技术、网络结构等不同维度统计分析,提炼出共性问题,对遇到的问题进行全面的整改,并在此基础上进行细致的总结,达到举一反三的目的;本次检查中存在的问题,用以改进以后的检查工作;整理并存档检查记录、检查报告,供以后检查参考。
(二)网络安全监督检查指标库
网络安全监督检查指标库是网络安全监督检查工作的重要参考依据,用于评估网络安全的状况、识别潜在的安全风险,并指导监督检查的实施。一个完善的网络安全监督检查指标库涵盖多个方面,包括检查指标设计的原则及依据、检查指标库结构设计、应用场景设计和指标设计。
1. 检查指标设计的原则及依据
网络安全监督检查指标的选择应遵循合法性原则、标准性原则、精准化原则、动态迭代原则。监督检查是依据我国的法律法规进行的,检查指标应符合《网络安全法》《个人信息保护法》《数据安全法》《信息安全等级保护管理办法》《关键信息基础设施安全保护条例》等国家网络安全法律法规的要求。检查指标应从等级保护基本要求、等级保护设计要求等国家标准、行业标准、团体标准及企业标准中选取。监督检查时间有限、资源有限,检查指标设计时应突出精准化和可操作的特点,检查重点、突出问题,对照技术标准中的要求全面核查。检查指标应立足于铁路行业,并结合信息技术、网络安全技术、网络安全事件分析的最新成果,动态调整,与铁路行业网络安全态势相符合。
2. 检查指标库结构设计
网络安全监督检查指标库采用“应用场景-检查指标”体系构建,其中,场景包括通用场景、关键信息基础设施场景、新技术新应用场景、铁路场景。指标依据等级保护 2.0 基本要求和测评要求,分为安全层面、控制点和检查项(见下图)。
图 铁路行业网络安全监督检查指标库
3. 应用场景设计
应用场景以信息系统的服务类型、使用技术、行业要求为划分依据,分为通用场景关键信息基础设施场景、新技术新应用场景、铁路行业应用场景。通用场景是常见的应用系统,面向铁路外部或内部人员,提供信息应用服务;为落实《关键信息基础设施安全保护条例》要求,指标库中设置关键信息基础设施场景,提取关键信息基础设施保护的关键点作为检查项;新技术、新应用场景包括云计算、移动互联、物联网、工业控制、大数据应用,从各自技术及应用特点设置检查项;铁路行业应用场景,从铁路行业安全的角度,细分为外部服务网、内部服务网、安全生产网、业务专网四个应用场景。
检查时,各应用场景之间不是互斥关系,而是叠加应用。选择检查指标时,以通用场景为基础,分析被检查系统是否为关键信息基础设施,是否使用了新技术、新应用,以及安全通信网络位置,综合使用相关的一个或几个应用场景,确定检查指标。如对信号系统进行检查时,要整合一般信息系统、关键信息基础设施、工业控制系统、业务专网的场景的指标进行检查。
4. 检查指标设计
网络安全监督检查指标在应用场景下,分为安全类别、检查要点、检查项三级结构。一般应用系统和新技术新应用场景下的检查指标参考等级保护基本要求,划分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理,同时依据《数据安全法》《个人信息保护法》的要求设置了数据安全和个人信息安全两个安全层面。在关键信息基础设施场景,设置了安全通信网络、安全计算环境、安全管理制度、安全管理机构、安全建设管理、安全运维管理等六个安全层面。
检查要点和检查项的设置,依据《信息安全技术 网络安全等级保护基本要求》等技术标准,对于尚未发布相关技术标准的应用,则以相关法律法规为指标,结合目前的安全实践设置检查要点和检查项。检查要点关注安全防护的某一措施和策略,检查项则以指导检查工作实施为原则,便于检查人员快速定位问题。
检查要点和检查项的选择和设置是以覆盖相关技术标准为前提,同时结合网络安全实践,以快速、精准地发现重大安全隐患和问题为出发点。
(三)网络安全监督检查工作重点
网络安全监督检查工作能够有效发现并解决网络安全问题,提升组织的网络安全防护能力,确保网络系统安全稳定运行。为了给组织提供更加全面、高效的网络安全保障,确保网络的安全稳定运行,要明确网络安全监督检查工作重点。网络安全监督检查工作重点涵盖网络安全管理体系、网络安全防护策略和技术措施三大关键领域。
1. 网络安全管理体系
网络安全的核心是网络安全管理体系的建设。网络安全管理体系以管理制度为基础,通过安全管理机构和安全管理人员建设,实现系统的建设安全和运维安全。在监督检查中,应重点检查网络安全管理体系是否建立、是否完善、是否落地执行,从整体上了解被检查单位的网络安全工作。监督检查过程中发现的问题,无论是技术方面的问题还是管理方面的问题,其根本原因都是网络安全管理体系方面出现了问题。目前铁路行业的网络安全管理体系建设存在两个明显的特点,从组织层级看在国铁集团、路局公司网络安全管理体系建设工作开展较好,而站段级单位的网络安全管理体系还处于初创阶段,甚至部分站段的存在缺失网络安全管理体系的情况;从业务条块来看,信息化部门网络安全管理体系建设较好,对网络安全也较为重视,而业务部门则存在网络安全管理体系建设滞后的情况。
2. 网络安全防护策略
网络安全监督检查应关注网络安全防护策略。以被检查单位的总体防护策略、系统防护策略、设备防护策略为主线,分析安全防护策略的必要性、合理性,并在检查过程中核查这些安全策略是否得到执行,是否存在与安全策略相违背的情况。检查中,应重点关注安全策略的调整行为,是否存在临时关闭策略、设置违规策略的行为。监督检查中发现的重大安全隐患,虽然原因不尽相同,如系统安全策略设置不合理或遗漏、为便于管理进行违规操作等,但都与安全防护策略的设计和执行密切相关。
3. 技术措施
网络安全监督检查应重点关注被检查单位的网络安全技术措施的完备性及合理性。检查中,应评估被检查单位的整体防御、动态防御、主动防御、纵深防御能力,随着网络安全攻防手段和技术日趋复杂和多样化,原有的区域防御、静态防御、被动防御已不能适应新的安全形势。检查中,对于网络安全态势感知平台、抗高级持续攻击等设备进行重点核查,对于缺少新型网络安全防护设备的单位要及时提醒。
三、结 语
铁路网络安全等级保护定级是保障铁路网络安全的重要基石。铁路网络安全等级保护定级的判定规则,应依据国家法律法规、铁路行业的特殊需求和铁路行业网络安全定级既往经验。这些规则确保了定级的科学性和合理性,为铁路网络安全提供了坚实的制度保障。
铁路网络安全等级保护定级的流程至关重要。从确定定级对象、初步定级、专家评审到主管部门审批和公安机关备案,每一步都需要严格按照规定进行,确保定级的准确性和有效性。这种系统性的流程设计,不仅提高了定级的效率,也增强了可靠性。
铁路网络安全监督检查是维护铁路网络安全的重要手段。通过定期和不定期的监督检查,能够及时发现和解决网络安全隐患,确保铁路网络的安全稳定运行。铁路网络安全监督检查的流程、指标库和工作重点,为监督检查工作提供了明确的指导。
综上所述,铁路网络安全等级保护定级的依据和流程,以及铁路网络安全监督检查,都是确保铁路网络安全的关键环节。随着技术的不断发展和网络安全形势的变化,必须持续优化和完善这些环节,提升铁路网络的整体安全水平,确保铁路运输的安全和高效。铁路网络的安全定级、备案,需要科学、合理、准确地确定,并结合网络安全监督检查实践,建立较为精准的检查指标库,直接关系到网络的建设整改,更重要的是直接影响到网络的安全防护能力和水平。因此,需要本行业的共同努力,制定网络安全相关规范,提高网络安全保护水平,促进行业健康发展。
(本文刊登于《中国信息安全》杂志2024年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。