田海波，王一芃，李向阳

（中国铁路信息科技集团有限公司 网信安全处，北京 100038）

随着铁路信息化的快速发展，铁路运输组织、货运营销、经营管理等多个业务领域均已部署信息系统，相关业务流程对信息系统的依赖程度也越来越高[1]。与此同时，信息系统的安全风险也影响着所支撑业务的平稳运行。铁路是涉及国家安全、国计民生和公共利益的行业，信息系统的安全风险更有可能引发社会性问题[2]。因此，针对铁路信息系统及其资产的安全防护工作十分必要。

对信息资产进行价值评估是采取安全防护措施和建立安全防护策略前的基础性工作之一。合理的资产赋值方法不仅需要分析资产本身的配置情况，还应当将资产所属信息系统的业务特点和安全要求纳入考虑。基于对铁路信息系统及信息资产的分析结果，本文提出了一种适用于铁路信息网络的资产安全属性量化评估方法。该方法考虑到信息系统所承担业务的特点，以信息系统的安全要求为基础，结合信息资产个体对信息系统整体的安全影响，计算得出具体信息系统中特定信息资产的安全属性评分。结合通用漏洞评分系统（CVSS ，CommonVulerability Scoring System），可以在评估漏洞威胁时准确衡量信息环境的安全要求，从而获得更客观的漏洞威胁评价。

1 信息资产评估及其方法简述

1.1 信息资产评估内容

信息安全风险评估工作一般包含信息资产评估、脆弱性评估、威胁评估、风险确定和风险处理等阶段[3]。信息资产是指信息系统中具有价值并需要保护的对象，主要包括网络系统、主机系统、平台系统、应用软件、数据资产、物理环境和人员组织[4]。由于脆弱性评估、威胁评估、风险确定和风险处理等工作均围绕信息资产开展，因此信息资产评估是风险评估工作中的基础工作。

1.2 信息资产评估方法概述

根据《信息安全风险评估规范》，信息资产价值主要由资产在保密性、完整性和可用性3个安全属性的赋值决定[3]。由于《信息安全风险评估规范》未提供具体的赋值评估方法，如果完全凭借主观打分进行资产评估将产生较大偏差。为了尽量减少主观判断带来的偏差，业内已提出若干种针对信息资产安全属性的评估方法。以文献[5]和文献[6]为代表的研究提出从信息资产的具体配置对相应安全属性进行评估。例如，文献[5]从信息资产的服务功能、网络位置和安全防护措施3方面对安全属性进行评定，利用层次分析法（AHP ，Analytic Hierarchy Process ）得到信息资产的安全属性估值。以文献[7]和文献[8]为代表的研究则提出将信息资产所属信息系统将保密性、完整性和可用性的要求作为主要依据，对信息资产本身的安全属性进行评定。例如，文献[7]通过分析工控系统的业务特点，总结出工控系统的安全属性权重分配不同于传统信息系统。因此认为在对工控系统信息资产进行赋值时也应当遵循工控系统的安全属性权重。

铁路信息系统所承担的业务类型多样，不同业务类型对于信息系统安全属性的要求差别很大。因此，针对铁路信息资产的安全属性评定需要综合考虑资产本身和所属信息系统的安全属性、业务特点。

2 铁路信息系统安全属性要求分析

通过对铁路信息网络空间内既有信息系统的调研，发现系统所承担的业务可以分为核心生产、生产管理、行政管理和公共信息4种类型。

（1）从业务角度考虑，信息系统的保密性要求是为了保证敏感业务信息不被泄露或非授权访问。

（2）信息系统的完整性要求可以保障业务功能逻辑和信息数据的完整性。

（3）信息系统的可用性要求可以保证业务的稳定开展，确保在所期望的时间和空间内持续不断地提供业务能力输出。

为了对各类业务进行更确切的评估，将信息保密性作为衡量业务保密性要求的指标；将数据完整性和功能完整性作为衡量业务完整性的指标；将数据可用性和功能稳定性作为衡量业务可用性的指标。每个指标均以高、中和低3个等级进行评价。对4种业务类型的评价结果，如表1所示。

表1 信息系统业务特点评价

参考表1中不同业务对于保密性、完整性和可用性的要求，可以得到承担不同类型业务的信息系统对于各项安全属性的要求，如表2所示。

表2 信息系统安全属性要求

3 信息资产影响程度评估

3.1 信息资产关联影响分析

（1）从信息资产之间的关联影响考虑，保密性影响是指被暴露的信息资产对于网络内其他设备乃至网络整体工作状态的影响，称为保密关联影响C1。对于大部分信息系统，数据资产的保密关联影响是最显著的，应用软件、数据库平台系统等利用承载数据的信息资产，而网络设备、服务器设备和其他平台系统对网络内其他设备和整体网络保密关联影响相对较小。

（2）完整性可以理解为当信息资产数据和功能的准确性、完整性或可依赖性被破坏时，对网络链路上其他设备及网络整体工作状态的影响，可以简称为完整关联影响I1。通常情况下，数据资产、应用软件和关键网络设备的完整关联影响较高。

（3）当信息资产不可用时，对网络整体的影响可以称之为可用关联影响A1。例如，与单机部署的设备相比，采用冗余部署的设备具有较低的可用关联影响。

3.2 业务整体影响分析

（1）信息资产的保密性影响主要与其所承载服务或传输的数据是与否涉密有关，本文将其定义为保密关键影响C2。一般而言，与生产业务直接相关的信息系统具有较高的保密关键影响，而行政管理等业务的保密关键影响相对较低。

（2）信息资产的完整性影响主要指信息资产被破坏后对信息系统业务逻辑和业务数据造成的影响，例如：业务功能或数据遭到篡改或伪造，称为完整关键影响I2。完整关键影响主要与该信息资产所承载服务或传输数据的重要性有关。

（3）信息资产的可用性影响主要指信息资产所承载或使用的应用服务对于系统整体业务的关键程度，称为可用关键影响A2。对于要求在所期望的时间和空间内持续不断地提供能力输出的业务，例如，核心生产和对外信息服务，相关信息资产的可用性对业务的影响更加关键。

3.3 资产风险影响量化表达

基于上述6项风险影响指标，可以评估信息资产对信息系统整体风险的影响程度。本文将各指标的影响程度划分为直接影响、容易影响、可能影响和难以影响4个级别，相应取值分别为4、3、2和1；每个安全属性均对应2项风险影响指标，相应取值组合共有16种。通过建立针对各系统安全属性的AHP模型，构造相应判断矩阵，可以得出不同指标取值组合对于系统安全属性影响的量化估计结果。下面以系统保密性为例，阐述不同指标取值组合对系统保密性影响的量化评估过程。

（1） 系统保密性对应指标为保密关联影响和保密关键影响指标。对每种指标组合所产生的系统保密性影响进行打分，并构造判断矩阵B为

矩阵元素bij（i=1,···,16；j=1,···,16）表示与第i种指标组合相比，第j种指标组合对系统保密性的影响显著程度。

（2） 对构造的判断矩阵B进行计算，得到最大特征根 λmax及 其对应的特征向量M为

（3） 将最大特征根对应的特征向量M进行归一化，得到表示各个指标组合对系统保密性影响权重向量W为

（4） 对判断矩阵B进行一致性验证，计算得到一致性指标CI为

其中，n为判断矩阵B的阶数，此处为16。

（5） 计算得到一致性比率CR为

其中，RI为一致性指标。根据文献[9]提供的不同阶矩阵对应的RI取值情况，判断矩阵为16阶时RI的取值为1.594 3。如果计算得到CR＜0.1，表明判断矩阵一致性成立，则权重向量W可以作为各种指标组合的合理权重值。

3.4 考虑系统安全要求的资产评估方法

为给出更直观的评价结果，可以通过设定合理的取值区间，将资产的关联影响和业务整体影响量化结果划分为高、中、低3个级别。在对资产安全属性要求进行评估时，将考虑资产安全属性影响等级，在所属信息系统安全属性要求的基础上进行调整。例如：如果资产安全属性影响等级为“高”，而所属系统安全属性要求为“低”，则资产的安全属性要求为“中”。

4 验证测试

4.1 验证场景介绍

为验证所提出资产安全属性评估方法的有效性，参考铁路信息网中常见的应用系统类型，本文设定了一种同时包含核心生产业务和行政管理业务的网络场景，相应的网络拓扑，如图1所示。

图1 评估实例网络拓扑

该场景中包含2个信息系统，车辆追踪系统和会计核算系统。其中，车辆追踪系统属于核心生产业务系统；会计核算系统属于行政管理业务系统。场景所涉及的信息资产主要包括网络系统、主机系统、平台系统、应用软件和数据资产5类，部分资产基本信息以及风险影响指标值，如表3所示。

4.2 信息资产安全属性评估

通过对上述资产的风险影响指标进行赋值，可以得到各个资产对于系统保密性、完整性和可用性的影响等级。结合表2中列举的行政管理系统和核心生产系统对于安全属性的要求等级，可以得到场景中各个信息资产对于安全属性的要求等级，如表4所示。

结合表3和表4可以发现：

表3 信息资产基本信息列表

表4 信息资产安全属性评估结果

（1）对于同一信息系统中的不同信息资产，由于对系统整体风险的影响程度不同，相应信息资产对于安全属性的要求也可能不同。例如，车辆追踪系统中的车辆追踪交换机A和应用服务器1。

（2）对于同一类型的信息资产，所属信息系统的安全要求差异也会导致信息资产的安全属性要求不相同。以应用服务器1和应用服务器3为例进行说明。

根据表3可知，2台应用服务器对于系统整体的安全影响评估完全一致。但由于应用服务器1所属信息系统承担了核心生产业务，相较于应用服务器3承担的行政管理业务具有更高的安全要求，因此应用服务器1的3项安全属性要求均高于应用服务器3。

4.3 安全属性量化评估在漏洞威胁评估中应用

漏洞是信息系统安全风险的重要内因，其存在于铁路信息系统的各个层次和环节之中，一旦被恶意利用会影响信息系统的正常运行，并可能间接影响所承载业务的可靠运行，从而造成重大损失[10]。CVSS标准从基本、时态和环境3个维度对漏洞的特点与影响进行打分评价[11]。其中，基本维度和时态维度的指标变量均由信息安全专家及厂商进行评价赋值，而环境维度的指标变量完全取决于漏洞所属信息资产及信息系统对安全属性的要求，无法从漏洞本身的属性中直接获取[12]。因此，对漏洞环境的安全需求进行合理量化分析，是利用CVSS标准进行风险分析的过程中较困难的环节。

CVSS标准在环境维度中主要包含漏洞所处环境的安全性要求指标，即保密性要求、完整性要求和可用性要求[11]。通过参考信息资产安全属性要求的评估结果，可以对CVSS标准在漏洞基本维度的评价结果进行调整，以准确评估在特定环境下漏洞的严重程度。CVSS环境指标的赋值情况，如表5所示。

表5 CVSS环境指标赋值标准

通过对信息资产进行漏洞扫描，部分信息资产的漏洞情况及CVSS基本评分如表6中CVSS基本评分项目所示[13]。结合表4中信息资产安全属性要求，可以获得考虑环境安全要求的漏洞威胁综合评估结果，车辆追踪综合评分和会计核算综合评分项目，如表6所示。

表6 漏洞威胁评估结果

通过对表6进行分析可以发现，同一漏洞在核心生产信息系统中的威胁评分高于CVSS基本评分。这是由于核心生产业务对于业务数据和业务功能的完整性、保密性和可用性要求很高。因此，对于任意漏洞，其存在于支撑核心生产业务的信息系统中所带来的威胁影响明显大于在其他业务类型的信息系统中。而对于行政管理信息系统中的漏洞，评估结果与CVSS基本评分持平，甚至存在部分漏洞评分低于基本评分的情况（如CVE-2021-1 541和CVE-2021-1 543）。实验结果表明，结合本文所提出信息资产安全属性评价方法，可以在评估漏洞威胁时准确把握信息环境的安全要求，获得更客观的漏洞威胁评价结果。

5 结束语

基于对铁路信息系统及信息资产的分析结果，本文提出了一种适用于铁路信息网络的资产安全属性量化评估方法。从信息系统层面，根据业务特点将铁路既有信息系统归纳为4种类型，并提出各类信息系统的安全属性要求等级。在资产层面，从资产之间关联情况和整体业务角度出发，提出6个资产安全属性指标，利用层次分析法计算得到不同指标配置的信息资产对系统整体安全状况的影响等级。最终，以系统层面得出的安全属性要求等级为基础，由资产层面得出的安全属性影响等级进行修正，计算得出具体信息系统中特定信息资产的安全属性等级。基于典型的铁路信息系统场景，实验验证了所提出评价方法对铁路信息资产安全属性量化评估的适用性和有效性。此外，实验证明利用本文所提出评价方法可以对CVSS评价标准中的环境指标进行更准确地赋值，从而更合理地评估漏洞在不同环境中的影响情况。