面向铁路信息网络的资产安全属性量化评估方法

田海波; 王一芃; 李向阳

doi:10.3969/j.issn.1005-8451.2021.11.11

面向铁路信息网络的资产安全属性量化评估方法

中国铁路信息科技集团有限公司　网信安全处，北京　100038

基金项目: 中国铁路信息科技集团有限公司科技研究开发计划重点课题（KGZG-CKY-2021004）

详细信息

作者简介:
田海波，工程师

王一芃，工程师

中图分类号: U29 : TP393
计量
- 文章访问数: 152
- HTML全文浏览量: 107
- PDF下载量: 36
出版历程
- 收稿日期: 2021-08-30
- 刊出日期: 2021-11-29

Quantitative evaluation method of asset security attributes for railway information network

Department of Network Security, China Railway Information Technology Group Co. Ltd., Beijing　 100038, China

摘要

摘要: 目前，我国既有信息安全管理体系虽明确提出了资产评估要求，但缺乏具体的评估方法。而大多数已提出的评估方法与实际业务场景安全要求脱节，导致针对具体业务场景的资产评估实施存在诸多局限。文章通过分析铁路信息系统的业务特点及信息资产对系统安全状况的影响，利用层次分析法，提出了适用于铁路信息网络的资产安全属性评估方法。实验证明，所提出的方法可以有效地刻画信息资产对系统整体安全的影响程度，准确地描述资产在不同业务场景中的价值差异。通过此方法与漏洞评分系统相结合，可以更准确地评估漏洞在不同应用环境中的威胁程度。
- 铁路信息网络 /
- 信息安全 /
- 信息资产管理 /
- 信息资产安全 /
- 通用漏洞评分体系
Abstract: At present, although China's existing information security management system clearly puts forward asset evaluation requirements, it lacks specific evaluation methods. However, most of the proposed evaluation methods are divorced from the security requirements of the actual business scenario, lead to many limitations in the implementation of asset evaluation for specific business scenarios. By analyzing the business characteristics of railway information system and the impact of information assets on system security, this paper proposed an asset security attribute evaluation method suitable for railway information network by using analytic hierarchy process. Experiments show that the proposed method can effectively describe the impact of information assets on the overall security of the system, and accurately describe the value differences of assets in different business scenarios. By combining this method with vulnerability scoring system, it can be more accurately evaluated the threat degree of vulnerabilities in different application environments.
- railway information network /
- information security /
- information asset management /
- information asset security /
- general vulnerability scoring system

HTML全文

图 1 评估实例网络拓扑

下载: 全尺寸图片幻灯片

表 1 信息系统业务特点评价

业务类型	业务保密性	业务完整性		业务可用性
业务类型	信息保密性	数据完整性	功能完整性	数据可用性	功能稳定性
核心生产	高	高	高	高	高
生产管理	中	高	高	高	高
行政管理	低	中	中	中	中
公共信息	低	中	中	高	高

下载: 导出CSV

表 2 信息系统安全属性要求

系统类型	保密性要求	完整性要求	可用性要求
核心生产	高	高	高
生产管理	中	高	高
行政管理	低	中	中
公共信息	低	中	高

下载: 导出CSV

表 3 信息资产基本信息列表

资产编号	资产名称	资产类型	资产归属	风险影响指标
资产编号	资产名称	资产类型	资产归属	C₁	C₂	I₁	I₂	A₁	A₂
1	核心交换机A	网络	骨干网络	2	3	2	3	3	3
2	车辆追踪接入交换机A	网络	车辆追踪	1	2	1	2	3	2
3	会计核算接入交换机A	网络	会计核算	1	2	1	2	3	2
4	应用服务器1	主机	车辆追踪	2	3	2	3	4	2
5	应用服务器3	主机	会计核算	2	3	2	3	4	2
6	办公终端1	主机	骨干网络	1	1	1	1	1	1
7	车辆追踪系统软件	应用	车辆追踪	3	3	3	3	4	3
8	会计核算软件	应用	会计核算	2	2	2	2	2	2
9	车辆追踪数据	数据	车辆追踪	3	3	3	3	4	3
10	会计核算数据	数据	会计核算	2	2	2	2	2	2

下载: 导出CSV

表 4 信息资产安全属性评估结果

资产编号	资产名称	保密性要求	完整性要求	可用性要求
1	核心交换机A	高	高	高
2	车辆追踪接入交换机A	中	中	高
3	会计核算接入交换机A	低	低	中
4	应用服务器1	高	高	高
5	应用服务器3	中	低	高
6	办公终端1	低	低	低
7	车辆追踪系统软件	高	高	高
8	会计核算软件	中	低	中
9	车辆追踪数据	高	高	高
10	会计核算数据	中	低	中

下载: 导出CSV

表 5 CVSS环境指标赋值标准

指标名称	度量赋值	量化赋值
保密性要求	无（N）/低（L）/中（M）/高（H）	1/1.5/1/0.5
完整性要求	无（N）/低（L）/中（M）/高（H）	1/1.5/1/0.5
可用性要求	无（N）/低（L）/中（M）/高（H）	1/1.5/1/0.5

下载: 导出CSV

表 6 漏洞威胁评估结果

漏洞编号	所属资产	CVSS 基本评分	车辆追踪综合评分	会计核算综合评分
CVE-2021-1541	交换机	7.2	7.2	6.8
CVE-2021-28805	交换机	5.5	7.3	5.5
CVE-2021-1543	交换机	7.2	7.2	6.8
CVE-2020-8285	应用服务器	7.5	9.3	7.5
CVE-2020-35233	应用服务器	6.5	8.3	6.5
CVE-2019-9760	应用服务器	9.8	9.8	9.8

下载: 导出CSV

参考文献(13)

[1]	施卫忠. 铁路领域重要信息系统安全保障的创新与实践 [J]. 中国铁路,2020(4):2-6.
[2]	张新跃,冯燕春,李若愚. 关键信息基础设施风险评估方法研究 [J]. 网络空间安全,2019,10(1):55-60. DOI: 10.3969/j.issn.1674-9456.2019.01.012
[3]	全国信息安全标准化技术委员会. 信息安全技术信息安全风险评估规范: GB/T 20984—2007 [S]. 北京: 中国标准出版社, 2007.
[4]	赵冬梅. 信息安全风险评估量化方法研究[D]. 西安: 西安电子科技大学, 2007.
[5]	ZHAO Xiaolin, ZHANG Yiman, XUE Jingfeng, et al. Research on Network Risk Evaluation Method Based on a Differential Manifold [J]. IEEE Access, 2020(8): 66315-66326. DOI: 10.1109/ACCESS.2020.2985547
[6]	陆　丞. 基于资产识别和攻击效果的网络攻击分类研究[D]. 重庆: 重庆大学, 2010.
[7]	高魏轩,姚相振,范科峰,等. 工业行业关键基础设施信息安全风险评估 [J]. 信息技术与标准化,2017(1):41-44, 60.
[8]	杨国泰,王宇飞,罗剑波,等. 电力CPS信息网络脆弱性及其评估方法 [J]. 中国电力,2018,51(1):83-89.
[9]	LI Jinqiu, WANG Qingqin, XUAN Yitong, et al. User demands analysis of Eco-city based on the Kano model—An application to China case study [J]. PLoS ONE, 2021, 16(3): e0248187. DOI: 10.1371/journal.pone.0248187
[10]	祝咏升,陈春雷. 铁路网络安全威胁及漏洞管理平台研究 [J]. 铁路计算机应用,2020,29(8):61-65. DOI: 10.3969/j.issn.1005-8451.2020.08.015
[11]	FIRST. Common Vulnerability Scoring System version 3.1: User Guide[EB/OL].[2021-08-31]. https://www.first.org/cvss/user-guide.
[12]	周诗洋,傅鹂. CVSS环境指标变量对系统安全的影响研究 [J]. 计算机工程与科学,2016,38(12):2463-2470. DOI: 10.3969/j.issn.1007-130X.2016.12.012
[13]	CVE details [EB/OL]. [2021-08-17]. https://www.cvedetails.com/browse-by-date.php.

施引文献(9)

期刊类型引用(7)

1.	宋乾坤，周孟然. 基于CWT-CNN的滚动轴承故障诊断. 重庆工商大学学报(自然科学版). 2023(03): 42-47 . 百度学术
2.	王钟锐，李鹏，陈光武. ZPW-2000A轨道电路故障诊断方法研究. 软件导刊. 2022(10): 74-83 . 百度学术
3.	吕晟. 城市轨道交通车辆走行部轴箱轴承健康评估及寿命预测系统. 城市轨道交通研究. 2021(S1): 149-153 . 百度学术
4.	叶浩，高晓蓉，邱春蓉，李金龙. 基于三阶Teager能量算子的轴承诊断技术研究. 铁路计算机应用. 2020(06): 1-5 . 本站查看
5.	范卓幽，高晓蓉，罗林. 基于改进LMD和MED的滚动轴承故障诊断研究. 铁路计算机应用. 2019(12): 10-14 . 本站查看
6.	郝勇，商庆园，温钦华，赵翔，陈斌. 经验模态分解结合包络谱LSSVM的滚动轴承故障诊断. 计算机测量与控制. 2018(02): 48-52+56 . 百度学术
7.	张春，黄天立. 动车组牵引电机轴承剩余寿命预测方法研究. 铁路计算机应用. 2018(01): 4-7 . 本站查看