試論鐵路網絡與信息安全風險管理

陳寧

摘 要：目前，我國鐵路信息安全風險主要因三個方面引起，分別是：技術、管理以及系統生命周期三個因素，其中，技術因素主要是指環境、系統、網絡以及應用等方面的安全問題，管理因素主要是指技術人員、管理機構以及管理制度等方面問題，而系統生命周期方面主要是指系統設計、實施、運行、控制等方面存在的問題，本文針對鐵路網絡與信息安全風險管理進行分析，為降低鐵路信息安全風險提供參考。

關鍵詞：鐵路網絡；信息；安全風險；管理措施

目前，我國已經進入信息網絡技術普及的時代中，在信息技術應用越來越廣泛、作用越來越強大的同時，鐵路運輸組織、服務、管理、建設等多方面的發展逐漸依賴于信息技術與網絡技術，目前鐵路生產與管理已經進入智能化、管控一體化的管理模式中，因此，信息與網絡的安全性對鐵路發展有著至關重要的影響。

但是隨著信息化越來越強烈，存在的風險越來越多，這對鐵路發展無疑是一種嚴重的威脅，下面對控制網絡與信息安全風險提出了幾點參考建議。

一、信息安全管理體系結構

信息安全風險管理體系結構模型主要由技術、管理以及系統生命周期三大要素組成的三維模型。而信息安全是由信息安全技術與信息安全管理共同參與保護工作而實現的，信息安全技術的保護作用在于對信息安全保護采取的有效技術措施，而信息安全管理的作用主要在于對信息安全技術實施與運行過程中進行科學管理，促使信息安全技術發揮最大作用。

隨著信息安全風險越來越多，需要不斷提高信息安全技術實施與運行能力，更重要的是加強信息安全管理，從政策、法律、技術、人員等方面進行全面管理，為保證信息安全采取有效的應對措施。

（一）技術要素

在技術要素中主要含有環境、系統、網絡、應用四個技術方面。鐵路信息系統建設過程中，環境安全是保護信息系統安全的基礎與屏障，對于機房環境安全要求非常嚴格，從機房建設過程開始就需要對機房地址、周邊環境等方面進行考慮，特別是對防火、防雷擊、防滲水、防鼠害等多種對機房安全有影響的因素全部考慮在內，同時還要加強對機房維護與管理等方面工作的考慮。

值班人員管理、設備管理、電源管理、機房詢問控制以及機房保密等方面中都會存在安全風險，因此需要對其采取相應的管理措施，來降低風險發生幾率，保障信息安全。

系統主要是由硬件、軟件以及數據組成，加強系統安全，首先要確保硬件安全、軟件安全以及數據安全，一旦發生安全風險，就會使數據遭到破壞、更改、泄露等風險出現，因此，需要加強對其安全保護，保證數據安全、促使系統正常運行。

網絡是數據傳輸、分析、處理等方面的重要渠道，要對網絡安全加以重視，網絡安全是可以保證信息安全的基礎，因此，需要對其加強管理，要從結構、訪問、審計、設備、代碼、病毒等方面進行全面加強防范措施。

應用系統是實現信息權限管理的重要技術，具有賦予、變更、撤銷等重要信息應用功能，因此，加強應用系統安全管理有一定的必要性。首先要完善專用用戶登錄識別功能；其次要提高訪問控制功能；再次需要對重要信息進行加密保管；還要保證數據完整性，加強密碼技術功能應用；最后要對資源進行合理控制，限制使用額度。

（二）管理要素

信息安全風險管理效果與鐵路內部組織結構、管理制度以及人員管理有著直接的關系，沒有完善的組織結構，相應的管理制度，會使內部管理混亂，進而發生信息安全管理不得當，同時技術人員的技術水平以及個人素質等因素都會造成信息泄露、丟失等風險存在。因此，必須建立完善的組織結構，鐵路信息系統的安全要在組織結構方面得到安全保證。鐵路信息安全管理應建立由上級領導層、中級管理層、下級執行層三個層面的管理組織機構，并制定完善的管理制度，落實到實際工作中，加強技術人員的培訓，以提高技術人員專業水平以及綜合素質為目的，優化整個信息安全管理部門，促使鐵路信息安全風險管理得到保證。

（三）系統生命周期要素分析

設計階段的安全風險管理過程應對設計方案中所提供的安全功能符合性進行判斷，作為采購過程風險控制的依據。應詳細評估設計方案中對系統可能面臨威脅的描述，將使用的具體設備、軟件等資產及其安全功能需求列表。

基于設計階段的資產列表、安全措施，實施階段應對規劃階段的安全威脅進行進一步細分，同時評估安全措施的實現程度，從而確定安全措施能否抵御現有威脅、脆弱性的影響。運行維護階段的風險評估應采取定期和非定期兩種方式；當組織的業務流程、系統狀況發生重大變更時，也應進行風險評估。

二、采取措施建議

在信息系統規劃、設計階段，應對信息系統的安全需求進行分析，同步規劃、設計信息系統的安全等級和保護措施，建立安全環境，從源頭上保障信息安全。對已定級的信息系統，應嚴格按照等保要求進行區域劃分、邊界防護、訪問控制、安全審計及安全管理。構建一個全路信息系統可視化管理平臺，對網絡、計算機設備、應用系統部署、操作用戶及角色、運維狀態等關鍵信息進行全局監控，提高對系統中安全問題及其隱患的發現、分析和防范能力。建立全路統一的身份認證與授權機制，對各信息系統的用戶進行統一管理，確保信息在產生、存儲、傳輸、處理過程中的保密性、完整性、抗抵賴性和可用性。

鐵路網絡與信息安全風險管理，不僅僅是從加強技術或者管理任意一方面就可以實現的，而是需要對信息技術與安全管理相結合，共同完善信息安全風險管理。加強對信息技術內部結構的保護，從硬件、軟件、數據、加密手段、權限管理手段等多方面進行安全防護，控制系統安全風險發生，同時還需要加強信息外部管理，從建設、人員、操作、管理等方面進行管理，保證鐵路網絡與信息安全，降低風險發生，為鐵路發展提供信息安全保障。

參考文獻：

[1] 郭璽琨.關于鐵路通信工程項目風險管理的研究[J].城市建設理論研究：電子版，2015（2）.