鐵路運(yùn)營中信息安全管理系統(tǒng)重要性分析

王志波

（國家能源集團(tuán)神朔鐵路分公司，陜西 榆林 719316）

建立安全有效的鐵路運(yùn)營系統(tǒng)能夠?qū)崿F(xiàn)比較理想的企業(yè)目標(biāo)，這要求現(xiàn)代企業(yè)加強(qiáng)信息化的建設(shè)與發(fā)展，應(yīng)當(dāng)確保鐵路運(yùn)營信息系統(tǒng)的安全性。

1 信息系統(tǒng)的安全管理現(xiàn)狀

我國鐵路運(yùn)輸是擁有全世界第一大的鐵路運(yùn)輸系統(tǒng)，在發(fā)展過程中針對信息管理出現(xiàn)的各種狀況，建立針對鐵路運(yùn)營方面的安全體系，充分重視信息安全方面的管理體系。但目前我國的鐵路信息系統(tǒng)中缺乏信息安全的整體策略，缺乏完善的信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)體系。

1.1 缺乏信息安全的整體策略

目前在鐵路發(fā)展上缺乏信息安全的整體策略，一般在具體的發(fā)展過程中是從個(gè)別單位信息安全的角度出發(fā)，而缺乏對信息安全整體策略的運(yùn)用。在信息安全的發(fā)展過程中注重于從對單一某關(guān)鍵信息的角度進(jìn)行保護(hù)，而沒有從單位整體上信息安全的角度，將單個(gè)信息放在整體系統(tǒng)之中進(jìn)行考慮，并制定整體性的信息安全發(fā)展策略[1]。

1.2 缺乏完善的信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)體系

鐵路信息安全上的需求難以充分確定，從而難以充分確定鐵路信息保護(hù)的對象與邊界，沒有對系統(tǒng)進(jìn)行全面的信息安全風(fēng)險(xiǎn)評估與信息安全保障體系制定，在鐵路信息管理過程中存在著注重產(chǎn)品、缺乏對服務(wù)的充分重視，注重技術(shù)的發(fā)展而沒有充分重視管理的作用。沒有建立相應(yīng)的網(wǎng)絡(luò)技術(shù)，網(wǎng)路安全的發(fā)展受到了新的挑戰(zhàn)，對鐵路信息安全提出了新的要求，目前的安全措施應(yīng)當(dāng)進(jìn)行新的調(diào)整。

2 信息安全的重要性

信息安全的建立對鐵路運(yùn)輸?shù)恼＿\(yùn)營起著重要的影響作用，鐵路運(yùn)輸是我國貨運(yùn)運(yùn)輸以及客運(yùn)運(yùn)輸中的重要方式之一，是國計(jì)民生的重要組成部分之一。在鐵路運(yùn)輸中應(yīng)當(dāng)充分關(guān)注安全問題，這對于現(xiàn)代鐵路運(yùn)輸企業(yè)的發(fā)展非常重要。在現(xiàn)代（鐵路運(yùn)輸）企業(yè)信息安全的規(guī)劃方面，應(yīng)當(dāng)加強(qiáng)對人員的安全管理，加強(qiáng)對基礎(chǔ)設(shè)施的管理，加強(qiáng)輸入與輸出的有效控制，加強(qiáng)對應(yīng)用軟件的維護(hù)與控制以及加強(qiáng)對數(shù)據(jù)的完整性與有效性控制。下文從這5個(gè)方面進(jìn)行了相應(yīng)分析[2]。

2.1 加強(qiáng)對人員的安全管理

系統(tǒng)的發(fā)展是由人來控制的，因此需要對重要的崗位人員進(jìn)行審查，加強(qiáng)嚴(yán)密的管理制度。為此在制度的發(fā)展過程中應(yīng)當(dāng)堅(jiān)持授權(quán)最小化的原則，在員工能夠滿足本職工作的情況下對其進(jìn)行最小的授權(quán)，表現(xiàn)在使用計(jì)算機(jī)外設(shè)與數(shù)據(jù)訪問方面。其次是授權(quán)的分散化，在對關(guān)鍵性任務(wù)的完成上進(jìn)行劃分，要求多人能夠進(jìn)行共同承擔(dān)，使得沒有個(gè)人能夠完成全部的任務(wù)。最后是授權(quán)的規(guī)劃化，在進(jìn)行申請、建立、發(fā)出與關(guān)閉的過程中能夠建立嚴(yán)格的授權(quán)管理制度[3]。

2.2 加強(qiáng)對基礎(chǔ)設(shè)施的管理

首先加強(qiáng)物理訪問控制，在一些重要區(qū)域中對人員的進(jìn)出進(jìn)行嚴(yán)格限制與控制，例如備份介質(zhì)存放點(diǎn)、供電系統(tǒng)以及能夠連接到內(nèi)部的區(qū)域以及機(jī)房等區(qū)域。其次是建筑物的安全，要求能夠?qū)ㄖ锏陌l(fā)展進(jìn)行防火、防盜、防鼠、防汛、防雷、地震，結(jié)構(gòu)坍塌以及漏水等現(xiàn)象的發(fā)生，為鐵路運(yùn)輸?shù)陌l(fā)展創(chuàng)造良好的條件。再次是公用設(shè)施的保證，在系統(tǒng)的發(fā)展過程中要求能夠充分保護(hù)其中的服務(wù)與硬件設(shè)施，從而促進(jìn)鐵路運(yùn)輸供電、供水、空調(diào)、網(wǎng)絡(luò)通道、報(bào)警設(shè)備等設(shè)施的維護(hù)與發(fā)展。最后是在數(shù)據(jù)安全方面，在鐵路運(yùn)輸過程中出現(xiàn)信息泄露包括直接獲取、在鐵路運(yùn)輸過程中進(jìn)行截獲以及電磁輻射泄露方面。在信息安全管理與維護(hù)過程中可以從這3個(gè)方面進(jìn)行分別評估。在信息安全系統(tǒng)中建立針對便攜式計(jì)算機(jī)方面的安全保管制度，對于其中的一些敏感數(shù)據(jù)進(jìn)行加密處理，從而有效避免由于數(shù)據(jù)的丟失或者被盜而出現(xiàn)的數(shù)據(jù)泄露現(xiàn)象[4]。

2.3 加強(qiáng)輸入與輸出的有效控制

建立一種針對系統(tǒng)的輸入輸出信息或介質(zhì)方面的管理制度，在系統(tǒng)的輸入或者輸出信息的過程中需要通過官方的授權(quán)。同時(shí)還需要針對一些突發(fā)事件制定充分的應(yīng)急方案，要求在發(fā)生一些故障時(shí)能夠制定充分積極的應(yīng)急方案，對故障的發(fā)生在充分分析的基礎(chǔ)上制作出一種緊急的故障恢復(fù)操作指南，為此就需要對各個(gè)崗位的工作人員進(jìn)行基于其角色的相關(guān)培訓(xùn)與演練。

2.4 加強(qiáng)對應(yīng)用軟件的維護(hù)與控制

在對應(yīng)用軟件的維護(hù)時(shí)，應(yīng)當(dāng)充分維護(hù)使用的商業(yè)軟件中的版權(quán)與來源等，需要對應(yīng)用軟件工作中的修改等問題進(jìn)行充分檢查，同時(shí)在數(shù)據(jù)測試過程中需要充分檢查調(diào)度、客票、辦公、貨票系、車號識別、統(tǒng)計(jì)以及車站應(yīng)用系統(tǒng)等，最終實(shí)現(xiàn)系統(tǒng)安全的有效運(yùn)行，實(shí)現(xiàn)鐵路運(yùn)輸?shù)牧夹园l(fā)展。數(shù)據(jù)網(wǎng)絡(luò)分布如圖1所示。

2.5 加強(qiáng)對數(shù)據(jù)的完整性與有效性控制

在鐵路運(yùn)輸管理過程中需要充分保證數(shù)據(jù)信息的完整性與有效性，具體需要評估的內(nèi)容包括系統(tǒng)的備份和恢復(fù)措施，從而進(jìn)行有效的計(jì)算機(jī)病毒防護(hù)，建立實(shí)時(shí)性的監(jiān)控系統(tǒng)日志文件，加強(qiáng)對系統(tǒng)的充分記錄與可用性記錄。

圖1 數(shù)據(jù)網(wǎng)絡(luò)分布

3 建立信息安全管理體系

ISO27001信息安全管理體系標(biāo)準(zhǔn)十一大控制領(lǐng)域如圖2所示。在制定（鐵路運(yùn)輸）企業(yè)建立信息安全管理體系過程中主要包括以下部分，構(gòu)建有效的信息安全管理框架，建立針對信息安全管理體系的文檔與文件以及加強(qiáng)對安全事件的充分記錄與反饋等。下文從這4個(gè)方面進(jìn)行了相應(yīng)分析。

3.1 構(gòu)建有效的信息安全管理框架

嚴(yán)格按照相關(guān)的順序進(jìn)行信息安全框架的充分建設(shè)，具體主要包括以下部分，首先制定正確的信息安全政策，其次，對信息管理管理體系的范圍進(jìn)行定義，再次，充分評估信息安全的風(fēng)險(xiǎn)，最后是對于信息安全風(fēng)險(xiǎn)的充分管理，根據(jù)鐵路運(yùn)輸行業(yè)發(fā)展的具體情況制定管制的目標(biāo)，并且有效選擇相應(yīng)的管制措施，同時(shí)加強(qiáng)信息安全的適用性。

3.2 信息安全管理體系的具體實(shí)施方面

在充分制定了信息安全管理體系框架體系之后，在實(shí)施過程中需要充分考慮各種真實(shí)的情況，包括信息安全管理體系運(yùn)行、信息安全管理體系內(nèi)部審核、信息安全管理體系有效性、信息安全管理體系管理評審等，在新的問題產(chǎn)生的過程中會發(fā)生與原來工作習(xí)慣之間的沖突，在不同部門與不同機(jī)構(gòu)的工作之間也會產(chǎn)生一定的摩擦與矛盾，因此，在信息安全管理體系中應(yīng)當(dāng)對這些矛盾進(jìn)行充分協(xié)調(diào)[5]，嚴(yán)格按照指定的信息安全管理機(jī)制執(zhí)行。

3.3 建立信息安全事件處置體系

在鐵路運(yùn)輸信息安全管理過程中必不可少的組成部分就是建立信息安全事件處置體系。應(yīng)當(dāng)針對鐵路運(yùn)輸中各個(gè)部門信息安全方面的信息，分門別類地建立相應(yīng)的信息安全文檔信息。對其中所涵蓋的文檔內(nèi)容以及管理框架等進(jìn)行充分分析，對信息管理管制的工作內(nèi)容進(jìn)行收集。將信息以文檔的形式進(jìn)行保存，要求對不同的等級與類型進(jìn)行分別記錄。在信息安全的認(rèn)證方面，要求允許第三方進(jìn)行登記與訪問。在針對文檔完成登記之后，應(yīng)當(dāng)根據(jù)鐵路運(yùn)輸發(fā)展的規(guī)律與周期性工作對文檔信息進(jìn)行及時(shí)調(diào)整，將部分不符合企業(yè)發(fā)展規(guī)律的信息進(jìn)行及時(shí)廢除。部分企業(yè)信息即使已經(jīng)過時(shí)，但是出于知識產(chǎn)權(quán)等相關(guān)法律的原因，可以繼續(xù)進(jìn)行這些信息的保存。按照信息安全的發(fā)生機(jī)制分別制定相應(yīng)的工作內(nèi)容，根據(jù)具體的工作內(nèi)容分別制定相應(yīng)的相應(yīng)流程，設(shè)置信息安全的響應(yīng)機(jī)構(gòu)，對出現(xiàn)的信息安全問題進(jìn)行及時(shí)充分的處理。

圖2 信息安全保護(hù)

4 結(jié)語

在鐵路運(yùn)輸過程中應(yīng)當(dāng)充分重視信息安全，為此需要對企業(yè)信息發(fā)展中的各項(xiàng)內(nèi)容進(jìn)行充分規(guī)劃與考慮，促進(jìn)基礎(chǔ)數(shù)據(jù)的采集和共享，加強(qiáng)安全評估和風(fēng)險(xiǎn)預(yù)控，加大各專業(yè)及信息安全管理部門之間的橫向聯(lián)系，提高信息安全管理能力和應(yīng)急響應(yīng)能力，為鐵路運(yùn)輸安全提供系統(tǒng)的、可靠的技術(shù)保障。