史天運(yùn)

（中國鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所， 北京 100081）

安全管理

鐵路行業(yè)信息安全管理面臨的挑戰(zhàn)及對(duì)策探討

史天運(yùn)

（中國鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所， 北京 100081）

隨著鐵路行業(yè)信息化程度不斷提高，信息安全風(fēng)險(xiǎn)日益成為影響行業(yè)核心業(yè)務(wù)的重要因素。本文從鐵路行業(yè)安全管理現(xiàn)狀入手，分析行業(yè)信息安全管理面臨的挑戰(zhàn)，探討如何通過管理機(jī)構(gòu)及多維管理制度的建設(shè)，結(jié)合信息安全綜合管理平臺(tái)，制定符合鐵路行業(yè)的信息安全風(fēng)險(xiǎn)防范措施和管理辦法。

鐵路信息化；信息安全；安全管理；綜合管理平臺(tái)

隨著信息系統(tǒng)在鐵路應(yīng)用范圍的不斷擴(kuò)大、功能的不斷強(qiáng)大、網(wǎng)絡(luò)覆蓋的不斷延伸、開放性與互聯(lián)性的不斷增強(qiáng)以及技術(shù)復(fù)雜性的不斷提升，信息網(wǎng)絡(luò)和信息系統(tǒng)自身的缺陷、脆弱性以及來自內(nèi)外部的安全威脅等所帶來的信息安全風(fēng)險(xiǎn)日益凸顯，并且日趨多樣化和復(fù)雜化，傳統(tǒng)的安全管理方式已不適應(yīng)信息安全保障要求，必須采取先進(jìn)的管理理念和科學(xué)的管理方法。

鐵路信息安全管理是運(yùn)用科學(xué)的理論和方法制定有效管控和處置措施，加強(qiáng)安全風(fēng)險(xiǎn)過程控制，強(qiáng)化應(yīng)急處置，使安全風(fēng)險(xiǎn)可能造成的后果降低到可以接受的程度。實(shí)施鐵路行業(yè)信息安全管理既是系統(tǒng)安全穩(wěn)定運(yùn)行的內(nèi)在需要，也是保障鐵路運(yùn)輸安全和正常秩序的必然要求。

1 鐵路信息安全管理面臨的挑戰(zhàn)

1.1 行業(yè)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系缺乏

信息安全等級(jí)保護(hù)制度是我國信息安全保障工作的基本制度，開展信息安全等級(jí)保護(hù)工作是保護(hù)我國信息化健康發(fā)展、維護(hù)基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)安全的根本保障。目前，鐵路信息系統(tǒng)安全建設(shè)和管理的目標(biāo)不明確；信息安全保障工作的重點(diǎn)不突出；信息安全監(jiān)督管理缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管體系尚待完善。如何在信息安全等級(jí)保護(hù)相關(guān)國家標(biāo)準(zhǔn)的基礎(chǔ)上，研究適合鐵路信息系統(tǒng)安全等級(jí)保護(hù)的行業(yè)標(biāo)準(zhǔn)，提出一套完整的等級(jí)保護(hù)行業(yè)標(biāo)準(zhǔn)體系是鐵路行業(yè)信息安全管理工作面臨的重要挑戰(zhàn)。

1.2 信息安全運(yùn)行維護(hù)管理體系不健全

鐵路信息安全事故絕大多數(shù)由管理手段缺失或執(zhí)行不到位導(dǎo)致，因此信息系統(tǒng)的安全運(yùn)維管理是鐵路安全生產(chǎn)的重要環(huán)節(jié)。鐵路行業(yè)系統(tǒng)的運(yùn)營及生產(chǎn)安全的管理思想比較落后，與鐵路信息化建設(shè)和發(fā)展速度嚴(yán)重脫節(jié)，管理手段還主要依靠人員意識(shí)和單純的手工式作業(yè)，缺乏行之有效的安全運(yùn)行維護(hù)管理體系。主要表現(xiàn)在：維護(hù)人員操作無依據(jù)、執(zhí)行不到位；應(yīng)急預(yù)案可操作性差，應(yīng)急演練欠缺，應(yīng)急處置效果不佳；系統(tǒng)運(yùn)行監(jiān)測(cè)監(jiān)控手段缺乏，網(wǎng)絡(luò)監(jiān)管不夠。

1.3 安全管理措施缺乏有效執(zhí)行力

鐵路行業(yè)系統(tǒng)日趨商業(yè)化，面臨的信息安全風(fēng)險(xiǎn)和挑戰(zhàn)更加嚴(yán)峻，信息系統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)及準(zhǔn)入控制等措施是否完備且有效執(zhí)行，是行業(yè)面臨的重要挑戰(zhàn)。對(duì)已發(fā)布的規(guī)章制度的執(zhí)行力不強(qiáng)，對(duì)各類存儲(chǔ)介質(zhì)或外部接入設(shè)備的管理和準(zhǔn)入控制措施執(zhí)行不到位，如出口準(zhǔn)入控制、客戶端準(zhǔn)入控制、服務(wù)器準(zhǔn)入控制、網(wǎng)絡(luò)準(zhǔn)入控制方面規(guī)章制度不完善；另外，系統(tǒng)網(wǎng)絡(luò)邊界防護(hù)措施、系統(tǒng)之間安全隔離措施、互聯(lián)網(wǎng)接入安全防護(hù)措施、重要數(shù)據(jù)傳輸及存儲(chǔ)的安全管理措施不夠具體，缺乏實(shí)效性。

1.4 安全檢查工作缺乏持續(xù)性和針對(duì)性

鐵路行業(yè)信息安全檢查工作一直都作為一個(gè)常態(tài)化的管理機(jī)制運(yùn)行，在一定時(shí)間間隔內(nèi)定期或不定期開展，但大部分單位對(duì)檢查工作認(rèn)識(shí)不足，需要?jiǎng)佑眉夹g(shù)力量對(duì)系統(tǒng)進(jìn)行掃描、滲透并部署采集設(shè)備時(shí)，各單位普遍有畏難情緒，運(yùn)行維護(hù)部門又擔(dān)心會(huì)影響正常的業(yè)務(wù)使用。總體來看，檢查工作本身所能提供的信息有限，從而無法真實(shí)并準(zhǔn)確反應(yīng)單位信息系統(tǒng)及信息安全現(xiàn)狀，也就無法對(duì)系統(tǒng)進(jìn)行有針對(duì)性的信息安全加固及整改。

2 應(yīng)對(duì)措施

建立良好的信息安全管理模式是鐵路信息系統(tǒng)安全穩(wěn)定運(yùn)行的根本保障，有利于鐵路行業(yè)信息系統(tǒng)的發(fā)展。針對(duì)上述鐵路信息安全管理面臨的挑戰(zhàn)，建立鐵路行業(yè)信息安全管理新模式，結(jié)合鐵路行業(yè)現(xiàn)有組織管理架構(gòu)，借鑒已有的信息安全管理制度，明確信息安全工作的地位、目標(biāo)、原則以及策略，從組織管理、制度及應(yīng)急管理、運(yùn)行維護(hù)管理和等級(jí)保護(hù)管理幾個(gè)方面來深入考慮和分析，采用體系化管理方式保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

2.1 健全組織管理機(jī)構(gòu)

信息安全組織管理方面，建立并逐步健全一套自上而下的安全組織機(jī)構(gòu)，成立鐵路信息系統(tǒng)安全管理領(lǐng)導(dǎo)機(jī)構(gòu)，作為系統(tǒng)安全管理的常設(shè)組織。同時(shí)，采用分層結(jié)構(gòu)，以適應(yīng)鐵路行業(yè)鐵路總公司、鐵路局、站段3級(jí)管理機(jī)制。組織架構(gòu)如圖1所示。

圖1 鐵路信息系統(tǒng)安全管理組織結(jié)構(gòu)

鐵路總公司領(lǐng)導(dǎo)機(jī)構(gòu)作為全路信息系統(tǒng)安全管理的常設(shè)領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)制定全路信息系統(tǒng)安全管理制度及辦法，發(fā)布鐵路信息系統(tǒng)安全防護(hù)技術(shù)的標(biāo)準(zhǔn)，制定安全管理制度。區(qū)域安全管理機(jī)構(gòu)主要職責(zé)有：負(fù)責(zé)各鐵路局的信息安全管理中心的日常管理工作，及時(shí)與安全專家協(xié)商討論安全執(zhí)行方案，執(zhí)行安全響應(yīng)中心制定的具體安全策略，定期向上級(jí)匯報(bào)信息安全管理相關(guān)工作，下設(shè)多個(gè)安全管理決策小組和管理執(zhí)行小組，管理執(zhí)行小組主要負(fù)責(zé)監(jiān)督和協(xié)調(diào)鐵路局下設(shè)各車站的信息安全管理執(zhí)行工作。車站級(jí)信息安全執(zhí)行分組包括安全監(jiān)督員、安全檢查員、安全執(zhí)行員3類安全工作人員。

2.2 強(qiáng)化制度建設(shè)及工作流程管理

2.2.1 管理制度

鐵路信息系統(tǒng)安全不僅要強(qiáng)化系統(tǒng)建設(shè)，更要做好內(nèi)部安全管理建設(shè)，具體要做好以下工作：

（1）建立專門的安全防御組織：針對(duì)鐵路信息系統(tǒng)整體安全，鐵路總公司應(yīng)成立專門的機(jī)構(gòu)，負(fù)責(zé)網(wǎng)絡(luò)的安全管理和應(yīng)急響應(yīng)。鐵路局、基層站段相應(yīng)的部門，對(duì)鐵路基礎(chǔ)網(wǎng)實(shí)施自頂向下的實(shí)時(shí)監(jiān)控與管理。

（2）建立健全安全保密制度：各部門應(yīng)制定嚴(yán)格的安全保密條例，杜絕不必要的人員接觸和了解鐵路核心網(wǎng)絡(luò)設(shè)備與技術(shù)，防止敏感信息泄露。對(duì)有權(quán)了解、處理關(guān)鍵信息的內(nèi)部人員制定更嚴(yán)格、更詳細(xì)的安全責(zé)任制度，明確個(gè)人在信息安全方面應(yīng)該承擔(dān)的職責(zé)以及發(fā)生責(zé)任事故后的處罰。

（3）建立健全數(shù)據(jù)安全保護(hù)措施：針對(duì)鐵路核心業(yè)務(wù)系統(tǒng)的關(guān)鍵數(shù)據(jù)，需要建立完備的本地和異地備份制度，同時(shí)，采用雙機(jī)備份、物理隔離的技術(shù)方案，定時(shí)增量備份。

（4）定期實(shí)施漏洞掃描和系統(tǒng)補(bǔ)丁升級(jí)：系統(tǒng)管理人員需定期對(duì)網(wǎng)絡(luò)進(jìn)行掃描，以檢測(cè)和評(píng)估網(wǎng)絡(luò)漏洞。檢測(cè)范圍包括所有的網(wǎng)絡(luò)設(shè)備和終端設(shè)備，同時(shí)掃描網(wǎng)絡(luò)內(nèi)所有主機(jī)系統(tǒng)的配置及安全漏洞。

（5）定期實(shí)施計(jì)算機(jī)安全檢查：針對(duì)處理關(guān)鍵數(shù)據(jù)的計(jì)算機(jī)，應(yīng)建立完善的日志，記錄所有與安全有關(guān)的事件。安全日志不僅要完整的記錄安全事件，而且需要具備防篡改、抗抵賴功能。

2.2.2 標(biāo)準(zhǔn)制度

以信息安全相關(guān)管理和技術(shù)規(guī)范及不同層次的信息安全制度為重點(diǎn)，構(gòu)建科學(xué)嚴(yán)謹(jǐn)、有效適用、系統(tǒng)規(guī)范的信息安全管理標(biāo)準(zhǔn)制度體系。制定相應(yīng)的技術(shù)標(biāo)準(zhǔn)、作業(yè)辦法等，明確工作標(biāo)準(zhǔn)，流程，落實(shí)管理責(zé)任，規(guī)范作業(yè)行為。按照信息安全風(fēng)險(xiǎn)管理的要求，對(duì)各項(xiàng)管理規(guī)章制度進(jìn)行全面的清理和完善，不斷加強(qiáng)鐵路信息安全標(biāo)準(zhǔn)制度體系建設(shè)，使鐵路信息安全風(fēng)險(xiǎn)管理工作制度化、規(guī)范化和標(biāo)準(zhǔn)化。

2.2.3 工作流程管理

信息安全管理流程包括信息安全培訓(xùn)工作流程、信息安全運(yùn)行維護(hù)工作流程、信息安全風(fēng)險(xiǎn)控制流程、信息安全應(yīng)急處置流程、信息安全監(jiān)督檢查與改進(jìn)流程等各項(xiàng)管理工作流程。應(yīng)根據(jù)工作實(shí)際情況，建立健全、持續(xù)改進(jìn)、推廣應(yīng)用先進(jìn)的信息安全管理工作流程，使鐵路信息安全管理和運(yùn)行維護(hù)工作專業(yè)化、標(biāo)準(zhǔn)化、規(guī)范化。

2.3 建立信息安全運(yùn)行維護(hù)管理體系

2.3.1 安全風(fēng)險(xiǎn)管理

鐵路信息系統(tǒng)安全管理中心采用風(fēng)險(xiǎn)評(píng)估的方法，分析和評(píng)估系統(tǒng)的風(fēng)險(xiǎn)源和安全威脅源，并根據(jù)各類信息資產(chǎn)的重要程度和價(jià)值，選擇適當(dāng)?shù)目刂拼胧p緩風(fēng)險(xiǎn)。鐵路局要組織建立安全風(fēng)險(xiǎn)管理體系，進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理。

從理論上，風(fēng)險(xiǎn)只能降低或減少而不能完全消除。選擇控制措施的原則是既能使鐵路信息系統(tǒng)受到與其價(jià)值和保密等級(jí)相符的保護(hù)，將其所受的風(fēng)險(xiǎn)降低到可接受的水準(zhǔn)，又能使所需要的費(fèi)用在預(yù)算范圍之內(nèi)，使鐵路行業(yè)能夠保持良好的競(jìng)爭(zhēng)力和成功運(yùn)作的狀態(tài)。另外，系統(tǒng)的風(fēng)險(xiǎn)是動(dòng)態(tài)的，風(fēng)險(xiǎn)評(píng)估活動(dòng)應(yīng)定期進(jìn)行，特別是在系統(tǒng)的核心功能及技術(shù)發(fā)生重大變化和內(nèi)外環(huán)境發(fā)生重大變化時(shí)，風(fēng)險(xiǎn)評(píng)估應(yīng)重新進(jìn)行。

2.3.2 安全運(yùn)行維護(hù)

鐵路信息系統(tǒng)安全運(yùn)行維護(hù)管理依托安全管理中心實(shí)現(xiàn)系統(tǒng)的安全運(yùn)行維護(hù)。鐵路總公司信息系統(tǒng)安全管理中心運(yùn)行維護(hù)平臺(tái)可實(shí)現(xiàn)對(duì)系統(tǒng)中的網(wǎng)絡(luò)、主機(jī)、安全系統(tǒng)、數(shù)據(jù)庫、中間件、存儲(chǔ)備份設(shè)備和應(yīng)用系統(tǒng)的可視、可控、可管理，協(xié)助運(yùn)行維護(hù)人員監(jiān)控系統(tǒng)和及時(shí)發(fā)現(xiàn)問題。各鐵路局安全管理部門運(yùn)行維護(hù)人員應(yīng)通過使用運(yùn)行維護(hù)平臺(tái)，積極開展運(yùn)行維護(hù)管理工作，實(shí)現(xiàn)鐵路局安全監(jiān)管監(jiān)察部門與鐵路總公司安全運(yùn)行維護(hù)工作的有效連接。對(duì)各地區(qū)安全管理部門能夠處理的事件，按照路局區(qū)域內(nèi)管理流程執(zhí)行，并定時(shí)向鐵路總公司安全管理中心上報(bào)故障情況并提交運(yùn)行維護(hù)處理單。

2.3.3 安全應(yīng)急響應(yīng)

鐵路信息系統(tǒng)安全應(yīng)急響應(yīng)體系的建立應(yīng)做好以下5個(gè)階段工作。

（1）保護(hù)階段：制定應(yīng)急反應(yīng)工作流程計(jì)劃、確定預(yù)警和報(bào)警的方法、建立備份的體系和流程、建立安全的系統(tǒng)、進(jìn)行應(yīng)急反應(yīng)事件處理的預(yù)演。

（2）預(yù)警與報(bào)警：識(shí)別和發(fā)現(xiàn)各種安全的緊急事件。在緊急情況發(fā)生前，產(chǎn)生安全的預(yù)警報(bào)告，在緊急情況發(fā)生時(shí)，產(chǎn)生安全警報(bào)給應(yīng)急反應(yīng)中心。應(yīng)急反應(yīng)中心將根據(jù)事件的級(jí)別，采取相應(yīng)措施。

（3）牽制與反饋：在確認(rèn)緊急事件發(fā)生的情況下，應(yīng)急反應(yīng)中心將根據(jù)預(yù)先制定的反應(yīng)計(jì)劃，進(jìn)入應(yīng)急反應(yīng)流程。同時(shí)，應(yīng)急反應(yīng)系統(tǒng)本身將根據(jù)預(yù)先制定的規(guī)則，采取相應(yīng)的措施，把緊急事件的影響降到最小。

（4）消除階段：對(duì)于系統(tǒng)內(nèi)部病毒，應(yīng)該采用最新的病毒專殺工具清除。對(duì)于系統(tǒng)的外部入侵和非法授權(quán)訪問等，應(yīng)該通過專用的漏洞掃描工具發(fā)現(xiàn)系統(tǒng)存在哪些漏洞，然后采用相應(yīng)的手段消除漏洞安全隱患。對(duì)于入侵攻擊或超量訪問要采用有效的攔截和限量訪問措施，使系統(tǒng)資源處于可控范圍。

（5）恢復(fù)階段：在數(shù)據(jù)或者系統(tǒng)被破壞，無法修復(fù)的情況下，應(yīng)進(jìn)行系統(tǒng)的恢復(fù)，且恢復(fù)要依據(jù)預(yù)先制定的恢復(fù)流程嚴(yán)格進(jìn)行。

2.3.4 安全策略優(yōu)化

制定有效的安全策略，當(dāng)原有安全策略無法滿足現(xiàn)有系統(tǒng)的安全需求時(shí)，要結(jié)合實(shí)際情況對(duì)系統(tǒng)安全管理策略進(jìn)行調(diào)整優(yōu)化，以適應(yīng)新的安全管理制度。制定出符合鐵路信息系統(tǒng)的安全管理策略，以確保系統(tǒng)的信息安全保密性為主，采用多層次保護(hù)、最小授權(quán)、綜合保護(hù)和嚴(yán)格管理等措施。

2.3.5 安全檢查審計(jì)

安全檢查審計(jì)依托安全管理平臺(tái)，通過對(duì)鐵路信息系統(tǒng)中相關(guān)信息的收集、分析和報(bào)告，判定現(xiàn)有系統(tǒng)安全控制手段的有效性，檢查系統(tǒng)的誤用和濫用行為，統(tǒng)計(jì)系統(tǒng)的安全事件，并按照安全事件的影響和危害程度進(jìn)行等級(jí)劃分，從而驗(yàn)證當(dāng)前安全策略的合規(guī)性，為以后的歸納總結(jié)，安全系統(tǒng)的進(jìn)一步改善提供依據(jù)。安全管理平臺(tái)根據(jù)從專項(xiàng)的日志審計(jì)產(chǎn)品、終端審計(jì)產(chǎn)品、數(shù)據(jù)庫審計(jì)產(chǎn)品和應(yīng)用審計(jì)產(chǎn)品中收集上來的信息進(jìn)行關(guān)聯(lián)分析，進(jìn)行審計(jì)規(guī)則匹配，發(fā)現(xiàn)違規(guī)行為并進(jìn)行告警和響應(yīng)。

通過安全審計(jì)與安全管理平臺(tái)的融合，使得安全審計(jì)體系的建設(shè)與安全管理平臺(tái)的建設(shè)目標(biāo)達(dá)成了一致，有助于鐵路信息系統(tǒng)整體安全體系的形成和完善，并通過對(duì)安全事件的分析，把握系統(tǒng)安全威脅的發(fā)展趨勢(shì)，形成日?qǐng)?bào)告或周報(bào)告進(jìn)行定期安全信息通報(bào)，為系統(tǒng)的安全策略優(yōu)化提供決策性指導(dǎo)。

2.4 建立等級(jí)保護(hù)管理制度

為切實(shí)做好信息安全管理工作，鐵路行業(yè)需要借助等級(jí)保護(hù)這一安全抓手，將等級(jí)保護(hù)與信息安全日常管理緊密結(jié)合，將信息安全管理全面納入鐵路運(yùn)輸安全生產(chǎn)管理體系，按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰維護(hù)”和屬地化管理原則，逐級(jí)落實(shí)信息安全責(zé)任，建立地方與總公司信息化發(fā)展相適應(yīng)的信息安全監(jiān)督管理機(jī)制。同時(shí)，為了在縱向上實(shí)現(xiàn)對(duì)等級(jí)保護(hù)的控制，鐵路行業(yè)主管部門在國家文件政策指導(dǎo)下，應(yīng)制定符合本行業(yè)安全需求的等級(jí)保護(hù)行業(yè)標(biāo)準(zhǔn)、行業(yè)等級(jí)保護(hù)實(shí)施方法等文件，用以指導(dǎo)本行業(yè)的等級(jí)保護(hù)工作，保障鐵路運(yùn)輸及生產(chǎn)安全管理。

2.5 建設(shè)鐵路信息安全綜合管理平臺(tái)

為保證鐵路信息安全等級(jí)保護(hù)工作的有序展開，需要建設(shè)信息安全綜合管理平臺(tái)，旨為鐵路總公司及下屬單位開展與信息安全管理相關(guān)工作的綜合工作平臺(tái)，功能將覆蓋鐵路總公司及其下屬單位的信息安全管理工作的主要內(nèi)容，并支持公安部等級(jí)保護(hù)管理工作。平臺(tái)主要提供以下3類功能：（1）以信息系統(tǒng)定級(jí)、備案、整改、測(cè)評(píng)和檢查等規(guī)定步驟為主線，實(shí)現(xiàn)等級(jí)保護(hù)工作任務(wù)的下發(fā)、執(zhí)行、進(jìn)度監(jiān)控和督辦；（2）風(fēng)險(xiǎn)管理、應(yīng)急管理、安全檢查和事故通報(bào)等專項(xiàng)管理功能；（3）日常辦公的綜合管理、培訓(xùn)教育、標(biāo)準(zhǔn)管理等。

3 結(jié)束語

鐵路行業(yè)信息安全問題更多來源于內(nèi)部，這就不僅要在安全性技術(shù)上下功夫，而且更應(yīng)該從信息安全管理模式和方法上入手。本文從組織管理、制度及應(yīng)急管理、運(yùn)行維護(hù)管理和等級(jí)保護(hù)管理幾個(gè)方面詳細(xì)探討了如何健全和強(qiáng)化管理制度，并通過建立信息安全綜合管理平臺(tái)，實(shí)現(xiàn)信息安全工作的規(guī)范化管理，促進(jìn)信息安全管理工作的常態(tài)化發(fā)展，最終實(shí)現(xiàn)鐵路信息系統(tǒng)統(tǒng)一、規(guī)范、監(jiān)管和完善的信息安全運(yùn)用。

鐵路行業(yè)各單位、各部門要進(jìn)一步提高對(duì)鐵路信息安全重要性和開展信息安全管理工作必要性的認(rèn)識(shí)，切實(shí)增強(qiáng)做好信息安全工作的自覺性和主動(dòng)性，努力掌握先進(jìn)的管理方法，準(zhǔn)確把握信息安全風(fēng)險(xiǎn)管理的重點(diǎn)和關(guān)鍵，科學(xué)推進(jìn)鐵路信息安全管理工作的有序開展。

[1] 祝詠升，張 彥.鐵路信息系統(tǒng)安全管理中心的設(shè)計(jì)[J]. 中國鐵路，2012（10）：24-28.

[2] 鐵路總公司.關(guān)于印發(fā)《鐵路信息安全風(fēng)險(xiǎn)管理實(shí)施意見》的通知（鐵信息62號(hào)）[Z].北京：中國鐵路總公司，2013.

[3] 王令朝.創(chuàng)建鐵路信息安全管理及其標(biāo)準(zhǔn)體系的探討[J].鐵道技術(shù)監(jiān)督，2010，38（7）：1-5.

[4] 朱文生，陳 篤.淺論銀行業(yè)信息安全管理面臨的挑戰(zhàn)及對(duì)策[J].中國金融電腦，2014（2）：71-74.

[5] 李益文.煙草行業(yè)信息安全運(yùn)維管理體系建設(shè)的思考[J].信息網(wǎng)絡(luò)安全，2009（2） .

責(zé)任編輯 方 圓

Challenges and countermeasures of railway information security management

SHI Tianyun
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

As the informatization constantly improved, information security risk was increasingly becoming an important factor affecting the key business of railway. On the basis of the current situation of railway information security management, the paper analyzed the challenges of information security management, discussed prevention measures and management methods of railway information security risk by means of constructing regulatory agency and institution, combined with integrated management platform of information security.

railway informatization; information security; security management; integrated management platform

U29-39

A

1005-8451（2015）02-0001-04

2014-10-08

史天運(yùn)，研究員。