陳寧

摘 要：目前，我國(guó)鐵路信息安全風(fēng)險(xiǎn)主要因三個(gè)方面引起，分別是：技術(shù)、管理以及系統(tǒng)生命周期三個(gè)因素，其中，技術(shù)因素主要是指環(huán)境、系統(tǒng)、網(wǎng)絡(luò)以及應(yīng)用等方面的安全問(wèn)題，管理因素主要是指技術(shù)人員、管理機(jī)構(gòu)以及管理制度等方面問(wèn)題，而系統(tǒng)生命周期方面主要是指系統(tǒng)設(shè)計(jì)、實(shí)施、運(yùn)行、控制等方面存在的問(wèn)題，本文針對(duì)鐵路網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理進(jìn)行分析，為降低鐵路信息安全風(fēng)險(xiǎn)提供參考。

關(guān)鍵詞：鐵路網(wǎng)絡(luò)；信息；安全風(fēng)險(xiǎn)；管理措施

目前，我國(guó)已經(jīng)進(jìn)入信息網(wǎng)絡(luò)技術(shù)普及的時(shí)代中，在信息技術(shù)應(yīng)用越來(lái)越廣泛、作用越來(lái)越強(qiáng)大的同時(shí)，鐵路運(yùn)輸組織、服務(wù)、管理、建設(shè)等多方面的發(fā)展逐漸依賴于信息技術(shù)與網(wǎng)絡(luò)技術(shù)，目前鐵路生產(chǎn)與管理已經(jīng)進(jìn)入智能化、管控一體化的管理模式中，因此，信息與網(wǎng)絡(luò)的安全性對(duì)鐵路發(fā)展有著至關(guān)重要的影響。

但是隨著信息化越來(lái)越強(qiáng)烈，存在的風(fēng)險(xiǎn)越來(lái)越多，這對(duì)鐵路發(fā)展無(wú)疑是一種嚴(yán)重的威脅，下面對(duì)控制網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)提出了幾點(diǎn)參考建議。

一、信息安全管理體系結(jié)構(gòu)

信息安全風(fēng)險(xiǎn)管理體系結(jié)構(gòu)模型主要由技術(shù)、管理以及系統(tǒng)生命周期三大要素組成的三維模型。而信息安全是由信息安全技術(shù)與信息安全管理共同參與保護(hù)工作而實(shí)現(xiàn)的，信息安全技術(shù)的保護(hù)作用在于對(duì)信息安全保護(hù)采取的有效技術(shù)措施，而信息安全管理的作用主要在于對(duì)信息安全技術(shù)實(shí)施與運(yùn)行過(guò)程中進(jìn)行科學(xué)管理，促使信息安全技術(shù)發(fā)揮最大作用。

隨著信息安全風(fēng)險(xiǎn)越來(lái)越多，需要不斷提高信息安全技術(shù)實(shí)施與運(yùn)行能力，更重要的是加強(qiáng)信息安全管理，從政策、法律、技術(shù)、人員等方面進(jìn)行全面管理，為保證信息安全采取有效的應(yīng)對(duì)措施。

（一）技術(shù)要素

在技術(shù)要素中主要含有環(huán)境、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用四個(gè)技術(shù)方面。鐵路信息系統(tǒng)建設(shè)過(guò)程中，環(huán)境安全是保護(hù)信息系統(tǒng)安全的基礎(chǔ)與屏障，對(duì)于機(jī)房環(huán)境安全要求非常嚴(yán)格，從機(jī)房建設(shè)過(guò)程開(kāi)始就需要對(duì)機(jī)房地址、周邊環(huán)境等方面進(jìn)行考慮，特別是對(duì)防火、防雷擊、防滲水、防鼠害等多種對(duì)機(jī)房安全有影響的因素全部考慮在內(nèi)，同時(shí)還要加強(qiáng)對(duì)機(jī)房維護(hù)與管理等方面工作的考慮。

值班人員管理、設(shè)備管理、電源管理、機(jī)房詢問(wèn)控制以及機(jī)房保密等方面中都會(huì)存在安全風(fēng)險(xiǎn)，因此需要對(duì)其采取相應(yīng)的管理措施，來(lái)降低風(fēng)險(xiǎn)發(fā)生幾率，保障信息安全。

系統(tǒng)主要是由硬件、軟件以及數(shù)據(jù)組成，加強(qiáng)系統(tǒng)安全，首先要確保硬件安全、軟件安全以及數(shù)據(jù)安全，一旦發(fā)生安全風(fēng)險(xiǎn)，就會(huì)使數(shù)據(jù)遭到破壞、更改、泄露等風(fēng)險(xiǎn)出現(xiàn)，因此，需要加強(qiáng)對(duì)其安全保護(hù)，保證數(shù)據(jù)安全、促使系統(tǒng)正常運(yùn)行。

網(wǎng)絡(luò)是數(shù)據(jù)傳輸、分析、處理等方面的重要渠道，要對(duì)網(wǎng)絡(luò)安全加以重視，網(wǎng)絡(luò)安全是可以保證信息安全的基礎(chǔ)，因此，需要對(duì)其加強(qiáng)管理，要從結(jié)構(gòu)、訪問(wèn)、審計(jì)、設(shè)備、代碼、病毒等方面進(jìn)行全面加強(qiáng)防范措施。

應(yīng)用系統(tǒng)是實(shí)現(xiàn)信息權(quán)限管理的重要技術(shù)，具有賦予、變更、撤銷(xiāo)等重要信息應(yīng)用功能，因此，加強(qiáng)應(yīng)用系統(tǒng)安全管理有一定的必要性。首先要完善專(zhuān)用用戶登錄識(shí)別功能；其次要提高訪問(wèn)控制功能；再次需要對(duì)重要信息進(jìn)行加密保管；還要保證數(shù)據(jù)完整性，加強(qiáng)密碼技術(shù)功能應(yīng)用；最后要對(duì)資源進(jìn)行合理控制，限制使用額度。

（二）管理要素

信息安全風(fēng)險(xiǎn)管理效果與鐵路內(nèi)部組織結(jié)構(gòu)、管理制度以及人員管理有著直接的關(guān)系，沒(méi)有完善的組織結(jié)構(gòu)，相應(yīng)的管理制度，會(huì)使內(nèi)部管理混亂，進(jìn)而發(fā)生信息安全管理不得當(dāng)，同時(shí)技術(shù)人員的技術(shù)水平以及個(gè)人素質(zhì)等因素都會(huì)造成信息泄露、丟失等風(fēng)險(xiǎn)存在。因此，必須建立完善的組織結(jié)構(gòu)，鐵路信息系統(tǒng)的安全要在組織結(jié)構(gòu)方面得到安全保證。鐵路信息安全管理應(yīng)建立由上級(jí)領(lǐng)導(dǎo)層、中級(jí)管理層、下級(jí)執(zhí)行層三個(gè)層面的管理組織機(jī)構(gòu)，并制定完善的管理制度，落實(shí)到實(shí)際工作中，加強(qiáng)技術(shù)人員的培訓(xùn)，以提高技術(shù)人員專(zhuān)業(yè)水平以及綜合素質(zhì)為目的，優(yōu)化整個(gè)信息安全管理部門(mén)，促使鐵路信息安全風(fēng)險(xiǎn)管理得到保證。

（三）系統(tǒng)生命周期要素分析

設(shè)計(jì)階段的安全風(fēng)險(xiǎn)管理過(guò)程應(yīng)對(duì)設(shè)計(jì)方案中所提供的安全功能符合性進(jìn)行判斷，作為采購(gòu)過(guò)程風(fēng)險(xiǎn)控制的依據(jù)。應(yīng)詳細(xì)評(píng)估設(shè)計(jì)方案中對(duì)系統(tǒng)可能面臨威脅的描述，將使用的具體設(shè)備、軟件等資產(chǎn)及其安全功能需求列表。

基于設(shè)計(jì)階段的資產(chǎn)列表、安全措施，實(shí)施階段應(yīng)對(duì)規(guī)劃階段的安全威脅進(jìn)行進(jìn)一步細(xì)分，同時(shí)評(píng)估安全措施的實(shí)現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估應(yīng)采取定期和非定期兩種方式；當(dāng)組織的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變更時(shí)，也應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

二、采取措施建議

在信息系統(tǒng)規(guī)劃、設(shè)計(jì)階段，應(yīng)對(duì)信息系統(tǒng)的安全需求進(jìn)行分析，同步規(guī)劃、設(shè)計(jì)信息系統(tǒng)的安全等級(jí)和保護(hù)措施，建立安全環(huán)境，從源頭上保障信息安全。對(duì)已定級(jí)的信息系統(tǒng)，應(yīng)嚴(yán)格按照等保要求進(jìn)行區(qū)域劃分、邊界防護(hù)、訪問(wèn)控制、安全審計(jì)及安全管理。構(gòu)建一個(gè)全路信息系統(tǒng)可視化管理平臺(tái)，對(duì)網(wǎng)絡(luò)、計(jì)算機(jī)設(shè)備、應(yīng)用系統(tǒng)部署、操作用戶及角色、運(yùn)維狀態(tài)等關(guān)鍵信息進(jìn)行全局監(jiān)控，提高對(duì)系統(tǒng)中安全問(wèn)題及其隱患的發(fā)現(xiàn)、分析和防范能力。建立全路統(tǒng)一的身份認(rèn)證與授權(quán)機(jī)制，對(duì)各信息系統(tǒng)的用戶進(jìn)行統(tǒng)一管理，確保信息在產(chǎn)生、存儲(chǔ)、傳輸、處理過(guò)程中的保密性、完整性、抗抵賴性和可用性。

鐵路網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理，不僅僅是從加強(qiáng)技術(shù)或者管理任意一方面就可以實(shí)現(xiàn)的，而是需要對(duì)信息技術(shù)與安全管理相結(jié)合，共同完善信息安全風(fēng)險(xiǎn)管理。加強(qiáng)對(duì)信息技術(shù)內(nèi)部結(jié)構(gòu)的保護(hù)，從硬件、軟件、數(shù)據(jù)、加密手段、權(quán)限管理手段等多方面進(jìn)行安全防護(hù)，控制系統(tǒng)安全風(fēng)險(xiǎn)發(fā)生，同時(shí)還需要加強(qiáng)信息外部管理，從建設(shè)、人員、操作、管理等方面進(jìn)行管理，保證鐵路網(wǎng)絡(luò)與信息安全，降低風(fēng)險(xiǎn)發(fā)生，為鐵路發(fā)展提供信息安全保障。

參考文獻(xiàn)：

[1] 郭璽琨.關(guān)于鐵路通信工程項(xiàng)目風(fēng)險(xiǎn)管理的研究[J].城市建設(shè)理論研究：電子版，2015（2）.