王志波

（國家能源集團神朔鐵路分公司，陜西 榆林 719316）

建立安全有效的鐵路運營系統(tǒng)能夠實現(xiàn)比較理想的企業(yè)目標，這要求現(xiàn)代企業(yè)加強信息化的建設與發(fā)展，應當確保鐵路運營信息系統(tǒng)的安全性。

1 信息系統(tǒng)的安全管理現(xiàn)狀

我國鐵路運輸是擁有全世界第一大的鐵路運輸系統(tǒng)，在發(fā)展過程中針對信息管理出現(xiàn)的各種狀況，建立針對鐵路運營方面的安全體系，充分重視信息安全方面的管理體系。但目前我國的鐵路信息系統(tǒng)中缺乏信息安全的整體策略，缺乏完善的信息安全風險評估標準體系。

1.1 缺乏信息安全的整體策略

目前在鐵路發(fā)展上缺乏信息安全的整體策略，一般在具體的發(fā)展過程中是從個別單位信息安全的角度出發(fā)，而缺乏對信息安全整體策略的運用。在信息安全的發(fā)展過程中注重于從對單一某關鍵信息的角度進行保護，而沒有從單位整體上信息安全的角度，將單個信息放在整體系統(tǒng)之中進行考慮，并制定整體性的信息安全發(fā)展策略[1]。

1.2 缺乏完善的信息安全風險評估標準體系

鐵路信息安全上的需求難以充分確定，從而難以充分確定鐵路信息保護的對象與邊界，沒有對系統(tǒng)進行全面的信息安全風險評估與信息安全保障體系制定，在鐵路信息管理過程中存在著注重產品、缺乏對服務的充分重視，注重技術的發(fā)展而沒有充分重視管理的作用。沒有建立相應的網絡技術，網路安全的發(fā)展受到了新的挑戰(zhàn)，對鐵路信息安全提出了新的要求，目前的安全措施應當進行新的調整。

2 信息安全的重要性

信息安全的建立對鐵路運輸的正常運營起著重要的影響作用，鐵路運輸是我國貨運運輸以及客運運輸中的重要方式之一，是國計民生的重要組成部分之一。在鐵路運輸中應當充分關注安全問題，這對于現(xiàn)代鐵路運輸企業(yè)的發(fā)展非常重要。在現(xiàn)代（鐵路運輸）企業(yè)信息安全的規(guī)劃方面，應當加強對人員的安全管理，加強對基礎設施的管理，加強輸入與輸出的有效控制，加強對應用軟件的維護與控制以及加強對數據的完整性與有效性控制。下文從這5個方面進行了相應分析[2]。

2.1 加強對人員的安全管理

系統(tǒng)的發(fā)展是由人來控制的，因此需要對重要的崗位人員進行審查，加強嚴密的管理制度。為此在制度的發(fā)展過程中應當堅持授權最小化的原則，在員工能夠滿足本職工作的情況下對其進行最小的授權，表現(xiàn)在使用計算機外設與數據訪問方面。其次是授權的分散化，在對關鍵性任務的完成上進行劃分，要求多人能夠進行共同承擔，使得沒有個人能夠完成全部的任務。最后是授權的規(guī)劃化，在進行申請、建立、發(fā)出與關閉的過程中能夠建立嚴格的授權管理制度[3]。

2.2 加強對基礎設施的管理

首先加強物理訪問控制，在一些重要區(qū)域中對人員的進出進行嚴格限制與控制，例如備份介質存放點、供電系統(tǒng)以及能夠連接到內部的區(qū)域以及機房等區(qū)域。其次是建筑物的安全，要求能夠對建筑物的發(fā)展進行防火、防盜、防鼠、防汛、防雷、地震，結構坍塌以及漏水等現(xiàn)象的發(fā)生，為鐵路運輸的發(fā)展創(chuàng)造良好的條件。再次是公用設施的保證，在系統(tǒng)的發(fā)展過程中要求能夠充分保護其中的服務與硬件設施，從而促進鐵路運輸供電、供水、空調、網絡通道、報警設備等設施的維護與發(fā)展。最后是在數據安全方面，在鐵路運輸過程中出現(xiàn)信息泄露包括直接獲取、在鐵路運輸過程中進行截獲以及電磁輻射泄露方面。在信息安全管理與維護過程中可以從這3個方面進行分別評估。在信息安全系統(tǒng)中建立針對便攜式計算機方面的安全保管制度，對于其中的一些敏感數據進行加密處理，從而有效避免由于數據的丟失或者被盜而出現(xiàn)的數據泄露現(xiàn)象[4]。

2.3 加強輸入與輸出的有效控制

建立一種針對系統(tǒng)的輸入輸出信息或介質方面的管理制度，在系統(tǒng)的輸入或者輸出信息的過程中需要通過官方的授權。同時還需要針對一些突發(fā)事件制定充分的應急方案，要求在發(fā)生一些故障時能夠制定充分積極的應急方案，對故障的發(fā)生在充分分析的基礎上制作出一種緊急的故障恢復操作指南，為此就需要對各個崗位的工作人員進行基于其角色的相關培訓與演練。

2.4 加強對應用軟件的維護與控制

在對應用軟件的維護時，應當充分維護使用的商業(yè)軟件中的版權與來源等，需要對應用軟件工作中的修改等問題進行充分檢查，同時在數據測試過程中需要充分檢查調度、客票、辦公、貨票系、車號識別、統(tǒng)計以及車站應用系統(tǒng)等，最終實現(xiàn)系統(tǒng)安全的有效運行，實現(xiàn)鐵路運輸的良性發(fā)展。數據網絡分布如圖1所示。

2.5 加強對數據的完整性與有效性控制

在鐵路運輸管理過程中需要充分保證數據信息的完整性與有效性，具體需要評估的內容包括系統(tǒng)的備份和恢復措施，從而進行有效的計算機病毒防護，建立實時性的監(jiān)控系統(tǒng)日志文件，加強對系統(tǒng)的充分記錄與可用性記錄。

圖1 數據網絡分布

3 建立信息安全管理體系

ISO27001信息安全管理體系標準十一大控制領域如圖2所示。在制定（鐵路運輸）企業(yè)建立信息安全管理體系過程中主要包括以下部分，構建有效的信息安全管理框架，建立針對信息安全管理體系的文檔與文件以及加強對安全事件的充分記錄與反饋等。下文從這4個方面進行了相應分析。

3.1 構建有效的信息安全管理框架

嚴格按照相關的順序進行信息安全框架的充分建設，具體主要包括以下部分，首先制定正確的信息安全政策，其次，對信息管理管理體系的范圍進行定義，再次，充分評估信息安全的風險，最后是對于信息安全風險的充分管理，根據鐵路運輸行業(yè)發(fā)展的具體情況制定管制的目標，并且有效選擇相應的管制措施，同時加強信息安全的適用性。

3.2 信息安全管理體系的具體實施方面

在充分制定了信息安全管理體系框架體系之后，在實施過程中需要充分考慮各種真實的情況，包括信息安全管理體系運行、信息安全管理體系內部審核、信息安全管理體系有效性、信息安全管理體系管理評審等，在新的問題產生的過程中會發(fā)生與原來工作習慣之間的沖突，在不同部門與不同機構的工作之間也會產生一定的摩擦與矛盾，因此，在信息安全管理體系中應當對這些矛盾進行充分協(xié)調[5]，嚴格按照指定的信息安全管理機制執(zhí)行。

3.3 建立信息安全事件處置體系

在鐵路運輸信息安全管理過程中必不可少的組成部分就是建立信息安全事件處置體系。應當針對鐵路運輸中各個部門信息安全方面的信息，分門別類地建立相應的信息安全文檔信息。對其中所涵蓋的文檔內容以及管理框架等進行充分分析，對信息管理管制的工作內容進行收集。將信息以文檔的形式進行保存，要求對不同的等級與類型進行分別記錄。在信息安全的認證方面，要求允許第三方進行登記與訪問。在針對文檔完成登記之后，應當根據鐵路運輸發(fā)展的規(guī)律與周期性工作對文檔信息進行及時調整，將部分不符合企業(yè)發(fā)展規(guī)律的信息進行及時廢除。部分企業(yè)信息即使已經過時，但是出于知識產權等相關法律的原因，可以繼續(xù)進行這些信息的保存。按照信息安全的發(fā)生機制分別制定相應的工作內容，根據具體的工作內容分別制定相應的相應流程，設置信息安全的響應機構，對出現(xiàn)的信息安全問題進行及時充分的處理。

圖2 信息安全保護

4 結語

在鐵路運輸過程中應當充分重視信息安全，為此需要對企業(yè)信息發(fā)展中的各項內容進行充分規(guī)劃與考慮，促進基礎數據的采集和共享，加強安全評估和風險預控，加大各專業(yè)及信息安全管理部門之間的橫向聯(lián)系，提高信息安全管理能力和應急響應能力，為鐵路運輸安全提供系統(tǒng)的、可靠的技術保障。