導(dǎo)語：鐵路信息安全保障體系研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1鐵路信息安全保障體系

鐵路信息安全建設(shè)和運行必須結(jié)合鐵路信息化實際情況，從管理和技術(shù)兩個層面綜合保證鐵路信息系統(tǒng)的運行操作安全，保障鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的運行安全，并最終保障鐵路運輸業(yè)務(wù)及運輸服務(wù)的安全。鐵路信息安全保障體系結(jié)構(gòu)見圖1。管理和技術(shù)是鐵路信息安全保障體系的兩個要素，是保證鐵路信息系統(tǒng)及其所支撐的鐵路運輸業(yè)務(wù)和服務(wù)安全建設(shè)和運行的必要條件。在這兩個安全要素中，管理是核心，是基礎(chǔ)，它影響和決定技術(shù)的選擇以及技術(shù)標準規(guī)范；反過來，技術(shù)也會影響到信息安全管理方式和管理制度的具體形式，降低管理成本。在安全管理層面中，國家和鐵路行業(yè)的信息安全方針政策法規(guī)是鐵路信息安全建設(shè)和安全運維的管理基礎(chǔ)；鐵路信息安全管理制度是信息安全方針政策法規(guī)在鐵路信息安全日常工作中的具體要求體現(xiàn)；鐵路信息安全組織保障是落實鐵路信息安全方針政策法規(guī)、執(zhí)行鐵路信息安全管理制度的崗位職責基礎(chǔ)和人員保障；信息安全意識培養(yǎng)、培訓(xùn)和教育是鐵路信息安全方針政策法規(guī)和鐵路信息安全管理制度得以高效、準確地落實和執(zhí)行的保證。管理安全保證不僅通過方針政策法規(guī)、組織保障、管理制度、意識培養(yǎng)培訓(xùn)教育等形式直接對鐵路業(yè)務(wù)提供安全支持和保障外，還通過對信息安全技術(shù)的影響間接地保護鐵路業(yè)務(wù)安全。鐵路信息安全方針政策法規(guī)和管理制度等因素是制定鐵路信息安全技術(shù)標準和規(guī)范的重要基礎(chǔ)，同時，它們也會對信息安全方案的設(shè)計、產(chǎn)品選擇和采購方式產(chǎn)生不同程度的影響。在安全管理控制下，只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認證認可的技術(shù)手段支持下，執(zhí)行規(guī)定的操作流程；鐵路信息系統(tǒng)操作流程安全包括鐵路信息系統(tǒng)的建設(shè)、運維和災(zāi)備恢復(fù)等活動的流程和操作安全，它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中各主要階段的過程安全。鐵路信息系統(tǒng)由鐵路外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)以及若干生產(chǎn)專網(wǎng)組成，鐵路的各種應(yīng)用業(yè)務(wù)都直接運行在這些系統(tǒng)之上，為了更好地支撐這些業(yè)務(wù)系統(tǒng)的安全運行，支持鐵路統(tǒng)一的安全管理，在鐵路信息系統(tǒng)中還包括災(zāi)備中心、數(shù)字證書系統(tǒng)、集中管理及認證授權(quán)中心等安全基礎(chǔ)設(shè)施系統(tǒng)或安全平臺，這些安全基礎(chǔ)設(shè)施及其所服務(wù)的鐵路應(yīng)用業(yè)務(wù)系統(tǒng)的運行安全是鐵路運輸業(yè)務(wù)及服務(wù)正常安全運行的環(huán)境保障。

2安全保障體系要素

在鐵路信息系統(tǒng)中，無論是系統(tǒng)的建設(shè)、運行、災(zāi)難恢復(fù)、事件處置等活動，還是其支撐的運輸業(yè)務(wù)和服務(wù)等系統(tǒng)目標，都離不開管理和技術(shù)兩個安全要素的綜合保證，其中管理是核心，在安全管理措施的控制下，只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認證認可的技術(shù)手段支持下，執(zhí)行規(guī)定的操作流程。

2.1鐵路信息安全管理體系

鐵路信息安全管理體系必須以國家信息安全相關(guān)法規(guī)、政策和標準以及鐵路相關(guān)法規(guī)政策為基礎(chǔ)和依據(jù)。按照GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、GB/T22080—2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081—2008《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》等國家標準和指南，結(jié)合我國鐵路實際情況，將鐵路信息安全管理體系劃分為11個安全控制類別，其中包括信息安全政策、信息安全組織、資產(chǎn)業(yè)務(wù)、信息安全環(huán)境、設(shè)備使用、通信網(wǎng)絡(luò)、配置授權(quán)、安全事件處置、安全運維、安全合規(guī)和災(zāi)備恢復(fù)等管理內(nèi)容；在11個安全控制類別的基礎(chǔ)上，建立鐵路信息安全管理制度框架，如鐵路信息資產(chǎn)管理制度、互聯(lián)網(wǎng)訪問管理制度、人員安全培訓(xùn)制度、機房管理制度、產(chǎn)品準入制度、系統(tǒng)運維制度、安全事件處理流程規(guī)定、介質(zhì)管理制度、電子郵件使用管理規(guī)定、鐵路軟件開發(fā)管理流程規(guī)定等（見圖2）。

2.2鐵路信息安全技術(shù)框架

鐵路信息安全技術(shù)框架是鐵路信息安全保障體系的重要組成內(nèi)容，主要包括安全管理、身份管理、授權(quán)管理、災(zāi)備管理、監(jiān)控審計、可信保證等技術(shù)機制（見圖3）。管理安全是統(tǒng)領(lǐng)鐵路信息安全保障的綱領(lǐng)，綱舉才能目張，構(gòu)建一個全路信息系統(tǒng)可視化管理平臺，以便對網(wǎng)絡(luò)、計算機設(shè)備、應(yīng)用系統(tǒng)部署、操作用戶及角色、運維狀態(tài)等關(guān)鍵信息進行全局的監(jiān)控，提高對系統(tǒng)中安全問題及其隱患的發(fā)現(xiàn)、分析和防范能力。由全路統(tǒng)一身份管理平臺、授權(quán)管理機制和責任認定構(gòu)成的鐵路網(wǎng)絡(luò)信任管理體系是保障鐵路信息安全可信和安全的前提。全路災(zāi)難備份和恢復(fù)策略管理是鐵路信息系統(tǒng)可信、安全和業(yè)務(wù)可持續(xù)性的后盾。以密碼技術(shù)為基礎(chǔ)的可信計算技術(shù)為軟硬件資源的安全和隔離提供了結(jié)構(gòu)化保證，為計算環(huán)境的可信可靠（完整性）提供了有效的判別手段，為關(guān)鍵數(shù)據(jù)提供了可信安全存儲，為分布式計算的安全機制一致性和網(wǎng)絡(luò)接入控制提供了遠程可信證明方法?？尚庞嬎慵夹g(shù)是構(gòu)建鐵路信息安全保障體系的基礎(chǔ)支撐。

2.3鐵路信息安全的組織保證

鐵路信息系統(tǒng)安全應(yīng)該在組織上加以保證。在具體組織形式上應(yīng)該由中國鐵路總公司（簡稱總公司）主管領(lǐng)導(dǎo)和部門具體負責鐵路信息安全的領(lǐng)導(dǎo)和組織工作，由相關(guān)專業(yè)職能部門分工協(xié)作，在鐵路信息化的整體工作布局中設(shè)置專門機構(gòu)和崗位、明確相關(guān)職責、配備信息安全專業(yè)技術(shù)和管理人員，確保信息安全管理制度的有效落實和信息安全技術(shù)機制的可操作性。鐵路信息安全組織保證框架見圖4。總公司信息安全主管部門應(yīng)該包括以下職能機構(gòu)：法規(guī)政策標準管理機構(gòu)負責制定鐵路信息安全相關(guān)法規(guī)、政策、標準和規(guī)范，并負責鐵路業(yè)務(wù)應(yīng)用密碼的管理工作；安全建設(shè)運維管理機構(gòu)根據(jù)鐵路信息安全相關(guān)法規(guī)、政策、標準和規(guī)范，參與鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的設(shè)計、開發(fā)和運維審核和監(jiān)管工作；信息安全風險管理機構(gòu)負責對進入鐵路信息系統(tǒng)的相關(guān)產(chǎn)品進行測評認證，對運行系統(tǒng)進行安全監(jiān)控，負責信息系統(tǒng)的安全風險管理工作；安全事件處置管理機構(gòu)負責對系統(tǒng)緊急事件進行處理，對輿情進行綜合分析，并根據(jù)事件性質(zhì)和處理結(jié)果對事件進行通報；安全保密培訓(xùn)服務(wù)中心負責全路的信息安全法律法規(guī)、政策標準、安全意識和安全技能的培訓(xùn)提高工作，負責組織安排和協(xié)調(diào)社會力量以及高校等培訓(xùn)機構(gòu)具體實施常態(tài)化信息安全培訓(xùn)工作；安全災(zāi)備恢復(fù)管理機構(gòu)負責重要信息系統(tǒng)的運行和數(shù)據(jù)備份實施工作，并在系統(tǒng)出現(xiàn)嚴重故障后，迅速協(xié)調(diào)相關(guān)部門恢復(fù)服務(wù)或業(yè)務(wù)數(shù)據(jù)，保障關(guān)鍵業(yè)務(wù)服務(wù)的運行連續(xù)性。各鐵路局（公司）應(yīng)該參照總公司信息安全管理組織結(jié)構(gòu)，設(shè)置相關(guān)部門或相關(guān)專職崗位，并有鐵路局（公司）領(lǐng)導(dǎo)具體分管信息安全工作。鐵路局（公司）信息安全工作應(yīng)該在總公司統(tǒng)一組織、協(xié)調(diào)和安排下開展具體工作。

2.4鐵路信息系統(tǒng)安全基礎(chǔ)設(shè)施

鐵路信息系統(tǒng)必須依賴于鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施作為其安全支撐基礎(chǔ)。鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施不僅可以落實鐵路集中統(tǒng)一安全管理的要求，提高鐵路信息系統(tǒng)的安全水平，還能有效降低鐵路信息安全的建設(shè)和運維成本。鐵路信息安全基礎(chǔ)設(shè)施包括鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心、鐵路業(yè)務(wù)應(yīng)用密碼管理中心、數(shù)字證書系統(tǒng)、集中安全管理及認證授權(quán)中心、安全監(jiān)控中心、安全隔離平臺、信息安全培訓(xùn)平臺以及鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)（見圖5）。鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心可以將由于系統(tǒng)重大故障或破壞帶來的業(yè)務(wù)中斷降低到最小程度，提高鐵路的服務(wù)水平；鐵路業(yè)務(wù)應(yīng)用密碼管理中心是保護鐵路重要數(shù)據(jù)安全和業(yè)務(wù)安全的基礎(chǔ)保證，同時它也是全路統(tǒng)一信任體系的技術(shù)基礎(chǔ)；鐵路數(shù)字證書系統(tǒng)可以在全路范圍內(nèi)建立統(tǒng)一的身份認證體系，提高鐵路的信息安全集中管理能力，降低安全管理成本；鐵路集中管理及認證授權(quán)中心通過全路集中的信息安全平臺實現(xiàn)高效、統(tǒng)一的安全管理，保證安全策略的快速一致化部署；鐵路信息系統(tǒng)安全監(jiān)控中心可以對鐵路信息系統(tǒng)的安全運行狀態(tài)進行監(jiān)控，掌握鐵路信息系統(tǒng)的運行態(tài)勢，從而實現(xiàn)在鐵路信息系統(tǒng)中防患于未然，有效降低系統(tǒng)安全風險；鐵路安全隔離平臺是隔離鐵路內(nèi)部服務(wù)網(wǎng)和外部服務(wù)網(wǎng)的安全措施，它保證了鐵路安全生產(chǎn)網(wǎng)絡(luò)的正常運行；鐵路信息安全培訓(xùn)平臺對保證提高鐵路員工的信息安全意識、培養(yǎng)安全素養(yǎng)極為重要，是人員安全的必要保證；鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)對鐵路了解社會評價、改善鐵路社會化服務(wù)水平、提高鐵路形象至為關(guān)鍵。

2.5鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理

要搞好鐵路信息系統(tǒng)的信息安全管理，離不開相關(guān)人員的安全意識培養(yǎng)、技能培訓(xùn)和專業(yè)教育。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育分別針對不同層次和專業(yè)的人員而設(shè)。信息安全意識培養(yǎng)通過對信息安全術(shù)語、議題和基本概念的宣傳、宣導(dǎo)，吸引一般人群對信息安全的關(guān)注，幫助人們了解信息安全所關(guān)注的問題，并能因此產(chǎn)生正確的響應(yīng)；信息安全培訓(xùn)讓信息系統(tǒng)相關(guān)人員獲得相關(guān)的技能和必備的資質(zhì)，使其在信息安全管理、設(shè)計、開發(fā)、建設(shè)、運維、操作、評估和使用等方面滿足與信息安全相關(guān)的崗位職能要求，培訓(xùn)可以分為初級、中級和高級等多個層次；信息安全教育則從信息安全專業(yè)理論、技術(shù)、經(jīng)驗等方面培養(yǎng)信息安全專家，與信息安全培訓(xùn)一樣，這種信息安全教育也應(yīng)分為初級、中級和高級等多個層次。為降低信息安全意識培養(yǎng)、培訓(xùn)和教育的管理和運作成本，鐵路信息安全資質(zhì)認證也可以和國家其他部門的資質(zhì)認證機構(gòu)合作，對一些可信度高、有較高權(quán)威的信息安全資質(zhì)證書采取等同認可方法。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理框架見圖6。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理可分為兩方面：一方面是針對全部相關(guān)人員的信息安全意識培養(yǎng)。安全意識培養(yǎng)是一個長期的宣傳和貫導(dǎo)工作，可以通過制度獎懲、危機教育、標語口號等方式建立普遍的信息安全概念，推廣信息安全文化；另一方面是針對崗位定義不同的信息安全資質(zhì)要求，并這對這些資質(zhì)要求建立相對應(yīng)的信息安全技能和專業(yè)培訓(xùn)、教育，為了滿足這些資質(zhì)培訓(xùn)教育工作，總公司必須建立相關(guān)的培訓(xùn)和認證機制，設(shè)置相關(guān)的機構(gòu)。

2.6系統(tǒng)流程及操作安全保證

系統(tǒng)流程和操作安全是指鐵路信息安全建設(shè)、運維和災(zāi)備恢復(fù)等活動的流程和操作安全，它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中主要階段的過程安全。在鐵路信息安全建設(shè)和運行過程中，要制定并依托相關(guān)的鐵路網(wǎng)絡(luò)與信息安全管理制度、技術(shù)標準規(guī)范和組織部門機構(gòu)，對系統(tǒng)的安全設(shè)計、產(chǎn)品測評準入、安全工程等過程進行安全管控，從根本上杜絕系統(tǒng)在結(jié)構(gòu)上的安全缺陷、嚴防不合規(guī)的產(chǎn)品進入系統(tǒng)、保證系統(tǒng)建設(shè)施工的安全規(guī)范；在鐵路信息系統(tǒng)的日常運行過程中，也必須建立系統(tǒng)風險監(jiān)控、評估和控制的管理和技術(shù)體系，通過專業(yè)專職的機構(gòu)和部門，對系統(tǒng)的安全狀態(tài)進行實時監(jiān)控、對系統(tǒng)安全風險進行定期或不定期的評估；對安全事件進行預(yù)案規(guī)劃、演練和應(yīng)急處置，避免重大安全事件的發(fā)生；對系統(tǒng)服務(wù)或重要數(shù)據(jù)實施安全災(zāi)備，最大程度地減少系統(tǒng)故障帶來的鐵路運輸業(yè)務(wù)和服務(wù)中斷時間，減小風險后果。鐵路信息安全建設(shè)、運維和災(zāi)備恢復(fù)流程見圖7。

3結(jié)束語

鐵路信息安全需要從技術(shù)與管理兩方面進行保障，應(yīng)嚴格貫徹執(zhí)行國家的信息安全等級保護規(guī)定，等保措施與信息系統(tǒng)應(yīng)同步規(guī)劃、同步設(shè)計、同步實施、同步維護，應(yīng)建立長效的信息安全管理機制，從組織機構(gòu)、制度、人員、經(jīng)費等各方面保障信息安全風險的動態(tài)識別、定期評估，采取有效措施防范安全風險，將信息安全事故造成的損失控制在可接受的程度。鐵路信息系統(tǒng)是一個復(fù)雜系統(tǒng)，目前又面臨著巨大的業(yè)務(wù)和服務(wù)方式的變革，云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)新應(yīng)用的出現(xiàn)和普及都給鐵路信息安全建設(shè)帶來了新的挑戰(zhàn)；信息安全等級保護和關(guān)鍵技術(shù)自主可控等政策要求為鐵路信息安全管理和技術(shù)帶來了新的要求。本次研究基于鐵路信息系統(tǒng)現(xiàn)狀和發(fā)展趨勢，從鐵路信息安全管理、技術(shù)兩個層面出發(fā)，對鐵路信息安全管理體系、制度框架、技術(shù)框架、關(guān)鍵技術(shù)和標準體系等相關(guān)內(nèi)容進行了深入研究，并結(jié)合鐵路信息系統(tǒng)的實際風險分析結(jié)果，對鐵路信息安全風險管理流程和方法開展了務(wù)實的探討，提出了可行的建議。

作者:高春霞 陳光偉 董寶田 張文塔 岳雪梅 單位:北京交通大學(xué)交通運輸學(xué)院 中國鐵路信息技術(shù)中心