试论铁路网络与信息安全风险管理

摘  要：目前，我国铁路信息安全风险主要因三个方面引起，分别是：技术、管理以及系统生命周期三个因素，其中，技术因素主要是指环境、系统、网络以及应用等方面的安全问题，管理因素主要是指技术人员、管理机构以及管理制度等方面问题，而系统生命周期方面主要是指系统设计、实施、运行、控制等方面存在的问题，本文针对铁路网络与信息安全风险管理进行分析,为降低铁路信息安全风险提供参考。

关键词：铁路网络；信息；安全风险；管理措施

目前，我国已经进入信息网络技术普及的时代中，在信息技术应用越来越广泛、作用越来越强大的同时，铁路运输组织、服务、管理、建设等多方面的发展逐渐依赖于信息技术与网络技术，目前铁路生产与管理已经进入智能化、管控一体化的管理模式中，因此，信息与网络的安全性对铁路发展有着至关重要的影响。但是随着信息化越来越强烈，存在的风险越来越多，这对铁路发展无疑是一种严重的威胁，下面对控制网络与信息安全风险提出了几点参考建议。

一、信息安全管理体系结构

信息安全风险管理体系结构模型主要由技术、管理以及系统生命周期三大要素组成的三维模型。而信息安全是由信息安全技术与信息安全管理共同参与保护工作而实现的，信息安全技术的保护作用在于对信息安全保护采取的有效技术措施，而信息安全管理的作用主要在于对信息安全技术实施与运行过程中进行科学管理，促使信息安全技术发挥最大作用。随着信息安全风险越来越多，需要不断提高信息安全技术实施与运行能力，更重要的是加强信息安全管理，从政策、法律、技术、人员等方面进行全面管理，为保证信息安全采取有效的应对措施。

1、技术要素

在技术要素中主要含有环境、系统、网络、应用四个技术方面。铁路信息系统建设过程中，环境安全是保护信息系统安全的基础与屏障，对于机房环境安全要求非常严格，从机房建设过程开始就需要对机房地址、周边环境等方面进行考虑，特别是对防火、防雷击、防渗水、防鼠害等多种对机房安全有影响的因素全部考虑在内，同时还要加强对机房维护与管理等方面工作的考虑。值班人员管理、设备管理、电源管理、机房询问控制以及机房保密等方面中都会存在安全风险，因此需要对其采取相应的管理措施，来降低风险发生几率，保障信息安全。

系统主要是由硬件、软件以及数据组成，加强系统安全，首先要确保硬件安全、软件安全以及数据安全，一旦发生安全风险，就会使数据遭到破坏、更改、泄露等风险出现，因此，需要加强对其安全保护，保证数据安全、促使系统正常运行。网络是数据传输、分析、处理等方面的重要渠道，要对网络安全加以重视，网络安全是可以保证信息安全的基础，因此，需要对其加强管理，要从结构、访问、审计、设备、代码、病毒等方面进行全面加强防范措施。应用系统是实现信息权限管理的重要技术，具有赋予、变更、撤销等重要信息应用功能，因此，加强应用系统安全管理有一定的必要性。首先要完善专用用户登录识别功能；其次要提高访问控制功能；再次需要对重要信息进行加密保管；还要保证数据完整性，加强密码技术功能应用；最后要对资源进行合理控制，限制使用额度。

2、管理要素

信息安全风险管理效果与铁路内部组织结构、管理制度以及人员管理有着直接的关系，没有完善的组织结构，相应的管理制度，会使内部管理混乱，进而发生信息安全管理不得当，同时技术人员的技术水平以及个人素质等因素都会造成信息泄露、丢失等风险存在。因此，必须建立完善的组织结构，铁路信息系统的安全要在组织结构方面得到安全保证。铁路信息安全管理应建立由上级领导层、中级管理层、下级执行层三个层面的管理组织机构，并制定完善的管理制度，落实到实际工作中，加强技术人员的培训，以提高技术人员专业水平以及综合素质为目的，优化整个信息安全管理部门，促使铁路信息安全风险管理得到保证。

3、系统生命周期要素分析

设计阶段的安全风险管理过程应对设计方案中所提供的安全功能符合性进行判断，作为采购过程风险控制的依据。应详细评估设计方案中对系统可能面临威胁的描述，将使用的具体设备、软件等资产及其安全功能需求列表。基于设计阶段的资产列表、安全措施，实施阶段应对规划阶段的安全威胁进行进一步细分，同时评估安全措施的实现程度，从而确定安全措施能否抵御现有威胁、脆弱性的影响。运行维护阶段的风险评估应采取定期和非定期两种方式；当组织的业务流程、系统状况发生重大变更时，也应进行风险评估。

二、采取措施建议

在信息系统规划、设计阶段，应对信息系统的安全需求进行分析，同步规划、设计信息系统的安全等级和保护措施，建立安全环境，从源头上保障信息安全。对已定级的信息系统，应严格按照等保要求进行区域划分、边界防护、访问控制、安全审计及安全管理。构建一个全路信息系统可视化管理平台，对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局监控，提高对系统中安全问题及其隐患的发现、分析和防范能力。建立全路统一的身份认证与授权机制，对各信息系统的用户进行统一管理，确保信息在产生、存储、传输、处理过程中的保密性、完整性、抗抵赖性和可用性。

铁路网络与信息安全风险管理，不仅仅是从加强技术或者管理任意一方面就可以实现的，而是需要对信息技术与安全管理相结合，共同完善信息安全风险管理。加强对信息技术内部结构的保护，从硬件、软件、数据、加密手段、权限管理手段等多方面进行安全防护，控制系统安全风险发生，同时还需要加强信息外部管理，从建设、人员、操作、管理等方面进行管理，保证铁路网络与信息安全，降低风险发生，为铁路发展提供信息安全保障。

参考文献：

[1] 郭玺琨.关于铁路通信工程项目风险管理的研究[J].城市建设理论研究:电子版,2015(2).