鐵路信息安全保障體系研究

時(shí)間:2022-06-09 03:34:23

導(dǎo)語(yǔ):鐵路信息安全保障體系研究一文來(lái)源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢(xún)客服老師,歡迎參考。

鐵路信息安全保障體系研究

1鐵路信息安全保障體系

鐵路信息安全建設(shè)和運(yùn)行必須結(jié)合鐵路信息化實(shí)際情況,從管理和技術(shù)兩個(gè)層面綜合保證鐵路信息系統(tǒng)的運(yùn)行操作安全,保障鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的運(yùn)行安全,并最終保障鐵路運(yùn)輸業(yè)務(wù)及運(yùn)輸服務(wù)的安全。鐵路信息安全保障體系結(jié)構(gòu)見(jiàn)圖1。管理和技術(shù)是鐵路信息安全保障體系的兩個(gè)要素,是保證鐵路信息系統(tǒng)及其所支撐的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)安全建設(shè)和運(yùn)行的必要條件。在這兩個(gè)安全要素中,管理是核心,是基礎(chǔ),它影響和決定技術(shù)的選擇以及技術(shù)標(biāo)準(zhǔn)規(guī)范;反過(guò)來(lái),技術(shù)也會(huì)影響到信息安全管理方式和管理制度的具體形式,降低管理成本。在安全管理層面中,國(guó)家和鐵路行業(yè)的信息安全方針政策法規(guī)是鐵路信息安全建設(shè)和安全運(yùn)維的管理基礎(chǔ);鐵路信息安全管理制度是信息安全方針政策法規(guī)在鐵路信息安全日常工作中的具體要求體現(xiàn);鐵路信息安全組織保障是落實(shí)鐵路信息安全方針政策法規(guī)、執(zhí)行鐵路信息安全管理制度的崗位職責(zé)基礎(chǔ)和人員保障;信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育是鐵路信息安全方針政策法規(guī)和鐵路信息安全管理制度得以高效、準(zhǔn)確地落實(shí)和執(zhí)行的保證。管理安全保證不僅通過(guò)方針政策法規(guī)、組織保障、管理制度、意識(shí)培養(yǎng)培訓(xùn)教育等形式直接對(duì)鐵路業(yè)務(wù)提供安全支持和保障外,還通過(guò)對(duì)信息安全技術(shù)的影響間接地保護(hù)鐵路業(yè)務(wù)安全。鐵路信息安全方針政策法規(guī)和管理制度等因素是制定鐵路信息安全技術(shù)標(biāo)準(zhǔn)和規(guī)范的重要基礎(chǔ),同時(shí),它們也會(huì)對(duì)信息安全方案的設(shè)計(jì)、產(chǎn)品選擇和采購(gòu)方式產(chǎn)生不同程度的影響。在安全管理控制下,只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下,執(zhí)行規(guī)定的操作流程;鐵路信息系統(tǒng)操作流程安全包括鐵路信息系統(tǒng)的建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動(dòng)的流程和操作安全,它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中各主要階段的過(guò)程安全。鐵路信息系統(tǒng)由鐵路外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)以及若干生產(chǎn)專(zhuān)網(wǎng)組成,鐵路的各種應(yīng)用業(yè)務(wù)都直接運(yùn)行在這些系統(tǒng)之上,為了更好地支撐這些業(yè)務(wù)系統(tǒng)的安全運(yùn)行,支持鐵路統(tǒng)一的安全管理,在鐵路信息系統(tǒng)中還包括災(zāi)備中心、數(shù)字證書(shū)系統(tǒng)、集中管理及認(rèn)證授權(quán)中心等安全基礎(chǔ)設(shè)施系統(tǒng)或安全平臺(tái),這些安全基礎(chǔ)設(shè)施及其所服務(wù)的鐵路應(yīng)用業(yè)務(wù)系統(tǒng)的運(yùn)行安全是鐵路運(yùn)輸業(yè)務(wù)及服務(wù)正常安全運(yùn)行的環(huán)境保障。

2安全保障體系要素

在鐵路信息系統(tǒng)中,無(wú)論是系統(tǒng)的建設(shè)、運(yùn)行、災(zāi)難恢復(fù)、事件處置等活動(dòng),還是其支撐的運(yùn)輸業(yè)務(wù)和服務(wù)等系統(tǒng)目標(biāo),都離不開(kāi)管理和技術(shù)兩個(gè)安全要素的綜合保證,其中管理是核心,在安全管理措施的控制下,只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下,執(zhí)行規(guī)定的操作流程。

2.1鐵路信息安全管理體系

鐵路信息安全管理體系必須以國(guó)家信息安全相關(guān)法規(guī)、政策和標(biāo)準(zhǔn)以及鐵路相關(guān)法規(guī)政策為基礎(chǔ)和依據(jù)。按照GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB/T22080—2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081—2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》等國(guó)家標(biāo)準(zhǔn)和指南,結(jié)合我國(guó)鐵路實(shí)際情況,將鐵路信息安全管理體系劃分為11個(gè)安全控制類(lèi)別,其中包括信息安全政策、信息安全組織、資產(chǎn)業(yè)務(wù)、信息安全環(huán)境、設(shè)備使用、通信網(wǎng)絡(luò)、配置授權(quán)、安全事件處置、安全運(yùn)維、安全合規(guī)和災(zāi)備恢復(fù)等管理內(nèi)容;在11個(gè)安全控制類(lèi)別的基礎(chǔ)上,建立鐵路信息安全管理制度框架,如鐵路信息資產(chǎn)管理制度、互聯(lián)網(wǎng)訪問(wèn)管理制度、人員安全培訓(xùn)制度、機(jī)房管理制度、產(chǎn)品準(zhǔn)入制度、系統(tǒng)運(yùn)維制度、安全事件處理流程規(guī)定、介質(zhì)管理制度、電子郵件使用管理規(guī)定、鐵路軟件開(kāi)發(fā)管理流程規(guī)定等(見(jiàn)圖2)。

2.2鐵路信息安全技術(shù)框架

鐵路信息安全技術(shù)框架是鐵路信息安全保障體系的重要組成內(nèi)容,主要包括安全管理、身份管理、授權(quán)管理、災(zāi)備管理、監(jiān)控審計(jì)、可信保證等技術(shù)機(jī)制(見(jiàn)圖3)。管理安全是統(tǒng)領(lǐng)鐵路信息安全保障的綱領(lǐng),綱舉才能目張,構(gòu)建一個(gè)全路信息系統(tǒng)可視化管理平臺(tái),以便對(duì)網(wǎng)絡(luò)、計(jì)算機(jī)設(shè)備、應(yīng)用系統(tǒng)部署、操作用戶(hù)及角色、運(yùn)維狀態(tài)等關(guān)鍵信息進(jìn)行全局的監(jiān)控,提高對(duì)系統(tǒng)中安全問(wèn)題及其隱患的發(fā)現(xiàn)、分析和防范能力。由全路統(tǒng)一身份管理平臺(tái)、授權(quán)管理機(jī)制和責(zé)任認(rèn)定構(gòu)成的鐵路網(wǎng)絡(luò)信任管理體系是保障鐵路信息安全可信和安全的前提。全路災(zāi)難備份和恢復(fù)策略管理是鐵路信息系統(tǒng)可信、安全和業(yè)務(wù)可持續(xù)性的后盾。以密碼技術(shù)為基礎(chǔ)的可信計(jì)算技術(shù)為軟硬件資源的安全和隔離提供了結(jié)構(gòu)化保證,為計(jì)算環(huán)境的可信可靠(完整性)提供了有效的判別手段,為關(guān)鍵數(shù)據(jù)提供了可信安全存儲(chǔ),為分布式計(jì)算的安全機(jī)制一致性和網(wǎng)絡(luò)接入控制提供了遠(yuǎn)程可信證明方法。可信計(jì)算技術(shù)是構(gòu)建鐵路信息安全保障體系的基礎(chǔ)支撐。

2.3鐵路信息安全的組織保證

鐵路信息系統(tǒng)安全應(yīng)該在組織上加以保證。在具體組織形式上應(yīng)該由中國(guó)鐵路總公司(簡(jiǎn)稱(chēng)總公司)主管領(lǐng)導(dǎo)和部門(mén)具體負(fù)責(zé)鐵路信息安全的領(lǐng)導(dǎo)和組織工作,由相關(guān)專(zhuān)業(yè)職能部門(mén)分工協(xié)作,在鐵路信息化的整體工作布局中設(shè)置專(zhuān)門(mén)機(jī)構(gòu)和崗位、明確相關(guān)職責(zé)、配備信息安全專(zhuān)業(yè)技術(shù)和管理人員,確保信息安全管理制度的有效落實(shí)和信息安全技術(shù)機(jī)制的可操作性。鐵路信息安全組織保證框架見(jiàn)圖4。總公司信息安全主管部門(mén)應(yīng)該包括以下職能機(jī)構(gòu):法規(guī)政策標(biāo)準(zhǔn)管理機(jī)構(gòu)負(fù)責(zé)制定鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范,并負(fù)責(zé)鐵路業(yè)務(wù)應(yīng)用密碼的管理工作;安全建設(shè)運(yùn)維管理機(jī)構(gòu)根據(jù)鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范,參與鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的設(shè)計(jì)、開(kāi)發(fā)和運(yùn)維審核和監(jiān)管工作;信息安全風(fēng)險(xiǎn)管理機(jī)構(gòu)負(fù)責(zé)對(duì)進(jìn)入鐵路信息系統(tǒng)的相關(guān)產(chǎn)品進(jìn)行測(cè)評(píng)認(rèn)證,對(duì)運(yùn)行系統(tǒng)進(jìn)行安全監(jiān)控,負(fù)責(zé)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理工作;安全事件處置管理機(jī)構(gòu)負(fù)責(zé)對(duì)系統(tǒng)緊急事件進(jìn)行處理,對(duì)輿情進(jìn)行綜合分析,并根據(jù)事件性質(zhì)和處理結(jié)果對(duì)事件進(jìn)行通報(bào);安全保密培訓(xùn)服務(wù)中心負(fù)責(zé)全路的信息安全法律法規(guī)、政策標(biāo)準(zhǔn)、安全意識(shí)和安全技能的培訓(xùn)提高工作,負(fù)責(zé)組織安排和協(xié)調(diào)社會(huì)力量以及高校等培訓(xùn)機(jī)構(gòu)具體實(shí)施常態(tài)化信息安全培訓(xùn)工作;安全災(zāi)備恢復(fù)管理機(jī)構(gòu)負(fù)責(zé)重要信息系統(tǒng)的運(yùn)行和數(shù)據(jù)備份實(shí)施工作,并在系統(tǒng)出現(xiàn)嚴(yán)重故障后,迅速協(xié)調(diào)相關(guān)部門(mén)恢復(fù)服務(wù)或業(yè)務(wù)數(shù)據(jù),保障關(guān)鍵業(yè)務(wù)服務(wù)的運(yùn)行連續(xù)性。各鐵路局(公司)應(yīng)該參照總公司信息安全管理組織結(jié)構(gòu),設(shè)置相關(guān)部門(mén)或相關(guān)專(zhuān)職崗位,并有鐵路局(公司)領(lǐng)導(dǎo)具體分管信息安全工作。鐵路局(公司)信息安全工作應(yīng)該在總公司統(tǒng)一組織、協(xié)調(diào)和安排下開(kāi)展具體工作。

2.4鐵路信息系統(tǒng)安全基礎(chǔ)設(shè)施

鐵路信息系統(tǒng)必須依賴(lài)于鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施作為其安全支撐基礎(chǔ)。鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施不僅可以落實(shí)鐵路集中統(tǒng)一安全管理的要求,提高鐵路信息系統(tǒng)的安全水平,還能有效降低鐵路信息安全的建設(shè)和運(yùn)維成本。鐵路信息安全基礎(chǔ)設(shè)施包括鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心、鐵路業(yè)務(wù)應(yīng)用密碼管理中心、數(shù)字證書(shū)系統(tǒng)、集中安全管理及認(rèn)證授權(quán)中心、安全監(jiān)控中心、安全隔離平臺(tái)、信息安全培訓(xùn)平臺(tái)以及鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)(見(jiàn)圖5)。鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心可以將由于系統(tǒng)重大故障或破壞帶來(lái)的業(yè)務(wù)中斷降低到最小程度,提高鐵路的服務(wù)水平;鐵路業(yè)務(wù)應(yīng)用密碼管理中心是保護(hù)鐵路重要數(shù)據(jù)安全和業(yè)務(wù)安全的基礎(chǔ)保證,同時(shí)它也是全路統(tǒng)一信任體系的技術(shù)基礎(chǔ);鐵路數(shù)字證書(shū)系統(tǒng)可以在全路范圍內(nèi)建立統(tǒng)一的身份認(rèn)證體系,提高鐵路的信息安全集中管理能力,降低安全管理成本;鐵路集中管理及認(rèn)證授權(quán)中心通過(guò)全路集中的信息安全平臺(tái)實(shí)現(xiàn)高效、統(tǒng)一的安全管理,保證安全策略的快速一致化部署;鐵路信息系統(tǒng)安全監(jiān)控中心可以對(duì)鐵路信息系統(tǒng)的安全運(yùn)行狀態(tài)進(jìn)行監(jiān)控,掌握鐵路信息系統(tǒng)的運(yùn)行態(tài)勢(shì),從而實(shí)現(xiàn)在鐵路信息系統(tǒng)中防患于未然,有效降低系統(tǒng)安全風(fēng)險(xiǎn);鐵路安全隔離平臺(tái)是隔離鐵路內(nèi)部服務(wù)網(wǎng)和外部服務(wù)網(wǎng)的安全措施,它保證了鐵路安全生產(chǎn)網(wǎng)絡(luò)的正常運(yùn)行;鐵路信息安全培訓(xùn)平臺(tái)對(duì)保證提高鐵路員工的信息安全意識(shí)、培養(yǎng)安全素養(yǎng)極為重要,是人員安全的必要保證;鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)對(duì)鐵路了解社會(huì)評(píng)價(jià)、改善鐵路社會(huì)化服務(wù)水平、提高鐵路形象至為關(guān)鍵。

2.5鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理

要搞好鐵路信息系統(tǒng)的信息安全管理,離不開(kāi)相關(guān)人員的安全意識(shí)培養(yǎng)、技能培訓(xùn)和專(zhuān)業(yè)教育。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育分別針對(duì)不同層次和專(zhuān)業(yè)的人員而設(shè)。信息安全意識(shí)培養(yǎng)通過(guò)對(duì)信息安全術(shù)語(yǔ)、議題和基本概念的宣傳、宣導(dǎo),吸引一般人群對(duì)信息安全的關(guān)注,幫助人們了解信息安全所關(guān)注的問(wèn)題,并能因此產(chǎn)生正確的響應(yīng);信息安全培訓(xùn)讓信息系統(tǒng)相關(guān)人員獲得相關(guān)的技能和必備的資質(zhì),使其在信息安全管理、設(shè)計(jì)、開(kāi)發(fā)、建設(shè)、運(yùn)維、操作、評(píng)估和使用等方面滿(mǎn)足與信息安全相關(guān)的崗位職能要求,培訓(xùn)可以分為初級(jí)、中級(jí)和高級(jí)等多個(gè)層次;信息安全教育則從信息安全專(zhuān)業(yè)理論、技術(shù)、經(jīng)驗(yàn)等方面培養(yǎng)信息安全專(zhuān)家,與信息安全培訓(xùn)一樣,這種信息安全教育也應(yīng)分為初級(jí)、中級(jí)和高級(jí)等多個(gè)層次。為降低信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育的管理和運(yùn)作成本,鐵路信息安全資質(zhì)認(rèn)證也可以和國(guó)家其他部門(mén)的資質(zhì)認(rèn)證機(jī)構(gòu)合作,對(duì)一些可信度高、有較高權(quán)威的信息安全資質(zhì)證書(shū)采取等同認(rèn)可方法。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理框架見(jiàn)圖6。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理可分為兩方面:一方面是針對(duì)全部相關(guān)人員的信息安全意識(shí)培養(yǎng)。安全意識(shí)培養(yǎng)是一個(gè)長(zhǎng)期的宣傳和貫導(dǎo)工作,可以通過(guò)制度獎(jiǎng)懲、危機(jī)教育、標(biāo)語(yǔ)口號(hào)等方式建立普遍的信息安全概念,推廣信息安全文化;另一方面是針對(duì)崗位定義不同的信息安全資質(zhì)要求,并這對(duì)這些資質(zhì)要求建立相對(duì)應(yīng)的信息安全技能和專(zhuān)業(yè)培訓(xùn)、教育,為了滿(mǎn)足這些資質(zhì)培訓(xùn)教育工作,總公司必須建立相關(guān)的培訓(xùn)和認(rèn)證機(jī)制,設(shè)置相關(guān)的機(jī)構(gòu)。

2.6系統(tǒng)流程及操作安全保證

系統(tǒng)流程和操作安全是指鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動(dòng)的流程和操作安全,它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中主要階段的過(guò)程安全。在鐵路信息安全建設(shè)和運(yùn)行過(guò)程中,要制定并依托相關(guān)的鐵路網(wǎng)絡(luò)與信息安全管理制度、技術(shù)標(biāo)準(zhǔn)規(guī)范和組織部門(mén)機(jī)構(gòu),對(duì)系統(tǒng)的安全設(shè)計(jì)、產(chǎn)品測(cè)評(píng)準(zhǔn)入、安全工程等過(guò)程進(jìn)行安全管控,從根本上杜絕系統(tǒng)在結(jié)構(gòu)上的安全缺陷、嚴(yán)防不合規(guī)的產(chǎn)品進(jìn)入系統(tǒng)、保證系統(tǒng)建設(shè)施工的安全規(guī)范;在鐵路信息系統(tǒng)的日常運(yùn)行過(guò)程中,也必須建立系統(tǒng)風(fēng)險(xiǎn)監(jiān)控、評(píng)估和控制的管理和技術(shù)體系,通過(guò)專(zhuān)業(yè)專(zhuān)職的機(jī)構(gòu)和部門(mén),對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控、對(duì)系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行定期或不定期的評(píng)估;對(duì)安全事件進(jìn)行預(yù)案規(guī)劃、演練和應(yīng)急處置,避免重大安全事件的發(fā)生;對(duì)系統(tǒng)服務(wù)或重要數(shù)據(jù)實(shí)施安全災(zāi)備,最大程度地減少系統(tǒng)故障帶來(lái)的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)中斷時(shí)間,減小風(fēng)險(xiǎn)后果。鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)流程見(jiàn)圖7。

3結(jié)束語(yǔ)

鐵路信息安全需要從技術(shù)與管理兩方面進(jìn)行保障,應(yīng)嚴(yán)格貫徹執(zhí)行國(guó)家的信息安全等級(jí)保護(hù)規(guī)定,等保措施與信息系統(tǒng)應(yīng)同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施、同步維護(hù),應(yīng)建立長(zhǎng)效的信息安全管理機(jī)制,從組織機(jī)構(gòu)、制度、人員、經(jīng)費(fèi)等各方面保障信息安全風(fēng)險(xiǎn)的動(dòng)態(tài)識(shí)別、定期評(píng)估,采取有效措施防范安全風(fēng)險(xiǎn),將信息安全事故造成的損失控制在可接受的程度。鐵路信息系統(tǒng)是一個(gè)復(fù)雜系統(tǒng),目前又面臨著巨大的業(yè)務(wù)和服務(wù)方式的變革,云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)新應(yīng)用的出現(xiàn)和普及都給鐵路信息安全建設(shè)帶來(lái)了新的挑戰(zhàn);信息安全等級(jí)保護(hù)和關(guān)鍵技術(shù)自主可控等政策要求為鐵路信息安全管理和技術(shù)帶來(lái)了新的要求。本次研究基于鐵路信息系統(tǒng)現(xiàn)狀和發(fā)展趨勢(shì),從鐵路信息安全管理、技術(shù)兩個(gè)層面出發(fā),對(duì)鐵路信息安全管理體系、制度框架、技術(shù)框架、關(guān)鍵技術(shù)和標(biāo)準(zhǔn)體系等相關(guān)內(nèi)容進(jìn)行了深入研究,并結(jié)合鐵路信息系統(tǒng)的實(shí)際風(fēng)險(xiǎn)分析結(jié)果,對(duì)鐵路信息安全風(fēng)險(xiǎn)管理流程和方法開(kāi)展了務(wù)實(shí)的探討,提出了可行的建議。

作者:高春霞 陳光偉 董寶田 張文塔 岳雪梅 單位:北京交通大學(xué)交通運(yùn)輸學(xué)院 中國(guó)鐵路信息技術(shù)中心