鐵路行業信息安全等級保護論文

時間:2022-06-27 08:53:59

導語:鐵路行業信息安全等級保護論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

鐵路行業信息安全等級保護論文

1鐵路行業信息安全等級保護工作現狀

2007年,原鐵道部成立了鐵路信息安全等級保護工作協調領導小組,印發了《關于開展鐵路重要信息系統安全等級保護定級工作的通知》。多次組織會議研究具體工作,并每年將等級保護工作列入全國鐵路信息化工作要點,提出明確要求,重點督促落實。2012年,了《關于進一步做好鐵路信息安全等級保護工作的通知》,進一步推進鐵路信息安全等級保護工作。截至2012年,鐵路行業已對33個信息系統進行了定級,其中二級8個,三級22個,四級3個,結合系統建設、升級改造、專項工程等,對部分已定級的信息系統進行了相應的信息安全防護改造,起到了一定的防護作用。

2其他行業信息安全等級保護工作現狀

2.1電力行業

電力信息系統包括發電、輸電、變電、配電、用電等環節的生產、調度與控制系統,還包括與生產、營銷等工作相關的管理系統。2004年10月,國家電網公司轉發了公安部的《關于信息安全等級保護工作的實施意見》的通知,要求下屬單位認識信息安全保障體系。2005年,電力行業監管部門頒發了《電力二次系統安全防護規定》,后陸續制定了《電力二次系統安全防護總體方案》、《省級及以上調度中心二次系統安全防護方案》、《變電站二次系統安全防護方案》,高度重視信息安全保護工作[2]。2007年8月,電監會了《關于開展電力行業信息系統安全等級保護定級工作的通知》;隨后11月下發了《電力行業信息系統安全等級保護定級工作指導意見》,要求貫徹落實國家關于信息安全等級保護工作。2010年6月,電力行業信息安全等級保護測評中心通過國家信息安全等級保護工作協調小組評審,成為國內首個行業信息安全等級保護測評機構,為電力行業信息安全等級保護工作開展提供測評及咨詢等服務。2011年,電力行業按照國家信息安全等級保護相關標準和管理規范,結合自身行業現狀和特點,制定了本行業的等保標準——《電力行業信息系統安全等級保護基本要求》(送審稿),指導行業信息安全等級保護工作。以國家電網公司為代表,電力行業等級保護工作有序穩步推進,2006年開展了信息系統安全等級保護制度研究與試點工作,2007年進行了試點,2009年全面展開等級保護建設工作。2010年以來,電力行業形成了以網絡隔離、邊界防護和分層分級縱深防御為主要特點的立體化安全防護體系,成為全國首個率先組織開展信息安全等級保護工作并深入應用的行業。

2.2金融行業

金融行業信息系統包括中國人民銀行信息系統和銀行業金融機構信息系統兩大類。中國人民銀行除擁有政府行政管理的各類信息系統外,還有履行金融調控、金融服務、金融市場職能的13類信息系統。銀行業金融機構信息系統分為兩類:各類銀行、各類金融機構。2007年,中國人民銀行印發《中國人民銀行、中國銀行業監督管理委員會關于印發<開展銀行業金融機構重要信息系統安全等級保護定級工作>的通知》,開始在金融行業開展信息安全等級保護工作。2011年1月,經中國人民銀行、公安部國家信息安全等級保護工作協調小組辦公室批準,中國金融電子化公司測評中心成為行業指定的信息安全等級保護測評服務機構,開始了金融行業信息安全等級保護測評和風險評估工作。2012年7月,人民銀行制定出臺了《金融行業信息系統信息安全等級保護實施指引》、《金融行業信息系統信息安全等級保護測評指南》、《金融行業信息安全等級保護測評服務安全指引》3項標準,成為金融行業的等級保護標準。同年,人民銀行了《中國人民銀行關于進一步推進銀行業信息安全等級保護工作的通知》,將等級保護工作長效化、制度化。2013年以來,人民銀行先后了《中國人民銀行信息系統安全等級保護定級和備案流程實施辦法》、《中國人民銀行關于銀行業金融機構信息系統安全等級保護定級的指導意見》,進一步完善了等級保護工作流程,并組織對21家全國性銀行業金融機構信息系統定級情況進行了評審。

2.3教育行業

教育行業信息系統包括教育行政管理信息系統和學校信息系統兩大類,如教育部全國學前教育管理信息系統、全國中小學校舍信息管理系統、高考報名與招生相關系統;各高校教師學生管理信息系統、考試與成績管理系統、遠程教育系統等。2009年,教育部辦公廳印發《關于開展信息系統安全等級保護工作的通知》,隨后,教育部批準成立了“教育信息安全等級保護測評中心”,具體承擔相關等級保護工作。2010年~2011年,教育部辦公廳先后印發了《關于開展教育系統信息安全等級保護工作專項檢查的通知》、《關于進一步加強網絡信息系統安全保障工作的通知》,要求做好教育系統網絡信息安全保障工作,加快建立完備的教育網絡信息安全保障體系。2011年6月,國家信息安全等級保護工作協調小組評審并通過了教育信息安全等級保護測評中心作為國家信息安全等級保護測評機構的資質申請,成為繼電力、金融行業之后第三家行業信息安全等級保護測評機構。教育部積極組織開展信息安全等級保護行業標準的制定,研究制定了《教育系統信息安全等級保護定級指南》、《教育系統信息安全等級保護基本要求》等技術標準,進一步規范了教育行業等級保護工作在技術層面的落實。2012年以來,教育行業等級保護工作繼續深入開展,教育部直屬機關100多個系統完成定級及評審工作,國家教育管理信息系統安全保障體系建設完成,行業具備了獨立進行信息安全等級測評、風險評估服務的能力。

2.4廣電行業

廣電行業信息系統可分為3大類:生產業務系統、外網系統、專網系統[11]。鑒于廣電系統的專業特色,無法照搬基于IP網絡的信息安全評估方法,廣電行業進行了一系列的研究工作。2007年,廣電總局以光纜干線網風險評估為切入點,開始了行業內風險評估的探索;2008年,完成了“廣播電視光纜干線網信息安全風險評估方法研究”項目,探索出一條適用于行業信息安全評估之路;2009年,在此基礎之上,廣電總局完成了“廣播電視衛星地球站信息安全風險評估方法研究”;2010年,啟動了電視中心、廣播中心、無線發射3大播出類型的專業風險評估方法研究。2007年,廣電行業下發了相應的定級工作指導意見,開始了重要播出信息系統定級工作。2009年,廣電總局開始著手研究編制適合行業的等級保護標準;2011年,廣電總局頒布出臺了《廣播電視相關信息系統安全等級保護定級指南》和《廣播電視相關信息系統安全等級保護基本要求》,作為行業內信息安全等級保護標準,為信息系統建設整改提供指導。2012年,國家廣播電影電視總局廣播電視信息安全測評中心通過國家信息安全等級保護工作領導協調小組辦公室評審,獲得廣電行業信息安全等級保護測評機構推薦證書,成為國內第4家行業信息安全等級保護測評機構。目前,按照廣電總局的統一部署和要求,廣電行業已完成主要信息系統的分類和定級,完成了相關系統在公安機關網絡安全保衛部門的備案,并有計劃地開展安全建設整改工作。

3鐵路與其他行業信息安全等級保護工作對比分析

3.1對工作的認識和推進程度

作為關系國計民生的重要運輸系統,早在2007年,鐵路行業即開始了信息安全等級保護工作,與教育等行業相比,信息安全等級保護工作在鐵路行業的起步更早,等級保護工作被列作全國鐵路信息化工作的要點,獲得了較多的關注和重視。然而,與電力等其他行業相比,鐵路信息安全等級保護工作也存在著不足:(1)行業的先行性自我研究欠缺且滯后,沒有在等級保護工作全面開展之前進行行業信息安全工作的調研和考察,這使得本行業對信息安全等級保護工作的認識缺乏良好的理論和實踐基礎;(2)信息安全等級保護工作在全路的實施力度有待加強,有些行業已將等級保護工作實現了例行化和常態化,而且較早時候即按照等級保護工作的要求完成了本行業信息系統的定級、備案等工作,而鐵路行業內的上述工作尚處于未實現狀態或實現較晚。

3.2行業標準的制定

信息安全等級保護工作的行業標準,是本行業按照信息安全等級保護國家標準的要求、結合行業自身特點而制定的等級保護工作標準。行業標準是行業開展信息安全等級保護工作的依據和指導性文件,其集中體現了本行業信息安全等級保護工作的研究現狀和最高水平,是判斷一個行業信息安全等級保護工作水平的重要依據。當前電力、金融、廣電等行業已按照信息安全等級保護國家標準要求、結合自身行業特點,制定出臺了本行業的等級保護標準,有的結合使用反饋情況,對已有標準進行了重新修訂和完善,形成了第二版的標準。鐵路信息系統的行業特點,決定了鐵路信息系統安全不能完全照搬等級保護國家標準,而應依據國家標準結合行業特點實施信息安全保護工作;然而,此項工作尚處于空白狀態,鐵路行業亟待出臺行業標準以指導行業信息安全等級保護工作。

3.3行業評測機構的成立

為進一步推進國家信息安全等級保護工作,公安部依據機構信息安全等級保護測評能力,授權第三方機構進行信息安全等級保護測評。等級保護測評機構的主要工作是根據等級保護標準規范,對各信息系統測評;作為等級保護測評工作的實施者,它推動著等級保護工作的前進,是信息安全等級保護工作的重要組成部分。截至目前,全國已有數十家機構獲得信息安全等級保護測評資質,列入公安部信息安全等級保護評估中心推薦的全國等級保護測評機構目錄。其中,已有7家機構獲得國家級測評資質,這包括了電力、金融、教育及廣電等行業的測評機構,另外的機構則獲得了省市級的測評資質。當前,鐵路行業尚無一家具有認可測評資質的第三方測評機構,導致鐵路內信息系統安全等級保護工作的推進,不得不求助于鐵路外的社會評測機構,然而這些機構并不了解鐵路行業的特點,給鐵路等級保護工作的實施帶來了很大被動。另外,鐵路信息系統大多覆蓋全國,實行全國統一管理,省市級測評機構已不能勝任鐵路的需求。因此,成立一家行業內的國家級測評機構,是鐵路等級保護工作進一步開展的必然要求。

4結束語

本文闡述了鐵路行業當前信息系統安全等級保護工作的現狀,結合電力、金融、教育及廣電行業現狀,從等級保護工作的實施程度、行業標準的制定及行業測評機構的成立3個方面進行了對比分析,為鐵路行業信息安全等級保護工作的進一步開展提供參考。

作者:蔣笑冰 單位:北京鐵路通信技術中心