铁路运营中信息安全管理系统重要性

铁路运营中信息安全管理系统重要性

摘要:目前信息安全是我国重点工作的之一,在高速发展的网络技术下,信息安全在企业信息化的建设中占有越来越重要的位置,它与企业的生死存亡有着密不可分的关系。文章分析了铁路运营中信息系统安全管理的现状,进而提出了信息安全的重要性。

关键词:信息;安全;重要性

建立安全有效的铁路运营系统能够实现比较理想的企业目标,这要求现代企业加强信息化的建设与发展,应当确保铁路运营信息系统的安全性。

1信息系统的安全管理现状

我国铁路运输是拥有全世界第一大的铁路运输系统,在发展过程中针对信息管理出现的各种状况,建立针对铁路运营方面的安全体系,充分重视信息安全方面的管理体系。但目前我国的铁路信息系统中缺乏信息安全的整体策略,缺乏完善的信息安全风险评估标准体系。

1.1缺乏信息安全的整体策略

目前在铁路发展上缺乏信息安全的整体策略,一般在具体的发展过程中是从个别单位信息安全的角度出发,而缺乏对信息安全整体策略的运用。在信息安全的发展过程中注重于从对单一某关键信息的角度进行保护,而没有从单位整体上信息安全的角度,将单个信息放在整体系统之中进行考虑,并制定整体性的信息安全发展策略[1]。

1.2缺乏完善的信息安全风险评估标准体系

铁路信息安全上的需求难以充分确定,从而难以充分确定铁路信息保护的对象与边界,没有对系统进行全面的信息安全风险评估与信息安全保障体系制定,在铁路信息管理过程中存在着注重产品、缺乏对服务的充分重视,注重技术的发展而没有充分重视管理的作用。没有建立相应的网络技术,网路安全的发展受到了新的挑战,对铁路信息安全提出了新的要求,目前的安全措施应当进行新的调整。

2信息安全的重要性

信息安全的建立对铁路运输的正常运营起着重要的影响作用,铁路运输是我国货运运输以及客运运输中的重要方式之一,是国计民生的重要组成部分之一。在铁路运输中应当充分关注安全问题,这对于现代铁路运输企业的发展非常重要。在现代(铁路运输)企业信息安全的规划方面,应当加强对人员的安全管理,加强对基础设施的管理,加强输入与输出的有效控制,加强对应用软件的维护与控制以及加强对数据的完整性与有效性控制。下文从这5个方面进行了相应分析[2]。

2.1加强对人员的安全管理

系统的发展是由人来控制的,因此需要对重要的岗位人员进行审查,加强严密的管理制度。为此在制度的发展过程中应当坚持授权最小化的原则,在员工能够满足本职工作的情况下对其进行最小的授权,表现在使用计算机外设与数据访问方面。其次是授权的分散化,在对关键性任务的完成上进行划分,要求多人能够进行共同承担,使得没有个人能够完成全部的任务。最后是授权的规划化,在进行申请、建立、发出与关闭的过程中能够建立严格的授权管理制度[3]。

2.2加强对基础设施的管理

首先加强物理访问控制,在一些重要区域中对人员的进出进行严格限制与控制,例如备份介质存放点、供电系统以及能够连接到内部的区域以及机房等区域。其次是建筑物的安全,要求能够对建筑物的发展进行防火、防盗、防鼠、防汛、防雷、地震,结构坍塌以及漏水等现象的发生,为铁路运输的发展创造良好的条件。再次是公用设施的保证,在系统的发展过程中要求能够充分保护其中的服务与硬件设施,从而促进铁路运输供电、供水、空调、网络通道、报警设备等设施的维护与发展。最后是在数据安全方面,在铁路运输过程中出现信息泄露包括直接获取、在铁路运输过程中进行截获以及电磁辐射泄露方面。在信息安全管理与维护过程中可以从这3个方面进行分别评估。在信息安全系统中建立针对便携式计算机方面的安全保管制度,对于其中的一些敏感数据进行加密处理,从而有效避免由于数据的丢失或者被盗而出现的数据泄露现象[4]。

2.3加强输入与输出的有效控制

建立一种针对系统的输入输出信息或介质方面的管理制度,在系统的输入或者输出信息的过程中需要通过官方的授权。同时还需要针对一些突发事件制定充分的应急方案,要求在发生一些故障时能够制定充分积极的应急方案,对故障的发生在充分分析的基础上制作出一种紧急的故障恢复操作指南,为此就需要对各个岗位的工作人员进行基于其角色的相关培训与演练。

2.4加强对应用软件的维护与控制

在对应用软件的维护时,应当充分维护使用的商业软件中的版权与来源等,需要对应用软件工作中的修改等问题进行充分检查,同时在数据测试过程中需要充分检查调度、客票、办公、货票系、车号识别、统计以及车站应用系统等,最终实现系统安全的有效运行,实现铁路运输的良性发展。数据网络分布如图1所示。

2.5加强对数据的完整性与有效性控制

在铁路运输管理过程中需要充分保证数据信息的完整性与有效性,具体需要评估的内容包括系统的备份和恢复措施,从而进行有效的计算机病毒防护,建立实时性的监控系统日志文件,加强对系统的充分记录与可用性记录。

3建立信息安全管理体系

ISO27001信息安全管理体系标准十一大控制领域如图2所示。在制定(铁路运输)企业建立信息安全管理体系过程中主要包括以下部分,构建有效的信息安全管理框架,建立针对信息安全管理体系的文档与文件以及加强对安全事件的充分记录与反馈等。下文从这4个方面进行了相应分析。

3.1构建有效的信息安全管理框架

严格按照相关的顺序进行信息安全框架的充分建设,具体主要包括以下部分,首先制定正确的信息安全政策,其次,对信息管理管理体系的范围进行定义,再次,充分评估信息安全的风险,最后是对于信息安全风险的充分管理,根据铁路运输行业发展的具体情况制定管制的目标,并且有效选择相应的管制措施,同时加强信息安全的适用性。

3.2信息安全管理体系的具体实施方面

在充分制定了信息安全管理体系框架体系之后,在实施过程中需要充分考虑各种真实的情况,包括信息安全管理体系运行、信息安全管理体系内部审核、信息安全管理体系有效性、信息安全管理体系管理评审等,在新的问题产生的过程中会发生与原来工作习惯之间的冲突,在不同部门与不同机构的工作之间也会产生一定的摩擦与矛盾,因此,在信息安全管理体系中应当对这些矛盾进行充分协调[5],严格按照指定的信息安全管理机制执行。

3.3建立信息安全事件处置体系

在铁路运输信息安全管理过程中必不可少的组成部分就是建立信息安全事件处置体系。应当针对铁路运输中各个部门信息安全方面的信息,分门别类地建立相应的信息安全文档信息。对其中所涵盖的文档内容以及管理框架等进行充分分析,对信息管理管制的工作内容进行收集。将信息以文档的形式进行保存,要求对不同的等级与类型进行分别记录。在信息安全的认证方面,要求允许第三方进行登记与访问。在针对文档完成登记之后,应当根据铁路运输发展的规律与周期性工作对文档信息进行及时调整,将部分不符合企业发展规律的信息进行及时废除。部分企业信息即使已经过时,但是出于知识产权等相关法律的原因,可以继续进行这些信息的保存。按照信息安全的发生机制分别制定相应的工作内容,根据具体的工作内容分别制定相应的相应流程,设置信息安全的响应机构,对出现的信息安全问题进行及时充分的处理。

3.4加强对安全事件的充分记录与反馈

在针对铁路运输的信息安全管理中,应当及时对信息安全管理进行安全事件的记录与反馈,为了充分加强对信息安全的有效分析,需要充分定义信息安全,有效结合铁路运输中发生的真实情况对其进行及时调整,从而为安全管制的实现提供理论依据。加强对理论安全事件的充分保存,并对其进行周期性与定期性的维护,在信息安全的管理过程中一旦发生文件损坏的现象,能够对其进行及时补救与维护。

4结语

在铁路运输过程中应当充分重视信息安全,为此需要对企业信息发展中的各项内容进行充分规划与考虑,促进基础数据的采集和共享,加强安全评估和风险预控,加大各专业及信息安全管理部门之间的横向联系,提高信息安全管理能力和应急响应能力,为铁路运输安全提供系统的、可靠的技术保障。

[参考文献]

[1]宋国良,王宝坤,刘立国.铁路网络与信息安全风险管理研究[J].科研,2016(12):212.

[2]麻磊,刘春煌,刘立法,等.铁路企业设备管理信息系统的开发与研究[C].重庆:中国智能交通年会,2016.

[3]王亚民.铁路信息安全等级保护实施工作建议[J].铁路计算机应用,2015(2):38-40.

[4]周张俊.对建设铁路信息安全管理标准体系的探讨[J].铁道经济研究,2014(6):33-36.

[5]倪国栋.铁路综合视频监控系统信息安全防护应用研究[J].铁道通信信号,2018(2):97-99.

作者:王志波 单位:国家能源集团神朔铁路分公司