建设铁路信息安全管理及标准体系思考

摘要:在铁路系统中信息技术得到了普遍推广，使其技术难度不断增加、增强了互联性和开放性、网络范围不断扩大、性能越来越全和使用范围比较广泛，然而信息安全风险也在逐渐上升，究其原因主要是信息系统和信息网络自身的缺点和外部威胁所导致的，其发展趋势逐渐呈现出复杂化和多样化，信息安全保障的标准越来越高，使得传统的安全管理方式已经无法满足目前的需要了，需要对管理办法进行不断改革和创新。

关键词:信息网络；信息系统；安全保障

20世纪90年代，高新技术呈现出快速发展的趋势，使全球实现了信息化，人们的生产和生活都发生了天翻地覆的变化。如今比较热门的话题就是怎样将信息技术使用好、管理好，让信息技术给人们提供更多的便利。传统的信息安全管理主要是借助信息系统的安全设备实现的，比如认证系统、防病毒系统、入侵检测系统、VPN和防火墙等。现实生活中信息安全借助技术保障是无法取得最佳效果的，要想使信息安全得到高效的保障，就要从法制、管理和技术三个方面进行着手。如今铁路已经逐渐的实现了信息化和现代化，这就使得信息安全越来越被人们所关注，当务之急就是建立完善的信息安全管理系统。

1铁路信息安全管理面临的挑战

1.1缺少完善的行业信息安全等级保护标准体系

我国信息安全保障工作的最基本机制就是信息安全等级保护机制，只有将信息安全等级保护工作落实好，才能确保信息化朝着更加健康、安全的方向发展。如今，铁路信息系统没有创建明确的管理目标、没有突出的工作重点、信息安全监管缺少必要的根据，信息监管体系还在初步建设中。铁路行业安全管理工作急需解决的问题就是怎样在国家有关信息安全等级保护的基础上，探究铁路信息体系安全等级保障的准则，从而得出完善的铁路行业信息安全等级保护标准。

1.2缺少健全的信息安全运行维护管理体系

由于管理手段不到位、执行力比较差，导致铁路信息安全事故时有发生，所以铁路安全生产的核心内容就是信息系统的安全运行维护和管理。铁路行业体系的安全生产理念和运营形式比较陈旧，使其无法与信息化建设相协调，依靠手工式作业和人员意识来对铁路信息进行管理，这就急需建立健全高效、安全的运行维护管理体系。

2创建完善的铁路信息安全管理系统

铁路信息安全管理系统的建设需要投入大量的资金，其规模比较庞大，内容非常多，涉及到的范围比较广泛。各个业务单位和部门需要依据自身的实际情况来创建符合自身发展的信息安全管理系统。铁路信息安全管理系统在建设的时候，可以按照以下标准执行：（1）对信息安全管理系统的范围进行确定，对整个系统、单位和部门都要进行全部覆盖，从而实现对重点部位的监管。要将人员、财务管理与配置工作做好，认真分析目前信息安全管理的实际情况，定期开展教育培训活动。（2）对信息安全管理的现实情况和风险进行预测，以信息安全技术管理标准为基础，对信息存储、传输和处理进行可用性、完整性和保密性的评价和调研，对发生安全事故导致的严重后果、安全事故发生的可能性等进行认真分析。（3）将信息安全管理的框架建设好，从全局和整体的角度出发，对信息系统进行完整的规划和设计。以技术条件、信息资产现实情况、组织特点和业务性质为基础，创建详细的信息资产清单。在确定安全解决策略和安全系统的时候，一定要以安全控制技术、需求分析和风险分析为依据。（4）系统建设的总体要求要以ISO/IEC27001：2005标准为基础，信息安全管理系统文件编写的时候，一定要将文档资料进行全面的包含，比如适用性声明、实施与控制、风险评估、适用范围以及安全方针等。（5）对信息安全管理系统进行不断的改进，以系统文件的控制标准为依据开展审批、和组织实施等活动。在系统运行的时候，一定要将系统的性能进行较好的发挥，一旦发现问题，立即解决，系统完善时要以PDCA模型为基础。（5）在审核信息安全管理系统的时候，要以审核证据为基础，从而实现对信息安全系统有效性的判断，审核有两种形式，即外部审核和内部审核，具有完整的认证资质的独立机构，才能进行外部审核。

3结束语

铁路信息化越来越受到人们的重视，铁路要想实现现代化，就要先实现信息化，铁路的快速发展与铁路现代化有着紧密的联系。要想使信息化资源得到充分的发挥，就要将安全问题放在首要位置。铁路系统信息安全问题主要是受内部因素所制约，从某种意义上说，这也是一个可靠性的问题，需要从安全性技术和管理上下功夫，创建完善的铁路信息安全管理标准系统，使信息系统的运行更加的安全、规范。

作者:张蕾 单位:北京铁路局石家庄电务段

参考文献:

[1]操光霞.计算机安全管理的重要性思考[J].江西建材，2016（21）：247~251.

[2]王亚民.铁路信息安全等级保护实施工作建议[J].铁路计算机应用，2015（02）：38~40.