鐵路行業(yè)信息安全等級保護研究論文

　　1我國信息安全等級保護測評機構建設情況

　　公安部于2009年開(kāi)始等級保護測評體系的建設，2010年以來(lái)，對國家和地方等級保護協(xié)調小組推薦的測評機構開(kāi)展能力評估工作，到目前為止，已完成120多家測評機構的申請和評估，并頒發(fā)了《信息安全等級保護測評機構》推薦證書(shū)。120多家機構按國家和地方兩級管理，國家級目前有7家，其中有4家主要承擔行業(yè)內的測評工作，分別是電力、金融、教育和廣電。

　　2電力行業(yè)等級保護測評機構的借鑒作用

　　國家信息安全等級保護工作協(xié)調小組鼓勵具有信息系統特色的行業(yè)申請等級保護測評機構，旨在對具有行業(yè)特色、安全建設情況又不便向外界透露的信息系統開(kāi)展本行業(yè)的等級測評工作。在電力、金融、教育和廣電4大行業(yè)中，電力行業(yè)信息安全等級保護測評中心是最早獲批國家級測評機構的單位，其成功經(jīng)驗對其它行業(yè)開(kāi)展信息安全測評工作具有重要的借鑒作用。電力行業(yè)等級保護測評中心設有3個(gè)測評實(shí)驗室，分別掛靠在國網(wǎng)電力科學(xué)研究院、中國電力科學(xué)研究院、華電卓識測評中心。3個(gè)實(shí)驗室均為獨立法人單位，獨立承接測評業(yè)務(wù)，測評業(yè)務(wù)指導統一歸口電力行業(yè)信息安全等級保護測評中心。各測評單位的主要職能有：技術(shù)研究、安全測評、風(fēng)險評估、業(yè)務(wù)咨詢(xún)服務(wù)、行業(yè)相關(guān)標準及規范編制等，對電力行業(yè)信息安全等級保護工作的開(kāi)展起到引領(lǐng)和推動(dòng)作用。電力行業(yè)信息系統數量多，工業(yè)控制類(lèi)信息系統占多數，其中三級系統有1700多個(gè)，四級系統有40～50個(gè)，按照公安部的要求，測評中心對本行業(yè)的三級、四級系統定期開(kāi)展等級保護測評工作。

　　3建立鐵路行業(yè)等級保護測評機構的必要性

　　鐵路行業(yè)的業(yè)務(wù)與電力行業(yè)十分相似，都屬于國家的重要基礎設施。電力行業(yè)的信息系統主要是電網(wǎng)控制類(lèi)系統，屬工業(yè)控制專(zhuān)業(yè)，信息安全要求高；鐵路行業(yè)信息化工作主要為行車(chē)控制、客貨運輸提供重要支撐，信息系統涉及控制和實(shí)時(shí)交易處理等，具有明顯的行業(yè)特點(diǎn)，專(zhuān)業(yè)性要求高。因此，借鑒電力行業(yè)等級保護測評機構在本行業(yè)信息安全工作中起到的作用，有必要在鐵路行業(yè)內部建立正規的信息安全技術(shù)隊伍，對鐵路行業(yè)的網(wǎng)絡(luò )與信息安全工作的開(kāi)展起支撐作用。

　　3.1行業(yè)測評機構的優(yōu)勢

　　如上所述，鐵路行業(yè)的信息系統有著(zhù)行業(yè)運行特點(diǎn)和專(zhuān)業(yè)特殊要求，客、貨運輸交易及管理類(lèi)系統涉及國計民生，列車(chē)運行控制類(lèi)系統與老百姓的生命安全息息相關(guān)，行業(yè)內的測評機構依托其自身長(cháng)期的專(zhuān)業(yè)知識的積累，具有以下幾個(gè)方面的優(yōu)勢：

　�。�1）行業(yè)測評機構容易理解行業(yè)信息系統的業(yè)務(wù)并把控安全風(fēng)險行業(yè)測評機構的從業(yè)人員大多是有著(zhù)行業(yè)信息系統研發(fā)經(jīng)驗的科研人員，熟悉系統的功能特點(diǎn)和應用背景，長(cháng)期從事行業(yè)信息安全服務(wù)工作，對行業(yè)信息系統的安全風(fēng)險把握較準確。

　�。�2）便于培養行業(yè)內的信息安全服務(wù)技術(shù)力量行業(yè)測評機構通過(guò)長(cháng)期積累，在技術(shù)裝備上能得到不斷提升，通過(guò)構建與實(shí)際生產(chǎn)系統一致的模擬仿真測試環(huán)境，可以有效跟蹤生產(chǎn)應用系統的安全風(fēng)險；長(cháng)期從事行業(yè)內的信息安全等級保護測評工作也給測評機構的檢測人員提供良好的行業(yè)應用平臺，積累服務(wù)經(jīng)驗和技術(shù)經(jīng)驗；通過(guò)組織培訓班等形式，又可以將測評機構積累的豐富經(jīng)驗以技術(shù)研討會(huì )的形式在行業(yè)內信息安全從業(yè)人員中傳授，有效提高行業(yè)內信息安全整體技術(shù)服務(wù)水平。

　�。�3）行業(yè)測評機構隊伍穩定且人員可控性強公安部要求從事信息安全等級保護測評工作的人員要可控，對從事四級系統（重要系統）以上的測評人員進(jìn)行嚴格管理。行業(yè)測評機構一般都是國企，主要從事行業(yè)內的信息安全技術(shù)研究、等級保護測評服務(wù)等相關(guān)工作，人員除簽訂勞動(dòng)服務(wù)合同，與單位定期簽訂保密協(xié)議外，機構也會(huì )對員工在職業(yè)發(fā)展、工資待遇、培訓教育機會(huì )等方面給予慎重安排，使得測評人員保持較高的穩定性和可控性。

　　3.2行業(yè)測評機構的作用

　�。�1）行業(yè)信息安全技術(shù)支撐信息安全測評第三方機構有著(zhù)豐富的信息安全專(zhuān)業(yè)知識，熟悉國家、行業(yè)各層級的標準和規范，通過(guò)長(cháng)期在鐵路行業(yè)內開(kāi)展測評、咨詢(xún)等服務(wù)性工作，了解行業(yè)應用系統的業(yè)務(wù)特點(diǎn)，掌握行業(yè)信息系統安全的普遍性和特殊性要求，可以為行業(yè)單位提供定制化的信息安全解決方案，對行業(yè)信息安全工作的開(kāi)展起到積極的技術(shù)支撐作用。

　�。�2）行業(yè)標準規范制定根據公安部《關(guān)于開(kāi)展信息安全等級保護安全建設整改工作的指導意見(jiàn)》（公信安[2009]1429號）的要求，重點(diǎn)行業(yè)信息系統主管部門(mén)可以按照等級保護國家標準，結合行業(yè)特點(diǎn)，確定行業(yè)信息系統安全等級保護的具體指標。在不低于等級保護國標基本要求的情況下，結合鐵路行業(yè)信息系統安全保護的特殊需求，在行業(yè)主管部門(mén)的指導下制定鐵路行業(yè)的相關(guān)標準、規范或細則，指導鐵路行業(yè)信息系統安全建設、整改與測評工作。

　�。�3）信息系統全生命周期測評服務(wù)信息系統全生命周期包含5個(gè)基本階段：規劃、設計、實(shí)施、運維和廢棄。行業(yè)測評機構可以在信息系統生命周期各階段為用戶(hù)提供有針對性的信息安全服務(wù)，使等級保護工作貫穿于信息系統生命周期的各個(gè)階段。規劃階段測評機構可以幫助用戶(hù)識別危險源和安全風(fēng)險，確定系統應達到的安全目標，提供定級指導；設計階段協(xié)助提出系統需滿(mǎn)足的安全指標，在關(guān)鍵節點(diǎn)提供安全測評服務(wù)；實(shí)施階段測評機構提供漏洞掃描、滲透性測試、源代碼安全檢查等深度安全檢測，并根據測評結果提供安全建設整改建議；運維階段等級保護測評的目的是掌控信息系統運行期間的安全風(fēng)險，按國家標準要求定期開(kāi)展等級保護測評，遇網(wǎng)絡(luò )結構調整、應用系統升級改造等重大變更時(shí)進(jìn)行等級保護測評；業(yè)務(wù)廢棄階段行業(yè)測評機構可為用戶(hù)提供軟、硬件等資產(chǎn)及殘留信息的廢棄處置方案，防止系統廢棄可能引入的新的風(fēng)險。

　�。�4）信息安全咨詢(xún)與評估服務(wù)由于測評機構熟悉信息安全相關(guān)的標準和規范，實(shí)踐經(jīng)驗豐富，可以根據用戶(hù)的需要開(kāi)展定制化的咨詢(xún)服務(wù)，如等級保護合規性咨詢(xún)與評估服務(wù)，風(fēng)險管理咨詢(xún)服務(wù)，安全體系建設咨詢(xún)與評估服務(wù)，軟件源代碼安全咨詢(xún)服務(wù)等。

　�。�5）行業(yè)信息安全持續改進(jìn)能力培養測評機構在實(shí)施某一測評任務(wù)時(shí)，一般需要在測評前期、中期和后期與用戶(hù)進(jìn)行充分的溝通，通過(guò)技術(shù)交流、設計聯(lián)絡(luò )等方式，提高用戶(hù)對等級保護基本概念、安全指標的理解以及測評方法、檢測工具的運用，在完成測評任務(wù)的同時(shí)，也幫助用戶(hù)提升信息安全自測能力。行業(yè)測評機構還可通過(guò)技術(shù)講座等形式，對用戶(hù)單位信息安全分管領(lǐng)導、系統運維人員和業(yè)務(wù)部門(mén)關(guān)鍵崗位人員進(jìn)行培訓，通過(guò)培訓增強用戶(hù)信息安全意識和運維人員專(zhuān)業(yè)技術(shù)水平，使用戶(hù)具備對信息系統進(jìn)行安全持續改進(jìn)的能力。

　　3.3行業(yè)信息安全測評工作的需要

　　鐵路行業(yè)目前已投入使用的信息系統按大系統分有上百個(gè)，每個(gè)大系統按照應用范圍又分為鐵路總公司級系統、鐵路局/地區中心系統和站段級系統，這些系統一般采取統一規劃、統一設計、分系統建設的模式投入使用，各級系統采用不同的等級保護定級，在開(kāi)展信息系統測評時(shí)，一般需要將大系統拆分為不同的子系統分開(kāi)測評，每年可參與評測的信息系統數量不低。按1個(gè)鐵路總公司、18個(gè)鐵路局、上千個(gè)車(chē)站規�？紤]，鐵路每年可參評的信息系統數量大約有上萬(wàn)個(gè)左右。因此，成立鐵路行業(yè)信息安全等級保護專(zhuān)業(yè)測評機構不僅是信息系統安全保障的需要，也是建立健全完善的鐵路運輸整體安全體系的需要。

　　4結束語(yǔ)

　　信息安全等級保護建設是一項長(cháng)期任務(wù)，作為行業(yè)的第三方測評機構，應協(xié)助鐵路信息安全主管部門(mén)將行業(yè)信息安全工作落到實(shí)處，開(kāi)展行業(yè)相關(guān)標準與規范制訂、安全方案設計、等級保護測評、定級備案、整改建設指導、安全咨詢(xún)等實(shí)效性工作，在落實(shí)好公安部和行業(yè)主管部門(mén)等級保護測評工作要求的同時(shí)，幫助用戶(hù)培養信息安全持續改進(jìn)能力，促進(jìn)行業(yè)信息安全水平整體提升，全面發(fā)揮對行業(yè)等級保護建設工作的技術(shù)支撐作用。

【鐵路行業(yè)信息安全等級保護研究論文】相關(guān)文章：

關(guān)于物聯(lián)網(wǎng)的信息安全技術(shù)研究論文09-29

網(wǎng)絡(luò )信息安全的保護技術(shù)09-30

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

計算機信息安全論文09-15

信息安全管理論文06-20

信息安全管理論文11-10

計算機信息安全論文05-21

網(wǎng)絡(luò )信息安全與防范論文[合集]05-25

鐵路安全征文12-14