《2020年铁路信息安全相关的论文》由会员分享,可在线阅读,更多相关《2020年铁路信息安全相关的论文(7页珍藏版)》请在金锄头文库上搜索。
1、铁路信息安全相关的论文 导语:以下关于铁路信息安全相关的论文范例是特意为需要的同学准备的希望大家喜欢 1铁路信息安全管理面临的挑战 铁路行业信息安全检查工作一直都作为一个常态化的管理机制运行在一定时间间隔内定期或不定期开展但大部分单位对检查工作认识不足需要动用技术力量对系统进行扫描、渗透并部署采集设备时各单位普遍有畏难情绪运行维护部门又担心会影响正常的业务使用总体来看检查工作本身所能提供的信息有限从而无法并准确反应单位信息系统及信息安全现状也就无法对系统进行有针对性的信息安全加固及整改. 2应对措施 建立良好的信息安全管理模式是铁路信息系统安全稳定运行的根本保障有利于铁路行业信息系统的发展针对
2、上述铁路信息安全管理面临的挑战建立铁路行业信息安全管理新模式结合铁路行业现有组织管理架构借鉴已有的信息安全管理制度明确信息安全工作的地位、目标、原则以及策略从组织管理、制度及应急管理、运行维护管理和等级保护管理几个方面来深入考虑和分析采用体系化管理方式保障信息系统的安全稳定运行 2.1健全组织管理机构 信息安全组织管理方面建立并逐步健全一套自上而下的安全组织机构成立铁路信息系统安全管理领导机构作为系统安全管理的常设组织同时采用分层结构以适应铁路行业铁路总公司、铁路局、站段3级管理机制铁路总公司领导机构作为全路信息系统安全管理的常设领导机构负责制定全路信息系统安全管理制度及办法发布铁路信息系统安
3、全防护技术的标准制定安全管理制度区域安全管理机构主要职责有:负责各铁路局的信息安全管理中心的日常管理工作及时与安全专家协商讨论安全执行方案执行安全响应中心制定的具体安全策略定期向上级汇报信息安全管理相关工作下设多个安全管理决策小组和管理执行小组管理执行小组主要负责监督和协调铁路局下设各车站的信息安全管理执行工作车站级信息安全执行分组包括安全监督员、安全检查员、安全执行员3类安全工作人员 2.2强化制度建设及工作流程管理 2.2.1管理制度 铁路信息系统安全不仅要强化系统建设更要做好内部安全管理建设具体要做好以下工作: (1)建立专门的安全防御组织:针对铁路信息系统整体安全铁路总公司应成立专门的
4、机构负责网络的安全管理和应急响应铁路局、基层站段相应的部门对铁路基础网实施自顶向下的实时监控与管理 (2)建立健全安全保密制度:各部门应制定严格的安全保密条例杜绝不必要的人员接触和了解铁路核心网络设备与技术防止敏感信息泄露对有权了解、处理关键信息的内部人员制定更严格、更详细的安全责任制度明确个人在信息安全方面应该承担的职责以及发生责任事故后的处罚 (3)建立健全数据安全保护措施:针对铁路核心业务系统的关键数据需要建立完备的本地和异地备份制度同时采用双机备份、物理隔离的技术方案定时增量备份 (4)定期实施漏洞扫描和系统补丁升级:系统管理人员需定期对网络进行扫描以检测和评估网络漏洞检测范围包括所有
5、的网络设备和终端设备同时扫描网络内所有主机系统的配置及安全漏洞 (5)定期实施计算机安全检查:针对处理关键数据的计算机应建立完善的日志记录所有与安全有关的事件安全日志不仅要完整的记录安全事件而且需要具备防篡改、抗抵赖功能 2.2.2标准制度 以信息安全相关管理和技术规范及不同层次的信息安全制度为重点构建科学严谨、有效适用、系统规范的信息安全管理标准制度体系制定相应的技术标准、作业办法等明确工作标准流程落实管理责任规范作业行为按照信息安全风险管理的要求对各项管理规章制度进行全面的清理和完善不断加强铁路信息安全标准制度体系建设使铁路信息安全风险管理工作制度化、规范化和标准化 2.2.3工作流程管理
6、 信息安全管理流程包括信息安全培训工作流程、信息安全运行维护工作流程、信息安全风险控制流程、信息安全应急处置流程、信息安全监督检查与改进流程等各项管理工作流程应根据工作实际情况建立健全、持续改进、推广应用先进的信息安全管理工作流程使铁路信息安全管理和运行维护工作专业化、标准化、规范化 2.3建立信息安全运行维护管理体系 2.3.1安全风险管理 铁路信息系统安全管理中心采用风险评估的方法分析和评估系统的风险源和安全威胁源并根据各类信息资产的重要程度和价值选择适当的控制措施减缓风险铁路局要组织建立安全风险管理体系进行信息资产风险评估和风险处理从理论上风险只能降低或减少而不能完全消除选择控制措施的原
7、则是既能使铁路信息系统受到与其价值和保密等级相符的保护将其所受的风险降低到可接受的水准又能使所需要的费用在预算范围之内使铁路行业能够保持良好的竞争力和成功运作的状态另外系统的风险是动态的风险评估活动应定期进行特别是在系统的核心功能及技术发生重大变化和内外环境发生重大变化时风险评估应重新进行 2.3.2安全运行维护 铁路信息系统安全运行维护管理依托安全管理中心实现系统的安全运行维护铁路总公司信息系统安全管理中心运行维护平台可实现对系统中的网络、主机、安全系统、数据库、中间件、存储备份设备和应用系统的可视、可控、可管理协助运行维护人员监控系统和及时发现问题各铁路局安全管理部门运行维护人员应通过使用
8、运行维护平台积极开展运行维护管理工作实现铁路局安全监管监察部门与铁路总公司安全运行维护工作的有效连接对各地区安全管理部门能够处理的事件按照路局区域内管理流程执行并定时向铁路总公司安全管理中心上报故障情况并提交运行维护处理单 2.3.3安全应急响应 铁路信息系统安全应急响应体系的建立应做好以下5个阶段工作 (1)保护阶段:制定应急反应工作流程计划、确定预警和报警的方法、建立备份的体系和流程、建立安全的系统、进行应急反应事件处理的预演 (2)预警与报警:识别和发现各种安全的紧急事件在紧急情况发生前产生安全的预警报告在紧急情况发生时产生安全警报给应急反应中心应急反应中心将根据事件的级别采取相应措施
9、(3)牵制与反馈:在确认紧急事件发生的情况下应急反应中心将根据预先制定的反应计划进入应急反应流程同时应急反应系统本身将根据预先制定的规则采取相应的措施把紧急事件的影响降到最小 (4)消除阶段:对于系统内部病毒应该采用最新的病毒专杀工具清除对于系统的外部入侵和非法授权访问等应该通过专用的漏洞扫描工具发现系统存在些漏洞然后采用相应的手段消除漏洞安全隐患对于入侵攻击或超量访问要采用有效的拦截和限量访问措施使系统资源处于可控范围 (5)恢复阶段:在数据或者系统被破坏无法修复的情况下应进行系统的恢复且恢复要依据预先制定的恢复流程严格进行 2.3.4安全策略优化 制定有效的安全策略当原有安全策略无法满足现
10、有系统的安全需求时要结合实际情况对系统安全管理策略进行调整优化以适应新的安全管理制度制定出符合铁路信息系统的安全管理策略以确保系统的信息安全保密性为主采用多层次保护、最小授权、综合保护和严格管理等措施 2.3.5安全检查审计 2.4建立等级保护管理制度 为切实做好信息安全管理工作铁路行业需要借助等级保护这一安全抓手将等级保护与信息安全日常管理紧密结合将信息安全管理全面纳入铁路运输安全生产管理体系按照“谁主管谁负责、谁运行谁维护”和属地化管理原则逐级落实信息安全责任建立地方与总公司信息化发展相适应的信息安全监督管理机制同时为了在纵向上实现对等级保护的控制铁路行业主管部门在国家文件政策指导下应制定
11、符合本行业安全需求的等级保护行业标准、行业等级保护实施方法等文件用以指导本行业的等级保护工作保障铁路运输及生产安全管理 2.5建设铁路信息安全综合管理平台 为保证铁路信息安全等级保护工作的有序展开需要建设信息安全综合管理平台旨为铁路总公司及下属单位开展与信息安全管理相关工作的综合工作平台功能将覆盖铁路总公司及其下属单位的信息安全管理工作的主要内容并支持公安部等级保护管理工作平台主要提供以下3类功能: (1)以信息系统定级、备案、整改、测评和检查等规定步骤为主线实现等级保护工作任务的下发、执行、进度监控和督办; (2)风险管理、应急管理、安全检查和事故通报等专项管理功能;(3)日常办公的综合管理
12、、培训教育、标准管理等 3结束语 铁路行业信息安全问题更多来源于内部这就不仅要在安全性技术上下功夫而且更应该从信息安全管理模式和方法上入手本文从组织管理、制度及应急管理、运行维护管理和等级保护管理几个方面详细探讨了如何健全和强化管理制度并通过建立信息安全综合管理平台实现信息安全工作的规范化管理促进信息安全管理工作的常态化发展最终实现铁路信息系统统一、规范、监管和完善的信息安全运用铁路行业各单位、各部门要进一步提高对铁路信息安全重要性和开展信息安全管理工作必要性的认识切实增强做好信息安全工作的自觉性和主动性努力掌握先进的管理方法准确把握信息安全风险管理的重点和关键科学推进铁路信息安全管理工作的有序开展
