关于构建铁路信息安全管理标准体系的探讨

谢 俊

（中国神华神朔铁路分公司，陕西榆林719316）

0 引言

随着时代的不断发展，科技对我们生活方方面面的影响日益加深。但凡事都有两面性，要正确看待技术，既要利用技术为我们的生活服务，又要警惕技术崇拜带来的危害。煤炭作为固体能源占世界能源消耗量的30%，它也是世界产煤大国铁路运输的主要货种。煤炭运输一直是人民关注的焦点，煤炭专用铁路是指由煤矿企业投资兴建，主要为煤矿企业提供运输服务的铁路支线。它是国家铁路的重要组成部分，也是保障煤炭能源企业正常生产的一项重要基础设施。它在减轻铁路货场压力，加速车辆和货场的周转，满足铁路运输和经济发展的需要等方面发挥着极其重要的作用，它的运输直接影响着铁路枢纽的畅通和工业企业的运作。本文主要分析如何构建煤炭专用铁路信息安全管理标准体系。

1 铁路信息安全

科技的发展促使信息技术被广泛应用于现实生活的方方面面，比如煤炭铁路运输等，那么如何做才能使得信息技术得以正确、广泛地应用？想要保障信息安全技术在现实生活中的使用效果，使信息安全得到高效保障，就需要从管理体制、管理人员两个方面入手[1]。互联网在生活中的应用越来越广泛，网民数量逐年增多，互联网+电视、互联网购物、互联网+金融等各种产业迅猛发展，互联网应用于铁路行业最主要的表现在于互联网+铁路交通，主要是在互联网上实现客货运输等网上服务。互联网+铁路运输主要体现在互联网的系统性，通过互联网使得运输系统更加流畅，各个环节之间的衔接工作更加完善，便捷了整个运输过程，加强了企业与铁路运输之间的交流合作，促进了整个行业的发展。但科技是一把双刃剑，在带来便捷的同时也带来了一些问题，比如信息安全问题等等。互联网上信息繁杂，网络犯罪情况严重，而且缺少相应的管理制度，缺少一个具体标准进行工作规划，随着铁路+互联网速度的加快，信息安全越来越被人们所关注，所以，需要建立完善的信息安全管理系统。

2 铁路信息安全面临的问题

随着社会的发展，铁路的业务已突破封闭式专网运营模式，向互联网方向渗透[2]。信息技术的运用给煤炭铁路的发展带来了很多方便之处，它使得运输的周转配合得更加默契，大大减轻了铁路货场的压力，提高了煤炭铁路运输的效率。凡事都有两面性，铁路信息化在为服务提供便捷的同时也留下了一些问题需要解决。众所周知，互联网使用之后就会留下信息痕迹，而互联网是一个正在发展中的领域，其很多部分都是开发即用，并没有相关的制度或者管理机构进行约束，甚至缺少一个衡量标准。目前，以专用铁路神朔铁路为例，信息安全面临的主要问题表现在缺少完善的行业信息安全等级保护标准体系和缺少健全的信息安全运行维护管理体系两个方面。

2.1 缺少完善的行业信息安全等级保护标准体系

当前的信息管理最大的问题就是没有一个具体的安全等级标准，没有一个等级标准去将管理漏洞进行划层分级，不能有针对性地解决问题，效率较低。只有建立和完善铁路行业信息安全等级保护标准体系，才能确保铁路管理信息化朝着一个安全、健康的方向发展。如今，关于铁路信息系统的创建最大的问题就是还没有明确系统的管理目标、工作重点不够突出、信息安全监管缺少必要的根据，信息安全监管体系尚在建设中。所以，需要建立一个标准体系，这个标准体系等于是建立一个方向标，可在参考的基础上建立和完善一个信息安全管理制度。“无规矩不成方圆”，制度的建立能够使得行业内分工更加明确，管理更加细致化，一个清晰的管理框架有利于管理工作有条不紊地顺利进行。另外，完善铁路行业信息安全等级保护标准体系还有利于建立一个铁路安全保障等级标准，能够通过分析经验在容易出现漏洞的环节进行相应的管理和防护，尽可能减少漏洞的出现，促进铁路信息安全管理朝着更好的方向发展。

2.2 缺少健全的信息安全运行维护管理体系

因为信息安全管理制度、措施不到位，员工的执行力较差等原因，铁路信息安全事故时有发生，如运输之间的配合出现漏洞等问题，所以铁路信息安全的核心内容就是要加强对信息系统的安全运行维护和管理。系统建立之后需要进行运营和维系，对整个体制的运行维护需要工作人员共同努力，但铁路工作人员的观念和运营理念都还比较陈旧，信息化只是口头上的概念，信息化管理理念并没有真正融入到信息安全管理体制内，员工并没有真正理解铁路运输加上互联网之后的状态是什么样子，也没有将互联网思维融入到日常工作中，这就使得信息安全管理系统的运行维护出现各种问题。而且没有将铁路行业的生产理念与信息化建设相协调，并不能在系统出现漏洞或者新问题的时候及时进行解决，缺少应对风险的能力，所以就急需建立一个高效、健全的信息安全运行维护管理体系。

2.3 员工整体素质有待加强

互联网对铁路员工的素质要求比较高，这就对煤炭专用铁路的工作人员的素质提出了更高的要求，需要将整个行业的发展与互联网行业结合起来思考，具有互联网思维，能够了解铁路信息化，需要建立信息化的思维；因为缺少具体的管理制度，所以具体分工尚待进一步明确，工作过程中会出现员工仅对自己所在岗位工作了解的情况，并不熟悉其他的工作岗位，如果出现岗位调动的情况就基本上是从头开始，不利于工作效率的提高，缺乏一个对工作系统性的了解，需要建立系统性的思维。

3 构建铁路信息安全管理的有效措施

随着中国经济的迅速发展，近年来中国铁路及城市轨道交通进入快速发展建设时期[3]。对于铁路信息安全管理问题，一直是社会关注的主要问题之一，无论是铁路交通购票的信息互联网化，还是铁路运输系统的构建和精细化服务，都是人民关注的重点。煤炭专用铁路主要是在运输管理和运输组织方面的信息化管理。铁路信息安全管理系统的建设需要根据具体情况进行分析，从当前铁路信息安全管理的问题和弊端进行分析，从健全管理机构、健全管理制度、细化分工、提高员工整体素质、做好统计规划工作以及构建完备的信息安全管理系统等方面来进行完善。

3.1 加强领导，健全管理机构

构建铁路信息安全管理标准体系，首先要加强领导，健全管理机构。铁路信息化是铁路发展的必然趋势[4]，健全管理机构需对信息安全管理系统的范围进行确定，也就是对整个系统、每个环节、每个单位、每个员工的具体工作都有一个大致的把握，能根据实际情况将这些工作与信息化系统之间建立一个联系，确定整个信息安全管理范围，进行重点规划，对容易产生漏洞的环节着重监管，能够有针对性地进行管理；再次就是要将信息安全管理的框架建设好，从全局角度进行把握，健全整个信息安全管理的框架，从管理系统的结构，每个环节的工作以及每个岗位的具体工作入手，细化整理整个框架，完美落实系统的每个支线工作，整体性、系统性地建立铁路信息安全管理标准体系，从上层领导到下方每个员工都在这个系统框架内，有条不紊地工作，构建铁路信息安全管理标准体系。

3.2 健全制度，分工明确，有章可循

上层领导颁布管理制度，自上而下的制度管理能够为制度的执行扫除更多障碍，保证工作的顺利进行，保证制度的顺利执行。制度建设过程中要注意将每个岗位的具体工作细化，也就是管理中常说的分工明确，对员工的工作能力有一定的要求，它需要员工具有独立执行工作的能力，而且在出现信息漏洞等问题时能够快速定位出现问题的地方，并找到承担人。根据制度规定对员工的错误情况进行处理，有利于内部管理，能提高工作效率[5]；同时还需要对信息安全管理系统不断进行改进，在系统运营过程中，根据一些情况和所得结果进行调整，以一个完备的标准对管理制度以及运行情况进行调整，根据信息安全系统实行的现实情况和系统与现实的所符情况进行整理，具体问题具体分析，对与现实不符的地方进行调整，并在运行过程中不断完善，构建一个更加完善细致的信息安全管理系统，更好地为煤炭铁路运输行业服务。

3.3 加强队伍建设，提高职工素质

科技的进步、设备的进步同时要求着使用者的进步。互联网信息化不仅要求员工具有互联网思维，它还要求员工了解设备的具体操作，也就是计算机使用能力[6]。这就需要加强团队的队伍建设，提高职工素质。铁路信息化安全管理的系统是一个大的框架，它要求到每个环节、每个部门、每个岗位、每个员工，需要有信息化的思维，并熟练掌握计算机设备，能够利用计算机来进行工作，能够将信息化与铁路运输真正融入到一起，而不是简单的“铁路+信息化”，这样才能够有效避免铁路信息化过程中的漏洞，并拥有处置问题的能力，能够为构建铁路信息安全管理标准体系提供人才能力，从而进一步推进铁路信息化发展[7]。

3.4 做好统计规划工作

在推行铁路信息化的过程中，要注意做好统计工作，对信息安全管理系统的范围进行确定，划定整个工作区域，总体把握将信息安全管理的框架建设好，从系统性、整体性的哲学角度去构建铁路信息安全管理标准体系，在这个过程中细化具体分工，完善具体工作，根据实际情况进行调整，根据信息安全管理的现实情况和风险进行预测，根据所得经验和结果对信息安全管理系统进行不断的改进，通过各方的努力构建一个完备的铁路信息安全管理标准体系。最后，在审核信息安全管理系统时，以审核证据为基础，对整个铁路信息安全管理系统的有效性进行判断，通过内部审核和外部审核的方式进行[8]。

3.5 构建完备的信息安全运行维护管理体系

3.5.1 安全风险管理

铁路信息系统安全管理中心采用风险评估的方法，分析和评估系统的风险源和和安全威胁源，并根据各类信息资产的重要程度和价值，选择适当的控制措施减缓风险。铁路企业要组织建立安全风险管理系统，进行资产风险评估和处理，风险只能减少或降低而不能消除。另外，系统的风险是动态的，风险评估活动应定期进行，特别是在系统的核心功能及技术或者内外环境发生重大变化时，风险评估应重新进行。

3.5.2 安全运行维护

铁路信息安全管理中心负责信息系统的安全运行维护工作，保障系统中网络、主机、安全系统、数据库、中间件、存储备份设备和应用系统的可视、可控、可管理，运行维护人员监控系统及时发现问题，各站段、部门运行维护人员应积极开展运行维护管理工作，及时处理各监控范围内出现的问题，无法处理的问题须及时上报。

3.5.3 安全应急响应

制定应急反应工作流程、工作标准，确定预警和报警方法，建立备份系统流程，日常进行应急事件处理演练；识别和发现各种安全紧急事件，应急反应中心根据事件级别，采取相应的措施。

3.5.4 建立安全等级保护管理制度

将信息安全管理纳入铁路运输安全生产管理系统，按照“谁主管谁负责，谁运行谁维护”的原则，逐级落实信息安全管理责任。铁路行业主管部门应制定符合本行业安全需求的等级保护行业标准、行业等级保护实施方法等文件，用以指导本行业、本单位的等级工作。

3.5.5 建立信息安全综合管理平台

为保障铁路企业信息安全保护工作有序展开，需要建立信息安全综合管理平台，即铁路公司与下属单位开展与信息安全管理有关工作的综合平台，功能覆盖铁路总公司与下属单位安全管理工作的主要内容，

并支持公安部门的等级保护管理工作。此平台应实现保护工作任务的下发、执行、进度监控和督办，风险管理、应急管理安全监查和应急通报等专项管理功能，以及日常办公的综合管理、培训教育、标准管理功能。

4 结语

总之，随着科技的不断发展，互联网信息化日渐影响着人们生活的各个领域[9]。当今的铁路企业，无论是国铁还是地铁都已基本实现了信息化管理、运营、组织指挥，铁路运输中要想更好地发挥信息技术的作用，就要不断努力，优化信息技术，不断完善既有的应用系统和管理制度，居安思危，加强领导、健全管理机构，有效分工、加强队伍建设，各方共同努力构建铁路信息安全管理标准体系，使信息系统运行更加规范、更加安全。

[1]张蕾.关于建设铁路信息安全管理及其标准体系的思考[J].通讯世界，2016（21）：280.

[2]王万齐，张德栋，黄勤龙.铁路网络与信息安全管理系统研究与设计[J].铁路计算机应用，2017，26（11）：32-35.

[3]朱锁明，孙春荣.高效、协同、精益、安全的信息化管理平台[J].铁道通信信号，2016，52（S2）：1-5.

[4]张彦.铁路信息系统安全体系研究[J].铁路计算机应用，2015（2）：5-7，16.

[5]杨皓然.完善铁路计算机网络安全的途径研究[J].电脑知识与技术，2016，12（3）：51-52，60.

[6]臧鑫.铁路信息安全管理研究[J].铁道经济研究，2014（5）：22-25，46.

[7]史天运.铁路行业信息安全管理面临的挑战及对策探讨[J].铁路计算机应用，2015（2）：1-4.

[8]汤宏亮.刍议网络环境下的企业信息安全管理[J].数字技术与应用，2016（7）：203.

[9]陈欣.煤炭矿区专用铁路车辆集中整备的探讨[J].机械管理开发，2016（12）：29-30.