探究鐵路信息系統安全風險管理范文

本站小編為你精心準備了探究鐵路信息系統安全風險管理參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

【摘要】針對目前鐵路運輸生產中信息系統應用存在的安全風險問題，論文從實踐角度出發，分析了鐵路信息系統的安全風險管理計劃，并提出了相應的要求與實踐策略，其目的是為保證信息系統安全穩定提供一些理論依據。

【關鍵詞】鐵路運輸；信息系統；安全風險管理

1引言

目前，鐵路信息系統應急預案及應急預案流程已規范化，一旦啟動應急預案，表征故障已經發生。建立完善的鐵路信息系統安全風險管理體系，采取有效的信息系統安全風險管理措施，是避免啟動應急預案的有效屏障。在鐵路信息系統管理中樹立牢固的安全風險管理意識，可有效規避、轉移管理中存在的風險。通過制定周密可行的信息系統安全風險管理計劃、識別安全風險、安全風險定性定量分析、制定安全風險應對措施、安全風險監控等環節可有效避免鐵路信息系統事故的發生。

2制定鐵路信息系統安全風險管理計劃

安全風險管理計劃是用來描述如何處理和控制風險的方法。一般情況下信息系統管理層應召集信息系統專家、信息系統開發人員、信息系統維護人員、崗位操作人員集中會議、意見等形式，結合鐵路信息系統的實際情況，分析各類系統的重要性，并將每類信息系統按生產等級分類，預判其可能產生的風險。聘請信息系統、安全風險管理專家分析風險來源，包括計算機硬件、軟件、網絡設備及通道、信息系統維護人員、崗位操作人員；估算風險可能造成的危害，評估風險級別，按照重、輕級別制定不同的安全風險監控跟蹤機制，制定如何處理和執行不同安全風險活動計劃。在信息系統安全風險管理計劃中，具體要描述基本的信息系統安全風險管理檢查節點（如：每周對每類系統、每月對所有信息系統安全風險管理召開評估會議），按照信息系統管理、運維、使用等制定里程碑檢查節點，分析、總結、評估信息系統安全風險管理，真正把信息系統管理納入到信息安全風險管理當中，實現有計劃、有目的地管理鐵路信息系統，從而最大限度地減少故障發生。

3鐵路信息系統的安全風險管理要求

3.1鐵路信息系統安全風險的識別信息系統安全風險

識別就是要識別出哪些風險會造成什么樣的影響，形成風險分解結構。利用風險分解結構（RBS）形式列舉已知的風險、問題解決方式、危害程度等。結合鐵路信息系統安全風險管理的實際情況，將信息系統安全風險劃分為技術風險、內部風險、外部風險三大類，根據分類所羅列的風險項，逐一研討其風險發生的可能性，將已識別的風險記錄到《XX系統風險分析和監控表》中，以便于在信息系統使用過程中對已識別的風險進行盯控。譬如鐵路華方十八點信息系統技術風險主要體現在總公司服務器與路局客戶端、路局服務器與車務段客戶端、車務段服務器與車站客戶端四個層面之間需要實現實時的數據雙向同步。同步的實現主要依靠底層到高層的逐層數據交換，這就要求每兩層之間數據交換準確且符合系統既定標準；外部風險相對而言主要是不同層次界面外部接口所帶來的風險。任何一個信息系統的外部接口變更都會影響整個信息系統的運行情況；內部風險是指每層內部資源之間協調所發生的風險。如：鐵路十八點統計分析系統使用過程中出現故障，系統維護必然占用系統操作時間，進而影響數據上報，給路局甚至總公司造成數據上報不及時。

3.2信息系統安全風險的定性與定量分析

識別信息系統安全風險后，需確定這些安全風險的基本特性，分析引起這些安全風險的主要因素，以及可能會造成的影響，形成詳細的信息系統安全風險列表記錄，進行定性、定量分析，評估風險可能帶來的影響。一方面，定性分析風險可能造成的影響，包括對車站、車務段、路局、總公司不同層面。為提高分析結果的準確性應召集信息系統、風險管理專家，采用專家會議方式來確定。例如，對鐵路華方十八點統計分析系統的外部接口、工作流程等風險分析，盡量邀請參與華方十八點系統的研發人員參與，分析交換接口工作原理、設施設備故障、程序不穩定帶來的影響。確定風險的可能性和影響后，用概率影響矩陣排列風險的優先級，反映風險的綜合影響程度大小，得出風險優先級別。另一方面，定量分析就是通過故障時間、影響范圍等數據估算風險對鐵路運輸生產造成的費用影響，形成《風險列表記錄》。

4鐵路信息系統安全風險管理的優化控制策略

4.1制定合理的鐵路信息系統安全風險應對計劃

風險應對計劃就是針對經過定性、定量分析后的《風險列表記錄》，確定行之有效的風險應對措施。因此制定合理的信息系統安全風險應對計劃，加強風險監控，對每個風險點設定專人盯控是必要手段。比如，為避免華方十八點統計分析系統外部接口風險發生，由專門網絡工程師負責盯控服務器與客戶端各個接口的運行狀態，華方十八點統計分析系統操作人員負責盯控車站客戶端接口運行情況，共同研判運行狀態，溝通聯絡匯報。一旦出現問題，盯控負責人及時對具體問題進行分析，按照所編制的信息系統安全風險應對計劃，采取相應的措施，將故障控制到最小范圍內。

4.2加強鐵路信息系統安全風險監控

研究表明，鐵路信息系統中安全風險監控，是實踐系統運行風險應對措施的重要組成部分。相關人員需采用持續性的方式進行監督盯控工作，并將此過程識別產生的信息數據，均記錄至系統內部的記錄設施中。這樣一來，鐵路信息系統就能將識別出的風險作用狀態進行跟蹤、監督，以避免此風險問題再次發生的概率并控制影響程度。具體來說，相關人員需根據目前風險監控的結果修改風險應對策略。這樣一來，不僅能夠保證鐵路信息系統階段性的運行穩定性，還能最大限度地保證整個信息系統運行的安全可靠性，以將可能存在的安全風險控制在最低限度。

4.3鐵路信息系統安全風險管理的巧妙應用

以鐵路十八點統計分析信息系統的運維過程為例，十八點統計分析系統主機故障風險，嚴格按照鐵路信息系統安全風險管理理論執行。首先根據安全風險管理計劃所列出更換設備可能要進行的風險管理要點及更換設備所涉及的成員及成員職責，各司其責，分工合作，形成《安全風險來源和分類表》。針對表中風險向路局信息技術所主管、兄弟單位十八點主管、統計分析主管、統計員一起分析識別、研討不同風險可能會造成的影響及最有效快捷的應對措施。各成員緊密配合，全方位盯控，盡管如此，2016年9月在利用新換設備將段管內各站客貨運輸數據統計好形成段匯總數據上報路局調度所時，統計員發現系統參數中未與路局十八點統計服務器IP地址綁定，無法上傳。盯控成員及時溝通后，立即采用鐵路信息系統安全風險應對計劃中的數據熱備份方法將十八點備機數據與主機無法上傳的數據實施同步，這樣可避免備機重復輸入數據而占用時間導致逐層影響十八點數據上報，造成影響范圍更大。啟用備機后及時準確地完成了數據傳輸上報。正因對安全風險做到了充分研判、分析及應對，才不至于啟動應急預案。這樣，既發現了新風險、又達到更換目的。之后將這些相關安全風險資料和數據歸檔到運輸生產過程實際運維中，為將來設備更新、程序升級奠定了堅實的基礎。由上述內容可知，為實現鐵路信息系統科學、安全、穩定運行，充分發揮其在運輸生產中的保駕護航作用，最大限度地減少信息系統發生突發性故障對運輸生產安全的影響，實施鐵路信息系統安全風險管理是保證信息系統安全穩定的長效機制，也是避免啟用信息系統應急預案的一道屏障。建立完善的鐵路信息系統安全風險管理體系，采取有效的信息系統安全風險管理措施，全面提高風險管理意識，確保鐵路運輸安全。

5結語

總體而言，信息系統安全風險管理在鐵路運輸網絡系統的生產過程中是必不可少的。且經實踐分析，系統運行風險的作用具有不確定性特點，即一旦發生安全風險，所造成的負面或正面影響程度與作用系統環節不可控。為此，信息系統技術人員應按照信息系統安全風險管理理論，并采取行之有效措施，便會化險為夷，甚至在特定環境下，信息系統安全風險也會轉化為對系統運維有利的、積極的因素。

【參考文獻】

【1】張旭.如何有效提升鐵路信息系統安全風險管理[J].鐵路計算機應用,2015,24(02):83-84.

【2】高春霞,陳光偉,張文塔,岳雪梅.鐵路網絡與信息安全風險管理研究[J].鐵路計算機應用,2014,23(06):24-28.

作者：王金芳 單位：大秦鐵路股份有限公司大同車務段