铁路物流信息共享平台安全性评价模型.docVIP

铁路物流信息共享平台安全性评价模型 　　[摘 要]安全性是铁路物流健康有序发展的一个重要性能指标。然而,铁路物流信息安全一直未得到应有的关注。本文针对我国铁路物流信息安全问题,借助于ISO1779所提出的信息安全技术框架,建立起基于模糊综合评价法的铁路物流信息共享平台安全性评价模型,为现有的铁路信息系统提供一定的安全性评估准则。 　　[关键词]铁路物流 信息安全 模糊综合评价 安全性评价模型 　　 　　一、铁路物流信息安全概述 　　铁路物流信息安全是指在铁路部门在与其它物流企业或直接与货主进行业务往来的物流过程中,信息平台的软硬件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、泄露,信息系统连续可靠正常地运行,信息服务不中断的状态。 　　为了保障铁路物流过程中的安全性,铁路部门已经陆续出台一系列相关政策和法规,如《铁路装卸作业安全技术管理规则》、《铁路货物运输管理规则》以及《铁路和水路货物联运规则》等。这些政策和法规都主要集中在仓储、运输、装卸的安全性管理之上,而对于铁路物流信息安全却没有提出详实的管理细则与方案,对于现有的信息系统也缺乏一定的安全性评估准则。此外,目前铁路内部网络与外部社会信息系统之间没有接口,处于封闭运行状态,这种信息孤岛状况,造成了铁路部门与客户之间的信息不畅、信息不对称等问题。因此,当前需要建立起铁路物流信息共享平台,将铁路的内部信息合理地融入社会服务体系,向货主提供及时准确的信息、简捷方便的交易、全方位优质综合配套服务[1]。 　　毋庸置疑,信息系统的崩溃将阻碍物流活动的正常运行,而诸如客户资料、报价等物流信息的泄露,也必将给铁路部门及货主带来不可估量的损失。《2009年中国信息安全领域八大预测》一文中就指出“2009年恶意软件将作为一项服务出现”,并且漏洞带来的定向攻击将会增加,尤其是针对运输等服务行业的网络基础设施攻击,IT专家们认为2009年Web安全仍将是最为严重的威胁之一。可见,随着铁路信息化建设的不断深入和铁路物流信息共享平台的建立,加强信息安全无疑是铁路物流信息平台迅速发展的基础和保障。本文将从ISO1779所提??的信息安全技术框架出发,为铁路物流信息共享平台的安全性评价建立分析模型,从而最终为科学地选择系统性安全方案提供依据。 　　二、信息安全技术框架 　　ISO 1779由国际标准化组织于2000年12月出版,它是适用于所有的组织一项详细安全标准,主要涉及信息安全方针、组织安全、资产归类和控制、人员安全等十个方面。其中,信息安全方针中信息安全技术框架的核心要素包括访问控制、审计和跟踪、内容安全这三个方面: 　　1. 访问控制 　　访问控制是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。借助铁路物流信息共享平台,铁路企业可以改变过去信息孤立状态,通过Internet和外部网络进行联系和交流,实现与外部社会信息系统的连接。这时系统的安全性就面临着一大问题,就是如何拒绝一些不希望的连接,同时又要保证合法用户进行的访问。访问控制涉及的技术也比较广,主要包括入网访问控制、网络权限控制、目录级安全控制、属性安全控制以及服务器安全控制[2]。 　　2. 审计和跟踪 　　审计和跟踪是系统活动的流水记录,该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。它可以作为对正常系统操作的一种支持,也可以作为一种安全保证策略或前两者兼而有之。透过铁路物流信息共享平台,每天都会有大量托运、到货、取货等交易信息,一旦系统发生故障、文件数据遭受破坏,将阻碍物流活动的正常运行,因此必须通过审计和跟踪来保障系统安全和维护系统信息的完整性。通常审计和跟踪体系主要由日志系统和入侵检测系统为主组成。 　　3. 内容安全 　　信息共享平台给铁路企业及其客户带来了很多方便和好处:通过浏览和搜索平台上的资源和信息,一方面客户可以实时跟踪其货物配送情况,另一方面铁路运输企业可以更快、更准确地实现运单审核、到货录入等功能。但是,访问这些内容也意味着在电脑保护系统中打开了一些“洞”,从而病毒、间谍、广告软件等引起的内容安全问题日益成为人们的忧患。主要的内容安全保护措施有:数据加密技术、网络漏洞扫描、防病毒系统。 　　三、基于模糊综合评价法的安全性评价模型 　　模糊综合评价法是近年来逐渐推广应用的一种系统综合评价方法,是运用层次分析法(AHP)和模糊数学方法(Fuzzy)的一种综合评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好地解决了其他方法中定性与定量评价不能很好结合的问题,使评价方法在综合性、科学性等方面得到了改进。 　　1. 模糊综合评价法的理论与算法 　　(1) 建立评价指标体系 　　本文从ISO1779所提出的