铁路信息安全等级保护实施工作建议.pdfVIP

铁路信息安全等级保护实施工作建议 王亚民 【摘要】Information security level protection system was the basic syste of national information security work. A lot of work for the information security level protection was been down in railway industry to promote the industry of information security. This article was from the perspective of industry standards, system classiifcation, security situation assessment, level protection evaluation, construction rectiifcation and safety measures to elaborate on how to implement level protection work.%信息安全等级保 护制度是国家信息安全工作的基本制度，铁路行业在信息安全等级保护方面做了大 量工作，对整个行业的信息安全工作起到了促进作用。本文从行业标准、系统定级 备案、安全现状评估、等级保护测评、建设整改、安全措施落实等角度对如何将该 等级保护工作落到实处进行了阐述。 【期刊名称】《铁路计算机应用》 【年(卷),期】2015(000)002 【总页数】4 页(P38-40,54) 【关键词】信息安全;等级保护;安全实施 【作者】王亚民 【作者单位】中国铁路总公司 运输局信息化部，北京 100038 【正文语种】中 文 【中图分类】U29-39 为适应国家铁路运输高速发展的需要，中国铁路总公司充分利用信息化手段，积极 推进生产、经营、管理、决策等业务处理的全过程信息化，初步达到了行业运输生 产自动化、客货管理现代化、高层决策科学化的总体目标，为铁路行业人、财、物 集约化管理和数字化铁路建设提供了强有力的支撑。 中国铁路总公司（以下简称：总公司）从维护国家安全、社会稳定与公民权益出发， 按照国家信息安全等级保护制度要求，将信息安全纳入铁路运输生产安全体系，自 2007年铁路全面开展信息安全等级保护工作以来，对已投产运行的49个信息系 统进行了定级，其中二级系统24个、三级系统21个、四级系统4个。但总公司 信息安全等级保护工作相对国家有关标准规范和总公司信息安全实际需求还有一定 距离，需要从以下几个方面加强。 在信息安全方面，国家有一套完善的安全标准，涉及安全技术、等级保护、安全管 理、安全设备等各个层面。但是国家标准是从宏观层面制定的策略，缺乏行业的针 对性，需要在国家标准的基础上，针对行业的特殊要求，制定相应的行业标准。根 据铁路现有信息化建设的总体情况，迫切需要制定以下几个方面的行业标准： （1）与设计相关的标准：《铁路行业信息系统安全定级指南》，《铁路行业信息 系统等级保护基本要求》，《铁路行业信息系统安全体系总体设计方案》，《铁路 行业信息机房设计及建设规范》。 （2）与建设相关的标准：《铁路行业信息系统安全加固实施指南》，《铁路行业 信息安全等级保护建设实施指南》。 （3）与运维管理相关的标准：《铁路行业信息系统上下线管理规范》，《铁路行 业信息机房管理规范》。 遵照公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安 [2007]861号）和《关于进一步做好铁路信息安全等级保护工作的通知》（铁公 安[2012]94 号）的文件精神，铁路总公司组织对目前用的部分信息系统进行了定 级，但仍有部分信息系统的安全方案还没有按 GB/T 22239-2008 《信息安全技术 —信息系统安全等级保护基本要求》和 GB/T 25070-2010 《信息系统等级保护安 全设计技术要求》对系统进行定级和安全设计。主要原因是国家标准只规定了定级 的原则，对定级方法缺少可操作的指导意见，造成相关人员对定级标准和有关规定 掌握不准，系统定为几级安全等级不好界定，因此需要针对铁路行业信息系统的业 务特点，提出可操作的定级模型和定级方法，指导行业内人员对新建或已建信息系 统开展系统安全定级工作。 铁路投产运行的信息系统很多，有的系统按照等级保护要求确定了安全等级并建立 了安全系统；有的系统在设计中考虑了安全等级，但在建设过程中并未按设计要求