摘要:在信息化建设不断发展的今天,各行各业在运行中都离不开信息系统的帮助。铁路信息化是铁路走向现代化的显著标志,而由于铁路各部门对铁路信息化的依赖性增强,所以关于铁路信息系统安全的相关问题日益受到重视。因此,基于对国铁铁路信息系统安全现实情况的了解,本文将分析的重点放在铁路信息系统安全的风险评估和管理分析上。
关键词:铁路信息系统安全;风险评估;管理分析
引言:由于现代信息技术的不断完善和发展,铁路信息系统的安全建设也拥有了较大的发展空间,并且在国家铁路运营管理中得到了广泛的应用,而在铁路运输和铁路创新发展方面铁路信息系统在工作中发挥的作用巨大。因此,对于怎样管理铁路信息系统使国家铁路能够更加安全的运行就成为了公众普遍关注的关键问题。现代互联网技术的广泛应用和人员流动频率的增加使信息系统面临着较高的安全风险,所以为了保证信息系统的安全,并且将铁路信息系统的风险控制在合理的范围之内,需要采取一定措施来对铁路进行风险规避,尽可能的为确保信息系统安全提供可靠有效的依据。
一、铁路信息系统安全的风险评估
在铁路信息系统安全中对风险进行评估的主要工作内容是评估资产可能面对的危险和由资产的脆弱性而导致的有可能存在的安全问题,为了判断安全事件发生对铁路部门的影响情况,需要根据安全事件所影响到的资产价值情况来进行评判。风险、脆弱性和资产等是评估中的关键要素,所以铁路信息系统安全的风险评估也是根据风险、脆弱性和资产等评估中的要素展开的,在对上述要素进行评估时,应当对安全的需求、资产的相关价值、安全事件以及残余的其他风险等要素的各种相关属性进行充分的考虑。在对铁路信息系统安全的风险评估过程中,可以对资产中的威胁以及当威胁出现时资产出现的脆弱性进行可靠识别,并且为了对发生安全事件的概率进行判断,需要将威胁以及威胁利用脆弱性的简单或者困难程度作为评判的依据,使各个部门对于铁路信息系统资产价值的了解程度可以得到一定程度的提升,并由此对安全事件影响铁路相关部门的可能性进行计算,并且对于在一定程度上无法接受的风险是否可能存在于铁路信息系统之中进行合理鉴别,以便能够及时的对安全措施进行改进和完善,使各部门对铁路信息系统安全管理的能力得到提升。
二、风险评估的相关步骤
对铁路信息系统开展完整的风险评估工作,需要在相关评估标准的指引之下,对评估所使用的相关技术和相关评估方法进行综合性的利用。在铁路信息系统安全中,风险评估可以进行阶段划分,即风险评估初始阶段,风险要素识别阶段,分析评估风险阶段这三个阶段。
1.风险评估初始阶段
在风险评估的初始阶段主要任务是相关准备工作。比如,对评估对象和目标进行明确,对评估标准和评估范围进行界定,创建风险评估小组,在评估业务、相关规章制度以及信息系统方面进行一定程度的调研工作,并且为了相关后续工作能够顺利开展起来,需要对评估实施方案和确定风险的方式进行规划和研究。风险评估初始阶段是进行铁路信息系统安全风险评估的启动阶段,只有完成上述工作,进行准确的界定和分析,做好充分的调研工作,才能使风险评估工作的开展得到保障。
2.风险要素识别阶段
风险要素识别的主要内容是资产识别、威胁识别和脆弱性识别,而关于铁路信息系统安全的风险要素识别工作则是对铁路信息系统的相关资产、威胁以及脆弱性进行鉴别,并且针对在铁路信息系统安全上已经实施的安全措施是否有效进行验定,与此同时,对于相关要素应当将风险评估的相关方法作为依据而采取分类量化赋值,以便为接下来的分析评估风险阶段提供准确的基础数据。
3.分析评估风险阶段
将上述阶段的数据作为依据,采取相关手段和技术工具来对由于威胁利用脆弱性而发生安全事件的概率进行确定,并且将风险评估的相关结果进行等级划分,这是分析评估风险阶段的主要工作内容。
期刊文章分类查询,尽在期刊图书馆当发现不能承受的风险时,应当有针对性地制定风险处理规划,把握风险的脆弱性选择恰当的处理方法来避免由风险造成的较大损失,减轻风险的影响程度,并且为了确定残存的风险是否处于能够承受的水平范围,需要进行第二次评估。在分析评估风险结束之后,铁路信息系统安全风险评估小组应当根据上述工作做出风险分析报告并且以此给予恰当的建议。
三、铁路信息系统安全风险的管理分析
1.对风险进行管控
在风险问题的评估和识别的前提之下,需要对铁路信息系统安全风险进行合理管控。首先,应当分析和评估铁路信息系统安全风险的问题,其次,研究已经在实施中的安全管控措施,最后,选择有效的安全管控措施,以降低管控风险,这是风险管控的流程。因此,需要管控小组按照风险管控的流程,依照相关标准的要求,注意遵守法律的相关规定,将风险以合理方式进行管控,以确保管控的有效实施。
2.评价实际应用的管控措施
针对已经在实施中的铁路信息系统管控措施的有效性需要进行合理明确,然后要确保管控的合理有效,防止不必要的工作和成本产生,对于不合理的管控措施,应当在确认之后立即采取措施进行取消,并且利用其他有效的管控措施代替不合理的管控措施。
3.铁路信息系统安全的风险管控
从控制相关费用和平衡风险的角度出发,需要严格执行铁路信息系统安全的风险管控措施,以达到转移和防止风险问题的目的,以削弱威胁和脆弱点,使受威胁的影响程度得到降低,积极检验和分析有害事故,并且对其作出合理反应,判断有害事故可能产生的相关费用额度,设法降低安全风险管控可能造成的经济损失。
4.判断安全管控措施
从宏观角度来说,为了对铁路信息系统安全风险进行有效评估,需要全方位的进行衡量,如何有效保护各种资产以及针对可能存在的风险问题采用哪种方式进行管控是必须进行考虑的问题。安全管控措施主要包括:人员安全、组织安全、通信安全、措施安全、相关法律规定的问题、系统的安全维护问题等等。因此,基于安全管控措施的主要内容,立足于铁路信息系统安全管控措施的整体进行考虑,利用多维角度对安全管控措施进行判断,以确保安全管控措施的合理运行。
5残余风险的接受问题
任何事物都没有绝对性,铁路信息系统也同样如此,它是无法保证没有任何风险绝对安全的。因此,在对上述铁路信息系统安全的风险评估工作完成之后,即使使用了相对有效的措施来应对风险状况,还是难免会出现风险残留问题,而对于残存的风险而言,如果风险的残留问题并不严重或者由于时间问题、资金状况和其他条件而导致的无法有效控制风险发生的可能性,就需要对残存的风险采取忽视的态度,不再对铁路信息系统安全风险进行干预,并且一定程度上接受风险的残留。
四、结束语
总而言之,国家铁路信息系统的安全问题一直是关乎国计民生的重要话题,随着时间的发展,铁路信息系统安全的风险评估和管理问题也在不断的变化,新的威胁和脆弱点也同样在出现,这就需要注意风险的动态性,加强对于风险的评估和管理,将减轻铁路信息系统风险、降低风险运行成本的问题作为主要的研究内容,让读者能够重视国家铁路信息系统的安全状况,使信息系统能够在铁路运输和发展中更好地发挥应有的作用,提升整体服务能力。
参考文献
[1]王明哲,金久强,李健,李锋,席宁.铁路旅客信息安全与大数据应用管理流程研究[J].铁路计算机应用,2019,28(04):28-30+35.
[2]王志波.铁路运营中信息安全管理系统重要性分析[J].无线互联科技,2018,15(18):37-38.
[3]王金芳.论铁路信息系统安全风险管理[J].中小企业管理与科技(中旬刊),2018(02):3-4.
[4]陈宁.试论铁路网络与信息安全风险管理[J].科技风,2016(19):60.
论文作者:郝瑞琨
论文发表刊物:《基层建设》2020年第1期
论文发表时间:2020/4/21
标签:风险论文; 铁路论文; 信息系统论文; 信息系统安全论文; 风险评估论文; 措施论文; 阶段论文; 《基层建设》2020年第1期论文;