鐵路信息安全管理研究

臧鑫

（美國圣約翰大學(xué)商學(xué)院碩士研究生，美國紐約11439）

鐵路信息安全管理研究

臧鑫

（美國圣約翰大學(xué)商學(xué)院碩士研究生，美國紐約11439）

鐵路運(yùn)輸生產(chǎn)安全管理工作需要健全鐵路信息安全管理體系。簡述了我國鐵路信息安全管理的現(xiàn)狀及存在的問題，介紹了國外信息安全管理的特點(diǎn)和信息安全管理的發(fā)展趨勢(shì)，研究提出了鐵路信息安全管理的內(nèi)涵和目標(biāo)以及信息安全管理模型，梳理了鐵路信息安全管理關(guān)鍵流程，提出了建立信息安全管理組織體系的建議。

鐵路；信息安全；管理；研究

隨著鐵路信息化建設(shè)的不斷深入，信息系統(tǒng)和信息網(wǎng)絡(luò)在鐵路運(yùn)輸組織、客貨營銷與經(jīng)營管理等各項(xiàng)活動(dòng)中發(fā)揮著越來越重要的作用，成為鐵路運(yùn)營組織的神經(jīng)中樞。面對(duì)全球化、開放的互聯(lián)網(wǎng)環(huán)境，鐵路信息安全面臨挑戰(zhàn)，成為鐵路安全的重要組成部分。因此，在進(jìn)行鐵路信息系統(tǒng)建設(shè)的同時(shí)，要綜合考慮、同步實(shí)施信息安全體系建設(shè)。

1 鐵路信息安全管理的現(xiàn)狀及存在的問題

2003年鐵道部頒發(fā)的《鐵路計(jì)算機(jī)信息系統(tǒng)安全保護(hù)辦法》，以及2005年頒發(fā)的《鐵路信息化總體規(guī)劃》，明確了鐵路計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作是鐵路運(yùn)輸安全保護(hù)工作的重要組成部分，提出“建立鐵路完備的信息安全保障體系，為各信息系統(tǒng)和系統(tǒng)間數(shù)據(jù)交換提供保障信息安全的標(biāo)準(zhǔn)服務(wù)”的信息安全建設(shè)目標(biāo)（如圖1所示）。在鐵路科技發(fā)展“十二五”規(guī)劃中，確定了“研究鐵路信息系統(tǒng)安全防護(hù)及測(cè)評(píng)技術(shù)、鐵路信息系統(tǒng)災(zāi)難備份及應(yīng)用相關(guān)技術(shù)、鐵路控制系統(tǒng)信息安全防護(hù)技術(shù)，研究鐵路各級(jí)應(yīng)用系統(tǒng)的安全機(jī)制、冗錯(cuò)和可恢復(fù)技術(shù)”等一系列具體部署，標(biāo)志著鐵路信息安全管理進(jìn)入一個(gè)全新的發(fā)展階段。

圖1 鐵路信息化體系結(jié)構(gòu)圖

雖然鐵路信息安全管理工作正在積極的推動(dòng)與建設(shè)中，但是與我國高速發(fā)展的鐵路建設(shè)相比，目前仍存在一定問題，具體表現(xiàn)在三個(gè)方面：

1）鐵路信息系統(tǒng)所涉及的部門和專業(yè)范圍十分廣泛，系統(tǒng)大多各自獨(dú)立，導(dǎo)致信息安全管理基礎(chǔ)平臺(tái)不統(tǒng)一，軟硬件資源難以共享，無法整體監(jiān)控管理。

2）缺乏統(tǒng)一明確的鐵路信息安全目標(biāo)和策略，缺乏切實(shí)可行的信息安全管理體系、管理標(biāo)準(zhǔn)和工作流程，導(dǎo)致信息系統(tǒng)存在各種不確定的安全因素和隱患。

3）隨著鐵路體制和機(jī)構(gòu)改革的不斷深入，例如基層站段的整合，鐵路公安屬地化，以及通信、信息技術(shù)機(jī)構(gòu)建制變更等因素，在一定程度上導(dǎo)致信息安全管理職能、分工界定模糊不清，監(jiān)管和執(zhí)行的有效性弱化，對(duì)信息安全制度往往不能嚴(yán)格執(zhí)行，導(dǎo)致軟硬件系統(tǒng)的防護(hù)效果大打折扣。

2 國外信息安全管理特點(diǎn)

近年來，“棱鏡門事件”、“震網(wǎng)”病毒攻擊伊朗核電站工控系統(tǒng)、美國NSA監(jiān)控華為企業(yè)信息等安全事件的曝光，給全球的信息安全問題敲響了警鐘。世界各國對(duì)信息安全的重視程度日益增強(qiáng)。目前發(fā)達(dá)國家信息安全管理主要呈現(xiàn)以下三個(gè)特點(diǎn)。

1）加快信息安全管理布局。2000年以來，美國、日本、英國、法國等國家先后出臺(tái)了數(shù)十份信息安全規(guī)劃文件，加緊對(duì)信息安全整體布局。早在2003年2月，美國“網(wǎng)絡(luò)空間安全國家戰(zhàn)略”正式通過并成為國家信息安全戰(zhàn)略。該戰(zhàn)略把信息安全劃分為家庭和小型商業(yè)用戶、大型企業(yè)、關(guān)鍵部門和基礎(chǔ)設(shè)施、國家安全和脆弱性、全球性問題五個(gè)層面，分別制定了以預(yù)防攻擊、消減自身脆弱性和降低攻擊危害為主的戰(zhàn)略實(shí)施計(jì)劃。日本先后制定了《日本信息安全綜合戰(zhàn)略》（2003年）、《保護(hù)國民信息安全戰(zhàn)略》（2008年）等信息安全戰(zhàn)略。英國和法國在2009年分別成立了網(wǎng)絡(luò)安全運(yùn)營中心和網(wǎng)絡(luò)與信息安全局，統(tǒng)一協(xié)調(diào)各自國內(nèi)信息安全管理工作。

2）加快構(gòu)建網(wǎng)絡(luò)信息戰(zhàn)實(shí)力。美國、日本、印度、韓國等超過40個(gè)國家成立了網(wǎng)絡(luò)戰(zhàn)部隊(duì)，并不斷擴(kuò)大人員規(guī)模。美國國防部2012年在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)技術(shù)方面的支出達(dá)到34億美元。韓國2012年投入19億韓元啟動(dòng)“白色黑客”計(jì)劃，以培養(yǎng)網(wǎng)絡(luò)安全人員。

3）積極應(yīng)對(duì)日益革新的信息安全攻擊技術(shù)挑戰(zhàn)。移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)、近場通信等新興技術(shù)的廣泛應(yīng)用，也帶來了新的技術(shù)漏洞和安全隱患。在發(fā)達(dá)國家，通過基礎(chǔ)網(wǎng)絡(luò)信息服務(wù)商、軟件廠商、大集成商、芯片供應(yīng)商、網(wǎng)絡(luò)設(shè)備生產(chǎn)商以及專業(yè)安全廠商的廣泛合作，形成了一個(gè)應(yīng)對(duì)網(wǎng)絡(luò)攻擊的產(chǎn)業(yè)資源體系和利益同盟，網(wǎng)絡(luò)安全產(chǎn)品跨度已經(jīng)形成完整的從流量到端的解決方案能力，并向集成、存儲(chǔ)、云等安全關(guān)聯(lián)的各方面擴(kuò)展。

3 信息安全發(fā)展趨勢(shì)

隨著信息技術(shù)的不斷發(fā)展和應(yīng)用，信息安全的內(nèi)涵和范圍都在不斷延伸。人們對(duì)信息安全的認(rèn)識(shí)經(jīng)歷了由片面到全面、由離散到整體的發(fā)展。現(xiàn)階段人們關(guān)心的是如何建立完整的保障體系，以保障信息及信息系統(tǒng)的安全。其間，企業(yè)信息安全領(lǐng)域出現(xiàn)了一些值得關(guān)注的發(fā)展趨勢(shì)。

1）信息安全管理與企業(yè)風(fēng)險(xiǎn)管理、內(nèi)控體系建設(shè)日益緊密結(jié)合。企業(yè)信息安全問題從根本上來說屬于企業(yè)風(fēng)險(xiǎn)管理的一個(gè)組成部分。近年，受合規(guī)性要求的影響，企業(yè)內(nèi)控體系日益完善，信息安全管理的需求也被視為內(nèi)控體系完善的重要組成部分。

2）信息安全的重心從強(qiáng)調(diào)安全技術(shù)向技術(shù)與管理并重、管理與技術(shù)結(jié)合轉(zhuǎn)移。隨著信息系統(tǒng)與企業(yè)管理日益緊密的融合，人的因素在信息安全中日益凸顯，人們意識(shí)到信息安全的重點(diǎn)是管理問題。“三分技術(shù)，七分管理”，任何信息安全技術(shù)措施都必須在明確的管理目標(biāo)和完善的管理措施下才能發(fā)揮效用。同時(shí)，技術(shù)也向管理滲透，近年來為了提高信息安全管理的實(shí)效，許多與信息安全管理匹配的技術(shù)手段，諸如縱深防御技術(shù)、信息安全威脅及脆弱性管理技術(shù)、用戶身份及訪問控制管理技術(shù)發(fā)展起來。這些技術(shù)實(shí)現(xiàn)兩個(gè)方面的目標(biāo)：將信息安全管理制度固化在系統(tǒng)中，降低人為操作的隨意性；加強(qiáng)信息安全監(jiān)控的技術(shù)手段，提升監(jiān)控、預(yù)防和反應(yīng)能力。

3）信息安全保護(hù)模式從傳統(tǒng)的較為單一的模式發(fā)展成為全面、系統(tǒng)的保護(hù)模式。信息安全保護(hù)模式由以往僅僅針對(duì)單項(xiàng)信息安全風(fēng)險(xiǎn)或漏洞來建立靜態(tài)的、局部的和事后補(bǔ)救的被動(dòng)式信息安全模式向動(dòng)態(tài)的、全面的、系統(tǒng)的和預(yù)防為主的主動(dòng)式信息安全模式過渡。

4）信息安全投資從基礎(chǔ)架構(gòu)向應(yīng)用系統(tǒng)轉(zhuǎn)移。以前信息安全的投資多集中在購置防火墻、防病毒軟件等基礎(chǔ)架構(gòu)建設(shè)方面，但由于大量企業(yè)級(jí)應(yīng)用系統(tǒng)的廣泛使用，利用應(yīng)用系統(tǒng)脆弱性的攻擊手段日益增多，應(yīng)用系統(tǒng)的安全問題開始成為今后信息安全的核心問題。

4 鐵路信息安全管理的內(nèi)涵和目標(biāo)

信息系統(tǒng)覆蓋了鐵路運(yùn)輸和車輛、機(jī)車、工務(wù)、電務(wù)、財(cái)務(wù)、統(tǒng)計(jì)、辦公等各領(lǐng)域，已經(jīng)建設(shè)并投入使用的系統(tǒng)包括鐵路運(yùn)輸管理系統(tǒng)(TMIS)、鐵路客票發(fā)售及預(yù)訂系統(tǒng)(TRS)、鐵路調(diào)度指揮管理系統(tǒng)(TDCS)、鐵路辦公信息系統(tǒng)(OMIS)等38個(gè)信息系統(tǒng)。鐵路信息安全涉及人員、機(jī)構(gòu)、設(shè)備、環(huán)境等諸多因素，涉及法規(guī)、管理、技術(shù)、操作等多個(gè)層面，涉及信息系統(tǒng)生命周期的各個(gè)環(huán)節(jié)，是一個(gè)動(dòng)態(tài)的、復(fù)雜的系統(tǒng)工程。面對(duì)如此復(fù)雜的系統(tǒng)，需要在戰(zhàn)略的高度統(tǒng)一建立起信息安全的方針、目標(biāo)和方法論。

鐵路信息安全管理是對(duì)鐵路各信息系統(tǒng)和信息的安全屬性及功能、效率保障的動(dòng)態(tài)行為過程，是綜合利用人、管理和技術(shù)等因素所形成的信息安全能力，在信息和信息系統(tǒng)生命周期全過程的各個(gè)狀態(tài)下，保證信息內(nèi)容、信息系統(tǒng)、計(jì)算環(huán)境、邊界與連接、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全屬性，從而保障應(yīng)用服務(wù)的效率和連續(xù)性。

鐵路信息安全管理的目標(biāo)是通過建立先進(jìn)實(shí)用、完整可靠的信息安全體系，保障鐵路信息化建設(shè)和應(yīng)用，支撐鐵路發(fā)展和總體戰(zhàn)略的實(shí)施。鐵路信息安全管理的目標(biāo)可以被分解為保持信息資產(chǎn)及其所支持業(yè)務(wù)流程的保密性、完整性和可用性。保密性是指保護(hù)信息不泄露給任何未經(jīng)授權(quán)的人；完整性是指保護(hù)信息及其處理方法的準(zhǔn)確性和完整性；可用性是指保障被授權(quán)人員在需要時(shí)可以使用信息和相關(guān)資產(chǎn)。簡而言之，信息安全管理的目標(biāo)就是確保向授權(quán)用戶提供穩(wěn)定、可靠、不間斷的系統(tǒng)服務(wù)，并杜絕非授權(quán)人員對(duì)系統(tǒng)和信息的任何操作，使非授權(quán)人員進(jìn)不來、看不懂、改不了、賴不掉。

5 鐵路信息安全管理模型的研究

在信息安全管理體系方面，ISO 27001:2005信息安全管理體系標(biāo)準(zhǔn)對(duì)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系（ISMS）提供模型，該體系已經(jīng)成為世界上應(yīng)用最廣泛的典型信息安全管理標(biāo)準(zhǔn)。2008年6月，ISO 27001同等轉(zhuǎn)換成國內(nèi)標(biāo)準(zhǔn)GB/T 22080—2008，并在2008年11月1日正式實(shí)施。標(biāo)準(zhǔn)包括11大控制領(lǐng)域（見圖2）、39個(gè)控制目標(biāo)和133項(xiàng)控制措施。

ISO 27001所涉及的11個(gè)安全控制領(lǐng)域在鐵路行業(yè)主要涉及人員、技術(shù)及管理三個(gè)方面。

5.1 人員

人員和組織管理是ISO 27001體系中最重要的領(lǐng)域，在建立企業(yè)信息安全框架和制定信息安全方針時(shí)必須明確定義企業(yè)內(nèi)部人員的組織架構(gòu)、職責(zé)權(quán)利。同時(shí)在信息安全管理體系中，必須首先建立信息安全管理委員會(huì)，在企業(yè)內(nèi)、外部設(shè)置信息安全顧問。鐵路系統(tǒng)內(nèi)應(yīng)參照管理體系，進(jìn)一步明確中國鐵路總公司運(yùn)輸局信息化部、鐵路局信息處、電子所、電算室等各級(jí)信息部門信息安全職責(zé)。

5.2 技術(shù)

隨著信息技術(shù)的發(fā)展，云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等領(lǐng)域都將面臨巨大的信息安全挑戰(zhàn)。特別是目前我國鐵路客票系統(tǒng)已實(shí)現(xiàn)互聯(lián)網(wǎng)售票、在線支付等對(duì)外服務(wù)，系統(tǒng)的開放程度日益增高，受外部攻擊、病毒感染的安全威脅增大。因此要不斷加強(qiáng)在預(yù)防保護(hù)類、檢測(cè)跟蹤類和響應(yīng)恢復(fù)類三大功能領(lǐng)域的技術(shù)投入，以提高對(duì)未知風(fēng)險(xiǎn)的抵御能力。

5.3 管理

主要分為資產(chǎn)管理和制度流程管理兩類。

資產(chǎn)安全重要程度的不同通常也意味著安全控制、保護(hù)功能需求的不同。資產(chǎn)管理的主要方式是通過保密性、完整性、可用性三個(gè)指標(biāo)來衡量信息資產(chǎn)的重要程度，結(jié)合資產(chǎn)重要程度確定有效的安全策略、管理流程和規(guī)章制度。

圖2 ISO 27001信息安全管理體系標(biāo)準(zhǔn)11大控制領(lǐng)域

制度管理的目的在于提高組織的協(xié)調(diào)性和管理的有效性，主要包括信息安全管理規(guī)定、信息安全管理制度、信息安全管理辦法、信息安全運(yùn)行細(xì)則等。鐵路系統(tǒng)應(yīng)出臺(tái)總的企業(yè)信息安全管理辦法及統(tǒng)一建設(shè)的各個(gè)信息系統(tǒng)安全管理實(shí)施細(xì)則，指導(dǎo)信息安全工作。在總的信息安全制度的體系框架內(nèi)，下屬單位的制度建設(shè)應(yīng)圍繞四個(gè)方面進(jìn)行補(bǔ)充或細(xì)化：系統(tǒng)安全制度、機(jī)房管理制度、網(wǎng)絡(luò)安全制度和應(yīng)用安全制度。

流程管理方面，要參照國內(nèi)外先進(jìn)的信息安全運(yùn)行維護(hù)實(shí)踐，持續(xù)建設(shè)、改進(jìn)、推廣信息安全維護(hù)的工作流程。重點(diǎn)完善三類流程，一是信息安全配置管理流程。統(tǒng)一制定、動(dòng)態(tài)發(fā)布企業(yè)網(wǎng)絡(luò)全網(wǎng)的安全設(shè)備與系統(tǒng)配置策略、配置模板，定期跟蹤審核配置策略執(zhí)行情況，實(shí)現(xiàn)安全設(shè)備與系統(tǒng)的集中配置管理。二是網(wǎng)絡(luò)監(jiān)控和內(nèi)容監(jiān)控管理流程。監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)拓?fù)?、服?wù)器、應(yīng)用系統(tǒng)的運(yùn)行情況，及時(shí)確定安全事件的類型、影響程度及影響方位；監(jiān)控網(wǎng)上信息內(nèi)容的發(fā)布、訪問、傳播，有效防止敏感信息通過信息服務(wù)渠道泄露。三是信息安全事件與應(yīng)急處理流程。當(dāng)發(fā)生安全事件時(shí)，迅速定位并按照預(yù)案進(jìn)行快速響應(yīng)，使安全事件對(duì)網(wǎng)絡(luò)、信息系統(tǒng)及業(yè)務(wù)造成的影響最小化。

需要強(qiáng)調(diào)指出的是，信息系統(tǒng)的功能需求和安全需求是動(dòng)態(tài)的，網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)在設(shè)計(jì)開發(fā)過程中必然會(huì)存在某些缺陷和漏洞，新的系統(tǒng)部件也會(huì)引入新的問題。因此ISMS是一個(gè)動(dòng)態(tài)發(fā)展的系統(tǒng)，在建立和實(shí)施的過程中要應(yīng)用PDCA的方法不斷改進(jìn)。ISMS與PDCA的結(jié)合參見圖3。

圖3 ISMS與PDCA的結(jié)合

6 鐵路信息安全管理關(guān)鍵流程

圖4示出了鐵路信息安全管理的關(guān)鍵流程，包括信息安全體系規(guī)劃、信息安全體系建設(shè)、信息安全運(yùn)維監(jiān)控、信息安全評(píng)估與考核四個(gè)子流程。

7 鐵路信息安全管理組織體系建議

信息安全組織是實(shí)施安全管理的主體，是信息安全工作的組織保證，建立架構(gòu)合理、職責(zé)明確、運(yùn)行高效的安全組織體系是信息安全體系建設(shè)的必要條件和基本保證。結(jié)合鐵路行業(yè)運(yùn)營特點(diǎn)，對(duì)鐵路信息安全管理組織做如下建議。

7.1 鐵路信息安全組織建設(shè)

中國鐵路總公司作為特大型企業(yè)可建立三級(jí)信息安全組織機(jī)構(gòu)，分別為鐵路總公司、區(qū)域中心（鐵路局）、站段單位。每一級(jí)指定專門的組織，明確主管領(lǐng)導(dǎo)，確定組織責(zé)任，設(shè)置相應(yīng)崗位，配備必要人員。

1）鐵路信息化工作領(lǐng)導(dǎo)小組是鐵路信息安全工作的最高決策機(jī)構(gòu)，負(fù)責(zé)信息安全發(fā)展規(guī)劃、管理體系、政策標(biāo)準(zhǔn)的審批，并為信息安全管理機(jī)制的建立與健全提供資源保障。

2）中國鐵路總公司信息管理部門是企業(yè)信息安全的歸口管理單位，具體落實(shí)信息化工作領(lǐng)導(dǎo)小組和部門的決策，組織制定和實(shí)施企業(yè)信息安全發(fā)展規(guī)劃、管理體系和政策標(biāo)準(zhǔn)；負(fù)責(zé)鐵路企業(yè)信息安全項(xiàng)目的審核與管理；組織企業(yè)信息安全工作的檢查和監(jiān)督；負(fù)責(zé)企業(yè)信息安全培訓(xùn)。

3）區(qū)域信息安全運(yùn)維中心（鐵路局）是區(qū)域信息安全的管理服務(wù)組織，職責(zé)包括：區(qū)域內(nèi)信息安全政策與標(biāo)準(zhǔn)宣傳和貫徹，執(zhí)行企業(yè)信息安全崗位考核制度和獎(jiǎng)懲制度，本鐵路局及下屬單位信息安全項(xiàng)目的審核與管理；查處和追蹤本單位及下屬單位的信息安全違規(guī)行為，組織本單位信息安全管理工作的內(nèi)部檢查，配合上級(jí)部門、安全服務(wù)廠商定期進(jìn)行安全評(píng)估和產(chǎn)品升級(jí)。

4）基層站段是作業(yè)信息安全的執(zhí)行者，主要職責(zé)包括：負(fù)責(zé)信息安全政策與標(biāo)準(zhǔn)在本單位的宣傳和貫徹；組織本單位信息安全管理工作的內(nèi)容檢查；負(fù)責(zé)本單位的日常信息系統(tǒng)安全監(jiān)控和技術(shù)支持；提供信息安全事件的應(yīng)急響應(yīng)，配合上級(jí)主管部門定期進(jìn)行安全評(píng)估。

7.2 鐵路信息安全組織體系的運(yùn)行

建立信息安全運(yùn)營協(xié)調(diào)機(jī)制，使各級(jí)組織各行其職、各負(fù)其責(zé)，貫徹落實(shí)國家和企業(yè)信息安全的政策、制度、標(biāo)準(zhǔn)和措施，保證信息系統(tǒng)安全。各級(jí)信息安全組織的順利運(yùn)作需要公司范圍內(nèi)的協(xié)調(diào)配合，并與本單位信息服務(wù)的其他團(tuán)隊(duì)，以及國家信息安全主管單位和執(zhí)法機(jī)構(gòu)之間，進(jìn)行良好溝通和協(xié)作。

8 結(jié)語

鐵路信息化的安全和可持續(xù)發(fā)展對(duì)鐵路運(yùn)輸現(xiàn)代化影響深遠(yuǎn)，鐵路單位必須深刻認(rèn)識(shí)到信息安全的重要性和嚴(yán)峻性，要進(jìn)一步強(qiáng)化信息安全組織體系，順應(yīng)信息安全管理的發(fā)展潮流，參照國內(nèi)外成熟的管理模型建立自身信息安全管理體系，結(jié)合自身的行業(yè)特點(diǎn)合理地規(guī)劃和實(shí)施，從而為建設(shè)具有中國特色的世界領(lǐng)先的鐵路智能運(yùn)輸信息系統(tǒng)打下良好基礎(chǔ)。

[1]陳鑫.鐵路信息安全形勢(shì)分析及對(duì)策[J].上海鐵道科技，2013(1)：86-87

[2]王令朝.創(chuàng)建鐵路信息安全管理及其標(biāo)準(zhǔn)體系的探討[J].鐵道技術(shù)監(jiān)督,2010,38(7)：1-5

[3]劉權(quán).“十二五”規(guī)劃下的中國信息安全——解讀信息安全產(chǎn)業(yè)“十二五”發(fā)展規(guī)劃[J].高科技與產(chǎn)業(yè)化，2013（2）：52-53

[4]劉一.國外網(wǎng)絡(luò)信息安全建設(shè)概述[J].信息安全與技術(shù)，2013（6）：3-5

[5]楊誠.博士公司基于ISO 27001的信息安全管理體系診斷與分析[D].上海：上海外國語大學(xué)，2014：6-9

[6]陳功.運(yùn)用信息技術(shù)確保提速安全[J].鐵道經(jīng)濟(jì)研究，2008（2）：1-2，7

[7]王康.鐵路IP數(shù)據(jù)網(wǎng)與綜合IT網(wǎng)兩網(wǎng)融合方案研究[J].鐵道經(jīng)濟(jì)研究，2014（4）：19-22

（責(zé)任編輯：魏艷紅）

with the extensive application of information system in the railway production dispatching command,passenger and cargo marketing,as well as the operation management,the perfection of railway information security management system is of great significance for the production safety and management of railway transportation.In this paper,the current status and existing problems in the railway information security management are illustrated,features of foreign information security management and development of information security management are introduced,the connotation and goals of total information security management,as well as the security management model are proposed,key flows of railway information security management are combed,and suggestions for establishing information security management and organization system are pointed out.

railway；information security；management；study

圖4 信息安全管理關(guān)鍵流程

A

1004-9746（2014）05-0022-04

2014-08-20）