铁路信息系统等级保护测评工作模式探讨

针对我国铁路行业等级保护测评工作中缺乏统一的评判标准和专业评测机构,测评工作缺乏行之有效的常态化管理机制等现状,结合其它行业等级保护测评工作模式对铁路信息系统等级保护测评工作模式展开研究和探讨,分析等级保护自查和等级测评的作用及工作内容,并将切实有效推进等级保护工作的开展,促使等级保护测评工作常态化。     

基于等级保护思想的网络安全风险评估关键技术研究

研究提出一种基于等级保护思想的网络安全风险评估模型，解决等级测评之后对系统整体安全状况进行风险分析和评估的问题。通过分析等级保护和风险评估的异同，给出二者之间的关联关系；通过对资产、脆弱性、威胁3要素的识别及其赋值进行深入研究，提出三维度资产赋值法、脆弱性CVSS计算法，威胁发生频率和影响权重古林计算法，并构造安全风险象限图，根据安全事件在象限图中的落点位置，评估安全风险严重程度。研究成果有助于企事业单位在开展网络安全实际工作时实现等级保护测评和风险评估的有机结合。     

十八点报告自动生成及管理系统

以铁路运输管理信息系统(TMIS)为背景,以车站现有设备为基础,结合铁路运输生产的实际情况,论述了十八点报告自动生成及管理系统的具体实现,真正实现了十八点报告统计报表的自动生成.     

铁路信息系统用户身份自动化管理及关键技术研究

铁路信息系统网络架构复杂、业务数据量巨大、系统关联交错，用户身份信息管理长期存在账号信息易泄露、账号违规提权、账号共享等安全风险。通过研究信息自动化管理技术，设计了用户身份自动化管理系统，实现对用户身份信息的自动检测、自动修改密码与验证、自动推送、安全备份、威胁分析检测等功能，解决铁路运行维护单位在用户身份管理过程中的问题和困难，更全面地管理和保护各类资源的身份凭证，避免因用户身份信息管理不当，造成资源信息泄漏或被滥用，降低用户身份相关数据安全事故的发生概率。     

建立铁路三位一体网络安全测评指标库研究

通过对铁路典型的网络安全等级保护测评、风险评估测评和安全检查3类检测方法有机融合,研究建立铁路三位一体网络安全测评体系,重点解决如何高效测评问题。建立铁路网络安全测评指标库是解决上述问题的关键和基础步骤,指标库主要包括通用指标和专用指标,其中,通用指标按照网络安全等级保护2.0标准（简称:等级保护2.0）梳理出安全通用指标、云扩展指标、物联网扩展指标、移动互联网扩展指标和工业控制扩展指标;专用指标重点考虑业务安全,从完整性、保密性、可用性出发梳理铁路重要系统的测评指标。运输调度管理信息系统的专用指标、网络安全测评指标库作为现场开展测评工作的基本依据和参考,具有实际意义。     

铁路信息安全等级保护自查方案设计

通过对信息安全专项检查的内容和方法进行深入分析和细化,形成可操作性的自查内容和指标体系,并提出一套合理规范的自查方法及流程,将等级保护自查与等级保护测评工作有机结合,切实有效地推进铁路行业等级保护工作的高效开展。     

铁路云计算安全标准研究与实践

为促进铁路云计算安全的合规性，对网络安全等级保护（简称:等级保护）2.0 制度进行了深入研究，分析了等级保护制度中云服务商与云用户的相互关系。对中国国家铁路集团有限公司主数据中心云平台的等级保护测评情况进行了分析研究，为铁路云计算安全标准合规工作提供参考。     

铁路行车调度工作考核自动化方案研究与应用

依据中国国家铁路集团有限公司（简称：国铁集团）行车调度工作内容，通过分析行车调度工作考核机制，设计了考核基准数据和考核结果的自动提取流程，形成了铁路行车调度工作考核自动化方案，实现了自动提取考核结果、自动更新考核基准和自动生成并下达奖励命令等功能。该方案已在国铁集团调度中心应用，有效降低了考核出错率，提高了调度部门的工作效率。     

铁路信息安全等级保护实施工作建议

信息安全等级保护制度是国家信息安全工作的基本制度,铁路行业在信息安全等级保护方面做了大量工作,对整个行业的信息安全工作起到了促进作用。本文从行业标准、系统定级备案、安全现状评估、等级保护测评、建设整改、安全措施落实等角度对如何将该等级保护工作落到实处进行了阐述。     

城市轨道交通ATS时刻表管理系统的研究与设计

对城市轨道交通时刻表管理系统进行分析,依托ATS开发时刻表管理系统,实现计划运行时刻表的自动生成、实际运行时刻表的自动生成、时刻表编辑模块、列车运行图模块,可满足不同线路需求.     

铁路网络安全等级保护管理系统研究

随着国内外网络安全形势逐渐严峻，铁路网络安全等级保护相关问题也日益倍增。为解决铁路网络安全工作不统一、不规范的问题，研究了铁路网络安全等级保护管理系统。结合网络安全等级保护2.0的标准要求，对系统进行了需求分析和架构设计。结合铁路特有的业务走向和管理流程，制定了备案、整改、测评流程，设计了工作台、台账管理、定级备案、测评管理、整改规划、监督检查、知识库、统计分析等多项功能。完善了铁路网络安全管理体系，在开展网络安全管理工作方面为铁路相关单位提供参考。     

建立铁路行业信息安全等级保护测评机构必要性分析

我国信息安全管理工作遵循分等级保护原则,要求各行各业按照等级保护思想对本行业的信息系统进行安全防护。铁路行业的信息系统具有行业特色,并与运输安全息息相关,信息系统安全的好坏需要专业的测评机构进行把控。本文就行业测评机构的优势、作用和必要性进行了分析。     

城市轨道交通信号系统信息安全风险辨识

从城市轨道交通信息安全面临的严峻形势出发,介绍城轨交通信号系统组成,并对信号系统各子系统功能进行阐述。城轨交通信号系统是保证列车安全、准点、高密度运行的重要技术装备,主要由列车自动监控子系统、列车自动防护子系统、列车自动运行子系统、联锁子系统组成。根据信息安全风险分析模型,识别城轨交通信号系统信息安全的威胁来源及核心资产。由于城轨交通系统属于工业控制系统的典型系统,城轨信号系统则具备工控系统的一般性特点,继承工控系统的脆弱性。针对国内城轨交通信息安全研究的空白之处,结合工控系统不同层级结构的脆弱性,从技术和管理两个方面进行信号系统的信息安全风险辨识,通过分析发现存在物理安全、网络安全、主机安全和应用安全等层次上的风险。风险辨识结果反映出城轨交通信息安全存在大量的薄弱环节,以期为日后的研究和防护工作的开展打下基础。     

铁路行业信息安全等级保护工作与其他行业对比分析

本文介绍了铁路行业信息安全等级保护工作现状,并与电力、金融等行业等级保护工作进行了对比分析,从等级保护工作实施程度、行业标准制定、行业评测机构成立几方面,指出了当前铁路等级保护工作存在的不足,为未来铁路等级保护工作的进一步开展和推进提供参考。     

煤炭品类装车日计划自动调整辅助决策系统研究

为规范煤炭运输计划受理流程、合理配置运力资源、实现煤炭运输效益最大化，设计研发了煤炭品类装车日计划自动调整辅助决策系统。通过对煤炭品类运力资源配置业务建模，基于Quick UI、JFinal框架技术和Git版本控制技术，实现空车资源管理、运输能力管理、日班计划管理和计划调整管理等功能。该系统在中国铁路西安局集团有限公司上线运行后，有效减少了煤炭运输计划编制工作的中间环节，合理配置运力，规范受理流程，取得了良好的使用效果。     

铁路局干部履职管理信息系统的实践与思考

在铁路全面深化推进安全管理规范化过程中，按照“问题在现场，原因在管理，根子在干部”的思想，铁路局干部履职管理信息系统集成了安全风险管控、重点推进工作、专项整治实施等干部履职管理的核心业务，与相关业务系统间进行信息交互与共享，构建了铁路局一体化的干部履职管理信息服务平台。该平台将安全风险控制和干部履职相结合，实现了安全管理和履职考核信息的分类掌握、分级管理、信息共享和综合应用，成为构建干部安全管理和履职过程考核体系的重要组成和有效的技术手段。     

城市轨道交通ATC系统信息安全建设方案

随着计算机和网络的发展,信息安全越来越受到关注,越来越多的城市在城市轨道交通信号工程招标文件中对列车自动控制(ATC)系统提出了需满足信息安全等级三级的要求。以目前城市轨道交通ATC系统中主流的CBTC系统为研究对象,按照信息安全标准分析物理安全、网络安全、主机安全、应用安全及数据安全等方面的要求。根据分析结果,对系统中较薄弱的网络安全、主机安全等环节通过增加安全审计、边界防护、入侵防护的方式进行改进。