铁路网络与信息安全风险管理研究

本文建立了三维结构的铁路网络与信息安全管理体系,分别从技术要素、管理要素和信息安全生命周期的角度对铁路信息安全风险进行深刻剖析.技术因素主要分为环境安全、系统安全、网络安全与应用安全;管理因素主要分为人员、机构和制度;信息系统生命周期从规划、设计、实施、运维到废弃的全生命周期过程中,针对技术因素的各个方面,都从安全风险的识别、评估和控制三个层次的纵深防御体系,进行了深入的研究与分析.本文对于有效降低铁路信息安全风险,提高铁路信息系统的安全性,保障铁路网络和信息系统安全、持续、稳定运行有着积极的推动与借鉴作用.     

建立铁路三位一体网络安全测评指标库研究

通过对铁路典型的网络安全等级保护测评、风险评估测评和安全检查3类检测方法有机融合,研究建立铁路三位一体网络安全测评体系,重点解决如何高效测评问题。建立铁路网络安全测评指标库是解决上述问题的关键和基础步骤,指标库主要包括通用指标和专用指标,其中,通用指标按照网络安全等级保护2.0标准（简称:等级保护2.0）梳理出安全通用指标、云扩展指标、物联网扩展指标、移动互联网扩展指标和工业控制扩展指标;专用指标重点考虑业务安全,从完整性、保密性、可用性出发梳理铁路重要系统的测评指标。运输调度管理信息系统的专用指标、网络安全测评指标库作为现场开展测评工作的基本依据和参考,具有实际意义。     

铁路客运服务系统信息安全测试方法研究

铁路客运服务系统是铁路信息系统建设中的一个重要组成部分,目前客运服务系统已实现互联网售票、电子支付等对外服务,铁路客运服务系统安全保障平台已成为保障客服信息系统安全的重要手段.本文从应用安全、网络安全、主机安全和数据安全4个方面对铁路客运服务系统安全保障平台开展测试,研究其在铁路客运服务系统联调联试中的应用,提出了一套针对现有安全保障平台的信息安全测评方法和内容.     

基于自适应安全的铁路网络安全框架设计研究

介绍自适应安全框架的定义与特征，结合新形势下的铁路信息系统网络安全保障需求，从基础结构安全、纵深防御、主动防御、联防联治4个方面，提出基于自适应安全的铁路网络安全框架设计思路，并围绕该框架形成风险纵深安全防御、数据纵深安全检测、自动化快速响应、安全情报预警4个重点研究方向，通过体系化的建设模式，提升铁路网络安全防御自适应能力。     

信息系统安全风险评估模型及其在铁路客票系统中的应用

提出一种基于模糊综合评判理论的信息系统安全风险综合评估模型与方法,实现量化信息系统安全风险的目标。通过确定信息系统的安全风险因素集、指标集以及因素的权重系数集,建立安全风险模糊综合评估矩阵,并应用于铁路客票预定与发售系统的安全风险评估。铁路客票预定与发售系统包括信息资产和物理资产,受到来自系统本身、外部环境以及人为和自然界的安全威胁。应用建立的信息系统安全风险评估模型,定量计算铁路客票预定与发售系统Web组件的安全风险值。根据计算值确定信息系统中的高风险组件,为系统管理与使用部门采取相应的防护技术和管理措施提供理论依据,增强系统安全性。     

铁路信息安全保障体系研究

信息安全是铁路安全的重要组成部分。针对我国铁路信息系统的信息安全保障体系进行研究,包括信息安全管理体系和信息安全技术框架,并对铁路信息安全的管理方针、组织保障、安全意识管理进行探讨,提出铁路信息系统安全管理制度体系,为我国铁路信息系统的信息安全建设和运行提供参考。     

铁路网络安全攻防仿真实验平台方案设计

研究并采用柔性虚实互联、异构数据融合、攻击检测、攻击溯源等技术,设计铁路网络安全攻防仿真实验平台,借助平台开展网络安全技术研究、网络安全攻防演练、安全防御能力验证、安全事件取证分析等科研实验,实现对铁路网络安全事件及时有效预警、快速取证、精准定位和分析,为构建安全可控、攻防兼备的铁路网络安全综合防御体系提供技术和数据支撑。     

《铁路网络安全研究与应用论文专辑》征稿

目前,信息化已经融入铁路运输生产各个环节,对铁路安全、建设、运输、服务、经营和管理等方方面面都有着深刻的影响,在国家严峻的网络安全形势下,确保网络安全和信息系统平稳运行,是服务铁路高质量发展的重要保障。为深入贯彻习近平总书记关于网络强国的重要论述,践行交通强国、铁路先行的历史使命,充分把握铁路网络安全面临的新形势新要求,积极探索网络安全技术在铁路行业的融合与发展,推动铁路网络安全的研究和交流、技术应用以及科研成果的共享,《铁路计算机应用》科技期刊拟定于2020年7月出版发行《铁路网络安全研究与应用论文专辑》,并于2020年1月正式启动专辑论文的征集工作,现将有关事宜通知如下。     

基于Markov链的信息安全风险评估模型

风险评估是信息系统安全保证的核心和关键。本文对现有的信息安全风险评估方法进行分析评价,比较包含FTA、FMECA、HazOp等在内的传统风险评估技术和以CORAS为代表的现代风险评估技术,将基于Markov链的评估模型引入到信息系统安全风险评估中,完善了基于模型的信息安全风险评估方法(CORAS)。首先,利用Markov链对信息系统进行建模;其次,构建基于Markov链的风险转移矩阵,定量计算信息系统的安全风险指标;最后,以网上银行信息系统为例进行了数值计算,量化了网上交易任务的风险指标。通过这种风险评估方法,能够确定信息系统中高风险的活动或子系统,为信息安全风险评估工作的开展提供了方法和实践基础。     

铁路通信网密码技术应用研究

作为铁路的重要基础设施，铁路通信网的网络安全问题至关重要。密码技术应用是保障通信数据安全的重要手段之一。对当前主要密码技术和发展情况进行概述，分析主流密码技术的技术特点，并总结其不同的适用场景。结合铁路通信网现状和安全需求，对移动通信系统、数据通信网、综合视频监控系统等主要铁路通信系统密码技术选择的原则开展研究，提出密码技术选择方案。同时，根据铁路通信运维体制的特点，对支撑铁路通信网密钥技术使用的密码管理体系提出基本构想，提出统一密钥生成和系统分发的密钥管理架构，为进一步完善铁路通信网的安全防护体系提供了建议方案。     

铁路安全风险管控方法及应用研究

以提升铁路安全风险管理水平，完善铁路安全风险控制体系为重点，深入研究安全风险管理内涵，建立安全风险管理模型，提出铁路安全风险管控模型。设计了铁路安全风险管控信息系统，规范了铁路安全风险管理，将风险管控与干部履职考核挂钩，促进风险管控措施落实。系统的研究和运用为加强安全风险防控，提高安全风险管理水平提供了必要的技术支撑。     

铁路安全风险预警信息系统的研究与设计

以提升铁路安全趋势分析能力，完善铁路安全风险预控管理体系为重点，在深入研究铁路安全风险构成、风险量化评价方法、安全状态评价模型及风险预警模型等关键技术的基础上，提出了铁路安全风险预警信息系统的建设目标、总体架构和主要功能设计。实践表明，通过系统的研究与应用，可以加强铁路安全风险的管理和预控能力，促进铁路安全管理的前移和科学化。     

铁路网络与信息安全管理系统研究与设计

针对铁路网络安全技术与安全需求的实际状况,提出并设计了一种铁路网络与信息安全管理系统,系统实现了各种网络安全设备、主机设备的集中管理,网络安全事件的实时监控和安全风险的综合评估。文章对系统总体架构、主要功能、关键技术进行了研究和分析,对网络与信息安全管理的发展趋势和下一阶段的工作给出了建议。     

铁路局安全大数据应用总体方案研究

为提高铁路运输安全保障能力，实现设备、人员的精准安全管控，设计了铁路局安全大数据应用总体方案，实现安全风险分析、安全隐患分析、事故故障分析、设备画像分析、人员画像分析、安全综合评估、安全综合管理等业务功能。该方案对于全面掌握铁路局安全态势，发现安全薄弱环节，指导安全监督检查，具有一定推广应用价值。     

铁路信息系统平台集中安全运维综合监管系统设计

研究铁路信息系统平台集中安全运维综合监管系统，解决目前铁路信息系统运维中，运维工具散乱、应用监控多且分散、运维知识管理力度不够、运维考核指标单一等突出问题。按照提出的集中安全运维综合监管系统整体建设思路与原则，设计出该系统的技术架构和应用架构，并对系统中9项子功能进行了详细设计，在设计过程中还深入研究了多项关键性技术。集中安全运维综合监管系统的提出，实现了信息系统平台运维的“三集化”要求，对提升铁路信息化运维水平具有重要意义。     

铁路物联网系统的安全挑战与对策研究

物联网作为互联网的进一步延伸，在现场大量部署监测控制设备或边缘计算节点，使得网络信息安全边界越发模糊，也对铁路物联网应用系统的安全防护策略提出了更高的要求。文章总结铁路物联网业务应用的安全特点，从设备、网络、数据和应用的维度分析铁路物联网的安全挑战，提出构建铁路物联网安全参考框架和全生命周期管理模式的安全对策，探讨保障铁路物联网安全的新技术。文章对铁路物联网系统安全开展的研究，可为完善和提升铁路网络安全和信息化体系提供参考。     

机务乘务作业动态管理应用系统的设计与实现

针对乘务员携带行车资料的不易管理和使用、途中故障不能及时有效处理、指导司机不能充分发挥管理职责、乘务员学习方式单一等问题,以基于Android系统的高效智能搜索引擎技术、手持终端数据安全性保障技术、无线组网技术、VPDN组网技术、Web技术为软件基础,以乘务员手持终端、服务器、管理工作站、无线路由器为硬件支撑,设计机务乘务作业动态管理应用系统,在指导司机、机车乘务员和运用管理人员之间搭建一个信息交互平台,将运用管理信息及时发送到作业一线,提高指导司机对乘务员指导的针对性和时效性。     

铁路运输企业干部履责管理信息系统的应用研究

在铁路全面深化推进安全管理规范化过程中,紧紧围绕管理问题是铁路安全的主要风险源这一核心问题,以规范干部履责过程管理为突破口,将干部履责与安全风险管控、重点工作落实、工作标准执行等信息集成融合,通过研制与运用铁路运输企业干部履责管理信息系统,实现了铁路各级干部工作有计划、履责有痕迹、考评有依据、管控有责任,为规范铁路干部履责管理、强化风险管控、落实安全管理规范化提供了必要的技术支撑。