铁路行业信息安全等级保护工作与其他行业对比分析

本文介绍了铁路行业信息安全等级保护工作现状,并与电力、金融等行业等级保护工作进行了对比分析,从等级保护工作实施程度、行业标准制定、行业评测机构成立几方面,指出了当前铁路等级保护工作存在的不足,为未来铁路等级保护工作的进一步开展和推进提供参考。     

铁路信息安全等级保护自查方案设计

通过对信息安全专项检查的内容和方法进行深入分析和细化,形成可操作性的自查内容和指标体系,并提出一套合理规范的自查方法及流程,将等级保护自查与等级保护测评工作有机结合,切实有效地推进铁路行业等级保护工作的高效开展。     

铁路信息系统等级保护测评工作模式探讨

针对我国铁路行业等级保护测评工作中缺乏统一的评判标准和专业评测机构,测评工作缺乏行之有效的常态化管理机制等现状,结合其它行业等级保护测评工作模式对铁路信息系统等级保护测评工作模式展开研究和探讨,分析等级保护自查和等级测评的作用及工作内容,并将切实有效推进等级保护工作的开展,促使等级保护测评工作常态化。     

铁路信息安全等级保护实施工作建议

信息安全等级保护制度是国家信息安全工作的基本制度,铁路行业在信息安全等级保护方面做了大量工作,对整个行业的信息安全工作起到了促进作用。本文从行业标准、系统定级备案、安全现状评估、等级保护测评、建设整改、安全措施落实等角度对如何将该等级保护工作落到实处进行了阐述。     

铁科院信息安全等级保护测评机构授牌仪式顺利举行

2016年4月7日,铁科院信息系统与信息安全评测中心(以下简称评测中心)信息安全等级保护测评机构授牌仪式在铁科院举行,公安部十一局七处处长葛波蔚代表公安部给铁科院颁发了信息安全等级保护测评机构推荐证书(证书编号:(国)-011),铁路总公司信息化部副主任李舒扬、铁路公安局网安处处长韩雪红、铁科院副院长兼总工程师叶阳升、铁科院电子所所长史天运、铁路总公司信息化部网安处副调研     

互联网环境下铁路信息安全等级保护设计方案研究

信息安全是铁路信息系统建设的一个重要问题,目前我国铁路缺少统一、标准化的信息安全等级保护解决方案,伴随互联网发展,铁路出现一批面向互联网提供服务的信息系统,该类信息系统的上线应用,生产系统不可避免与外网互联,信息安全受到威胁日益加大。本文提出了互联网接入管理中心支持下的安全计算环境子系统、安全区域边界子系统、安全通信网络子系统保护三重防护技术体系结构,形成纵深防御体系。基于该体系并结合互联网信息系统的特点,对安全方案设计开展了研究,可为相关部门采取相应的防护技术和管理措施提供理论依据和参考。     

信息安全等级保护重要标准解读

我国已形成了一套以信息安全等级保护为基础,包含基础、应用、产品等类别的信息安全等级保护标准体系,将标准体系的若干重要标准在按照其在等级保护实施的不同阶段的作用划分为定级、规划、设计与建设以及运维阶段标准,从标准框架、主要内容、行业指导意义3个方面对标准进行解读,旨在以点带面阐述各类标准在信息等级保护不同阶段的应用和对行业开展等级保护工作的指导意义。     

三级系统信息安全等级保护测评指标体系研究

依据《信息系统安全等级保护基本要求》中对三级系统的要求,本文建立了三级系统信息安全等级保护评价指标体系结构,并对三级信息系统各项测评指标进行了分解,使测评人员可以更有针对性地对信息系统标准符合性进行评价,依据分解后的指标体系,采用层次分析法和主观评价法确定了信息系统等级保护测评指标体系中各项指标所占的权重,得出更加精确的综合测评结果,为各行业的信息系统等级保护测评工作的开展提供参考。     

基于等级保护的信息安全风险评估方法

研究目的:根据我国信息安全风险评估工作的进展情况,结合信息安全风险评估项目,对安全评估实施过程和评估方法进行研究,解决信息安全评估实施中的关键技术问题。研究方法:结合国外信息安全等级保护准则和国内信息安全等级保护标准体系,采用定性与定量相结合的研究方法。研究结果:通过对国内外可信安全产品的等级评估准则的研究,从整体上形成了多级信息系统安全保护体系。针对信息安全风险评估项目的实施过程,提出了一种基于等级保护思想的信息安全评估方法。研究结论:完整的、正确的理解每一个安全保护等级的安全要求,并合理地确定目标系统的安全保护等级,是将安全等级保护合理地运用于信息安全风险评的重要前提。基于等级保护思想的信息安全风险评估是一种有效的信息安全风险评估方法,有利于信息系统的安全体系架构的建设。     

等级保护测评管理系统的研究与设计

设计等级保护测评管理系统,解决信息系统测评过程中的问题。利用安全信息自动化收集技术,通过系统安全自动化评估工具,实现部分主要测评指标的自动检测与判断,并生成测评报告,实现了测评过程的有效管理、测试标准的高度统一、测评工作的自动运行、测评报告的自动生成等功能。通过等级保护测评管理系统能够明显提升等级保护测评工作的效率及测评结果的准确性、公正性。     

铁路关键信息基础设施安全防护框架设计

针对铁路关键信息基础设施网络安全态势日趋严峻、安全保护体系亟待优化与完善的问题,提出了一套基础牢固、措施高效的安全防护框架,具有夯实网络安全基础,提高铁路关键信息基础设施安全防护能力的功能。实践表明,所提框架能够提高现有系统关键信息基础设施安全防御能力,改善其主动防御和纵深防御的性能,可为进一步完善和优化铁路关键信息基础设施安全保护体系的设计、建设提供理论和实践参考。     

铁路关键信息基础设施安全保护框架研究

通过对铁路关键信息基础设施安全保护现状的研究,在网络安全等级保护2.0要求的基础上,结合中国国家铁路集团有限公司网络安全需要,以铁路关键信息基础设施为重点保护对象,以风险管控为出发点,建立一套以识别、保护、检测、响应、恢复为核心的铁路关键信息基础设施安全保护框架.巩固网络安全基础设施保护能力,夯实网络安全合规建设基础,...     

铁路行业关键信息基础设施数据安全防护平台研究

为弥补铁路行业关键信息基础设施数据安全防护方面的薄弱环节,分析铁路行业关键信息基础设施数据安全现状,研究了数据安全防护平台的架构、特点及功能,提出了动态数据安全防护思路,运用轻量级数据加密算法与安全传输协议集成技术,对关键信息基础设施数据全生命周期进行安全防护。平台具备对关键信息基础设施数据流动过程事前感知、事中响应、事后溯源的能力。对铁路关键信息基础设施的数据安全防护具有参考价值。     

面向铁路信息网络的资产安全属性量化评估方法

目前,我国既有信息安全管理体系虽明确提出了资产评估要求,但缺乏具体的评估方法。而大多数已提出的评估方法与实际业务场景安全要求脱节,导致针对具体业务场景的资产评估实施存在诸多局限。文章通过分析铁路信息系统的业务特点及信息资产对系统安全状况的影响,利用层次分析法,提出了适用于铁路信息网络的资产安全属性评估方法。实验证明,所提出的方法可以有效地刻画信息资产对系统整体安全的影响程度,准确地描述资产在不同业务场景中的价值差异。通过此方法与漏洞评分系统相结合,可以更准确地评估漏洞在不同应用环境中的威胁程度。     

铁路行业信息安全管理面临的挑战及对策探讨

随着铁路行业信息化程度不断提高,信息安全风险日益成为影响行业核心业务的重要因素。本文从铁路行业安全管理现状入手,分析行业信息安全管理面临的挑战,探讨如何通过管理机构及多维管理制度的建设,结合信息安全综合管理平台,制定符合铁路行业的信息安全风险防范措施和管理办法。     

建立铁路网络空间安全治理新格局的实践探索

随着新兴技术的应用和发展,网络的边界越来越模糊,铁路面临的安全风险挑战愈发激烈,加强铁路网络安全空间治理,建立治理新格局势在必行。文章从政治、经济、社会和技术4个维度分析我国网络空间安全治理现状,结合铁路实际,总结铁路网络空间安全治理实践及取得的成效。为了构建铁路网络安全立体化综合防御、协同共治的新发展格局,从多维度统筹考虑,研究提出铁路网络空间安全治理在政治引领制度落地、产业促进服务支撑、以人为本重点防护和创新技术融合发展等4个层面的改进路径。