铁路信息系统网络安全风险评估指标体系研究

借鉴国内外信息系统网络安全风险评估方面的经验和教训，结合铁路行业网络安全和信息化治理体系要求，从安全管理保障、安全技术保障和安全运维保障3个层面，建立铁路信息系统网络安全风险评估体系，开展定性与定量相结合的检查评估方法研究。该研究可为从事铁路网络安全管理人员、维护人员开展网络安全风险评估、安全自查工作提供理论依据和技术参考，对铁路信息系统网络安全管理工作具有重要意义。     

铁路信息系统安全的风险评估与管理

在分析了铁路信息系统安全现状的基础上,探讨了如何认识信息系统面临的风险,介绍了风险评估方法以及对风险的管理.     

信息系统安全风险评估模型及其在铁路客票系统中的应用

提出一种基于模糊综合评判理论的信息系统安全风险综合评估模型与方法,实现量化信息系统安全风险的目标。通过确定信息系统的安全风险因素集、指标集以及因素的权重系数集,建立安全风险模糊综合评估矩阵,并应用于铁路客票预定与发售系统的安全风险评估。铁路客票预定与发售系统包括信息资产和物理资产,受到来自系统本身、外部环境以及人为和自然界的安全威胁。应用建立的信息系统安全风险评估模型,定量计算铁路客票预定与发售系统Web组件的安全风险值。根据计算值确定信息系统中的高风险组件,为系统管理与使用部门采取相应的防护技术和管理措施提供理论依据,增强系统安全性。     

基于Markov链的信息安全风险评估模型

风险评估是信息系统安全保证的核心和关键。本文对现有的信息安全风险评估方法进行分析评价,比较包含FTA、FMECA、HazOp等在内的传统风险评估技术和以CORAS为代表的现代风险评估技术,将基于Markov链的评估模型引入到信息系统安全风险评估中,完善了基于模型的信息安全风险评估方法(CORAS)。首先,利用Markov链对信息系统进行建模;其次,构建基于Markov链的风险转移矩阵,定量计算信息系统的安全风险指标;最后,以网上银行信息系统为例进行了数值计算,量化了网上交易任务的风险指标。通过这种风险评估方法,能够确定信息系统中高风险的活动或子系统,为信息安全风险评估工作的开展提供了方法和实践基础。     

基于灾害风险评估模型的铁路灾害监测预警系统研究

通过分析铁路事故统计数据,采用回归分析和灰色关联分析方法建立降雨量、风速和能见度等气象因素与事故发生概率的关系式;选取岩土类型、松散物质储量、流域面积、平均坡度和植被覆盖程度5个地质因素作为评价指标,建立基于层次分析法和多维标度法的铁路地质状况风险评估体系;借鉴风险矩阵表达方式,整合地质因素和气象因素,给出事故概率—危险度矩阵,建立铁路灾害风险评估模型。以铁路灾害风险评估模型为核心,构建由网络层、系统硬件层、数据资源层、信息处理层、应用层、业务层和访问层组成的铁路灾害监测预警系统,并接入铁路安全监控信息系统和中国气象科学数据共享服务网以及铁路局的相关信息系统,以很高、高、中和低4级风险强度表示方式将灾害风险评估的结果显示于铁路GIS地图上,能够提供直观、形象的铁路灾害预警信息。     

2008年北京奥运会期间铁路突发公共事件风险评估研究

突发公共事件风险评估是消除和防范各类突发公共事件发生的根本。铁路突发公共事件风险评估是做好铁路安全保障工作的基础。通过对突发事件风险评估流程、方法的研究，对2008年北京奥运会期间铁路突发公共事件进行风险评估，提出风险控制措施与建议，为政府部门、北京奥组委、奥运会安全协调小组提供决策参考，为奥运会安全指挥中心和铁路有关部门提供处置依据。[编者按]     

大准至朔黄铁路联络线路基工程风险评估

依据《铁路建设工程安全风险管理暂行办法》的要求,应对在建铁路风险工程进行评估,采取切实可行的防范措施,保证工程建设安全。涉及铁路路基工程的风险评估也是铁路建设工程安全风险管理的重要部分,以大准至朔黄铁路联络线路基工程勘察设计为基础,对准朔路基工程涉及的路基施工、防护系统、排水系统、接口工程、取弃土场和投资工期等方面进行了风险源辨识和典型工点风险评估,风险评估过程和结果可为类似工程提供参考。     

铁路信息安全保障体系研究

信息安全是铁路安全的重要组成部分。针对我国铁路信息系统的信息安全保障体系进行研究,包括信息安全管理体系和信息安全技术框架,并对铁路信息安全的管理方针、组织保障、安全意识管理进行探讨,提出铁路信息系统安全管理制度体系,为我国铁路信息系统的信息安全建设和运行提供参考。     

铁路信息系统安全标准的探讨

分析我国铁路信息系统面临的主要安全威胁,介绍国际和国内重要信息安全标准。针对我国铁路信息系统的特点,提出信息系统安全标准体系框架建议。     

铁路信息系统安全管理中心的设计

针对我国铁路信息系统安全建设的现状,提出以安全管理平台和CA认证平台为支撑的安全管理中心建设思想,设计出符合铁路三网结构的安全管理中心网络结构.在铁路现有安全防护体系的基础上,将安全管理平台资源进行重新整合,同时将铁路CA认证体系范围进行扩充,构建符合信息系统等级保护要求的高安全性、高可用性的铁路信息系统安全管理中心.     

铁路物流信息系统安全等级评价方法的研究

论文在物流信息系统的基本安全因素基础上,结合铁路物流信息系统的实际情况,提出影响铁路物流信息系统安全的因素集合.利用专家打分法和层次分析法,计算出各因素的权重.再利用模糊综合评价方法和模型,计算出铁路物流信息系统各安全影响因素的单项安全等级集合,从而生成铁路物流信息系统安全评价分数,对系统的安全等级进行定量的分析.应用这一套方法,对中铁快运物流信息系统的安全等级进行评价,结果比较合理.     

关于TMIS车站系统数据安全的探讨

车站管理信息系统是TMIS基础工程之一,是车站运输组织的重要辅助手段,系统的安全,尤其是系统数据的安全是车站日常维护的关键.现车查询系统的投产使用为车站系统的数据安全提供了条件.介绍如何借助铁路局、铁路分局现车查询系统保障车站管理信息系统的数据安全.     

铁路安全监察信息管理系统的设计与实现

介绍了铁路安全监察信息管理系统建设的目标以及主要内容,阐述了系统设计说明了系统应用特点.该系统已经在广州铁路集团公司管内安全监察部门成功运行,即将由广州铁路集团公司科委进行技术鉴定.     

高速铁路自然灾害及异物侵限监测系统信息安全架构设计和研究

为提高高速铁路自然灾害与异物侵限监测系统（简称:灾害监测系统）安全,保障系统稳定运行,通过分析灾害系统监测面临的安全风险和安全需求,设计了灾害监测系统安全体系架构,结合具体模型和数据处理流程,重点从物理安全、网络安全、主机安全、应用安全和数据安全等不同方面对灾害监测系统软件的安全系统进行设计。应用结果表明,在不降低软件性能条件下,安全架构及设计方案对提高软件安全性有明显效果,可有效地提高灾害监测系统自身安全性。     

铁路人事系统安全机制分析

根据成都铁路局人事管理系统的安全特点,通过对Lotus Domino/Note安全模型的分析,建立基于其上的铁路局人事信息管理系统安全方案.结合对该方案的讨论分析,详细论述Lotus Domino/Notes安全模型在铁路局人事系统中的应用,从不同角度对应用系统的安全机制进行分类,并针对特定需求制定辅助安全策略.     

铁路客运信息交互系统双服务通道传输协议的研究

铁路客运信息交互系统是采用移动通信网络作为数据通道的业务系统,由于移动链路存在丢包和断线等不稳定因素,为保证业务数据的完整性和安全性,必须采用有效的传输协议,并实现科学的应用和控制.文章从传输协议特点、应用类型、链路检测与协议切换等方面,研究铁路客运信息交互系统的双服务通道传输协议.     

铁路信息系统应用开放源码软件的探讨

铁路信息系统通常采用由国外软件公司开发的商业软件(如操作系统、数据库管理系统及服务器软件等),源代码不开放,且存在安全漏洞和后门,给铁路信息系统的安全带来了许多隐患.开放源码软件价格低廉甚至免费,源代码向公众开放,易于发现漏洞和安全隐患并能及时得到更正.     

互联网环境下铁路信息安全等级保护设计方案研究

信息安全是铁路信息系统建设的一个重要问题,目前我国铁路缺少统一、标准化的信息安全等级保护解决方案,伴随互联网发展,铁路出现一批面向互联网提供服务的信息系统,该类信息系统的上线应用,生产系统不可避免与外网互联,信息安全受到威胁日益加大。本文提出了互联网接入管理中心支持下的安全计算环境子系统、安全区域边界子系统、安全通信网络子系统保护三重防护技术体系结构,形成纵深防御体系。基于该体系并结合互联网信息系统的特点,对安全方案设计开展了研究,可为相关部门采取相应的防护技术和管理措施提供理论依据和参考。     

铁路局特种车调度管理信息系统设计与实现

展示了铁路局特种车调度工作的业务和现状,提出了特种车调度管理信息系统的应用解决方案,阐述了信息安全的重要性.     

铁路社保综合管理信息系统框架体系研究

铁路社会保障工作是国家劳动保障工作的重要组成部分,随着铁路管理体制改革不断深化和社会经济飞速发展,落后的铁路社会保障工作方式已不能满足社会保障体系继续发展的要求.在对现有铁路社保工作详细调研分析的基础上,提出铁路社保综合管理信息系统的框架体系,描述该框架各部分组成和功能,旨在探讨铁路社保信息化工作的技术思路.