《探究铁路信息系统安全风险管理.docx》由会员分享,可在线阅读,更多相关《探究铁路信息系统安全风险管理.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、探究铁路信息系统安全风险管理【摘要】针对目前铁路运输生产中信息系统应用存在的安全风险问题,论文从实践角度出发,分析了铁路信息系统的安全风险管理计划,并提出了相应的要求与实践策略,其目的是为保证信息系统安全稳定提供一些理论根据。【关键词】铁路运输;信息系统;安全风险管理目前,铁路信息系统应急预案及应急预案流程已规范化,一旦启动应急预案,表征故障已经发生。建立完善的铁路信息系统安全风险管理体系,采取有效的信息系统安全风险管理措施,是避免启动应急预案的有效屏障。在铁路信息系统管理中树立牢固的安全风险管理意识,可有效躲避、转移管理中存在的风险。通过制定周密可行的信息系统安全风险管理计划、识别安全风险、
2、安全风险定性定量分析、制定安全风险应对措施、安全风险监控等环节可有效避免铁路信息系统事故的发生。2制定铁路信息系统安全风险管理计划安全风险管理计划是用来描绘怎样处理和控制风险的方法。一般情况下信息系统管理层应召集信息系统专家、信息系统开发人员、信息系统维护人员、岗位操作人员集中会议、意见等形式,结合铁路信息系统的实际情况,分析各类系统的重要性,并将每类信息系统按生产等级分类,预判其可能产生的风险。聘请信息系统、安全风险管理专家分析风险;,包括计算机硬件、软件、网络设备及通道、信息系统维护人员、岗位操作人员;估算风险可能造成的危害,评估风险级别,根据重、轻级别制定不同的安全风险监控跟踪机制,制定
3、怎样处理和执行不同安全风险活动计划。在信息系统安全风险管理计划中,详细要描绘基本的信息系统安全风险管理检查节点如:每周对每类系统、每月对所有信息系统安全风险管理召开评估会议,根据信息系统管理、运维、使用等制定里程碑检查节点,分析、总结、评估信息系统安全风险管理,真正把信息系统管理纳入到信息安全风险管理当中,实现有计划、有目的地管理铁路信息系统,进而最大限度地减少故障发生。3铁路信息系统的安全风险管理要求3.1铁路信息系统安全风险的识别信息系统安全风险识别就是要识别出哪些风险会造成什么样的影响,构成风险分解构造。利用风险分解构造RBS形式列举已知的风险、问题解决方式、危害程度等。结合铁路信息系统
4、安全风险管理的实际情况,将信息系统安全风险划分为技术风险、内部风险、外部风险三大类,根据分类所罗列的风险项,逐一研讨其风险发生的可能性,将已识别的风险记录到(XX系统风险分析和监控表)中,以便于在信息系统使用经过中对已识别的风险进行盯控。譬如铁路华方十八点信息系统技术风险主要体如今总公司服务器与路局客户端、路局服务器与车务段客户端、车务段服务器与车站客户端四个层面之间需要实现实时的数据双向同步。同步的实现主要依靠底层到高层的逐层数据交换,这就要求每两层之间数据交换准确且符合系统既定标准;外部风险相对而言主要是不同层次界面外部接口所带来的风险。任何一个信息系统的外部接口变更都会影响整个信息系统的
5、运行情况;内部风险是指每层内部资源之间协调所发生的风险。如:铁路十八点统计分析系统使用经过中出现故障,系统维护必然占用系统操作时间,进而影响数据上报,给路局甚至总公司造成数据上报不及时。3.2信息系统安全风险的定性与定量分析识别信息系统安全风险后,需确定这些安全风险的基本特性,分析引起这些安全风险的主要因素,以及可能会造成的影响,构成具体的信息系统安全风险列表记录,进行定性、定量分析,评估风险可能带来的影响。一方面,定性分析风险可能造成的影响,包括对车站、车务段、路局、总公司不同层面。为提高分析结果的准确性应召集信息系统、风险管理专家,采用专家会议方式来确定。例如,对铁路华方十八点统计分析系统
6、的外部接口、工作流程等风险分析,尽量邀请介入华方十八点系统的研发人员介入,分析交换接口工作原理、设施设备故障、程序不稳定带来的影响。确定风险的可能性和影响后,用概率影响矩阵排列风险的优先级,反映风险的综合影响程度大小,得出风险优先级别。另一方面,定量分析就是通过故障时间、影响范围等数据估算风险对铁路运输生产造成的费用影响,构成(风险列表记录)。4铁路信息系统安全风险管理的优化控制策略4.1制定合理的铁路信息系统安全风险应对计划风险应对计划就是针对经过定性、定量分析后的(风险列表记录),确定行之有效的风险应对措施。因而制定合理的信息系统安全风险应对计划,加强风险监控,对每个风险点设定专人盯控是必
7、要手段。比方,为避免华方十八点统计分析系统外部接口风险发生,由专门网络工程师负责盯控服务器与客户端各个接口的运行状态,华方十八点统计分析系统操作人员负责盯控车站客户端接口运行情况,共同研判运行状态,沟通联络汇报。一旦出现问题,盯控负责人及时对详细问题进行分析,根据所编制的信息系统安全风险应对计划,采取相应的措施,将故障控制到最小范围内。4.2加强铁路信息系统安全风险监控研究表明,铁路信息系统中安全风险监控,是实践系统运行风险应对措施的重要组成部分。相关人员需采用持续性的方式进行监督盯控工作,并将此经过识别产生的信息数据,均记录至系统内部的记录设施中。这样一来,铁路信息系统就能将识别出的风险作用
8、状态进行跟踪、监督,以避免此风险问题再次发生的概率并控制影响程度。详细来讲,相关人员需根据目前风险监控的结果修改风险应对策略。这样一来,不仅能够保证铁路信息系统阶段性的运行稳定性,还能最大限度地保证整个信息系统运行的安全可靠性,以将可能存在的安全风险控制在最低限度。4.3铁路信息系统安全风险管理的巧妙应用以铁路十八点统计分析信息系统的运维经过为例,十八点统计分析系统主机故障风险,严格根据铁路信息系统安全风险管理理论执行。首先根据安全风险管理计划所列出更换设备可能要进行的风险管理要点及更换设备所涉及的成员及成员职责,各司其责,分工合作,构成(安全风险;和分类表)。针对表中风险向路局信息技术所主管
9、、兄弟单位十八点主管、统计分析主管、统计员一起分析识别、研讨不同风险可能会造成的影响及最有效快速的应对措施。各成员严密配合,全方位盯控,尽管如此,2016年9月在利用新换设备将段管内各站客货运输数据统计好构成段汇总数据上报路局调度所时,统计员发现系统参数中未与路局十八点统计服务器IP地址绑定,无法上传。盯控成员及时沟通后,立即采用铁路信息系统安全风险应对计划中的数据热备份方法将十八点备机数据与主机无法上传的数据施行同步,这样可避免备机重复输入数据而占用时间导致逐层影响十八点数据上报,造成影响范围更大。启用备机后及时准确地完成了数据传输上报。正因对安全风险做到了充分研判、分析及应对,才不至于启动
10、应急预案。这样,既发现了新风险、又到达更换目的。之后将这些相关安全风险资料和数据归档到运输生产经过实际运维中,为将来设备更新、程序升级奠定了坚实的基础。由上述内容可知,为实现铁路信息系统科学、安全、稳定运行,充分发挥其在运输生产中的保驾护航作用,最大限度地减少信息系统发生突发性故障对运输生产安全的影响,施行铁路信息系统安全风险管理是保证信息系统安全稳定的长效机制,也是避免启用信息系统应急预案的一道屏障。建立完善的铁路信息系统安全风险管理体系,采取有效的信息系统安全风险管理措施,全面提高风险管理意识,确保铁路运输安全。总体而言,信息系统安全风险管理在铁路运输网络系统的生产经过中是必不可少的。且经实践分析,系统运行风险的作用具有不确定性特点,即一旦发生安全风险,所造成的负面或正面影响程度与作用系统环节不可控。为此,信息系统技术人员应根据信息系统安全风险管理理论,并采取行之有效措施,便会转危为安,甚至在特定环境下,信息系统安全风险也会转化为对系统运维有利的、积极的因素。