铁路行业信息安全等级保护研究.doc

铁路行业信息安全等级保护研究
1我国信息安全等级保护测评机构建设情况
公安部于2009年开始等级保护测评体系的建设，2010年以来，对国家和地方等级保护协调小组推荐的测评机构开展能力评估工作，到目前为止，已完成120多家测评机构的申请和评估，并颁发了《信息安全等级保护测评机构》推荐证书。120多家机构按国家和地方两级管理，国家级目前有7家，其中有4家主要承担行业内的测评工作，分别是电力、金融、教育和广电。
2电力行业等级保护测评机构的借鉴作用
国家信息安全等级保护工作协调小组鼓励具有信息系统特色的行业申请等级保护测评机构，旨在对具有行业特色、安全建设情况又不便向外界透露的信息系统开展本行业的等级测评工作。在电力、金融、教育和广电4大行业中，电力行业信息安全等级保护测评中心是最早获批国家级测评机构的单位，其成功经验对其它行业开展信息安全测评工作具有重要的借鉴作用。电力行业等级保护测评中心设有3个测评实验室，分别挂靠在国网电力科学研究院、中国电力科学研究院、华电卓识测评中心。3个实验室均为独立法人单位，独立承接测评业务，测评业务指导统一归口电力行业信息安全等级保护测评中心。各测评单位的主要职能有：技术研究、安全测评、风险评估、业务咨询服务、行业相关标准及规范编制等，对电力行业信息安全等级保护工作的开展起到引领和推动作用。电力行业信息系统数量多，工业控制类信息系统占多数，其中三级系统有1700多个，四级系统有40～50个，按照公安部的要求，测评中心对本行业的三级、四级系统定期开展等级保护测评工作。
3建立铁路行业等级保护测评机构的必要性
铁路行业的业务与电力行业十分相似，都属于国家的重要基础设施。电力行业的信息系统主要是电网控制类系统，属工业控制专业，信息安全要求高；铁路行业信息化工作主要为行车控制、客货运输提供重要支撑，信息系统涉及控制和实时交易处理等，具有明显的行业特点，专业性要求高。因此，借鉴电力行业等级保护测评机构在本行业信息安全工作中起到的作用，有必要在铁路行业内部建立正规的信息安全技术队伍，对铁路行业的网络与信息安全工作的开展起支撑作用。

如上所述，铁路行业的信息系统有着行业运行特点和专业特殊要求，客、货运输交易及管理类系统涉及国计民生，列车运行控制类系统与老百姓的生命安全息息相关，行业内的测评机构依托其自身长期的专业知识的积累，具有以下几个方面的优势：（1）行业测评机构容易理解行业信息系统的业务并把控安全风险行业测评机构的从业人员大多是有着行业信息系统研发经验的科研人员，熟悉系统的功能特点和应用背景，长期从事行业信息安全服务工作，对行业信息系统的安全风险把握较准确。（2）便于培养行业内的信息安全服务技术力量行业测评机构通过长期积累，在技术装备上能得到不断提升，通过构建与实际生产系统一致的模拟仿真测试环境，可以有效跟踪生产应用系统的安全风险；长期从事行业内的信息安全等级保护测评工作也给测评机构的检测人员提供良好的行业应用平台，积累服务经验和技术经验；通过组织培训班等形式，又可以将测评机构积累的丰富经验以技术研讨会的形式在行业内信息安全从业人员中传授，有效提高行业内信息安全整体技术服务水平。（3）行业测评机构队伍稳定且人员可控性强公安