铁路行业信息安全

铁路行业信息安全（精选5篇）

铁路行业信息安全 第1篇

软件评测的基础就是软件测试, 在软件业较发达的国家, 软件测试不仅早已成为软件开发的一个有机组成部分, 而且在整个软件开发的系统工程中占据着相当大的比重。以美国的软件开发和生产的平均资金投入为例[1], 通常是:“需求分析”和“规划确定”各占3%, “设计”占5%, “编程”占7%, “测试”占15%, “投产和维护”占67%。与此同步的是, 软件测试市场已经成为软件产业中的一个独特市场。在美国硅谷地区, 凡是软件开发企业或是设有软件开发部门的公司, 都有专门的软件测试单位, 其中软件测试人员的数量相当于软件开发工程师的3/4[2]。据了解, 在软件产业发展较快的印度, 软件测试在软件企业中同样拥有举足轻重的地位。美国等西方国家在软件规模扩大和结构更加复杂的情况下, 建立了软件评测制度和规则。

计算机软件产品由于其自身的特殊性, 时至今日制定完全定量化的测评标准规范还有一定难度。虽然软件质量还处于不断的研究和摸索阶段, 但软件的质量控制和保证、模型和度量等方法, 都为软件产品评测技术提供了研究方向。定性的软件质量指标已经基本成型, 如正确性、健壮性、完整性、可用性、灵活性、风险、可测试性、可移植性等等。利用这些定性指标, 制定工程化、可操作的技术规范和标准, 无疑对于控制软件质量是重要的, 但是我国关于这方面工程技术的标准和规范尚不完善。

在我国, 随着软件测试分工的细化和成熟, 软件企业注重于自身核心竞争力的提升, 促使大量的软件测试服务机构涌现出来, 这些测试服务机构运作机制日趋成熟, 从单一的第三方认证评测, 逐步转向参与整个软件开发过程的测试服务, 并按照软件领域形成市场细分, 已经形成一个成熟和广阔的市场区间。可以认为, 这种情况在一定程度上反映了目前国内软件业可能面临的变革。此外, 国家“863”计划引入了“以测代评”的机制, 通过第三方测试机构公平、公正、公开的测试, 使可视性差的软件变得透明化, 用量化的数据说话, 为国家择优支持提供了科学客观的依据。另外, 很多大型信息系统工程的验收, 也要经过第三方测试机构的严格测试, 从而最大程度地避免信息行业的“豆腐渣工程”通过验收。根据我国软件发展的现状, 大力发展软件第三方测试工程的要求极为迫切, 需大力加以发展。

随着近些年我国高速铁路的建设, 铁路信息系统建设也进入了高速发展期。铁路各专业、各系统都做出了符合自己专业要求的信息系统, 或正在逐步付诸实施。我国多数软件开发企业没有软件质量控制的观念, 或者意识到了软件质量控制的重要性, 但也不知如何开展, 或者无实力开展。这样, 造成软件开发的过程不规范, 交付的产品质量令人担忧。所以, 铁路行业作为重要的信息系统采购者, 需要有一套完善的信息系统评测体系来验证和评估信息系统软件的质量。

二、铁路行业信息系统的软件可测性分析

铁路信息系统软件可测性需求是验证软件各种指标是否达到设计要求及用户要求。根据软件质量国家标准GB/T 16260-2006, 软件质量评估通常从下列特征来评价:

●功能性:与一组功能及其指定性质有关的一组属性, 这里的功能是满足明确或隐含的需求的那些功能。

●可靠性:在规定的一段时间和条件下, 与软件维持其性能水平的能力有关的一组属性。

●易用性:由一组规定或潜在的用户为使用软件所需作的努力和所作的评价有关的一组属性。

●效率:与在规定条件下软件的性能水平与所使用资源量之间关系有关的一组属性。

●维护性:与进行指定的修改所需的努力有关的一组属性。

●可移植性:与软件从一个环境转移到另一个环境的能力有关的一组属性。

此外, 铁路信息化发展战略中明确提出要确保网络与信息安全[3], 信息安全如今已成为铁路信息系统重点考虑的部分。文档亦是信息系统的重要组成内容, 能够给予用户准确、明晰、简洁的使用指导和说明。因此, 在铁路信息系统评估评测中仅仅考虑上述六个特征是不充分的, 还应增加信息系统安全和文档评审两个部分, 从更全面角度展开信息系统软件可测性分析, 对铁路信息系统质量进行更全面评价。

三、铁路行业信息系统评测的方法与技术

根据铁路信息系统的软件可测性分析, 结合铁路行业特点, 将铁路行业软件质量的特性划分为质量子特性, 针对质量子特性设计的测试类型。功能性, 划分为适应性、准确性、互操作性、安全保密性、功能性依从;可靠性, 划分为成熟性、容错性、易恢复性、可靠性依从;易用性, 划分为易理解性、易学性、易操作性、吸引性、易用性依从;效率, 划分为时间特性、资源利用和效率依从;维护性, 划分为易分析性、易改变性、易测试性、维护性依从;可移植性, 划分为适应性、易安装性、共存性、易替换性、可移植性依从;信息系统安全, 划分为身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制;文档评审, 划分为完备性、正确性、一致性、易理解性, 如图1所示。

四、铁路行业信息系统评测的工具与环境

a) 评测工具。根据软件质量特性, 从功能性、可靠性、效率、可移植性、维护性、信息安全、评测管理等几方面给出所需要的测试工具, 详见下表。

b) 评测环境。针对被测信息系统搭建各种软件评估评测工作所必需的计算机硬件、软件、网络设备、历史数据等内容的测试平台, 提供稳定和可控的测试环境。搭建的测评环境可以使评测人员花费较少的时间就完成测试用例的执行, 也无需为测试用例、测试过程的维护花费额外的时间, 并且可以保证每一个被提交的缺陷都可以在任何时候被准确的重现, 进行良好规划和管理的测试环境, 可以尽可能地减少环境的变动对测试工作的不利影响, 并可以对测试工作的效率和质量的提高产生积极的作用。

铁路信息化经过30多年的发展, 已经建立了覆盖铁道部、铁路局和主要站段的计算机网络及传输网、交换网、数据通信网3大通信基础网, 先后开发了以列车调度指挥系统、客票发售与预订系统、铁路运输管理信息系统、铁路办公系统为代表的一大批应用信息系统[4]。针对铁路行业已有的重大信息系统[5]及专项检测内容, 建立对应的试验与检测平台, 如下:列车调度指挥系统试验与检测平台;客票预订与发售系统试验与检测平台;铁路运输管理信息系统试验与检测平台;铁路办公系统试验与检测平台;铁路信息安全试验与检测平台;铁路电子认证试验与检测平台;铁路云计算试验与检测平台;铁路物联网试验与检测平台。

五、铁路行业信息系统评测的管理

a) 质量控制。质量控制, 用于保证软件测评质量的操作技术和过程。质量控制的任务就是策划可行的质量管理活动, 然后正确地执行和控制这些活动以保证绝大多数的缺陷可以在评测过程中被发现。根据CMMI3级 (能力成熟度模型集成3级) 的模式开展质量控制, 主要包括评测设计管理流程和评测执行管理流程。评测设计管理, 就是为执行信息系统评估评测前的准备实施的质量控制和管理。依据CMMI3级的质量控制模型进行设计, 主要产出有《系统评测计划》《系统评测需求说明书》和《系统评测用例》, 对整个评测工作起指导和管理作用, 详见图2。完成评测设计后, 进入评测执行管理流程, 对评测的执行过程进行的相应质量控制和管理, 主要产出有缺陷记录、文档检查单、系统评测报告[6]等, 详见图3。

b) 评测组织结构。评测组织结构由评测组和研发团队组成, 其中, 评测组设置评测工程师和评测负责人两个岗位, 研发团队设置开发工程师和项目负责人两个岗位, 具体的职责详见下表。

六、总结

本文结合铁路行业信息系统的现状, 从功能性、可靠性、易用性、性能、维护性、可移植性、信息系统安全及文档评审等方面展开软件可测性分析, 给出铁路信息系统软件评测需求的分析方法;根据铁路信息系统的软件可测性分析, 结合铁路行业特点, 将铁路行业软件质量的特性划分为质量子特性, 针对质量子特性给出了对应的测试类型;根据软件质量特性给出所需要的测试工具, 并针对铁路行业已有的重大信息系统及专项检测内容, 给出需要建立的试验与检测平台;从质量控制的角度, 根据CMMI3级的模式开展质量控制, 给出了评测设计管理流程和评测执行管理流程。从软件可测性、评测的方法与技术、工具与环境、评测管理等方面展开探讨, 提出铁路行业信息系统评测的体系。H

参考文献

[1]朱少民.全程软件测试[M].电子工业出版社, 2010.

[2]赵斌.软件测试技术经典教程[M].科学出版社, 2010.

[3]中华人民共和国铁道部.铁路信息化总体规划[M], 2005:47-52.

[4]马建军, 许红, 杨浩.铁路信息化发展战略规划研究[J].交通与计算机, 2006, 4.

[5]刘峰.现代铁路信息技术导论[M].中国铁道出版社, 2010.

铁路网络与信息安全事故应急预案 第2篇

编制目的

为迅速、有效地处置铁路网络和信息系统安全事故和突发事件，最大限度地保证铁路信息系统的正常运行，维护铁路运输安全、畅通，特制定本预案。

工作原则

按照统一领导、集中指挥、归口负责、分级管理、信息共享、分工协作、反应及时的原则，迅速处置网络与信息系统安全事故和突发事件。

适用范围

本预案适用于本公司各类网络信息系统发生大规模“病毒”感染、非法入侵、内部故障及不可预测的、突发性的影响网络与信息安全的事故和事件。

组织机构和职责

运销分公司应急救援抢险指挥部

总 指 挥：经 理 党总支书记

副总指挥：生产副经理、总工程师

成 员：公司所属各厂（段）负责人

应急领导小组办公室电话：8642882 应急领导小组的主要职责：

（1）统一领导指挥自营铁路网络与信息安全事故应急救援工作；（2）决定启动相关应急预案；

（3）需要上级有关部门支援时，负责与有关部门的沟通；（4）决定向上级应急领导机构请求支援和报告；（5）负责有关紧急事项的决策。预防预警机制

运销分公司负责全路网络与信息安全信息通报的管理、组织、协调工作；承担自营网络与信息安全信息通报中心职能,负责自营铁路各专业系统预警信息的通报工作；信息安全监察专职人员负责信息通报的汇总、分析和研判。

网络与信息安全事件、预警信息随时通报,通报时间为发生安全事件或预警信息2小时内;安全状况、形势分析、网络环境计算机感染病毒情况每月通报。

应急响应 信息报告

网络和信息系统安全事故信息实行逐级上报制度。顺序为基层站段铁路网络和信息系统发生故障时，系统值班人员要在30分钟内立即上报主管领导，并按照各信息系统制定的应急预案对故障进行分析、判断，迅速确定故障类型、影响范围，通知相关责任部门迅速处理，处理结果记录要在2小时内上报主管部门。造成重大影响的突发事件直接上报公司。

应急处置

1、处置要求

各信息系统是铁路运输生产、营销、经营管理的重要支撑手段，发生各种突发事件时要有相应的备用和应急手段，并能及时对系统和数据进行恢复。各系统、各单位要保留必要的、传统的运输生产指挥、管理方法，并经常进行演练，以应付各种突发事件的发生，将对铁路运输生产的影响减少到最低程度。

针对自然灾害地震、洪水等不可预测的灾难情况，各单位、各部门要在运销公司的统一部署下，做好系统和数据的灾难备份。同时，各系统要做好原始基础数据的日常备份工作，为系统数据恢复提供保证。

2、病毒入侵处置

各信息系统要密切注意系统漏洞，及时做好系统升级，实时进行监控。发生大规模病毒入侵引起系统瘫痪，要从物理上与外部隔断，内部及时对系统进行快速处置、恢复，防止数据丢失。

3、系统故障处置

各系统、各单位要负责管辖范围内的24小时网络和系统监控。完善各项管理办法，针对系统硬件故障、操作失误等各类情况引起的系统故障，制定具体的、便于操作的应急处置工作流程，迅速反应，尽快恢复，排除故障。

4、停电事故处置

系统主机房要配备两路以上电源供电，可以不间断地进行电源切换。配置相应的不间断电源设备，确保在断电情况下完成数据备份。重要系统主机房应考虑配备发电设备，遇重大断电事故，保证系统的正常运转，确保运输指挥工作的正常开展。

5、火灾事故处置

各系统、各单位机房要配备符合机房防火要求的防火设施，制定相应的管理办法，并对机房工作人员进行培训、演练，确保能够及时快速处置火险、火情。并按照火灾事故应急预案处理。

保障措施

1、组织保证

成立网络信息安全应急处理领导小组，明确机构、职能、人员及工作制度，落实责任。发生网络安全事故，各信息系统主管部门负责人要到事故或突发事件第一现场进行指挥、组织、协调。

2、资源储备保障 要将网络与信息安全摆在与运输安全同样重要的位置，从人员、技术、设备等方面做好储备，建立系统及数据的备份机制，以应对各类突发事件的发生。

3、技术保障

各系统、各单位要明确系统及硬件技术支持单位和支持方式，建立计算机硬件、网络系统维护、明确联系方式，定期充实更新。

4、应急培训

各单位、各系统要加强具体工作人员的应急预案的培训、学习，熟练掌握应急处置的应知应会内容，正确处理事故或突发事件。并做好应急预案的演练。

后期处置

铁路行业信息安全 第3篇

关键词：铁路施工；安全协议；设计与实现

引言

近年来，我国铁路进行路局直管站段的运输与改革生产力布局的调整，铁路的安全管理面临许多新的难题，其中安全管理是一个非常重要的方面。很长一段时间以来，铁路施工作业基本上仍是手工进行，在铁路的施工安全管理上存在共享度低下，运行部门掌握困难；计划信息统计和整理困难；安全管理差错率高、难度大等问题。

然而随着社会的迅猛发展，如今传统的施工方式已经落伍，远不能适应铁路安全管理的需要。因此，通过使用先进的信息化手段，开发铁路施工安全协议管理信息系统，提高铁路局施工安全性，非常必要。本文根据铁路施工安全的要求，提出关于铁路施工安全协议管理信息系统的设计方案，并找出系统的实现方法。

1.铁路施工安全管理信息化现状

当前许多铁路站段已经成功接入4M以上的宽带，已经具备了信息化管理施工安全的设备条件。而在理论知识方面，铁路施工单位经过数十年的经验积累，也已经大量具备，这给施工安全管理信息系统的建立奠定了非常好的基础。目前许多研究人员已经开始对有关施工安全管理信息系统进行开发，已取得许多优秀的成果与成熟的局部单击软件系统，其中就包含编制施工方案与铁路施工方案管理系统、施工计划管理系统与安全管理信息系统[1]。

但是，由于一些技术上的原因，目前国内铁路施工安全管理系统功能单一，因此其使用范围受到限制，特别是单击软件系统难以实现对相关部门的管理[2]。目前日常业务流程与绝大部分安全管理系统结合得还非常不够，无法非常全面的进行管理，不是只侧重施工计划管理就是只侧重数据分析，而往往不注重全面的施工安全管理流程，完全意义上的数字化安全管理系统还远未形成。因此往往导致缺乏对管理系统数据进行综合分析，无法为施工安全管理系统的建立作充分准备。

2.施工安全管理中存在的问题

2.1违章施工层出不穷

分析所有发生在铁路施工中的事故，不难发现大部分都有着相同的原因：作业人员与施工管理人员不遵循规章制度，缺乏熟练的操作方法与技术，执行规程规定不严格。

2.2 应急预案不实用

在进行施工安全管理时，对铁路施工的行车办法、影响范围、机械组织、人员安排、作业流程与施工方法等常规程序上各级管理部门做得比较详细，对常见的突发状况可以及时恰当地处理，而对于缺乏可操作性、不灵活、格式化的应急预案，如果出现特殊状况就很难起到作用。

2.3相关部门准备与配合工作不到位

铁路施工工程非常复杂，尤其是枢纽的施工与較大的站场改造，涉及单位非常多，任何一个单位部门工作不到位，对整个施工的顺利与安全都会造成很大的影响。

3. 系统的设计

3.1 总体框架

系统采用S/B架构，用户可通过局域网或互联网访问系统。使用C#编程语言，以Framework 5.0 为平台，采用V.F作为后台数据库。其总体框架如图一。

3.2系统设计

这个系统分为安全协议管理子系统、电子印章管理子系统与系统管理子系统3个部分。

3.2.1安全协议管理子系统

安全协议由施工单位（乙方）起草，乙方输入相关数据并编辑修改协议正文后，保存协议。之后，乙方施工负责人进行签名，加盖电子印章。此后乙方发起系统自动生成协议签署。如果协议另一方同意该协议，则手写签名并加盖电子印章；若不同意，附上理由，返回协议。

3.2.2 电子印章管理子系统

按照单位印章口令、印章图案，生成具有证书信息、唯一序列码和单位信息的电子印章。系统管理用户可以查询单位的电子印章，并能对电子印章口令随时进行修改。

3.2.3 系统管理子系统

使施工安全协议模板管理，书签保存与管理，模板文件编辑、创建得以实现。

4.系统的实现

通过对系统中关键技术的掌握与建立相关系统应用的机制，实现铁路施工协议安全管理系统。

掌握系统应用的关键技术，如Oracle 二进制大型对象字段的读写、VSB脚本与JavaScript脚本的转换与Ext.Net组建框架的应用等。

配合这个系统，辅助建立相关系统的应用机制。展开远程培训，并对远程培训的各个环节进行规范控制，一方面在干部选拔、职称评审与机关公开招聘等方面对员工培训提出明确要求，另一方面对各基层站段与培训基地提供培训经费支持。同时对远程培训进行严格的计划与考核，使系统规范地运行[3]。

5. 结论

广西铁路局应用本系统近两年，共有141个单位和部门，6744人经过此系统参加网络远程学习。经统计分析，仅2011年就节约了相关费用将近140万元。同时，本系统在提高企业整体的科技应用能力与职工干部的研究创新能力方面都有很大成效，这使铁路企业的管理水平与效率得到了一定的提高。（作者单位：西南交通大学峨眉校区）

参考文献

[1]李勇辉，刘仍奎，方圆等. 铁路局施工安全管理信息系统的研究与设计[J].中国安全科学学报，2009（05）：17—19

[2]卫军，夏慧军等.ExtJS Web 应用程序开发指南[M].2版 北京：机械工业出版社，2011

烟草行业信息安全建设思路论文 第4篇

1.1核心软硬件被国外垄断，严重威胁行业信息安全

当前，烟草行业的信息系统基础设施，包括主机、存储、操作系统、数据库、中间件等几乎还很大程度上依赖于国外品牌，使得烟草行业信息系统比较容易被国外掌控，威胁烟草行业信息安全。

1.2传统互联网威胁向烟草行业辐射

随着电子商务的快速发展，烟草行业信息系统由半封闭的行业内网向互联网转变，网上订货、网上营销等新型业务与互联网结合日益紧密，同样面临的网络攻击和威胁形势日益复杂严峻，传统互联网威胁（如病毒、木马等）也必将危及行业信息安全。

1.3新技术的应用使行业信息安全面临更大挑战

铁路行业信息安全 第5篇

无论是启明星辰首席战略官潘柱廷的“拐点”之说，还是IDC 25.3%（2007年信息安全市场规模达到7.164亿美元）的增长预期，似乎都透露出这样一个信息：中国信息安全产业将迎来一轮新的稳定而快速的增长。

然而，在乐观的预期之后，我们还是必须承认，相比于以万亿元计的IT产业，这55亿元人民币的预期仍然微不足道！市场盘子小，安全厂商多，已经成为困扰中国信息安全产业发展的痼疾。而由此导致的恶性竞争，使得国内大多数的信息安全企业举步维艰，难以发展。短短3年多的时间，国内的信息安全企业已经只剩下了2002年（1300多家）的一个零头，但整个行业僧多粥少的局面并未得到根本改观。

从2003年的20亿元到今天的40多亿元，市场的确在快速发展并日益成熟；但历史经验表明，大多数企业并不能从中获益，甚至还可能面临加速出局的命运。市场的高速发展一方面带来的是机遇，但同时也会带来高淘汰率。信息安全市场越成熟，资源的配置就将在市场规律的作用下得以合理优化，结果就是资源被日益集中到更少的优质企业手中；因此，我们在未来的数年时间里还必须一次次地面临更为激烈的市场选择，少数企业将成为行业旗舰，而更多的企业将无奈出局。可是，究竟什么样的企业才是市场的选择呢？