铁路行业信息安全等级保护论文

1铁路行业信息安全等级保护工作现状

2007年，原铁道部成立了铁路信息安全等级保护工作协调领导小组，印发了《关于开展铁路重要信息系统安全等级保护定级工作的通知》。多次组织会议研究具体工作，并每年将等级保护工作列入全国铁路信息化工作要点，提出明确要求，重点督促落实。2012年，了《关于进一步做好铁路信息安全等级保护工作的通知》，进一步推进铁路信息安全等级保护工作。截至2012年，铁路行业已对33个信息系统进行了定级，其中二级8个，三级22个，四级3个，结合系统建设、升级改造、专项工程等，对部分已定级的信息系统进行了相应的信息安全防护改造，起到了一定的防护作用。

2其他行业信息安全等级保护工作现状

2.1电力行业

电力信息系统包括发电、输电、变电、配电、用电等环节的生产、调度与控制系统，还包括与生产、营销等工作相关的管理系统。2004年10月，国家电网公司转发了公安部的《关于信息安全等级保护工作的实施意见》的通知，要求下属单位认识信息安全保障体系。2005年，电力行业监管部门颁发了《电力二次系统安全防护规定》，后陆续制定了《电力二次系统安全防护总体方案》、《省级及以上调度中心二次系统安全防护方案》、《变电站二次系统安全防护方案》，高度重视信息安全保护工作[2]。2007年8月，电监会了《关于开展电力行业信息系统安全等级保护定级工作的通知》；随后11月下发了《电力行业信息系统安全等级保护定级工作指导意见》，要求贯彻落实国家关于信息安全等级保护工作。2010年6月，电力行业信息安全等级保护测评中心通过国家信息安全等级保护工作协调小组评审，成为国内首个行业信息安全等级保护测评机构，为电力行业信息安全等级保护工作开展提供测评及咨询等服务。2011年，电力行业按照国家信息安全等级保护相关标准和管理规范，结合自身行业现状和特点，制定了本行业的等保标准——《电力行业信息系统安全等级保护基本要求》(送审稿)，指导行业信息安全等级保护工作。以国家电网公司为代表，电力行业等级保护工作有序稳步推进，2006年开展了信息系统安全等级保护制度研究与试点工作，2007年进行了试点，2009年全面展开等级保护建设工作。2010年以来，电力行业形成了以网络隔离、边界防护和分层分级纵深防御为主要特点的立体化安全防护体系，成为全国首个率先组织开展信息安全等级保护工作并深入应用的行业。

2.2金融行业

金融行业信息系统包括中国人民银行信息系统和银行业金融机构信息系统两大类。中国人民银行除拥有政府行政管理的各类信息系统外，还有履行金融调控、金融服务、金融市场职能的13类信息系统。银行业金融机构信息系统分为两类：各类银行、各类金融机构。2007年，中国人民银行印发《中国人民银行、中国银行业监督管理委员会关于印发<开展银行业金融机构重要信息系统安全等级保护定级工作>的通知》，开始在金融行业开展信息安全等级保护工作。2011年1月，经中国人民银行、公安部国家信息安全等级保护工作协调小组办公室批准，中国金融电子化公司测评中心成为行业指定的信息安全等级保护测评服务机构，开始了金融行业信息安全等级保护测评和风险评估工作。2012年7月，人民银行制定出台了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》3项标准，成为金融行业的等级保护标准。同年，人民银行了《中国人民银行关于进一步推进银行业信息安全等级保护工作的通知》，将等级保护工作长效化、制度化。2013年以来，人民银行先后了《中国人民银行信息系统安全等级保护定级和备案流程实施办法》、《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》，进一步完善了等级保护工作流程，并组织对21家全国性银行业金融机构信息系统定级情况进行了评审。

2.3教育行业

教育行业信息系统包括教育行政管理信息系统和学校信息系统两大类，如教育部全国学前教育管理信息系统、全国中小学校舍信息管理系统、高考报名与招生相关系统；各高校教师学生管理信息系统、考试与成绩管理系统、远程教育系统等。2009年，教育部办公厅印发《关于开展信息系统安全等级保护工作的通知》，随后，教育部批准成立了“教育信息安全等级保护测评中心”，具体承担相关等级保护工作。2010年～2011年，教育部办公厅先后印发了《关于开展教育系统信息安全等级保护工作专项检查的通知》、《关于进一步加强网络信息系统安全保障工作的通知》，要求做好教育系统网络信息安全保障工作，加快建立完备的教育网络信息安全保障体系。2011年6月，国家信息安全等级保护工作协调小组评审并通过了教育信息安全等级保护测评中心作为国家信息安全等级保护测评机构的资质申请，成为继电力、金融行业之后第三家行业信息安全等级保护测评机构。教育部积极组织开展信息安全等级保护行业标准的制定，研究制定了《教育系统信息安全等级保护定级指南》、《教育系统信息安全等级保护基本要求》等技术标准，进一步规范了教育行业等级保护工作在技术层面的落实。2012年以来，教育行业等级保护工作继续深入开展，教育部直属机关100多个系统完成定级及评审工作，国家教育管理信息系统安全保障体系建设完成，行业具备了独立进行信息安全等级测评、风险评估服务的能力。

2.4广电行业

广电行业信息系统可分为3大类：生产业务系统、外网系统、专网系统[11]。鉴于广电系统的专业特色，无法照搬基于IP网络的信息安全评估方法，广电行业进行了一系列的研究工作。2007年，广电总局以光缆干线网风险评估为切入点，开始了行业内风险评估的探索；2008年，完成了“广播电视光缆干线网信息安全风险评估方法研究”项目，探索出一条适用于行业信息安全评估之路；2009年，在此基础之上，广电总局完成了“广播电视卫星地球站信息安全风险评估方法研究”；2010年，启动了电视中心、广播中心、无线发射3大播出类型的专业风险评估方法研究。2007年，广电行业下发了相应的定级工作指导意见，开始了重要播出信息系统定级工作。2009年，广电总局开始着手研究编制适合行业的等级保护标准；2011年，广电总局颁布出台了《广播电视相关信息系统安全等级保护定级指南》和《广播电视相关信息系统安全等级保护基本要求》，作为行业内信息安全等级保护标准，为信息系统建设整改提供指导。2012年，国家广播电影电视总局广播电视信息安全测评中心通过国家信息安全等级保护工作领导协调小组办公室评审，获得广电行业信息安全等级保护测评机构推荐证书，成为国内第4家行业信息安全等级保护测评机构。目前，按照广电总局的统一部署和要求，广电行业已完成主要信息系统的分类和定级，完成了相关系统在公安机关网络安全保卫部门的备案，并有计划地开展安全建设整改工作。

3铁路与其他行业信息安全等级保护工作对比分析

3.1对工作的认识和推进程度

作为关系国计民生的重要运输系统，早在2007年，铁路行业即开始了信息安全等级保护工作，与教育等行业相比，信息安全等级保护工作在铁路行业的起步更早，等级保护工作被列作全国铁路信息化工作的要点，获得了较多的关注和重视。然而，与电力等其他行业相比，铁路信息安全等级保护工作也存在着不足：（1）行业的先行性自我研究欠缺且滞后，没有在等级保护工作全面开展之前进行行业信息安全工作的调研和考察，这使得本行业对信息安全等级保护工作的认识缺乏良好的理论和实践基础；（2）信息安全等级保护工作在全路的实施力度有待加强，有些行业已将等级保护工作实现了例行化和常态化，而且较早时候即按照等级保护工作的要求完成了本行业信息系统的定级、备案等工作，而铁路行业内的上述工作尚处于未实现状态或实现较晚。

3.2行业标准的制定

信息安全等级保护工作的行业标准，是本行业按照信息安全等级保护国家标准的要求、结合行业自身特点而制定的等级保护工作标准。行业标准是行业开展信息安全等级保护工作的依据和指导性文件，其集中体现了本行业信息安全等级保护工作的研究现状和最高水平，是判断一个行业信息安全等级保护工作水平的重要依据。当前电力、金融、广电等行业已按照信息安全等级保护国家标准要求、结合自身行业特点，制定出台了本行业的等级保护标准，有的结合使用反馈情况，对已有标准进行了重新修订和完善，形成了第二版的标准。铁路信息系统的行业特点，决定了铁路信息系统安全不能完全照搬等级保护国家标准，而应依据国家标准结合行业特点实施信息安全保护工作；然而，此项工作尚处于空白状态，铁路行业亟待出台行业标准以指导行业信息安全等级保护工作。

3.3行业评测机构的成立

为进一步推进国家信息安全等级保护工作，公安部依据机构信息安全等级保护测评能力，授权第三方机构进行信息安全等级保护测评。等级保护测评机构的主要工作是根据等级保护标准规范，对各信息系统测评；作为等级保护测评工作的实施者，它推动着等级保护工作的前进，是信息安全等级保护工作的重要组成部分。截至目前，全国已有数十家机构获得信息安全等级保护测评资质，列入公安部信息安全等级保护评估中心推荐的全国等级保护测评机构目录。其中，已有7家机构获得部级测评资质，这包括了电力、金融、教育及广电等行业的测评机构，另外的机构则获得了省市级的测评资质。当前，铁路行业尚无一家具有认可测评资质的第三方测评机构，导致铁路内信息系统安全等级保护工作的推进，不得不求助于铁路外的社会评测机构，然而这些机构并不了解铁路行业的特点，给铁路等级保护工作的实施带来了很大被动。另外，铁路信息系统大多覆盖全国，实行全国统一管理，省市级测评机构已不能胜任铁路的需求。因此，成立一家行业内的部级测评机构，是铁路等级保护工作进一步开展的必然要求。

4结束语

本文阐述了铁路行业当前信息系统安全等级保护工作的现状，结合电力、金融、教育及广电行业现状，从等级保护工作的实施程度、行业标准的制定及行业测评机构的成立3个方面进行了对比分析，为铁路行业信息安全等级保护工作的进一步开展提供参考。

作者:蒋笑冰 单位:北京铁路通信技术中心