陈 鑫 上海铁路局信息化处

信息安全，在国际标准中的定义是保持信息的保密性、完整性和可用性，即确保信息仅被已授权的用户访问，保护信息及处理方法的准确性和完备性，确保授权用户在需要时可以访问信息和相关资产。

世界范围内，可以说，美国首先将维护信息安全提升到前所未有的战略高度，成立网络战司令部，网络作战力量达到5万余人，在世界范围内掀起了网络军备竞赛。而随着“震网”病毒、“火焰”病毒等有国家背景的、精心策划的、具有高隐蔽性、潜伏期长和持续攻击能力特点的高级持续威胁（APT）网络攻击的出现，病毒正在向工业控制系统扩散，信息安全问题影响的不仅仅是信息系统和信息，而是直接对国家的电力、民航、铁路等关系国计民生的重要行业造成威胁。

铁路作为关系国计民生的重要行业，在国家信息化领导小组《关于加强信息安全保障工作的意见》中就已经明确指出，在全面提高信息安全防护能力的同时，需要重点保障安全的重要系统。随着铁路信息化建设的不断深入和信息技术的广泛应用，信息系统和信息网络在提高铁路运输生产效率、改进服务方式、提升服务质量等方面发挥着越来越重要的作用，已成为铁路运输组织、客货服务和经营管理不可或缺的重要支撑手段，保障铁路信息系统的安全意义重大。

目前，铁路的信息安全问题越来越引起了各方的重视，从当前的现实情况来看铁路单位所面临的信息安全形势不容乐观，一方面铁路面临的信息安全威胁在迅速增加，另一方面，信息安全投入严重不足，用户安全意识和安全防护技术水平的提升还有很大的空间，虽然信息安全问题是全球性的难题，但和发达国家和国内其他行业相比，铁路单位对于信息安全问题的解决手段和能力还存在相当大的差距。

1 铁路信息安全形势成因分析

铁路单位信息安全形势严峻的原因有两方面：一是铁路外部环境。除了过去一般的个人行为，比如计算机犯罪，通过黑客行为实现各种控制手段，程序漏洞被利用等等之外，随着“震网”病毒的出现，具有国家背景的，高度组织性、目的性的集团行为出现在了世人的面前，这就对专用网络用户的传统安全观提出严峻挑战。二是铁路内部问题。主要分为：①从信息安全的认识上，多数铁路从业人员对信息安全重视仍然不够，对信息安全问题严重性认识存在误区。近年来，由于国内外信息安全化程度不断加深，国内铁路单位对自身的信息安全已经开始给予越来越多的关注，但是，在大多数铁路管理者的眼中，他们认为铁路的信息资产远没有实际的有形资产重要，信息安全问题还很难和铁路的行车安全以及其他重要的安全事项挂上钩，铁路信息安全防护是铁路收益的消耗者，而不是创造者。②从信息安全管理上，国内多数铁路单位大多尚未建立起明确的铁路信息安全目标和策略，缺乏切实可行的信息安全体制，缺乏必要的人员信息安全培训体制，对信息安全制度往往不能严格执行。这样一来，软硬件系统的防护效果会大打折扣，甚至毫无作用。③从资金、技术、和人员投入上，多数国内铁路单位在信息安全上资金投入严重不足，且存在误区，技术相当落后或不够系统，铁路单位信息安全人才匮乏。目前，国内铁路单位由于本身技术实力等原因，在信息安全上的资金、技术、人员投入还非常不足，同时，有限的资金一般总是投入到信息安全防护软硬件的购置和建设上，几乎没有多少资金用于专业化的铁路单位信息安全人员的引用、培养和提高上，这就使得铁路单位要么是信息安全人才极度匮乏，要么是信息安全人员的专业素质不高，很难肩负起信息安全防护的责任。此外，在信息安全防护软硬件的购置和建设上，往往又缺乏系统化、整体性的考虑，从而导致了铁路单位信息安全防护的措施、手段处于一个较低的水平，面对一些比较新的攻击手段往往无能为力。

2 解决铁路单位信息安全问题的对策

为应对日益严峻的安全威胁和挑战，2011年上海局成立信息化处，对全局信息实行专业管理，对信息安全从以下几方面强化：

一是端正对信息安全的认识。如何看待铁路单位的信息安全，实质上是任何看待铁路单位的信息资产的问题，信息化建设中的铁路单位管理者应该认识到，铁路单位的信息资产对于铁路单位生存和发展有着和传统有形资产相同甚至更加重要的地位，而铁路单位的信息安全防护，虽然不能直接参加铁路单位价值的创造，但能间接地影响铁路单位的管理水平、管理能力，影响铁路单位的竞争能力，在某些特殊条件下，甚至会影响铁路单位的生存和发展。因此，铁路单位的管理者必须充分认识到信息安全的重要性和严峻性，从铁路单位生存发展的战略高度来看待信息安全问题，国内有关研究机构和企业提出了“信息安全治理”的概念，即将信息安全策略提升到和企业发展策略相同的地位，作为企业策略层的一项重要任务来实施，这个观点在国外已经得到广泛实践，值得铁路单位借鉴。

二是建立完善信息安全管理体制。在信息安全学界，人们经常会提到，对于信息安全防护，应该“三分技术，七分管理”，这充分说明了管理在铁路单位信息安全防护中的重要性，明确自己的信息安全目标，建立完善、可操作性强的安全管理体制，并严格执行，这也是铁路单位真正实现信息安全的重要环节。路局信息化处的成立，正是这个管理体制中的重要一环。目前，信息化处正在组织相关部门制订发布上海局的网络与信息安全管理办法，从工作职责，安全设备的管理、安全责任、病毒防范、终端安全、密码密钥等等多个方面入手，形成上海铁路局的专门针对信息安全的一部管理办法，完善信息安全的管理体制，填补过去的空白。

三是加大人员、资金和技术投入，积极提高信息安全人员素质。安全技术是铁路单位信息安全的基础，高素质的安全人员是实现铁路单位信息安全的保证，对于铁路单位的信息安全问题，必须加大人员、资金和技术投入力度，科学配置资源，达到投入和收益的最佳结合。围绕铁路单位的信息安全目标和策略，系统、科学地进行软硬件系统的采购和建设，要重点加强信息安全人员资源素质的培养和提高，在信息安全防护体系的建设和实践中，不仅要利用传统的被动防护技术，同时也要引入主动防护技术。此外根据实际的业务，可以引入PKI技术、VPN技术等，再结合专业素质过硬的人员以及科学的信息安全管理，从而达到最优的信息安全防护能力。定期组织专业的网络与信息安全培训，进一步提高人员素质。

3 结束语

在当前国内铁路单位的信息化建设中，信息安全是一个亟待解决的重要任务，铁路单位必须深刻认识到信息安全的重要性和严峻性，只有从认识上、技术上和管理上多方面着手，协调统一，才能尽可能将信息安全威胁程度减到最小，从而为铁路单位的健康、快速的科学发展打下坚实的基础。