铁路车务站段网络安全管理的几点思考
2019-02-17朱绎如中国铁路上海局集团有限公司苏州站
朱绎如 中国铁路上海局集团有限公司苏州站
习近平总书记在2019年召开的全国网络安全和信息化工作会议上强调:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”
对于铁路系统来说,网络安全形势也是同样严峻。总公司于2019年三月召开了全路网络安全工作电视电话会议以及科技和信息化工作座谈会,对铁路当前面临的网络安全形势及网络安全工作存在的问题进行了全面分析,指出了当前铁路网络安全存在的方方面面的问题,并决定将2019年定为“网络安全年”。
面对上级的要求,铁路车务基层站段如何进行网络安全管理成了一个值得思考的问题。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常的运行,网络服务不中断。网络安全管理包含网络安全支持与促进,网络运行安全,网络信息安全,监测预警与应急处置等相关内容。
1 在进行网络安全专项整治之前,车务站段存在的问题
1.1 对网络安全重视程度不够
集团公司于今年3月举办了网络安全培训班,有的站段虽然派专人进行了学习,也进行了网络安全法和等级保护标准等知识的宣传,但由于对网络安全重视程度不够,“一机两网”的情况仍然存在。
1.2 对网络安全存在的问题排查不全面
有的站段因数年前TMIS系统病毒频发,自行在本站段范围内安装了360企业版杀毒软件,但由于网络带宽等问题,经常发生系统漏洞未修复、系统补丁未安装,检查出的病毒无法查杀等问题。
1.3 对铁路内部文件资料互传不够重视
为通知方便,站段往往喜欢以微信群的形式布置工作。部分同志会以拍照、传文件等形式将办公网上的文件、通知转至微信群中,导致铁路的文件资料外泄。
1.4 对网络安全事件的应急处置水平有限
因劳动力布局调整,人员流动性较大,同时车站组织相关的应急演练次数不多,站段相关管理人员对处置流程较为陌生。
1.5 对网络安全等级保护制度落实不到位
站段历年新建信息系统时,只研究是否有计划件名;是否符合现场实际、满足功能需求等。但没有进行信息系统网络安全等级保护测评的意识,系统等级保护定级、备案等工作落实不到位。
2 对策措施
2.1 严格落实网络安全责任制
站段需要明确网络安全管理职责,将“网络安全与铁路运输生产安全同等对待”,明确站段主要负责人为网络安全第一责任人,按照“谁主管谁负责,谁运营谁负责,管业务必须管网络安全”的原则,建立网络安全问责机制,明确网络安全责任事件定责及考核标准,自上而下落实网络安全主体责任。
2.2 深入加强网络安全知识宣传
站段应通过多种形式开展网络安全知识宣传,如开展网络安全培训班、组织参加网络安全知识竞赛、网络安全知识讲座、向各科室、车间、中间站发放宣传手册和展板等,提升全员网络安全意识和责任意识。
2.3 努力保障基础设施安全
基础设施是网络安全防线的物质基础和前提条件。站段要深化开展信息机房等重要基础设施整治,对日常安全检查中常见的外电引入、UPS冗余、防雷接地等安全隐患逐一逐项解决处理。在基建项目建设过程中,严格对照标准,严把项目质量关,从源头上杜绝带病机房等存在安全隐患的基础设施投产。
2.4 严格抓好项目建设应用
站段要依据信息化建设项目考评机制,规范项目验收投产流程,杜绝未通过验收项目投产使用;各业务部门要发挥主导作用,狠抓项目过程管理;各使用部门要组织力量积极参与系统建设与运用,及时发现并反馈问题,提升应用系统建设与运用水平。同时站段要切实履行信息系统等级保护定级和备案工作,按等级落实保护措施。要强化信息系统网络安全等级保护测评、整改工作,坚决执行“未测评系统不上线,上线系统必测评”的要求。
2.5 切实加强网络安全人才培养,提升人员素质
站段应积极创造各类培训机会和条件,鼓励管理型和技能型人才主动学习,自我提升。同时站段对人才的培养选拔应逐步由“选马”机制向“赛马”机制转换,对于科技、网络安全等人才的选拔培养,要不唯学历,不唯经历,关键看学习力、执行力。面对日新月异的新形势,能不能尽快掌握新知识、适应新要求、高标准、高质量完成任务,要从“高度、速度、力度”三个方面全方位体现。
3 结束语
安全是中国铁路运输永恒的主题,是各项工作的前提和基础。随着“八纵八横”高速铁路网的逐步建成落地,智能铁路的网络安全管理是个值得思考的问题。铁路车务站段依据国家、总公司、集团公司自上而下的网络安全管理体系,结合自身实际,形成具有基层站段自身特点的网络安全管理模式是当务之急。