Quality and risk assessment system for whole life cycle of railway information system
-
摘要: 随着我国铁路业务的不断增长,铁路网络安全和信息化建设发展迅速。铁路信息系统种类繁多、数量庞大,为保证“十四五”时期铁路信息系统有序开展统型、升级、改造,必须对其进行全生命周期的质量控制,识别从立项到废止的全过程中产生的各类安全风险,从而保障铁路业务平稳运营。文章结合能力成熟度整合模型(CMMI,Capability Maturity Model Integration)和全生命周期,从生命周期、质量和风险评估过程这3个维度,构建了铁路信息系统质量与风险评估体系,分析提出铁路信息系统质量风险识别清单,可协助快速定位其安全风险点。
-
关键词:
- 全生命周期 /
- 质量 /
- 风险评估 /
- 体系 /
- 能力成熟度整合模型(CMMI)
Abstract: With the continuous growth of China's railway business, railway network security and information construction have developed rapidly. There are a wide variety and a large number of railway information systems. In order to ensure the orderly development, upgrading, and transformation of railway information systems during the 14th Five Year Plan period, it is necessary to carry out quality control throughout its whole lifecycle, identify various security risks generated throughout the whole process from project approval to abolishment, and ensure the smooth operation of railway business. This paper combined the Capability Maturity Model Integration (CMMI) and the whole lifecycle to construct a railway information system quality and risk assessment system from three dimensions: lifecycle, quality, and risk assessment process, analyzed and proposed a railway information system quality risk identification checklist, which could help quickly locate its safety risk points.-
Keywords:
- whole life cycle /
- quality /
- risk assessment /
- system /
- Capability Maturity Model Integration (CMMI)
-
-
表 1 某铁路信息系统质量风险识别清单(部分)
全生命周期基本过程 质量指标 风险名称 带来的影响 风险等级 立项 立项管理 未执行立项手续 影响系统定位 低 立项管理 立项关键文件缺失 影响系统定位 很低 立项管理 立项失误 经济损失 中 立项管理 未开展可行性研究 影响系统定位 高 评审控制 未进行立项评审 经济损失、客户流失 高 项目经理及角色控制 未及时明确项目经理及相关人员角色 影响系统总体进度 低 ...... ...... ...... ...... 设计 需求分析 未开展安全功能需求分析 影响系统功能和定位 高 需求分析 未进行全面的安全功能需求 影响系统实现 中 需求分析 未能及时沟通安全需求 影响验收 中 功能性能需求 未全面开展功能性能需求调研 影响系统功能和定位 高 评审控制 对设计方案未评审 经济损失、影响系统开发周期 中 项目计划管理 未全面制定相关计划 影响系统进度 中 项目计划管理 计划不完整 影响系统进度 中 项目计划管理 未按计划执行 影响系统进度 低 ...... ...... ...... ...... 开发 安全开发 不具备独立的开发测试环境 影响系统定位 很高 安全开发 未制定安全开发代码规范 经济损失 高 安全开发 未部署版本控制系统 影响系统功能 中 安全开发 未制定外包开发制度规范 影响系统定位 中 安全开发 未对开源软件采取管控措施 影响系统功能 中 代码审计 未开展源代码安全审计 影响系统功能 高 ...... ...... ...... ...... 测试 功能测试 未开展功能测试 影响系统验收 高 功能测试 未对发现的缺陷及时修改 影响系统功能 高 性能测试 性能参数设计不准确 经济损失、影响系统验收 中 第三方安全测试 未明确是第三方测试机构 经济损失 中 第三方安全测试 安全测试内容不完备 影响系统验收 中 第三方安全测试 未对安全问题及时整改 影响系统功能 中 ...... ...... ...... ...... 部署 验收交付 未按照程序开展验收 影响系统验收 中 验收交付 未提供验收交付清单 影响系统验收 低 验收交付 未进行验收确认和培训 影响系统定位 低 ...... ...... ...... ...... 运维 系统运维 未制定详细的运维计划 影响系统安全 中 系统运维 未按照计划开展运维工作 影响系统安全 中 系统运维 未保留运维记录 影响系统安全 中 安全测评 未开展等级保护测评、风险评估、商用密码应用安全评估 影响系统安全 高 安全测评 未及时整改安全问题 影响系统安全 中 ...... ...... ...... ...... 下线 数据安全 未对数据进行迁移、存储、销毁等措施 影响系统安全 很高 ...... ...... ...... ...... -
[1] 宣蕾蕾. 基于Boehm模型的N公司软件项目风险管理研究[D]. 南京:南京农业大学,2016. [2] 田宇飚. 基于Charette模型的M公司IT项目风险管理研究[D]. 广州:华南理工大学,2019. [3] 申文文. 基于CMM模型的H企业供应链信息化管理研究[D]. 太原:中北大学,2022. [4] 张子剑,曹 静,张 丽,等. 全生命周期软件过程风险管理模型研究[J]. 计算机科学,2014,41(11):157-161. [5] 齐小玲,冯大鹏. CMMI体系建立过程及在项目管理中的作用[J]. 计算机科学,2013,40(11A):436-438. [6] 管东升,李浩铭. 信息化软件项目全生命周期管理研究[J]. 项目管理技术,2012,10(12):97-102. [7] 景龙刚. 全自动运行系统全生命周期安全风险管理[J]. 铁道通信信号,2019,55(4):81-84. [8] Surie D. Evaluation and integration of risk management in CMMI and ISO/IEC[EB/OL]. [2023-07-31]. https://1library.net/document/yng1nwml-evaluation-integration-risk-management-cmmi-iso-iec.html.
[9] 国家市场监督管理总局,国家标准化管理委员会. 信息安全技术 信息安全风险评估方法:GB/T 20984-2022[S]. 北京:中国标准出版社,2022. [10] 徐 晖,魏理豪,王 甜,等. 基于软件全生命周期的电力行业信息系统测评服务体系研究[J]. 计算机应用与软件,2012,29(11):239-242. [11] 谷增军. 基于生命周期会计信息系统安全风险评估与防范[J]. 财会通讯,2012,(22):91-92. [12] 魏苗苗,杭 杰. 融入差异性的帕累托集成剪枝方法[J]. 数据采集与处理,2018,33(3):555-563. [13] 程 琳,张同升. 作业条件风险评价法(LEC法)在外场试验安全管理中的应用实践[J]. 船舶标准化与质量,2020,(5):52-55. [14] 宋天予,黄 立,卢黎明. 信息系统全生命周期安全风险评估体系研究[J]. 湖州师范学院学报,2017,39(2):57-61. [15] 李武银. 信息系统生命周期各阶段的风险评估[J]. 有线电视技术,2006,13(8):11-14. -
期刊类型引用(12)
1. 昝国宁,王雨晴,刘娇龙,张泽明,张靖宇. MySQL数据库自动化运维管理系统的设计与实现. 铁路计算机应用. 2024(09): 39-43 . 本站查看
2. 凌康水. 云计算环境的自动化运维系统设计与实现. 网络安全技术与应用. 2023(04): 84-86 . 百度学术
3. 孙宁. 基于银企直联的铁路财会信息化建设方案研究. 铁路计算机应用. 2023(04): 48-52 . 本站查看
4. 朱晓阳,桑林俐,廖章杰,张令鑫. 基于Docker部署赛题的CTF竞技仿真靶场设计与开发. 信息与电脑(理论版). 2022(17): 17-19 . 百度学术
5. 李济伟,董耀众,孙建刚,李岩,李伟良. 探究基于动态基线的自动化运维管理系统. 数字技术与应用. 2021(02): 162-164 . 百度学术
6. 于行健,郑金子,曹鸿飞,娄昆. 境外铁路项目智能化系统方案研究. 铁路计算机应用. 2021(05): 64-69 . 本站查看
7. 李晨悦,卢荣平,赵秀琴,郭朋,普波涛. 铁路企业信息系统软件运维检修作业技术规范研究. 铁路计算机应用. 2021(08): 69-73 . 本站查看
8. 户江民,雷文虎,罗文,曾康娟. 分层分布式网系管理系统的后端协同运维设计. 电声技术. 2021(09): 50-55 . 百度学术
9. 徐飞. 应用性能管理结合日志分析在信息系统运维中的应用展望. 信息网络安全. 2021(S1): 101-104 . 百度学术
10. 朱文农. IT运维服务管理支撑系统的设计与实现. 科学技术创新. 2020(13): 95-96 . 百度学术
11. 赵佳. 建筑工程管理中创新模式的应用及发展. 建材与装饰. 2020(18): 123+125 . 百度学术
12. 汪岩. “互联网+大数据”时代高校信息系统自动化运维的探索. 工业控制计算机. 2020(06): 132-133 . 百度学术
其他类型引用(0)