宮新鵬 喬敏慧

摘? ?要：當(dāng)前我國物流產(chǎn)業(yè)得到了飛速的發(fā)展，基于鐵路物流服務(wù)平臺，對鐵路物流服務(wù)平臺的系統(tǒng)構(gòu)建及網(wǎng)絡(luò)安全問題進(jìn)行了相關(guān)說明，在對整個(gè)應(yīng)用系統(tǒng)進(jìn)行詳盡分析后，文章提出了鐵路物流服務(wù)平臺網(wǎng)絡(luò)安全的解決方案，可以有效實(shí)現(xiàn)鐵路物流服務(wù)平臺的安全服務(wù)。

關(guān)鍵詞：鐵路物流;服務(wù)平臺;構(gòu)建;網(wǎng)絡(luò)安全

長期以來，基于我國運(yùn)力不足等綜合因素，我國的鐵路貨運(yùn)物流仍采用傳統(tǒng)的生產(chǎn)型模式，該模式已無法適應(yīng)當(dāng)前市場經(jīng)濟(jì)狀態(tài)下的現(xiàn)代物流市場，鐵路物流運(yùn)輸?shù)氖袌鲈诓粩嘞陆?。以呼和局為例，它在?nèi)蒙古地區(qū)運(yùn)輸份額不足40%[1]，物流產(chǎn)業(yè)的迅猛發(fā)展為改變現(xiàn)有鐵路傳統(tǒng)的組織管理模式提供了良好契機(jī)。

當(dāng)前，為了有效提高鐵路貨運(yùn)物流服務(wù)水平，提高現(xiàn)代化的網(wǎng)絡(luò)辦公水平，實(shí)現(xiàn)客戶與鐵路局各級運(yùn)輸部門的業(yè)務(wù)交互以及車皮計(jì)劃的網(wǎng)上受理、自動審批、網(wǎng)上公布，打造公開、公平、透明、便捷的對外貨運(yùn)辦理，建立了鐵路物流服務(wù)平臺。該鐵路物流服務(wù)平臺意義重大，基于通信網(wǎng)絡(luò)的安全性問題，必須構(gòu)建一套完整的鐵路物流服務(wù)平臺網(wǎng)絡(luò)安全體制，有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障鐵路運(yùn)輸企業(yè)的信息資源，為建立和發(fā)展現(xiàn)代鐵路物流奠定基礎(chǔ)[2]。

1? ? 鐵路服務(wù)物流平臺的構(gòu)建方案

結(jié)合鐵路運(yùn)輸?shù)奶攸c(diǎn)及用戶需求，按業(yè)務(wù)屬性規(guī)劃基于互聯(lián)網(wǎng)的客戶貨運(yùn)業(yè)務(wù)服務(wù)平臺和基于企業(yè)網(wǎng)的業(yè)務(wù)受理平臺兩級操作平臺;按業(yè)務(wù)類別規(guī)劃基于白貨、港口煤炭、區(qū)內(nèi)煤炭流程的多流程業(yè)務(wù)處理功能;按業(yè)務(wù)主體規(guī)劃基于客戶、物流公司、車站的3種業(yè)務(wù)操作平臺;按功能規(guī)劃為信息服務(wù)中心、用戶服務(wù)中心、車站服務(wù)中心、路局服務(wù)中心、系統(tǒng)管理中心5大服務(wù)中心。

2? ? 鐵路服務(wù)物流平臺的網(wǎng)絡(luò)結(jié)構(gòu)

服務(wù)平臺充分利用整合現(xiàn)有資源，以Web技術(shù)為核心，利用鐵路運(yùn)輸管理信息系統(tǒng)（Transportation Management Information System，TMIS）等鐵路信息系統(tǒng)資源，構(gòu)建統(tǒng)一便利的信息交換平臺，實(shí)現(xiàn)了信息資源在相關(guān)應(yīng)用中的共享[3-4]。

服務(wù)平臺采用瀏覽器/服務(wù)器模式（Browser/Server，B/S）體系結(jié)構(gòu)，以TMIS資源數(shù)據(jù)庫為核心，建立一套獨(dú)立的服務(wù)平臺。在鐵路總公司及各鐵路局設(shè)立數(shù)據(jù)中心，數(shù)據(jù)中心采取同一體系結(jié)構(gòu)。以Web技術(shù)為核心，運(yùn)行應(yīng)用服務(wù)中間件，建立相應(yīng)的TMIS，各子系統(tǒng)共享數(shù)據(jù)庫接口，來解決數(shù)據(jù)共享和功能擴(kuò)展問題。同時(shí)，采用面向服務(wù)的結(jié)構(gòu)（Service-Oriented Architecture，SOA）技術(shù)實(shí)現(xiàn)統(tǒng)一訪問數(shù)據(jù)接口的構(gòu)建[5-6]。

3? ? 鐵路服務(wù)物流平臺網(wǎng)絡(luò)安全解決方案

3.1? 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)

鐵路物流信息平臺網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)思維：在平臺對內(nèi)及對外區(qū)域之中增加一個(gè)子網(wǎng)絡(luò)，該子網(wǎng)絡(luò)起到數(shù)據(jù)緩沖隔離作用。基于該情況，平臺可以有機(jī)地劃分為對內(nèi)信息、對外服務(wù)、中間子網(wǎng)絡(luò)3個(gè)區(qū)域。在該安全結(jié)構(gòu)設(shè)置的狀態(tài)下，平臺外部客戶無法直接訪問平臺內(nèi)部鐵路的信息網(wǎng)絡(luò)服務(wù)器，通過中間子網(wǎng)絡(luò)來訪問平臺鐵路的信息應(yīng)用服務(wù)器，實(shí)現(xiàn)平臺網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)。同理，鐵路內(nèi)部網(wǎng)絡(luò)用戶也只有通過中間子網(wǎng)絡(luò)才能訪問平臺鐵路的信息應(yīng)用服務(wù)器，進(jìn)而對數(shù)據(jù)進(jìn)行轉(zhuǎn)儲和管理。在該網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)狀態(tài)下，入侵者只能到達(dá)信息應(yīng)用服務(wù)器層面，無法對平臺內(nèi)部鐵路的信息網(wǎng)絡(luò)服務(wù)器進(jìn)行破壞，有效保護(hù)了鐵路內(nèi)網(wǎng)的重要數(shù)據(jù)。

3.2? 設(shè)備安全管理設(shè)計(jì)

日前機(jī)房建設(shè)及相應(yīng)的規(guī)章管理制度比較齊全，所以，主要在網(wǎng)絡(luò)設(shè)備安全配置方面做了努力。其中包括網(wǎng)絡(luò)設(shè)備的軟件版本的及時(shí)更新;所有路由器維護(hù)在本地進(jìn)行;所有路由器的管理都是用互聯(lián)網(wǎng)安全協(xié)議（Internet Protocol Security，IPSEC）或使用一次性口令系統(tǒng)對路由器的訪問進(jìn)行控制;關(guān)閉路由器上不需要的服務(wù)，組織路由器接收帶源路由標(biāo)記的包，關(guān)閉路由器廣播部的轉(zhuǎn)發(fā);路由器的k，gin Banner信息中不包括該路由器名字、型號、時(shí)間等詳細(xì)信息，啟動控制列表的日志功能;路由器開啟日志功能;鐵路內(nèi)部網(wǎng)絡(luò)使用靜態(tài)路由，對外服務(wù)在連接IntPr-net的接口上雙向禁用RJP和開放最短路徑優(yōu)先（Open Shortest Path First，OSPF）動態(tài)路由協(xié)議;強(qiáng)化互聯(lián)網(wǎng)控制報(bào)文協(xié)議（Internet Control Message Protocol，ICMP）、網(wǎng)際互連協(xié)議（Internet Protocol，IP）、傳輸控制協(xié)議（Transmission Control Protocol，TCP）的安全配置;在系統(tǒng)中根據(jù)不同的安全級別加強(qiáng)對計(jì)算機(jī)端口的設(shè)置。

3.3? 多鏈路負(fù)載均衡

充分利用多個(gè)互聯(lián)網(wǎng)連接通道，在網(wǎng)絡(luò)出口部署技術(shù)成熟的鏈路負(fù)載均衡器，通過其強(qiáng)大的健康檢查功能實(shí)時(shí)檢測不同鏈路的健康狀態(tài)，將用戶業(yè)務(wù)請求分發(fā)到最優(yōu)的鏈路實(shí)現(xiàn)業(yè)務(wù)訪問，為解決不同運(yùn)營商之間互連互通問題及實(shí)現(xiàn)最佳訪問效率提供了有效的解決方案。在此基礎(chǔ)上，為了避免單點(diǎn)故障，保證一臺鏈路負(fù)載均衡器發(fā)生故障時(shí)互聯(lián)網(wǎng)連接能夠連續(xù)通暢，同時(shí)部署了2臺鏈路負(fù)載均衡器，實(shí)現(xiàn)了設(shè)備冗余。

3.4? 智能域名解析

使用多個(gè)互聯(lián)網(wǎng)運(yùn)營商鏈路，通過在鏈路負(fù)載均衡器上部署智能域名解析功能，實(shí)現(xiàn)同一域名向不同運(yùn)營商接入用戶提供相對應(yīng)的lP地址，鏈路負(fù)載均衡器根據(jù)靜態(tài)列表及動態(tài)判斷算法，選擇最優(yōu)的線路，然后將域名解析成相應(yīng)運(yùn)營商線路的IP地址，保證外部用戶訪問物流服務(wù)平臺時(shí)在鏈路方面的自動優(yōu)化。

3.5? 多級多平面交換架構(gòu)

通過具體的網(wǎng)絡(luò)規(guī)劃，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的高效傳輸。按照不同的網(wǎng)絡(luò)層次配置相應(yīng)網(wǎng)絡(luò)設(shè)備，劃分相應(yīng)的IP網(wǎng)絡(luò)數(shù)據(jù)段。面向出口方向部署能夠抵御網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全設(shè)備，面向核心業(yè)務(wù)方向部署應(yīng)用及數(shù)據(jù)服務(wù)器，同時(shí)，劃出網(wǎng)絡(luò)安全審計(jì)區(qū)部署各類審計(jì)設(shè)備。通過在網(wǎng)絡(luò)核心環(huán)節(jié)上安裝兩臺高度可靠、性能強(qiáng)大的高端核心交換機(jī)達(dá)到上述網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)及功能實(shí)現(xiàn)。兩臺核心交換機(jī)構(gòu)成冗余備份，采用先進(jìn)的多級多平面交換架構(gòu)，支持100 GF以太網(wǎng)標(biāo)準(zhǔn)，提供持續(xù)的高帶寬數(shù)據(jù)傳輸，充分滿足無阻塞應(yīng)用及未來發(fā)展需求。在架構(gòu)上，采用獨(dú)立的交換網(wǎng)板卡，控制引擎和交換網(wǎng)板硬件相互獨(dú)立，最大限度地提高設(shè)備可靠性，同時(shí)，為今后設(shè)備的升級提供基礎(chǔ)。

3.6? 分層防御安全體系

針對物流服務(wù)對信息傳輸?shù)陌踩翱焖僖?，采用信息安全領(lǐng)域成熟的安全防護(hù)技術(shù)，構(gòu)建分層防御安全體系框架，部署可有效抵御各類非法攻擊的安全防范策略，保證物流平臺業(yè)務(wù)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)資源得到完整、準(zhǔn)確、連續(xù)運(yùn)行和服務(wù)不受干擾破壞或非授權(quán)使用，物流服務(wù)平臺對當(dāng)前及可預(yù)見未來的各類安全威脅部署了全面的防御設(shè)施及策略，體現(xiàn)了多路冗余、分層防護(hù)的特點(diǎn)[7]。在直接與互聯(lián)網(wǎng)對接的位置部署高可用集群防火墻，在網(wǎng)絡(luò)延伸位置部署高精準(zhǔn)入侵防御設(shè)備（Intrusion Prevention System，IPS）及流量控制設(shè)備，同時(shí)，在服務(wù)器交換節(jié)點(diǎn)部署系統(tǒng)漏洞掃描設(shè)備。

3.7? 系統(tǒng)安全保障技術(shù)

以既有的鐵路安全平臺為基礎(chǔ)，綜合運(yùn)用防火墻、流量監(jiān)控等安全設(shè)備和技術(shù)，進(jìn)一步增強(qiáng)信息系統(tǒng)的安全防范、防攻擊、防滲透、進(jìn)行數(shù)據(jù)加密、合法用戶認(rèn)證、訪問控制等功能。構(gòu)建鐵路服務(wù)物流平臺網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)，在平臺上采用符合公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）、X.509v3規(guī)范的數(shù)字證書系統(tǒng)，就可以對系統(tǒng)用戶身份進(jìn)行鑒別，實(shí)現(xiàn)有效的安全認(rèn)證等功能。在設(shè)計(jì)中對安全隔離網(wǎng)閘及安全控制服務(wù)器進(jìn)行有機(jī)整合，形成完整統(tǒng)一的數(shù)據(jù)傳輸安全控制系統(tǒng);在設(shè)計(jì)中采用安全隔離硬件可以使系統(tǒng)內(nèi)外兩個(gè)網(wǎng)絡(luò)在鏈路層斷開，防止非法網(wǎng)絡(luò)行為的攻擊;在設(shè)計(jì)中采用輕型目錄訪問協(xié)議（Lightweight Directory Access Protocol，LDAP）數(shù)據(jù)庫結(jié)構(gòu)，有效對用戶進(jìn)行安全管理;在設(shè)計(jì)中采用Access Manager服務(wù)確認(rèn)用戶的身份及相應(yīng)的授權(quán)信息。系統(tǒng)可以根據(jù)自身記錄的報(bào)警情況、日志信息及相應(yīng)涉及安全管理方面的信息，進(jìn)行有效的綜合評估，從而對系統(tǒng)平臺網(wǎng)絡(luò)的不安全行為進(jìn)行統(tǒng)計(jì)分析，形成相應(yīng)的報(bào)告。平臺管理者通過安全報(bào)告可以有效掌握平臺網(wǎng)絡(luò)結(jié)構(gòu)的安全問題，可以有效地采取補(bǔ)救措施，從而實(shí)現(xiàn)鐵路物流服務(wù)平臺網(wǎng)絡(luò)的安全，保障其安全、穩(wěn)定的運(yùn)行。

4? ? 結(jié)語

本研究在簡要介紹鐵路物流服務(wù)平臺應(yīng)用意義的基礎(chǔ)上，對當(dāng)前鐵路服務(wù)物流平臺的構(gòu)建方案和網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了分析。對鐵路物流平臺的網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)給出了較綜合的解決方案。

[參考文獻(xiàn)]

[1]李霞.呼和浩特鐵路局貨運(yùn)營銷輔助決策系統(tǒng)的研究與應(yīng)用[D].蘭州：蘭州交通大學(xué)，2015.

[2]付冶.信息化企業(yè)的網(wǎng)絡(luò)安全管理[J].煉油與化工，2011（6）：50-52，66.

[3]易美超.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范策略[J].內(nèi)蒙古科技與經(jīng)濟(jì)，2008（6）：217-219.

[4]陳萍，陳華明.計(jì)算機(jī)網(wǎng)絡(luò)安全與對策[J].福建電腦，2003（11）：71-73.

[5]胡新龍，李懷成.互聯(lián)網(wǎng)+醫(yī)療健康模式下的醫(yī)院網(wǎng)絡(luò)安全防護(hù)[J].中國衛(wèi)生信息管理雜志，2019（4）：462-466.

[6]施善妮，韋成燕.如何共享鐵路運(yùn)輸信息資源[J].鐵道運(yùn)營技術(shù)，2004（2）：15-17.

[7]王茜，朱志祥，葛新，等.應(yīng)用于云計(jì)算中心的虛擬主機(jī)安全防護(hù)系統(tǒng)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2014（3）：134-137.

Research on network security solution of railway logistics service platform

Gong Xinpeng， Qiao Minhui

（Hohhot Communication Section of China Railway Hohhot Bureau Group Co.， Ltd.， Hohhot 010020， China）

Abstract：At present， Chinas logistics industry has been developing rapidly. Based on the railway logistics service platform， the system construction and network security problems of the railway logistics service platform are explained. After a detailed analysis of the whole application system， the network security solution of the railway logistics service platform is proposed in this paper， which can effectively realize the security service of the railway logistics service platform.

Key words：railway logistics; service platform; construction; network security