◆羅康生 吳慧晴

鐵路基層站段網(wǎng)絡(luò)安全現(xiàn)狀分析及對策

◆羅康生 吳慧晴

（中國鐵路廣州局集團有限公司海口綜合維修段 海南 570212）

鐵路基層站段是鐵路網(wǎng)絡(luò)安全的具體執(zhí)行者，由于各種因素，基層站段網(wǎng)絡(luò)安全往往存在一定的問題。本文分析了基層站段網(wǎng)絡(luò)安全方面普遍存在的問題，并從人員、技術(shù)、物資等方面提出了對應(yīng)的解決辦法，可以為鐵路基層網(wǎng)絡(luò)安全管理人員提供參考。

鐵路；基層；網(wǎng)絡(luò)安全；分析

伴隨信息技術(shù)的發(fā)展，各行各業(yè)早已離不開計算機的使用，計算機及網(wǎng)絡(luò)不僅給人類帶來了極大的便利，也促進了各行業(yè)生產(chǎn)力的發(fā)展[1]。另一方面，也應(yīng)看到，信息及網(wǎng)絡(luò)技術(shù)的發(fā)展，對黑客或不法人員的攻擊手段同樣有極大的提升，使得現(xiàn)階段網(wǎng)絡(luò)安全形勢更加嚴(yán)峻，比如棱鏡門事件及勒索病毒等網(wǎng)絡(luò)安全事件等的發(fā)生，促使大家思考如何在享用計算機網(wǎng)絡(luò)帶來便利的同時，做好網(wǎng)絡(luò)安全防護[2]，改善網(wǎng)絡(luò)安全形勢。

鐵路作為國家重要的交通部門之一，同樣廣泛使用了計算機及網(wǎng)絡(luò)技術(shù)，無論是內(nèi)部辦公還是防災(zāi)、視頻、動環(huán)、TDCS、TMIS、傳輸、會議、同步網(wǎng)等系統(tǒng)的管理[3]，都必須通過計算機網(wǎng)絡(luò)來實施。鐵路基層站段由于人員、技術(shù)、物資等多方面的原因，往往存在各種網(wǎng)絡(luò)安全方面的問題。

1 存在的問題

1.1 人的方面

（1）基層人員對網(wǎng)絡(luò)安全不重視[4]

一個站段往往由多個科室、車間組成，車間下邊又包含多個工區(qū)或班組。部分車間及工區(qū)管理人員存在重生產(chǎn)、輕網(wǎng)絡(luò)安全的思想，認(rèn)為這么多年來都沒出現(xiàn)過網(wǎng)絡(luò)安全問題，以后也不會發(fā)生，還不如抓生產(chǎn)效果來得明顯?；谶@種想法，網(wǎng)絡(luò)安全工作往往會出現(xiàn)這種狀況：路局、站段對網(wǎng)絡(luò)安全工作非常重視，文件流轉(zhuǎn)到車間、工區(qū)，相關(guān)人員將文件打印出來，大家簽字就結(jié)束了，車間及工區(qū)人員并未認(rèn)真學(xué)習(xí)上級部門所發(fā)網(wǎng)絡(luò)安全文件內(nèi)容并做好落實。

（2）基層人員網(wǎng)絡(luò)安全意識不強

由于前期對網(wǎng)絡(luò)安全工作的忽視，導(dǎo)致基層及沿線各車間、工區(qū)對網(wǎng)絡(luò)安全工作不重視，造成基層及沿線車間、工區(qū)人員網(wǎng)絡(luò)安全意識淡薄，“一機兩網(wǎng)”、“違規(guī)外聯(lián)”等現(xiàn)象時有發(fā)生。

2020年2月，某職工違規(guī)使用手機連接辦公電腦，構(gòu)成“一機兩網(wǎng)”事件。

2020年6月全路攻防演練期間，攻擊方通過冒充廠家維護人員的方式，從某車間管理人員處套取某系統(tǒng)管理員賬號及密碼，導(dǎo)致該系統(tǒng)在攻防演練期間失守。

2021年2月，某段某工區(qū)電腦出現(xiàn)故障，該工區(qū)員工使用USB無線網(wǎng)卡連接手機熱點下載測試軟件，后又接入內(nèi)部網(wǎng)絡(luò)，被北信源終端防護系統(tǒng)檢測到，構(gòu)成“違規(guī)外聯(lián)”事件。

（3）基層部分員工網(wǎng)絡(luò)安全知識儲備不足

鐵路系統(tǒng)存在多個專業(yè)，各個專業(yè)對網(wǎng)絡(luò)安全知識的掌握程度各不相同。鐵路同時也是一個追求穩(wěn)定的系統(tǒng)，只有穩(wěn)定，才能使鐵路正常運行，但這也造成了部分工區(qū)人員多年未更新自己的知識儲備，知識結(jié)構(gòu)陳舊，知識儲備不足。當(dāng)面對與其專業(yè)知識并無關(guān)聯(lián)的網(wǎng)絡(luò)安全知識時，顯得無所適從，有時甚至?xí)芸咕?。如國鐵集團發(fā)文要求安裝的北信源終端防護系統(tǒng)，很多員工極其抵觸，認(rèn)為其影響電腦操作的流暢性，又沒多大用途。

1.2 技的方面

（1）部分區(qū)域、系統(tǒng)鐵路內(nèi)部網(wǎng)絡(luò)準(zhǔn)入機制存在漏洞

正常情況下，鐵路信息部門對計算機接入鐵路內(nèi)部網(wǎng)絡(luò)使用IP地址與MAC地址綁定的方式進行處理。由于歷史、條件等多方面影響，部分樓宇、建筑內(nèi)的交換機尚未做到IP地址與MAC地址的綁定，部分專業(yè)系統(tǒng)甚至未做準(zhǔn)入設(shè)置，攻擊人員可以通過技術(shù)手段獲取網(wǎng)絡(luò)配置信息，侵入鐵路內(nèi)部網(wǎng)絡(luò)。

（2）內(nèi)網(wǎng)計算機終端缺少統(tǒng)一的防護措施

由于鐵路的特殊性，鐵路內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離，而大部分防病毒軟件都需要通過聯(lián)網(wǎng)的方式進行病毒庫升級，因此大部分計算機都未安裝殺毒軟件或者只能安裝單機版的殺毒軟件，之前各路局亦曾使用過離線升級包的方式對殺毒軟件進行病毒庫升級，但大部分員工不會主動去下載離線升級包進行病毒庫的升級，因此防護效果并不特別明顯。

同時由于各站段計算機維護方式不一樣，部分站段使用GHOST版本或修改過的Windows安裝源進行系統(tǒng)的安裝，無法保證操作系統(tǒng)的純凈性、可靠性。

（2）缺少統(tǒng)一的數(shù)據(jù)運營平臺[5]

鐵路包含車務(wù)、機務(wù)、工務(wù)、電務(wù)、車輛、供電、房間等多個專業(yè)，出于業(yè)務(wù)的需要，各個專業(yè)會搭建本專業(yè)的各種運行、維護、管理系統(tǒng)，各站段出于管理的方便，也會搭建各種運行、維護、管理系統(tǒng)，各個專業(yè)各自為戰(zhàn)，各站段各自運行自己的系統(tǒng)，一方面加大員工的工作量，有些員工一天需要登錄多個系統(tǒng)進行事物的處理，另一方面由于各個專業(yè)、各個站段獨自運行自己的系統(tǒng)，無法做到各種數(shù)據(jù)的統(tǒng)一、融合，不僅增加管理難度，同時也增加了數(shù)據(jù)泄露的可能性，造成資金的浪費。

1.3 物的方面

（1）部分計算機配置低，無法運行最新或較新的系統(tǒng)

鐵路員工在使用計算機時，往往秉持能用就行的想法，因此很多低配置的老計算機仍然被大家所使用，以筆者所在的?？诰C合維修段為例，目前存在較多的AMD Athlon（tm）II X2 215、240、250及Intel（R）Celeron（R）CPU E1500、3200、3300，以及Intel（R）Celeron（R）CPU J1800、J1900等低性能的處理器，這些性能極低的老電腦，無法安裝Windows 7或Windows 10等新系統(tǒng)，只能安裝Windows XP進行使用，而微軟早在2014年4月8日便停止對Windows XP的服務(wù)支持，一旦發(fā)現(xiàn)Windows XP存在新的漏洞，則無法獲得技術(shù)支持。

（2）原有鐵路計算機網(wǎng)絡(luò)不足

?？诰C合維修段使用廣州信息所搭建的計算機網(wǎng)絡(luò)進行數(shù)據(jù)傳輸，部分交換機上聯(lián)帶寬只有2M，承擔(dān)廣州局集團公司文字及簡單文檔的傳輸尚可滿足性能方面的要求，但讓其承載視頻回放、視頻教學(xué)、在線會議等業(yè)務(wù)則會顯得無能為力。

（3）移動存儲介質(zhì)配備不足，管理不規(guī)范

部分工區(qū)移動存儲介質(zhì)配備不足，很多工區(qū)只有一個U盤或移動硬盤，當(dāng)有需要的時候，這個U盤可能會插入多個計算機里進行數(shù)據(jù)的傳輸，當(dāng)其中某一個U盤感染木馬或者勒索病毒時，很容易造成多臺計算機甚至大范圍計算機感染病毒的情況。

2019年廣州局集團公司組織攻防演練，對管內(nèi)各地區(qū)鐵路內(nèi)網(wǎng)計算機進行掃描時，發(fā)現(xiàn)部分地區(qū)少量計算機感染勒索病毒。

網(wǎng)絡(luò)安全從來不是一個簡單的問題，它涉及人的因素、技術(shù)的因素、物的因素，因此解決網(wǎng)絡(luò)安全問題，提高網(wǎng)絡(luò)安全能力，需要多個部門合作，齊心協(xié)力才能將網(wǎng)絡(luò)安全工作做好。基于當(dāng)前基層站段網(wǎng)絡(luò)安全基礎(chǔ)薄弱，網(wǎng)絡(luò)安全形勢較為嚴(yán)峻的情況，應(yīng)該從人、物、技三個方面著手，著力提高網(wǎng)絡(luò)安全防護能力，即需要做好“人防”、技防、物防三方面工作。

2 解決辦法

2.1 “人防”方面

（1）提高全員網(wǎng)絡(luò)安全意識

計算機及網(wǎng)絡(luò)始終是由人來操作的，基層站段網(wǎng)絡(luò)安全形勢是否良好，與計算機及網(wǎng)絡(luò)設(shè)備的操作人員是否具備較高的網(wǎng)絡(luò)安全意識有極大的聯(lián)系。

基層站段可以通過開展網(wǎng)絡(luò)安全動員會、網(wǎng)絡(luò)安全年、網(wǎng)絡(luò)安全活動周、制作網(wǎng)絡(luò)安全海報、宣傳手冊、開展網(wǎng)絡(luò)安全知識問答、展覽等活動，鼓勵全員參加各項網(wǎng)絡(luò)安全活動，增強網(wǎng)絡(luò)安全能力，提高網(wǎng)絡(luò)安全意識。

各車間、工區(qū)管理人員應(yīng)當(dāng)將網(wǎng)絡(luò)安全放至與生產(chǎn)同等重要的位置，管生產(chǎn)也要管網(wǎng)絡(luò)安全，做到網(wǎng)絡(luò)安全與安全生產(chǎn)一起抓。各車間、科室應(yīng)設(shè)置專門人員負(fù)責(zé)網(wǎng)絡(luò)安全事項，做好網(wǎng)絡(luò)安全工作的具體落實[5]。

（2）加強教育培訓(xùn)，提高網(wǎng)絡(luò)安全能力

由于基層站段人員水平參差不齊，各計算機配置各不相同，每個人的操作習(xí)慣也不一樣，因此職教部門應(yīng)通過網(wǎng)絡(luò)課堂、電子課件、宣傳展示等方式加強對員工的網(wǎng)絡(luò)安全知識培訓(xùn)，同時各員工也可以通過公眾號、網(wǎng)絡(luò)學(xué)習(xí)等方式，主動學(xué)習(xí)各類網(wǎng)絡(luò)安全知識。

（3）制定網(wǎng)絡(luò)安全使用規(guī)范、標(biāo)準(zhǔn)[6]

站段層面應(yīng)該制定本站段網(wǎng)絡(luò)安全管理辦法，使本站段網(wǎng)絡(luò)安全工作有據(jù)可依、有章可循；各專業(yè)科室應(yīng)針對本專業(yè)、本科室管轄的各類設(shè)備制定相應(yīng)的網(wǎng)絡(luò)安全細(xì)化措施；同時網(wǎng)絡(luò)安全人員應(yīng)制定鐵路內(nèi)部網(wǎng)絡(luò)、計算機的操作規(guī)程，讓各員工知道哪些事情是可以做的，哪些事情是違反網(wǎng)絡(luò)安全規(guī)定的。

（4）提倡使用正版軟件，拒絕使用盜版軟件

鐵路內(nèi)網(wǎng)用戶使用的軟件，大多從互聯(lián)網(wǎng)下載而來，由于互聯(lián)網(wǎng)各網(wǎng)站提供的版本不一樣，制作人員也不一樣，因此不可避免會存在軟件被修改、攜帶病毒、存在安全漏洞等各種狀況，為避免用戶隨意從網(wǎng)上下載軟件拷貝至鐵路內(nèi)網(wǎng)使用，同時降低信息泄露的風(fēng)險，各站段應(yīng)統(tǒng)一安排人員下載正版軟件或軟件的正版鏡像，將其拷貝至移動存儲介質(zhì)，再通過專門的殺毒電腦進行殺毒后，上傳至統(tǒng)一的文件服務(wù)器，供各用戶下載，此項工作也可由集團信息部門落實。

2.2 技防方面

（1）加強鐵路內(nèi)部網(wǎng)絡(luò)計算機準(zhǔn)入機制

對現(xiàn)存未做IP地址與MAC地址綁定的部分樓宇、建筑內(nèi)的交換機及未做準(zhǔn)入設(shè)置的部分專業(yè)系統(tǒng)做好準(zhǔn)入控制，嚴(yán)格按照各路局相關(guān)規(guī)定落實計算機準(zhǔn)入制度；對重要系統(tǒng)做好等級保護評估、定級。

（2）做好北信源終端防護系統(tǒng)的安裝工作[7]

北信源終端防護系統(tǒng)是由北京北信源軟件有限公司開發(fā)，在全路推行的一套計算機終端防護系統(tǒng)?；鶎诱径螒?yīng)嚴(yán)格落實國鐵集團相關(guān)規(guī)定，做好北信源終端防護系統(tǒng)的安裝與更新工作，對部分電腦配置低，安裝北信源終端防護系統(tǒng)后運行緩慢的電腦，應(yīng)及時進行更換。

鐵路內(nèi)網(wǎng)計算機安裝北信源終端防護系統(tǒng)后，計算機用戶應(yīng)按規(guī)定定期對電腦進行殺毒、安裝北信源終端防護系統(tǒng)推送的系統(tǒng)及應(yīng)用軟件漏洞補丁并及時更新病毒庫。

（3）構(gòu)建統(tǒng)一的數(shù)據(jù)運營平臺

從基層站段的角度來說，其并不具備構(gòu)建統(tǒng)一的數(shù)據(jù)運營平臺的能力，上級鐵路部門才是構(gòu)建統(tǒng)一數(shù)據(jù)運營平臺的主要實施者。數(shù)據(jù)運營平臺的設(shè)計，應(yīng)秉承統(tǒng)一設(shè)計、統(tǒng)一規(guī)劃、統(tǒng)一投資、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一建設(shè)、統(tǒng)一平臺的基本原則，借助新一代信息技術(shù)，充分發(fā)揮信息化的基礎(chǔ)性和引領(lǐng)性作用，消除業(yè)務(wù)壁壘，優(yōu)化業(yè)務(wù)流程，擴展業(yè)務(wù)領(lǐng)域，強化業(yè)務(wù)能力。

2.3 物防方面

（1）提升辦公網(wǎng)計算機硬件水平

站段應(yīng)通過各種辦法將配置極低的計算機進行更換，同時，通過更換CPU、增加內(nèi)存、將機械硬盤更換為固態(tài)硬盤等方法，對部分尚有一定價值的計算機進行升級，以提升整體計算機硬件水平，提高計算機用戶使用流暢度。

（2）進一步提升網(wǎng)絡(luò)性能

鐵路站段應(yīng)配合上級部門做好計算機網(wǎng)絡(luò)的規(guī)劃、改造、擴建等工作，從而提升計算機網(wǎng)絡(luò)帶寬，增強計算機網(wǎng)絡(luò)的業(yè)務(wù)承載能力，實現(xiàn)鐵路內(nèi)部辦公系統(tǒng)向智能化、一體化、高速化發(fā)展。

（3）規(guī)范移動介質(zhì)管理

基層站段應(yīng)制定移動存儲介質(zhì)的管理辦法，在滿足車間、工區(qū)對移動介質(zhì)需求的前提下，車間、工區(qū)應(yīng)嚴(yán)格按照站段制定的網(wǎng)絡(luò)安全管理辦法，規(guī)范移動存儲介質(zhì)的使用，防止數(shù)據(jù)泄露、電腦感染病毒等狀況的發(fā)生。

3 結(jié)束語

本文從人、技、物等三個方面分析了當(dāng)前鐵路基層站段網(wǎng)絡(luò)安全方面存在的幾個問題，并給出了相應(yīng)的解決辦法，希望能對鐵路基層網(wǎng)絡(luò)安全管理人員有所幫助。

[1]劉積芬.網(wǎng)絡(luò)入侵檢測關(guān)鍵技術(shù)研究[D].上海：東華大學(xué)博士論文，2013.

[2]劉鑫.網(wǎng)絡(luò)入侵檢測系統(tǒng)中模式匹配算法的應(yīng)用研究[D].大連海事大學(xué)碩士論文，2013.

[3]張衛(wèi)軍，郭桂芳，劉清濤.鐵路通信網(wǎng)網(wǎng)絡(luò)安全體系架構(gòu)研究[J].鐵道通信信號，2018，54（09）：37-42.

[4]李重言.站段計算機網(wǎng)絡(luò)安全的思考[J].上海鐵道科技，2012（02）：99-100.

[5]施衛(wèi)忠.鐵路領(lǐng)域重要信息系統(tǒng)安全保障的創(chuàng)新與實踐[J].中國鐵路，2020（04）：2-6.

[6]王振華.鐵路通信網(wǎng)安全技術(shù)標(biāo)準(zhǔn)體系框架研究[J].鐵路通信信號工程技術(shù)，2018，15（05）：18-23.

[7]陳梁君.鐵路站段計算機網(wǎng)絡(luò)安全系統(tǒng)建設(shè)和應(yīng)用[J].上海鐵道科技，2015（04）：67-69.