唐貴俠 中國鐵路上海局集團(tuán)有限公司上海華東鐵路建設(shè)監(jiān)理公司

1 前言

2017 年6 月1 日實施的《中華人民共和國網(wǎng)絡(luò)安全法》成為我國首部網(wǎng)絡(luò)安全領(lǐng)域的法律, 為網(wǎng)絡(luò)健康發(fā)展提供了可靠保障。鐵路總公司在各鐵路集團(tuán)公司到各個站段已經(jīng)建設(shè)完信息化基礎(chǔ)建設(shè)，從網(wǎng)絡(luò)建設(shè)到實際應(yīng)用，基本上已經(jīng)覆蓋到運輸主業(yè)的各車間和班組，同時也建立了網(wǎng)絡(luò)安全防護(hù)、網(wǎng)絡(luò)安全保障體系。但是,我們鐵路非運輸企業(yè)由于各種原因，沒能很好的納入鐵路運輸網(wǎng)絡(luò)的總體信息化建設(shè)，信息化建設(shè)和管理相對來說，還存在一些差距，特別是在信息網(wǎng)絡(luò)安全方面，總體的管理還是比較薄弱。另外，各方面對信息網(wǎng)絡(luò)安全重視程度也不夠，為了更好的服務(wù)運輸生產(chǎn)和對外業(yè)務(wù)經(jīng)營，非運輸企業(yè)也必須高度重視信息網(wǎng)絡(luò)安全工作,杜絕非運輸企業(yè)的信息系統(tǒng)數(shù)據(jù)出現(xiàn)偏差和被竊取現(xiàn)象,有效保護(hù)系統(tǒng)信息不受侵害，也要在信息網(wǎng)絡(luò)安全方面保持與鐵路總公司思想上統(tǒng)一,行動上堅決,措施上有效,保障上有力。

根據(jù)現(xiàn)有鐵路信息系統(tǒng)的應(yīng)用情況，鐵路非運輸企業(yè)信息網(wǎng)絡(luò)安全隱患分內(nèi)部安全隱患和外部安全隱患。內(nèi)部安全隱患包括網(wǎng)絡(luò)安全知識普及、專業(yè)技術(shù)能力、一機兩網(wǎng)、違規(guī)外連、弱化口令、私建內(nèi)網(wǎng)WiFi、危險端口、系統(tǒng)漏洞、后臺配置管理不當(dāng)?shù)取Ｍ獠堪踩[患是指網(wǎng)絡(luò)的復(fù)雜性、開放性會讓網(wǎng)絡(luò)病毒和黑客攻擊等非法入侵行為。針對這些隱患提出了合理的控制策略,本著公開、透明、詳實的原則規(guī)范審查工作,實現(xiàn)制度規(guī)范化,讓信息網(wǎng)絡(luò)安全管理工作做實、做細(xì)。

2 網(wǎng)絡(luò)安全管理存在的隱患

2.1 內(nèi)部安全隱患

目前, 鐵路非運輸企業(yè)信息網(wǎng)絡(luò)安全管理雖然已經(jīng)按集團(tuán)公司要求實施和部署，但依舊存在一些問題,表現(xiàn)在：一是有些單位的領(lǐng)導(dǎo)對于信息安全的重視程度不夠高，意識不夠強，認(rèn)為有相關(guān)信息專業(yè)的人員去實施和管理就可以了，領(lǐng)導(dǎo)對信息網(wǎng)絡(luò)安全不必太關(guān)注。二是缺乏配備專職的計算機網(wǎng)絡(luò)安全人才和分級專項計算機信息人員。三是一些信息相關(guān)人員缺乏必要的網(wǎng)絡(luò)安全知識與安全意識，認(rèn)為自己只是作為一個鐵路信息應(yīng)用的使用者，網(wǎng)絡(luò)安全與自己沒有什么關(guān)系。四是對于網(wǎng)絡(luò)安全的一些措施與管理辦法施行不夠嚴(yán)格。五是對信息項目工程建設(shè)時網(wǎng)絡(luò)安全設(shè)備的投入比例不夠。

2.2 外部安全隱患

鐵路非運輸企業(yè)，近年來推廣和發(fā)揮“互聯(lián)網(wǎng)+應(yīng)用系統(tǒng)”，促進(jìn)了鐵路非運輸企業(yè)競爭核心力，滿足了時代對鐵路非運輸企業(yè)和市場對鐵路非運輸企業(yè)服務(wù)能力的要求。除了有對外的應(yīng)用服務(wù)系統(tǒng)，也有大量內(nèi)部應(yīng)用系統(tǒng)，對于應(yīng)用系統(tǒng)的服務(wù)性、網(wǎng)絡(luò)的復(fù)雜性、開放性可能會讓計算機網(wǎng)絡(luò)病毒乘虛而入,極大地危害了網(wǎng)絡(luò)安全與性能,給鐵路非運輸企業(yè)帶來不可預(yù)估的安全隱患。由于鐵路作為國家重要的基礎(chǔ)設(shè)施,現(xiàn)已有多個信息系統(tǒng)被列入到國家級重要信息系統(tǒng)。鐵路的很多信息數(shù)據(jù)也是國家的重要機密，近年來，也發(fā)生過多起不明境內(nèi)外黑客非法侵入事件，比如2019 年就發(fā)生某境外黑客非法侵入某集團(tuán)公司中心機房的重要應(yīng)用數(shù)據(jù)庫系統(tǒng)，給鐵路的信息安全造成重大影響。網(wǎng)絡(luò)黑客是一個復(fù)雜群體，其對網(wǎng)絡(luò)安全威脅主要包括發(fā)現(xiàn)和攻擊網(wǎng)絡(luò)操作系統(tǒng)的漏洞和缺陷，利用網(wǎng)絡(luò)安全的脆弱性進(jìn)行非法活動，除了盜取大量數(shù)據(jù)，還有可能造成重大破壞行為，如果鐵路信息系統(tǒng)遭到黑客攻擊，其造成的后果將不堪設(shè)想。

3 網(wǎng)絡(luò)安全的控制策略

3.1 建立專業(yè)網(wǎng)絡(luò)安全專職人員

網(wǎng)絡(luò)安全的重要性必須有配套的管理人員作為保障，必須建立可核查的網(wǎng)絡(luò)安全檢查機制并按時對相關(guān)部門進(jìn)行檢查和指導(dǎo)，現(xiàn)在各非運輸企業(yè)都設(shè)立了信息專職人員，賦予了其專門網(wǎng)絡(luò)安全管理職能，其主要職責(zé)范圍包含網(wǎng)絡(luò)安全的規(guī)劃、建設(shè)、管理和檢查。我單位就在公司安全部門設(shè)立了專職網(wǎng)絡(luò)安全工程師一名，負(fù)責(zé)整個公司計算機管理、培訓(xùn)、檢查、考核等，分公司一級設(shè)立專項信息管理人員，公司各部門、現(xiàn)場一級指定年輕大學(xué)生為兼職信息人員，并建立新職信息人員必須培訓(xùn)和定期培訓(xùn)管理制度。有了這個專業(yè)的人員配置，信息管理實現(xiàn)制度化和專業(yè)化，專業(yè)技術(shù)人員定期對網(wǎng)絡(luò)信息安全管理系統(tǒng)實現(xiàn)有效追蹤、管理和監(jiān)控，確保了我單位的信息網(wǎng)絡(luò)工作的安全。

3.2 加強網(wǎng)絡(luò)安全培訓(xùn)與教育

鐵路非運輸企業(yè)的信息安全與每位員工的信息安全意識密不可分,除了不定期對信息技術(shù)團(tuán)隊進(jìn)行技能培訓(xùn)，讓技術(shù)人員能緊跟信息網(wǎng)絡(luò)安全的前沿技術(shù)發(fā)展，了解最新的網(wǎng)絡(luò)安全產(chǎn)品與設(shè)備，提升信息管理團(tuán)隊的整體水平。其次對應(yīng)用信息系統(tǒng)的員工進(jìn)行網(wǎng)絡(luò)安全基礎(chǔ)知識培訓(xùn), 可通過教育警示片、安全管理技術(shù)培訓(xùn)等形式讓員工接受到系統(tǒng)的教育培訓(xùn)，提高網(wǎng)絡(luò)安全的認(rèn)識，提升計算機使用能力。由于鐵路非運輸企業(yè)用工結(jié)構(gòu)多種類型，人員復(fù)雜、文化素質(zhì)差異大，辦公地點一般散落在集團(tuán)公司管內(nèi)，我單位由公司專職網(wǎng)絡(luò)安全人員集中對分公司專項信息人員、公司各部門、現(xiàn)場兼職信息人員進(jìn)行培訓(xùn)、指導(dǎo)，分公司專項信息人員負(fù)責(zé)日?，F(xiàn)場兼職信息人員的管理和指導(dǎo)，各位現(xiàn)場兼職信息人員負(fù)責(zé)所轄現(xiàn)場每位人員的培訓(xùn)與指導(dǎo)，形成逐級培訓(xùn)、管理，人員數(shù)量由公司1 人→分公司6 人→現(xiàn)場兼職人員40人→使用人員達(dá)900 多人的規(guī)模。同時,通過制定硬性指標(biāo)和績效考核來提高所有員工的信息安全意識, 讓信息安全工作落實到了具體工作中。

3.3 優(yōu)化網(wǎng)絡(luò)安全管理技術(shù)

第一,為了保證信息免遭竊取、泄露、破壞和修改,使用了最常見設(shè)置密碼和用戶權(quán)限的手段,對數(shù)據(jù)進(jìn)行備份,讓系統(tǒng)運營更加合理。第二, 網(wǎng)絡(luò)信息安全管理包括設(shè)置防火墻。DPtech UMC 統(tǒng)一管理中心可以配合防火墻進(jìn)行使用,讓安全性能大幅提升,用戶點也能得到保護(hù)。在鐵路系統(tǒng)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,防火墻是一個比較理想的中介,能夠?qū)⒕W(wǎng)絡(luò)病毒和不安全信息拒之門外,拒絕非法訪問。第三,做好計算機系統(tǒng)的病毒防范工作,修補安全漏洞,升級病毒庫，遠(yuǎn)離病毒傳播。鐵路非運輸企業(yè)內(nèi)部必須采購具有安全專用資質(zhì)且能夠排除網(wǎng)絡(luò)病毒的正版軟件。但系統(tǒng)無論多理想、完備,都會存在一定的安全隱患與漏洞,只要計算機被人使用,就會存在感染病毒和木馬的潛在危險。因此,需要為系統(tǒng)打上補丁,及時升級病毒庫，讓程序能夠順利運行,進(jìn)而提升信息系統(tǒng)的安全系數(shù)。第四,使用入侵檢測系統(tǒng)能夠主動檢查網(wǎng)絡(luò)的易受攻擊點和安全漏洞, 能快速發(fā)現(xiàn)病毒的存在, 防止黑客非法入侵，進(jìn)而打開保護(hù)傘,將病毒、木馬、黑客等惡意襲擊的危害降到最低,這是最普遍的動態(tài)安全檢測防護(hù)手段。

3.4 加強對終端用戶網(wǎng)絡(luò)操作規(guī)范的管理

鐵路網(wǎng)絡(luò)安全信息管理工作由多方面組成, 除了管理技術(shù)人員要嚴(yán)格按照網(wǎng)絡(luò)操作規(guī)范執(zhí)行外, 大量一線終端用戶在實際工作中使用時，要嚴(yán)格規(guī)范操作行為，一是嚴(yán)格禁止一機兩網(wǎng)或私建內(nèi)網(wǎng)WiFi 的情況，這樣的行為各集團(tuán)公司都發(fā)文做了明確的禁止，最近有些集團(tuán)公司已經(jīng)嚴(yán)肅處理這種嚴(yán)重違規(guī)情況的案例，有的員工甚至被除名處理，除了對相關(guān)責(zé)任人作出嚴(yán)肅處理外，相關(guān)單位的領(lǐng)導(dǎo)將承擔(dān)連帶責(zé)任，這樣就在鐵路非運輸企業(yè)營造一種網(wǎng)絡(luò)安全人人有責(zé)。二是加強涉密網(wǎng)絡(luò)和移動存儲介質(zhì)的管理, 避免移動存儲介質(zhì)（如U 盤）在內(nèi)外網(wǎng)上混亂使用。三是使用保密網(wǎng)絡(luò)時，要審查人員的權(quán)限，堅決執(zhí)行保密審查制度,保護(hù)密碼口令不被輕易授權(quán)，避免涉密的計算機數(shù)據(jù)外漏。四是同時保證相關(guān)政策傳導(dǎo)到每一個相關(guān)使用人并簽署網(wǎng)絡(luò)安全責(zé)任書，在企業(yè)內(nèi)部構(gòu)建一個強大和有效的網(wǎng)絡(luò)安全網(wǎng)保護(hù)屏障。

3.5 整合網(wǎng)絡(luò)安全管理流程

信息網(wǎng)絡(luò)安全有一套嚴(yán)格的管理辦法與管理制度，在管理過程中,應(yīng)按照“誰主管誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則定期對所有信息系統(tǒng)(操作系統(tǒng)、中間件、數(shù)據(jù)庫、存儲、終端)和網(wǎng)絡(luò)開展全覆蓋的安全隱患排查, 對于一些重要應(yīng)用安全密碼管理是有嚴(yán)格管理制度，對于一些重要涉密數(shù)據(jù)也需要按照泄密管理流程處理，而在防火墻的應(yīng)用中要保證實時有效，病毒防護(hù)要及時更新升級。對現(xiàn)有信息系統(tǒng)網(wǎng)絡(luò)安全設(shè)備進(jìn)行臺賬清單梳理,合理規(guī)劃和執(zhí)行安全策略管理機制，理清信息系統(tǒng)責(zé)任單位和責(zé)任人，建立安全保障責(zé)任制，制定和完善安全管理流程。新建的網(wǎng)絡(luò)安全管理信息系統(tǒng)必須嚴(yán)格遵循"三同步"原則,即同步規(guī)劃、同步建設(shè)、同步使用,保證網(wǎng)絡(luò)信息安全工作在鐵路信息建設(shè)項目中的投資比例, 建議不少于6%,要將網(wǎng)絡(luò)安全工作貫穿于項目始終，形成有效的安全管理全過程。

4 結(jié)束語

隨著新一代信息技術(shù)的不斷發(fā)展，大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算、人工智能、機器人等將不斷在鐵路信息領(lǐng)域得到應(yīng)用與實施，對提升鐵路信息化、智能化將起到重要的作用。可以說鐵路非運輸企業(yè)的各項工作都離不開信息技術(shù)的支持，尤其是在鐵路關(guān)鍵的服務(wù)運輸生產(chǎn)的保障和輔助支持上，信息技術(shù)發(fā)揮了重要作用。要利用網(wǎng)絡(luò)技術(shù)做基礎(chǔ)支撐,排除信息網(wǎng)絡(luò)安全隱患尤為重要。讓我們以網(wǎng)絡(luò)安全技術(shù)為保障，制定嚴(yán)格的網(wǎng)絡(luò)信息安全保障機制，人人樹立網(wǎng)絡(luò)安全意識，構(gòu)建一個安全的鐵路非運輸企業(yè)網(wǎng)絡(luò)環(huán)境，保障鐵路非運輸企業(yè)的多元化經(jīng)營的高效運作。