◆羅康生 吳慧晴

鐵路基層站段網(wǎng)絡(luò)安全現(xiàn)狀分析及對策

◆羅康生 吳慧晴

（中國鐵路廣州局集團(tuán)有限公司海口綜合維修段 海南 570212）

鐵路基層站段是鐵路網(wǎng)絡(luò)安全的具體執(zhí)行者，由于各種因素，基層站段網(wǎng)絡(luò)安全往往存在一定的問題。本文分析了基層站段網(wǎng)絡(luò)安全方面普遍存在的問題，并從人員、技術(shù)、物資等方面提出了對應(yīng)的解決辦法，可以為鐵路基層網(wǎng)絡(luò)安全管理人員提供參考。

鐵路；基層；網(wǎng)絡(luò)安全；分析

伴隨信息技術(shù)的發(fā)展，各行各業(yè)早已離不開計(jì)算機(jī)的使用，計(jì)算機(jī)及網(wǎng)絡(luò)不僅給人類帶來了極大的便利，也促進(jìn)了各行業(yè)生產(chǎn)力的發(fā)展[1]。另一方面，也應(yīng)看到，信息及網(wǎng)絡(luò)技術(shù)的發(fā)展，對黑客或不法人員的攻擊手段同樣有極大的提升，使得現(xiàn)階段網(wǎng)絡(luò)安全形勢更加嚴(yán)峻，比如棱鏡門事件及勒索病毒等網(wǎng)絡(luò)安全事件等的發(fā)生，促使大家思考如何在享用計(jì)算機(jī)網(wǎng)絡(luò)帶來便利的同時(shí)，做好網(wǎng)絡(luò)安全防護(hù)[2]，改善網(wǎng)絡(luò)安全形勢。

鐵路作為國家重要的交通部門之一，同樣廣泛使用了計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)，無論是內(nèi)部辦公還是防災(zāi)、視頻、動(dòng)環(huán)、TDCS、TMIS、傳輸、會(huì)議、同步網(wǎng)等系統(tǒng)的管理[3]，都必須通過計(jì)算機(jī)網(wǎng)絡(luò)來實(shí)施。鐵路基層站段由于人員、技術(shù)、物資等多方面的原因，往往存在各種網(wǎng)絡(luò)安全方面的問題。

1 存在的問題

1.1 人的方面

（1）基層人員對網(wǎng)絡(luò)安全不重視[4]

一個(gè)站段往往由多個(gè)科室、車間組成，車間下邊又包含多個(gè)工區(qū)或班組。部分車間及工區(qū)管理人員存在重生產(chǎn)、輕網(wǎng)絡(luò)安全的思想，認(rèn)為這么多年來都沒出現(xiàn)過網(wǎng)絡(luò)安全問題，以后也不會(huì)發(fā)生，還不如抓生產(chǎn)效果來得明顯?；谶@種想法，網(wǎng)絡(luò)安全工作往往會(huì)出現(xiàn)這種狀況：路局、站段對網(wǎng)絡(luò)安全工作非常重視，文件流轉(zhuǎn)到車間、工區(qū)，相關(guān)人員將文件打印出來，大家簽字就結(jié)束了，車間及工區(qū)人員并未認(rèn)真學(xué)習(xí)上級部門所發(fā)網(wǎng)絡(luò)安全文件內(nèi)容并做好落實(shí)。

（2）基層人員網(wǎng)絡(luò)安全意識不強(qiáng)

由于前期對網(wǎng)絡(luò)安全工作的忽視，導(dǎo)致基層及沿線各車間、工區(qū)對網(wǎng)絡(luò)安全工作不重視，造成基層及沿線車間、工區(qū)人員網(wǎng)絡(luò)安全意識淡薄，“一機(jī)兩網(wǎng)”、“違規(guī)外聯(lián)”等現(xiàn)象時(shí)有發(fā)生。

2020年2月，某職工違規(guī)使用手機(jī)連接辦公電腦，構(gòu)成“一機(jī)兩網(wǎng)”事件。

2020年6月全路攻防演練期間，攻擊方通過冒充廠家維護(hù)人員的方式，從某車間管理人員處套取某系統(tǒng)管理員賬號及密碼，導(dǎo)致該系統(tǒng)在攻防演練期間失守。

2021年2月，某段某工區(qū)電腦出現(xiàn)故障，該工區(qū)員工使用USB無線網(wǎng)卡連接手機(jī)熱點(diǎn)下載測試軟件，后又接入內(nèi)部網(wǎng)絡(luò)，被北信源終端防護(hù)系統(tǒng)檢測到，構(gòu)成“違規(guī)外聯(lián)”事件。

（3）基層部分員工網(wǎng)絡(luò)安全知識儲(chǔ)備不足

鐵路系統(tǒng)存在多個(gè)專業(yè)，各個(gè)專業(yè)對網(wǎng)絡(luò)安全知識的掌握程度各不相同。鐵路同時(shí)也是一個(gè)追求穩(wěn)定的系統(tǒng)，只有穩(wěn)定，才能使鐵路正常運(yùn)行，但這也造成了部分工區(qū)人員多年未更新自己的知識儲(chǔ)備，知識結(jié)構(gòu)陳舊，知識儲(chǔ)備不足。當(dāng)面對與其專業(yè)知識并無關(guān)聯(lián)的網(wǎng)絡(luò)安全知識時(shí)，顯得無所適從，有時(shí)甚至?xí)芸咕堋Ｈ鐕F集團(tuán)發(fā)文要求安裝的北信源終端防護(hù)系統(tǒng)，很多員工極其抵觸，認(rèn)為其影響電腦操作的流暢性，又沒多大用途。

1.2 技的方面

（1）部分區(qū)域、系統(tǒng)鐵路內(nèi)部網(wǎng)絡(luò)準(zhǔn)入機(jī)制存在漏洞

正常情況下，鐵路信息部門對計(jì)算機(jī)接入鐵路內(nèi)部網(wǎng)絡(luò)使用IP地址與MAC地址綁定的方式進(jìn)行處理。由于歷史、條件等多方面影響，部分樓宇、建筑內(nèi)的交換機(jī)尚未做到IP地址與MAC地址的綁定，部分專業(yè)系統(tǒng)甚至未做準(zhǔn)入設(shè)置，攻擊人員可以通過技術(shù)手段獲取網(wǎng)絡(luò)配置信息，侵入鐵路內(nèi)部網(wǎng)絡(luò)。

（2）內(nèi)網(wǎng)計(jì)算機(jī)終端缺少統(tǒng)一的防護(hù)措施

由于鐵路的特殊性，鐵路內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離，而大部分防病毒軟件都需要通過聯(lián)網(wǎng)的方式進(jìn)行病毒庫升級，因此大部分計(jì)算機(jī)都未安裝殺毒軟件或者只能安裝單機(jī)版的殺毒軟件，之前各路局亦曾使用過離線升級包的方式對殺毒軟件進(jìn)行病毒庫升級，但大部分員工不會(huì)主動(dòng)去下載離線升級包進(jìn)行病毒庫的升級，因此防護(hù)效果并不特別明顯。

同時(shí)由于各站段計(jì)算機(jī)維護(hù)方式不一樣，部分站段使用GHOST版本或修改過的Windows安裝源進(jìn)行系統(tǒng)的安裝，無法保證操作系統(tǒng)的純凈性、可靠性。

（2）缺少統(tǒng)一的數(shù)據(jù)運(yùn)營平臺(tái)[5]

鐵路包含車務(wù)、機(jī)務(wù)、工務(wù)、電務(wù)、車輛、供電、房間等多個(gè)專業(yè)，出于業(yè)務(wù)的需要，各個(gè)專業(yè)會(huì)搭建本專業(yè)的各種運(yùn)行、維護(hù)、管理系統(tǒng)，各站段出于管理的方便，也會(huì)搭建各種運(yùn)行、維護(hù)、管理系統(tǒng)，各個(gè)專業(yè)各自為戰(zhàn)，各站段各自運(yùn)行自己的系統(tǒng)，一方面加大員工的工作量，有些員工一天需要登錄多個(gè)系統(tǒng)進(jìn)行事物的處理，另一方面由于各個(gè)專業(yè)、各個(gè)站段獨(dú)自運(yùn)行自己的系統(tǒng)，無法做到各種數(shù)據(jù)的統(tǒng)一、融合，不僅增加管理難度，同時(shí)也增加了數(shù)據(jù)泄露的可能性，造成資金的浪費(fèi)。

1.3 物的方面

（1）部分計(jì)算機(jī)配置低，無法運(yùn)行最新或較新的系統(tǒng)

鐵路員工在使用計(jì)算機(jī)時(shí)，往往秉持能用就行的想法，因此很多低配置的老計(jì)算機(jī)仍然被大家所使用，以筆者所在的?？诰C合維修段為例，目前存在較多的AMD Athlon（tm）II X2 215、240、250及Intel（R）Celeron（R）CPU E1500、3200、3300，以及Intel（R）Celeron（R）CPU J1800、J1900等低性能的處理器，這些性能極低的老電腦，無法安裝Windows 7或Windows 10等新系統(tǒng)，只能安裝Windows XP進(jìn)行使用，而微軟早在2014年4月8日便停止對Windows XP的服務(wù)支持，一旦發(fā)現(xiàn)Windows XP存在新的漏洞，則無法獲得技術(shù)支持。

（2）原有鐵路計(jì)算機(jī)網(wǎng)絡(luò)不足

?？诰C合維修段使用廣州信息所搭建的計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸，部分交換機(jī)上聯(lián)帶寬只有2M，承擔(dān)廣州局集團(tuán)公司文字及簡單文檔的傳輸尚可滿足性能方面的要求，但讓其承載視頻回放、視頻教學(xué)、在線會(huì)議等業(yè)務(wù)則會(huì)顯得無能為力。

（3）移動(dòng)存儲(chǔ)介質(zhì)配備不足，管理不規(guī)范

部分工區(qū)移動(dòng)存儲(chǔ)介質(zhì)配備不足，很多工區(qū)只有一個(gè)U盤或移動(dòng)硬盤，當(dāng)有需要的時(shí)候，這個(gè)U盤可能會(huì)插入多個(gè)計(jì)算機(jī)里進(jìn)行數(shù)據(jù)的傳輸，當(dāng)其中某一個(gè)U盤感染木馬或者勒索病毒時(shí)，很容易造成多臺(tái)計(jì)算機(jī)甚至大范圍計(jì)算機(jī)感染病毒的情況。

2019年廣州局集團(tuán)公司組織攻防演練，對管內(nèi)各地區(qū)鐵路內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行掃描時(shí)，發(fā)現(xiàn)部分地區(qū)少量計(jì)算機(jī)感染勒索病毒。

網(wǎng)絡(luò)安全從來不是一個(gè)簡單的問題，它涉及人的因素、技術(shù)的因素、物的因素，因此解決網(wǎng)絡(luò)安全問題，提高網(wǎng)絡(luò)安全能力，需要多個(gè)部門合作，齊心協(xié)力才能將網(wǎng)絡(luò)安全工作做好?；诋?dāng)前基層站段網(wǎng)絡(luò)安全基礎(chǔ)薄弱，網(wǎng)絡(luò)安全形勢較為嚴(yán)峻的情況，應(yīng)該從人、物、技三個(gè)方面著手，著力提高網(wǎng)絡(luò)安全防護(hù)能力，即需要做好“人防”、技防、物防三方面工作。

2 解決辦法

2.1 “人防”方面

（1）提高全員網(wǎng)絡(luò)安全意識

計(jì)算機(jī)及網(wǎng)絡(luò)始終是由人來操作的，基層站段網(wǎng)絡(luò)安全形勢是否良好，與計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的操作人員是否具備較高的網(wǎng)絡(luò)安全意識有極大的聯(lián)系。

基層站段可以通過開展網(wǎng)絡(luò)安全動(dòng)員會(huì)、網(wǎng)絡(luò)安全年、網(wǎng)絡(luò)安全活動(dòng)周、制作網(wǎng)絡(luò)安全海報(bào)、宣傳手冊、開展網(wǎng)絡(luò)安全知識問答、展覽等活動(dòng)，鼓勵(lì)全員參加各項(xiàng)網(wǎng)絡(luò)安全活動(dòng)，增強(qiáng)網(wǎng)絡(luò)安全能力，提高網(wǎng)絡(luò)安全意識。

各車間、工區(qū)管理人員應(yīng)當(dāng)將網(wǎng)絡(luò)安全放至與生產(chǎn)同等重要的位置，管生產(chǎn)也要管網(wǎng)絡(luò)安全，做到網(wǎng)絡(luò)安全與安全生產(chǎn)一起抓。各車間、科室應(yīng)設(shè)置專門人員負(fù)責(zé)網(wǎng)絡(luò)安全事項(xiàng)，做好網(wǎng)絡(luò)安全工作的具體落實(shí)[5]。

（2）加強(qiáng)教育培訓(xùn)，提高網(wǎng)絡(luò)安全能力

由于基層站段人員水平參差不齊，各計(jì)算機(jī)配置各不相同，每個(gè)人的操作習(xí)慣也不一樣，因此職教部門應(yīng)通過網(wǎng)絡(luò)課堂、電子課件、宣傳展示等方式加強(qiáng)對員工的網(wǎng)絡(luò)安全知識培訓(xùn)，同時(shí)各員工也可以通過公眾號、網(wǎng)絡(luò)學(xué)習(xí)等方式，主動(dòng)學(xué)習(xí)各類網(wǎng)絡(luò)安全知識。

（3）制定網(wǎng)絡(luò)安全使用規(guī)范、標(biāo)準(zhǔn)[6]

站段層面應(yīng)該制定本站段網(wǎng)絡(luò)安全管理辦法，使本站段網(wǎng)絡(luò)安全工作有據(jù)可依、有章可循；各專業(yè)科室應(yīng)針對本專業(yè)、本科室管轄的各類設(shè)備制定相應(yīng)的網(wǎng)絡(luò)安全細(xì)化措施；同時(shí)網(wǎng)絡(luò)安全人員應(yīng)制定鐵路內(nèi)部網(wǎng)絡(luò)、計(jì)算機(jī)的操作規(guī)程，讓各員工知道哪些事情是可以做的，哪些事情是違反網(wǎng)絡(luò)安全規(guī)定的。

（4）提倡使用正版軟件，拒絕使用盜版軟件

鐵路內(nèi)網(wǎng)用戶使用的軟件，大多從互聯(lián)網(wǎng)下載而來，由于互聯(lián)網(wǎng)各網(wǎng)站提供的版本不一樣，制作人員也不一樣，因此不可避免會(huì)存在軟件被修改、攜帶病毒、存在安全漏洞等各種狀況，為避免用戶隨意從網(wǎng)上下載軟件拷貝至鐵路內(nèi)網(wǎng)使用，同時(shí)降低信息泄露的風(fēng)險(xiǎn)，各站段應(yīng)統(tǒng)一安排人員下載正版軟件或軟件的正版鏡像，將其拷貝至移動(dòng)存儲(chǔ)介質(zhì)，再通過專門的殺毒電腦進(jìn)行殺毒后，上傳至統(tǒng)一的文件服務(wù)器，供各用戶下載，此項(xiàng)工作也可由集團(tuán)信息部門落實(shí)。

2.2 技防方面

（1）加強(qiáng)鐵路內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)準(zhǔn)入機(jī)制

對現(xiàn)存未做IP地址與MAC地址綁定的部分樓宇、建筑內(nèi)的交換機(jī)及未做準(zhǔn)入設(shè)置的部分專業(yè)系統(tǒng)做好準(zhǔn)入控制，嚴(yán)格按照各路局相關(guān)規(guī)定落實(shí)計(jì)算機(jī)準(zhǔn)入制度；對重要系統(tǒng)做好等級保護(hù)評估、定級。

（2）做好北信源終端防護(hù)系統(tǒng)的安裝工作[7]

北信源終端防護(hù)系統(tǒng)是由北京北信源軟件有限公司開發(fā)，在全路推行的一套計(jì)算機(jī)終端防護(hù)系統(tǒng)?；鶎诱径螒?yīng)嚴(yán)格落實(shí)國鐵集團(tuán)相關(guān)規(guī)定，做好北信源終端防護(hù)系統(tǒng)的安裝與更新工作，對部分電腦配置低，安裝北信源終端防護(hù)系統(tǒng)后運(yùn)行緩慢的電腦，應(yīng)及時(shí)進(jìn)行更換。

鐵路內(nèi)網(wǎng)計(jì)算機(jī)安裝北信源終端防護(hù)系統(tǒng)后，計(jì)算機(jī)用戶應(yīng)按規(guī)定定期對電腦進(jìn)行殺毒、安裝北信源終端防護(hù)系統(tǒng)推送的系統(tǒng)及應(yīng)用軟件漏洞補(bǔ)丁并及時(shí)更新病毒庫。

（3）構(gòu)建統(tǒng)一的數(shù)據(jù)運(yùn)營平臺(tái)

從基層站段的角度來說，其并不具備構(gòu)建統(tǒng)一的數(shù)據(jù)運(yùn)營平臺(tái)的能力，上級鐵路部門才是構(gòu)建統(tǒng)一數(shù)據(jù)運(yùn)營平臺(tái)的主要實(shí)施者。數(shù)據(jù)運(yùn)營平臺(tái)的設(shè)計(jì)，應(yīng)秉承統(tǒng)一設(shè)計(jì)、統(tǒng)一規(guī)劃、統(tǒng)一投資、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一建設(shè)、統(tǒng)一平臺(tái)的基本原則，借助新一代信息技術(shù)，充分發(fā)揮信息化的基礎(chǔ)性和引領(lǐng)性作用，消除業(yè)務(wù)壁壘，優(yōu)化業(yè)務(wù)流程，擴(kuò)展業(yè)務(wù)領(lǐng)域，強(qiáng)化業(yè)務(wù)能力。

2.3 物防方面

（1）提升辦公網(wǎng)計(jì)算機(jī)硬件水平

站段應(yīng)通過各種辦法將配置極低的計(jì)算機(jī)進(jìn)行更換，同時(shí)，通過更換CPU、增加內(nèi)存、將機(jī)械硬盤更換為固態(tài)硬盤等方法，對部分尚有一定價(jià)值的計(jì)算機(jī)進(jìn)行升級，以提升整體計(jì)算機(jī)硬件水平，提高計(jì)算機(jī)用戶使用流暢度。

（2）進(jìn)一步提升網(wǎng)絡(luò)性能

鐵路站段應(yīng)配合上級部門做好計(jì)算機(jī)網(wǎng)絡(luò)的規(guī)劃、改造、擴(kuò)建等工作，從而提升計(jì)算機(jī)網(wǎng)絡(luò)帶寬，增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的業(yè)務(wù)承載能力，實(shí)現(xiàn)鐵路內(nèi)部辦公系統(tǒng)向智能化、一體化、高速化發(fā)展。

（3）規(guī)范移動(dòng)介質(zhì)管理

基層站段應(yīng)制定移動(dòng)存儲(chǔ)介質(zhì)的管理辦法，在滿足車間、工區(qū)對移動(dòng)介質(zhì)需求的前提下，車間、工區(qū)應(yīng)嚴(yán)格按照站段制定的網(wǎng)絡(luò)安全管理辦法，規(guī)范移動(dòng)存儲(chǔ)介質(zhì)的使用，防止數(shù)據(jù)泄露、電腦感染病毒等狀況的發(fā)生。

3 結(jié)束語

本文從人、技、物等三個(gè)方面分析了當(dāng)前鐵路基層站段網(wǎng)絡(luò)安全方面存在的幾個(gè)問題，并給出了相應(yīng)的解決辦法，希望能對鐵路基層網(wǎng)絡(luò)安全管理人員有所幫助。

[1]劉積芬.網(wǎng)絡(luò)入侵檢測關(guān)鍵技術(shù)研究[D].上海：東華大學(xué)博士論文，2013.

[2]劉鑫.網(wǎng)絡(luò)入侵檢測系統(tǒng)中模式匹配算法的應(yīng)用研究[D].大連海事大學(xué)碩士論文，2013.

[3]張衛(wèi)軍，郭桂芳，劉清濤.鐵路通信網(wǎng)網(wǎng)絡(luò)安全體系架構(gòu)研究[J].鐵道通信信號，2018，54（09）：37-42.

[4]李重言.站段計(jì)算機(jī)網(wǎng)絡(luò)安全的思考[J].上海鐵道科技，2012（02）：99-100.

[5]施衛(wèi)忠.鐵路領(lǐng)域重要信息系統(tǒng)安全保障的創(chuàng)新與實(shí)踐[J].中國鐵路，2020（04）：2-6.

[6]王振華.鐵路通信網(wǎng)安全技術(shù)標(biāo)準(zhǔn)體系框架研究[J].鐵路通信信號工程技術(shù)，2018，15（05）：18-23.

[7]陳梁君.鐵路站段計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)和應(yīng)用[J].上海鐵道科技，2015（04）：67-69.