加强铁路基层站段信息系统安全运行的探索与思考

2010-04-14上海铁路局北郊站

上海铁道增刊 2010年1期

叶鹏上海铁路局北郊站

随着信息化的发展，铁路基层站段的运输生产已经越来越离不开计算机及网络技术的运用了，尤其是近几年，TMIS系统、货运计量监控系统、列车追踪系统等已经深入到我们基层站段的各个业务作业领域，信息系统的安全直接影响到铁路运输生产的安全。

铁路要开拓市场、提高服务质量、提高集约化管理的水平，信息化技术为我们提供了有力的推动力。路企联网，开动了铁路企业与地方企业信息交流的直通车；互联网技术的应用，不仅能够宣传企业提升企业的形象，同时也开启了企业与市场的一扇窗口；无纸化办公的实现，更使我们企业自身管理水平不断提高。因此，铁路基层站段信息系统的开发应用是我们自身管理的需要，也是提高铁路企业市场竞争力的需要。

铁路基层站段信息系统是中国铁路信息化建设的基础与信息源点，是中国铁路“十一五”规划，实现铁路跨越式发展从而保障国民经济高速有序发展的保障，因此，铁路基层站段信息系统的重要性不言而喻。

1 基层站段信息系统存在的安全问题

信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护，以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代，计算机网络已经成为一种不可缺少的信息交换工具。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点和人为的疏忽，致使网络易受计算机病毒、黑客或恶意软件的侵害。

网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件;运行服务安全，即保证服务的连续性、高效率。信息安全则主要是指数据安全，包括数据加密、备份、程序等。具体对铁路基层站段而言，大致存在以下几方面问题：

1.1 计算机使用环境相对较差

基层站段很多都是铁路沿线，自然环境比较复杂，供电配套不完善，防雷、防尘、防害等不到位，这些势必影响到计算机设备的使用和网络的稳定。

1.2 维护和操作技能参差不齐

基层站段虽然设有专门的计算机管理维护部门，但人员很大一部分是来自现场的非专业技术人员。因此，管理维护本身的技术能力不足；近年来，陆续补充了一些大中专生，但其中有相当部分也非计算机专业，加之基层对专业技术的培训没有形成常态有效的机制，人员的业务技能提高基本处于自学成才的状况。

一线现场的操作人员更是缺乏计算机基本操作技能，教育培训不够系统，基础的知识都跳过了，很多都是针对某个岗位的某个具体业务的操作培训，缺乏层次和循序渐进，一旦遇到问题应变能力较差，易于疏忽。

1.3 信息安全意识较差

计算机及网络应用不仅在企业，还深入了家庭和百姓的生活。但是，信息安全的意识却并未真正深入人心，甚至于很多人走入误区。在基层经常会听到这样的话：“中病毒很正常”，认为移动介质可随便带，配备的笔记本电脑是信息交换的便利工具，互联网网上获取的资料堂而皇之的可以立刻传到内网；一些机关科室的人员，系统出故障了，自己安装系统、软件甚至一些来路不明的游戏软件等；更有一些人员，擅自对联网环境进行更改，随意设置联网参数。种种现象都反映出，不少人对网络病毒黑客知识的认识不足，根子还在于，对于网络信息安全的意识严重缺失，对于企业信息管理和规范管理的认识严重缺失。

1.4 缺乏有效的技术管理手段

基层站段一般都设有计算机室，负责本单位的信息系统管理，但目前普遍处于一种所谓救火队员式的管理模式，即出现问题解决问题。这种模式在以前，基层计算机运用规模较小的情况下还能适用，但随着计算机技术的发展，尤其是在网络运用，系统趋于开放性、互联性、连接方式的多样性及终端分布的不均匀性，致使网络易受计算机病毒、黑客或恶意软件侵害的机率越来越高的情况下，被动应急的管理手段越来越不适应高速发展的需要。技术管理势必要被我们计算机专业管理人员提到桌面上。如何利用好现有的技术条件以及如何创造和改进现有的条件，提升信息管理的技术含量是信息系统安全的一个重要课题。

1.5 结合部管理存在漏洞

中国铁路目前由原来的铁道部-铁路局-铁路分局-站段四级管理体制，改为铁道部-铁路局-站段三级管理模式，这是纵向管理的模式，这其中还存在横向的一层，就是主业与辅业的管理模式。具体来讲，就是在基层站段的附近，还有很多相关铁路单位如多经公司、合资公司、公安、军代处等，这些单位与铁路的经营和生产密不可分，很多资源包括网络信息资源都是共享的，但是，在管理机制上，他们又是自成一体的,设备、管理都有独立的体系。这就存在一个结合部，这些单位的信息安全该怎么管，在使用上，他们是依托站段的资源，在管理上却又不属于站段的信息管理部门管理。开放的网络与分立的管理势必产生信息安全的漏洞。

2 加强基层站段信息系统安全的对策

上述存在的问题，可归纳为：设备环境、知识技能、思想意识、技术管理、机制管理等五个方面，那么我们的对策也就应从解决上述五大问题着手。

2.1 强化基础建设

利用一切可能的手段，不断地更新改善基层站段的计算机运行环境，硬件设施的建设必不可少。计算机设备也是具有一定使用寿命的，建立起一套完整的淘汰更新机制是必要的，基层站段要利用好现有的设备大修更新改造机制，利用好现有的零小项目计划机制，将信息装备也纳入其中，有的放矢、有步骤、有计划的提出必要的建议和措施，同时，还要注重环境建设，对于保障设备运行的措施比如配电、防雷、防尘也要作为一项基础工程来抓。要深刻认识到，环境建设不仅能够延长设备使用的寿命，更主要的是保障设备、系统安全可靠的运行。与此同时，还要建立起一套常态的检查监测制度，做好系统的巡查保养，做到早发现、早计划、早解决。

2.2 加强教育培训

教育始终是发展的前提，教育要从基础入手，教育要注重层次，教育要常态化。信息技术的教育要纳入基层站段的业务培训体系，基层教育培训部门有责任有义务与信息管理部门配合，做好这项工作。

2.3 牢固树立起信息安全意识

信息安全意识同样要从教育入手，前面我们已经说到了要加强教育培训，之所以单独提出，是突显思想意识问题在当前的重要性。在提高技术技能的同时，更要在安全防范意识上深化，要充分认识到当前网络技术的特点和存在的隐患、信息系统的安全和企业运输生产安全紧密相关和规范管理的重要性。我们常常说，在企业里面，“不是说会不会做的问题，而是可不可以做的问题”。我们职工的层次结构在不断优化，尤其是近几年来，大中专毕业生不断补充到基层单位，在信息技术方面的动手能力也在增强，然而，动手能力与管理意识和安全意识不是成正比的，尤其是新入路的大中专学生，在如何自觉维护企业信息安全上还是空白，我们的教育部门对于这部分人的教育，就要从规范、有序、自我约束上着手，同样，对于其他人，也要通过宣传教育，来不断强化信息安全的防范意识。要将信息安全纳入企业运输生产安全的体系里。毫不夸张地讲，铁路基层站段的信息安全和运输生产安全同等重要，企业信息安全的工作需要平时一点一滴的夯实基础，企业信息安全管理工作不存在好或更好的问题，我们需要的是一个稳定可靠的信息系统。

2.4 技术管理是解决问题的根本手段

技术管理从来就是和技术条件和技术能力相对应的，铁路基层站段相对于上级单位和路外单位来说在信息技术装备上，还存在着不小的差距，如何利用好现有的设备，提升管理水平是解决问题的关键。

2.4.1 硬件防火墙技术

就网络安全防护而言，防火墙不失为一种有效的技术，目前，基层站段的主要网络节点都配有铁道部统一的硬件防火墙设备，利用该设备，可以实时观察所辖网络的流量与访问连接，建立起监控机制，定期观察防火墙的日志，做到预先知晓，防患于未然；建立日志服务器，记录防火墙的历史日志，以供事后分析处理；设置防火墙安全策略，做到主动防御。

2.4.2 软件病毒防火墙技术

安装统一的病毒防火墙软件，是保护计算机系统的另一种手段。需要强调的是，病毒库的升级以及预警机制。所谓病毒库的升级很好理解，目前，在铁路企业，这个问题也是得到了解决。然而，病毒防护毕竟也是属于后知后防，对于来源我们往往忽略了，再加上联网的计算机终端位置分散，要一台台去查看历史记录也不现实。因此，建立起病毒防护记录的转发汇总是很必要的。目前，我们采取了一些必要的技术改进，充分利用了软件病毒防火墙里的消息通知机制和邮件报警机制，建立内部的邮件系统，将每台受到病毒攻击计算机的病毒日志记录，自动转发记录存档，计算机管理部门可以集中查看，对于网络蠕虫攻击、移动介质病毒的防治效果明显。

2.4.3 终端远程监控技术

终端远程监控可分为软、硬件两种方式，软件技术主要是利用统一安装远程监控软件，实现对联网终端的实时监控和维护响应，这是一种传统意义上的方式，其中须把握好关键涉密岗位的界定；其次就是利用硬件设备，借助电话线路实现远程环境参数的监控和远程复位充启。

2.5 突破传统观念，实现信息系统管理的统一

结合部的管理的难点在于开放的网络资源管理如何与分立的企业管理机制统一。在这方面，需突破传统思维方式的约束，树立信息系统管理一盘棋的观念，在这一点上，铁道部明确制定了“谁主管谁负责，谁运行谁负责”的原则，这也为我们在结合部的管理确立了方向，即基层站段的结合部管理须统一管理标准和机制，以基层站段为中心，不仅在技术层面突出地区网络汇聚点的中心作用，在管理层面同样要突显规范统一的制度管理理念。只要是联网设备，不管是哪个单位的，都要由其所依托的网络汇聚点的站段一并负责管理。