霍 星，郑亚鸽，刘 洋，陆 垚

（中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

目前，我国铁路行业网络安全形势较为严峻，维护信息和网络的安全已成为维护铁路门户网站安全的重要内容[1-2]。铁路行业自身业务复杂，重要的生产信息系统均采用7×24 h 运行模式。随着铁路信息化程度的不断提高，铁路业务对信息系统的依赖程度越来越高，对信息系统故障的容忍度越来越低[3-4]。为此，中国国家铁路集团有限公司（简称：国铁集团）成立了网络安全与信息化领导小组，负责全国铁路网络安全工作，陆续出台了《中国铁路总公司网络安全管理办法》《铁路信息系统运行维护计划管理规定》等多种安全管理制度。这些安全管理制度对铁路信息化管理部门网络安全工作具有重要的指导意义和作用[5]。

全国煤炭交易平台（简称：交易平台）是支撑全国煤炭交易中心的核心业务系统，加之其对外服务应用部署在外部服务网，很容易受到网络攻击，因此，加强和巩固交易平台的信息和网络安全工作刻不容缓。交易平台的应用部署非常复杂，本文分析平台运行与维护（简称：运维）工作中存在的网络安全及管理机制问题，提出信息和网络安全建设及运维管理方案。

1 问题分析

1.1 信息交换的安全问题

目前，在铁路网络与信息安全管理体系中，系统内部的恶意攻击对网络与信息的安全造成较大影响。在实际的网络运行中，恶意攻击主要是利用系统中的漏洞及数据库缺陷对交易平台中的重要数据进行攻击，这无疑增加了网络入侵与攻击、机密信息泄露等安全事件发生的概率。

1.2 内部服务网及安全生产网管理制度问题

在内部服务网及安全生产网管理上，存在应急预案过于形式化，问题场景覆盖面不全，缺乏应急演练，网络安全等级保护级别不够准确，安全防护措施存在隐患等问题。此外，监测监控方式和手段比较单一，运维文档入库不及时，未对系统运维文档进行汇总整理，未按要求编写维护变更单，未将维护成果入配置库，这也对网络和信息安全造成威胁。

1.3 内部服务网与外部边界接入的安全问题

内部服务网与外部边界存在业务数据共享与隔离边界不清的问题，造成数据安全隐患。

1.4 应用及数据安全的运维管理问题

交易平台已正式迁移到铁路主数据中心，运维过程更加复杂，运维管理流程有待完善，缺乏专业运维队伍，出现故障时，维护人员操作无依据、执行不到位，无法做到迅速响应。

1.5 专业技术力量储备不足问题

缺乏复合型系统运维力量，且缺乏关键技术岗位互备机制。

2 平台架构

交易平台对外搭建全国煤炭交易、物流、金融、指数及相关延伸服务的综合性门户网站，提供网站、移动端应用软件、微信服务等接入渠道；对内构建交易中心业务管理相关的支撑平台，实现交易平台的业务和内部岗位作业的服务衔接。

交易平台的相关应用服务器部署在铁路外部服务网，通过互联网出口为客户提供服务，互联网出口部署于铁路外部服务网，主要由各运营商专线、出口防火墙、链路均衡器、入侵防御设备等构成。交易平台采用如防火墙、访问控制的安全技术提供安全防护，确保数据交互的安全和可靠性[6]。

建设交易平台“双活”应用，充分保障交易平台容灾能力，满足资源利用需求，确保业务的连续性。交易平台的业务架构如图1 所示，网络架构如图2 所示。

图1 全国煤炭交易平台业务架构

图2 全国煤炭交易平台网络架构

3 信息和网络安全建设方案

3.1 安全通信网络

交易平台内部各业务模块间通过RESTful 方式、启用安全套接层协议（SSL，Secure Sockets Layer）安全通信进行交互。交易平台与中国铁路95306 网等外部系统之间基于超文本传输协议（HTTPS，Hypertext Transfer Protocol Secure）进行安全通信。

3.2 安全区域边界

（1）针对外部服务应用安全威胁和混合型网络攻击，在互联网接入区域部署入侵防御系统，准确监测网络异常流量，基于黑/白名单机制自动应对各层面安全隐患，及时将安全威胁阻隔在系统外部。

（2）在互联网接入区域边界部署抗拒绝服务系统，对其自身进行边界保护。当监测到分布式拒绝服务攻击（DDOS，Distributed Denial of Service）攻击行为时，提供全面的响应机制，将业务流量引流、清洗，并将清洗后的流量回注到业务网络中，保证业务带宽、基础路由和业务主机的安全性和可用性，确保交易平台业务正常运营。

（3）基于黑/白名单、病毒库、沙箱等技术手段，有效检测网络中已知和未知的恶意软件，及时发现利用0day 漏洞的高级持续性威胁（APT，Advanced Persistent Threat）攻击行为，避免交易平台网络遭受0day 等攻击造成的敏感信息泄露、基础设施破坏等安全风险。

3.3 安全计算环境

在对交易平台用户进行身份认证时，使用双因子认证技术，认证成功后方可进行业务办理或数据对接。对内部运维管理人员采用堡垒机，基于口令等方式进行身份鉴别；对外部系统间接口交互采用基于加密算法的身份标识和签名等方式进行身份鉴别。

通过Syslog、SNMP Trap、文件传送协议（FTP，File Transfer Protocol）、安全文件传送协议（SFTP，SSH File Transfer Protocol）等多种日志采集方式收集设备日志和系统日志，日志至少留存6 个月。通过对日志的分类、过滤、强化、分析和存储等，提供日志管理分析和实时告警，实现交易平台的日志审计功能。

3.4 云安全

（1）网络安全：利用虚拟私有云（VPC，Virtual Private Cloud）、子网、安全组对不同业务应用进行隔离，确保各业务应用运行于一个独立区域，降低各业务应用相互影响的可能。

（2）区域边界安全：从边界防护、访问控制、入侵防范、安全审计等方面进行防护设计。

（3）虚拟机安全：从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、镜像和快照保护、数据完整性和保密性、剩余信息保护等方面进行设计。

3.5 安全管理中心

交易平台安全管理中心通过与态势感知平台、安全管理平台对接实现防护设计；安全设备与国铁集团铁网护栏工程中的态势感知平台进行对接。通过现有态势感知平台的统一接口协议完成对接，实现安全感知数据上传、分析等；与国铁集团铁网护栏工程中的安全管理平台进行对接。通过现有安全管理平台的统一接口协议完成对接，统一管理安全设备版本及规则库更新。

3.6 安全管理体系

（1）安全管理制度：从日常管理制度、物理环境与设施管理制度、设备与介质管理制度、运行与开发管理制度、应急响应管理制度等方面设计。

（2）安全管理机构：从岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面设计。

（3）安全管理人员：主要从人员录用、人员离岗、安全意识教育和培训、外部人员访问等方面加强管理和控制。

（4）安全建设管理：主要涉及项目定级备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等方面。从信息安全管理与风险控制角度出发，建立交易平台完善的信息安全管理制度体系和过程控制安全机制，为项目的全生命周期信息安全提供管理安全保障。

（5）安全运行维护与管理：内容包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等。

4 信息和网络安全运维管理方案

针对交易平台网络架构特点，结合平台在相关网络环境、平台架构、数据安全、运维手段、管理机制等方面存在的问题，提出交易平台信息和网络安全运维管理方案。

4.1 补强外服网安全及应用部署架构

依据交易平台安全配置规范，从电子签章安全、身份鉴别、恶意代码防范、访问控制、安全审计、数据保密性、入侵防范等方面[7]，对内容分发网（CDN，Content Delivery Network）、域名服务器、负载均衡服务器、操作系统、数据库软件、应用中间件软件进行安全加固，保证交易平台应用安全。交易平台将采用双中心双活架构，两中心通过CDN按访问流量均衡方式分发并行运行，并建有独立的数据级灾备中心，确保交易平台稳定运行。

4.2 完善内服网的安全运维管理机制

编制并不断更新网络应急预案；定期对系统网络安全进行自查及整改，从安全管理、系统管理、网络安全、应用等方面对系统存在的风险进行全面排查，强化安全漏洞修补和安全防护措施，完善自查报告的准确性和应急预案的可操作性，不断完善应急预案和运维手册，使其具备更好的实用性。

4.3 重视内服网与边界接入安全

通过加强对系统的边界介入安全的监管，保证全国煤炭交易平台身份鉴别、访问控制、资源控制、入侵防范等方面的信息安全。为使业务系统免遭网络攻击，并确保交易平台网络安全，运维团队组织平台关联系统运维工程师全面梳理各铁路局集团公司网站功能，按照设计方案实现功能集中部署，关闭应用服务器上不必要的应用、服务、端口、链接，统一管理账号口令，保证口令的强度。定期对交易平台相关服务器的CPU、内存、磁盘占用情况，以及传输、服务器情况进行检查，对内存占用较高的服务器进行缓存清理，对后台过期文件进行清理，释放文件系统空间，保证系统性能稳定。

4.4 优化日常安全运维策略

将交易平台所有应用进程纳入国铁集团信息系统运维管理监控系统；组建交易平台日常运维团队，通过7×24 h 的运维保障机制，实现对交易平台主机环境、中间件、存储设备、网络设备、数据库设备及其他相关外设的配置管理；通过日常运行监控、硬件性能调优、服务状态监控、故障检测处理等技术手段消除安全隐患。遇重大节假日，对交易平台进行一次全面检查，并对检查情况进行整理，整理结果上报运维领导小组。

4.5 推进人才队伍储备及团队建设

定期开展运维技术交流会及培训，加大维护人员人才培养工作，推荐具有丰富管理经验和扎实技术能力的人员承担运维保障工作，保证突发事件支持人员能够迅速到岗，及时处理故障。培养精通技术与业务的复合型运维人才，形成关键技术岗位互备机制，引进网络安全领域专家人才[9]。

5 结束语

本文提出了交易平台信息与网络安全维护方案，最大限度地减轻甚至消除突发事件对交易平台业务造成的损害，实现从技术和管理层面共同保障信息系统安全稳定运行的目标。下一步，将对整套体系化、高效、专业的运维管理手段进行研究，以达到将交易平台的日常生产运维工作做实、做细，提高维护人员对应急预案掌握的熟练程度的目的。