加強鐵路基層站段信息系統安全運行的探索與思考

葉 鵬 上海鐵路局北郊站

隨著信息化的發展，鐵路基層站段的運輸生產已經越來越離不開計算機及網絡技術的運用了，尤其是近幾年，TMIS系統、貨運計量監控系統、列車追蹤系統等已經深入到我們基層站段的各個業務作業領域，信息系統的安全直接影響到鐵路運輸生產的安全。

鐵路要開拓市場、提高服務質量、提高集約化管理的水平，信息化技術為我們提供了有力的推動力。路企聯網，開動了鐵路企業與地方企業信息交流的直通車；互聯網技術的應用，不僅能夠宣傳企業提升企業的形象，同時也開啟了企業與市場的一扇窗口；無紙化辦公的實現，更使我們企業自身管理水平不斷提高。因此，鐵路基層站段信息系統的開發應用是我們自身管理的需要，也是提高鐵路企業市場競爭力的需要。

鐵路基層站段信息系統是中國鐵路信息化建設的基礎與信息源點，是中國鐵路“十一五”規劃，實現鐵路跨越式發展從而保障國民經濟高速有序發展的保障，因此，鐵路基層站段信息系統的重要性不言而喻。

1 基層站段信息系統存在的安全問題

信息安全是指為建立信息處理系統而采取的技術上和管理上的安全保護，以實現電子信息的保密性、完整性、可用性和可控性。當今信息時代，計算機網絡已經成為一種不可缺少的信息交換工具。然而，由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術弱點和人為的疏忽，致使網絡易受計算機病毒、黑客或惡意軟件的侵害。

網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全，即硬件平臺、操作系統、應用軟件;運行服務安全，即保證服務的連續性、高效率。信息安全則主要是指數據安全，包括數據加密、備份、程序等。具體對鐵路基層站段而言，大致存在以下幾方面問題：

1.1 計算機使用環境相對較差

基層站段很多都是鐵路沿線，自然環境比較復雜，供電配套不完善，防雷、防塵、防害等不到位，這些勢必影響到計算機設備的使用和網絡的穩定。

1.2 維護和操作技能參差不齊

基層站段雖然設有專門的計算機管理維護部門，但人員很大一部分是來自現場的非專業技術人員。因此，管理維護本身的技術能力不足；近年來，陸續補充了一些大中專生，但其中有相當部分也非計算機專業，加之基層對專業技術的培訓沒有形成常態有效的機制，人員的業務技能提高基本處于自學成才的狀況。

一線現場的操作人員更是缺乏計算機基本操作技能，教育培訓不夠系統，基礎的知識都跳過了，很多都是針對某個崗位的某個具體業務的操作培訓，缺乏層次和循序漸進，一旦遇到問題應變能力較差，易于疏忽。

1.3 信息安全意識較差

計算機及網絡應用不僅在企業，還深入了家庭和百姓的生活。但是，信息安全的意識卻并未真正深入人心，甚至于很多人走入誤區。在基層經常會聽到這樣的話：“中病毒很正常”，認為移動介質可隨便帶，配備的筆記本電腦是信息交換的便利工具，互聯網網上獲取的資料堂而皇之的可以立刻傳到內網；一些機關科室的人員，系統出故障了，自己安裝系統、軟件甚至一些來路不明的游戲軟件等；更有一些人員，擅自對聯網環境進行更改，隨意設置聯網參數。種種現象都反映出，不少人對網絡病毒黑客知識的認識不足，根子還在于，對于網絡信息安全的意識嚴重缺失，對于企業信息管理和規范管理的認識嚴重缺失。

1.4 缺乏有效的技術管理手段

基層站段一般都設有計算機室，負責本單位的信息系統管理，但目前普遍處于一種所謂救火隊員式的管理模式，即出現問題解決問題。這種模式在以前，基層計算機運用規模較小的情況下還能適用，但隨著計算機技術的發展，尤其是在網絡運用，系統趨于開放性、互聯性、連接方式的多樣性及終端分布的不均勻性，致使網絡易受計算機病毒、黑客或惡意軟件侵害的機率越來越高的情況下，被動應急的管理手段越來越不適應高速發展的需要。技術管理勢必要被我們計算機專業管理人員提到桌面上。如何利用好現有的技術條件以及如何創造和改進現有的條件，提升信息管理的技術含量是信息系統安全的一個重要課題。

1.5 結合部管理存在漏洞

中國鐵路目前由原來的鐵道部-鐵路局-鐵路分局-站段四級管理體制，改為鐵道部-鐵路局-站段三級管理模式，這是縱向管理的模式，這其中還存在橫向的一層，就是主業與輔業的管理模式。具體來講，就是在基層站段的附近，還有很多相關鐵路單位如多經公司、合資公司、公安、軍代處等，這些單位與鐵路的經營和生產密不可分，很多資源包括網絡信息資源都是共享的，但是，在管理機制上，他們又是自成一體的,設備、管理都有獨立的體系。這就存在一個結合部，這些單位的信息安全該怎么管，在使用上，他們是依托站段的資源，在管理上卻又不屬于站段的信息管理部門管理。開放的網絡與分立的管理勢必產生信息安全的漏洞。

2 加強基層站段信息系統安全的對策

上述存在的問題，可歸納為：設備環境、知識技能、思想意識、技術管理、機制管理等五個方面，那么我們的對策也就應從解決上述五大問題著手。

2.1 強化基礎建設

利用一切可能的手段，不斷地更新改善基層站段的計算機運行環境，硬件設施的建設必不可少。計算機設備也是具有一定使用壽命的，建立起一套完整的淘汰更新機制是必要的，基層站段要利用好現有的設備大修更新改造機制，利用好現有的零小項目計劃機制，將信息裝備也納入其中，有的放矢、有步驟、有計劃的提出必要的建議和措施，同時，還要注重環境建設，對于保障設備運行的措施比如配電、防雷、防塵也要作為一項基礎工程來抓。要深刻認識到，環境建設不僅能夠延長設備使用的壽命，更主要的是保障設備、系統安全可靠的運行。與此同時，還要建立起一套常態的檢查監測制度，做好系統的巡查保養，做到早發現、早計劃、早解決。

2.2 加強教育培訓

教育始終是發展的前提，教育要從基礎入手，教育要注重層次，教育要常態化。信息技術的教育要納入基層站段的業務培訓體系，基層教育培訓部門有責任有義務與信息管理部門配合，做好這項工作。

2.3 牢固樹立起信息安全意識

信息安全意識同樣要從教育入手，前面我們已經說到了要加強教育培訓，之所以單獨提出，是突顯思想意識問題在當前的重要性。在提高技術技能的同時，更要在安全防范意識上深化，要充分認識到當前網絡技術的特點和存在的隱患、信息系統的安全和企業運輸生產安全緊密相關和規范管理的重要性。我們常常說，在企業里面，“不是說會不會做的問題，而是可不可以做的問題”。我們職工的層次結構在不斷優化，尤其是近幾年來，大中專畢業生不斷補充到基層單位，在信息技術方面的動手能力也在增強，然而，動手能力與管理意識和安全意識不是成正比的，尤其是新入路的大中專學生，在如何自覺維護企業信息安全上還是空白，我們的教育部門對于這部分人的教育，就要從規范、有序、自我約束上著手，同樣，對于其他人，也要通過宣傳教育，來不斷強化信息安全的防范意識。要將信息安全納入企業運輸生產安全的體系里。毫不夸張地講，鐵路基層站段的信息安全和運輸生產安全同等重要，企業信息安全的工作需要平時一點一滴的夯實基礎，企業信息安全管理工作不存在好或更好的問題，我們需要的是一個穩定可靠的信息系統。

2.4 技術管理是解決問題的根本手段

技術管理從來就是和技術條件和技術能力相對應的，鐵路基層站段相對于上級單位和路外單位來說在信息技術裝備上，還存在著不小的差距，如何利用好現有的設備，提升管理水平是解決問題的關鍵。

2.4.1 硬件防火墻技術

就網絡安全防護而言，防火墻不失為一種有效的技術，目前，基層站段的主要網絡節點都配有鐵道部統一的硬件防火墻設備，利用該設備，可以實時觀察所轄網絡的流量與訪問連接，建立起監控機制，定期觀察防火墻的日志，做到預先知曉，防患于未然；建立日志服務器，記錄防火墻的歷史日志，以供事后分析處理；設置防火墻安全策略，做到主動防御。

2.4.2 軟件病毒防火墻技術

安裝統一的病毒防火墻軟件，是保護計算機系統的另一種手段。需要強調的是，病毒庫的升級以及預警機制。所謂病毒庫的升級很好理解，目前，在鐵路企業，這個問題也是得到了解決。然而，病毒防護畢竟也是屬于后知后防，對于來源我們往往忽略了，再加上聯網的計算機終端位置分散，要一臺臺去查看歷史記錄也不現實。因此，建立起病毒防護記錄的轉發匯總是很必要的。目前，我們采取了一些必要的技術改進，充分利用了軟件病毒防火墻里的消息通知機制和郵件報警機制，建立內部的郵件系統，將每臺受到病毒攻擊計算機的病毒日志記錄，自動轉發記錄存檔，計算機管理部門可以集中查看，對于網絡蠕蟲攻擊、移動介質病毒的防治效果明顯。

2.4.3 終端遠程監控技術

終端遠程監控可分為軟、硬件兩種方式，軟件技術主要是利用統一安裝遠程監控軟件，實現對聯網終端的實時監控和維護響應，這是一種傳統意義上的方式，其中須把握好關鍵涉密崗位的界定；其次就是利用硬件設備，借助電話線路實現遠程環境參數的監控和遠程復位充啟。

2.5 突破傳統觀念，實現信息系統管理的統一

結合部的管理的難點在于開放的網絡資源管理如何與分立的企業管理機制統一。在這方面，需突破傳統思維方式的約束，樹立信息系統管理一盤棋的觀念，在這一點上，鐵道部明確制定了“誰主管誰負責，誰運行誰負責”的原則，這也為我們在結合部的管理確立了方向，即基層站段的結合部管理須統一管理標準和機制，以基層站段為中心，不僅在技術層面突出地區網絡匯聚點的中心作用，在管理層面同樣要突顯規范統一的制度管理理念。只要是聯網設備，不管是哪個單位的，都要由其所依托的網絡匯聚點的站段一并負責管理。

3 結束語

要使基層站段信息系統安全可靠運行，需要我們以高標準、講科學、不懈怠的態度，經過不斷努力、不斷優化才能實現。更重要的是我們要樹立與時俱進的思維方式，不斷適應新情況，努力解決新問題，不斷學習新技術，適時調整、靈活應對。