工業(yè)企業(yè)鐵路運(yùn)輸網(wǎng)絡(luò)體系的可靠性管理

李傳宇 陳國豐 溫曉明

（山鋼集團(tuán)萊蕪分公司 山東萊蕪）

山鋼集團(tuán)萊蕪分公司的鐵路運(yùn)輸計算機(jī)網(wǎng)絡(luò)系統(tǒng)覆蓋全面，經(jīng)過多年的發(fā)展，逐漸形成了運(yùn)輸調(diào)度指揮系統(tǒng)、辦公自動化文件管理系統(tǒng)、物流系統(tǒng)、微機(jī)聯(lián)鎖系統(tǒng)、工業(yè)電視監(jiān)控系統(tǒng)等多個系統(tǒng)于一體的網(wǎng)絡(luò)體系結(jié)構(gòu)。各個生產(chǎn)區(qū)域的調(diào)度員根據(jù)生產(chǎn)現(xiàn)場情況制定運(yùn)輸生產(chǎn)作業(yè)計劃，信號員與機(jī)車車務(wù)人員負(fù)責(zé)傳達(dá)和實施，同時各站段分散控制，最后由運(yùn)輸部調(diào)度集中管理。可通過網(wǎng)絡(luò)實時監(jiān)控運(yùn)輸生產(chǎn)現(xiàn)場的實際情況，極大提高了運(yùn)輸生產(chǎn)效率。

鐵路運(yùn)輸計算機(jī)的網(wǎng)絡(luò)可靠性系統(tǒng)是基于動態(tài)物理隔離、用戶身份認(rèn)證、訪問控制實現(xiàn)的，從而體現(xiàn)了鐵路運(yùn)輸網(wǎng)絡(luò)內(nèi)外網(wǎng)邊界的保護(hù)。由于鐵路運(yùn)輸計算機(jī)絕大多數(shù)都無法連接外網(wǎng)，所以無法及時對其進(jìn)行病毒庫升級、漏洞軟件更新等維護(hù)，再加上操作人員或多或少存在安全意識缺失、漠視安全規(guī)定、移動存儲廣泛應(yīng)用等方面的問題，不僅計算機(jī)容易感染病毒、遭受ARP攻擊，網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及系統(tǒng)數(shù)據(jù)也極易遭受破壞和更改，嚴(yán)重影響了系統(tǒng)連續(xù)及可靠性，甚至使網(wǎng)絡(luò)服務(wù)中斷或系統(tǒng)癱瘓、運(yùn)輸生產(chǎn)數(shù)據(jù)泄露等。為此，針對現(xiàn)階段鐵路運(yùn)輸網(wǎng)絡(luò)體系狀況，實行了以下管理措施。

一、安裝和配置防火墻

防火墻是保證鐵路運(yùn)輸網(wǎng)絡(luò)體系可靠性的第一道屏障，通常放在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，以保證內(nèi)部網(wǎng)絡(luò)的安全。任務(wù)是：①在不危及內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)與其他資源的前提下，允許本地用戶使用外部網(wǎng)絡(luò)的資源；②將外部未被授權(quán)的用戶屏蔽在內(nèi)部網(wǎng)絡(luò)之外，無法使用內(nèi)部的資源。作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全城之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，而且本身具有較強(qiáng)的抗攻擊能力，還能提供信息安全服務(wù)，成為網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器、限制器和分析器，可有效監(jiān)控內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的任何活動。

由于有的辦公電腦可以通過第三方軟件連接外部網(wǎng)絡(luò)，這樣就很容易使同在一個內(nèi)部網(wǎng)絡(luò)的其他計算機(jī)間接感染病毒或遭受攻擊，嚴(yán)重時會導(dǎo)致重要信息外流或系統(tǒng)崩潰。為有效監(jiān)控內(nèi)外網(wǎng)絡(luò)之間的活動，控制出入網(wǎng)絡(luò)信息流，在內(nèi)外網(wǎng)之間安裝一道防火墻，辦公網(wǎng)電腦可使用DR.COM軟件通過身份驗證登陸外網(wǎng)，外部網(wǎng)絡(luò)無法共享和訪問內(nèi)部網(wǎng)絡(luò)。另外在物流和微機(jī)聯(lián)鎖網(wǎng)絡(luò)之間安裝另一道防火墻，使辦公網(wǎng)絡(luò)通過其映射的地址可訪問物流網(wǎng)絡(luò)，又完全隔離了物流和微機(jī)聯(lián)鎖網(wǎng)絡(luò)。網(wǎng)絡(luò)防火墻還有一個專門的保護(hù)區(qū)域DMZ（非軍事區(qū)），在內(nèi)部網(wǎng)絡(luò)將其單獨劃分出來，用一臺專門的電腦來建立內(nèi)網(wǎng)FTP服務(wù)器，內(nèi)網(wǎng)用戶可登錄設(shè)立的FTP服務(wù)器站點來下載相應(yīng)的維護(hù)軟件或其他相關(guān)工具。

二、網(wǎng)絡(luò)資源的合理分配

在目前國內(nèi)鐵路運(yùn)輸網(wǎng)絡(luò)體系結(jié)構(gòu)中，核心層交換機(jī)大部分要劃分3個以上VLAN，包括辦公網(wǎng)絡(luò)、物流網(wǎng)絡(luò)和微機(jī)聯(lián)鎖網(wǎng)絡(luò)，并在各個生產(chǎn)區(qū)域所在的下級交換機(jī)劃分相同的VLAN，將3種網(wǎng)絡(luò)統(tǒng)一分配。萊蕪分公司采用的是靜態(tài)主機(jī)IP分配方式，辦公網(wǎng)絡(luò)使用IPV4網(wǎng)絡(luò)B類私有IP地址，網(wǎng)號為172.16.99.0，網(wǎng)關(guān)設(shè)置172.16.99.1；物流網(wǎng)絡(luò)使用C類私有IP地址，網(wǎng)號為192.168.1.0，網(wǎng)關(guān)設(shè)置192.168.1.5；微機(jī)聯(lián)鎖網(wǎng)絡(luò)使用C類IP地址，網(wǎng)號設(shè)定為202.120.221.0和202.120.220.0；主機(jī)房增配了1臺物流服務(wù)器，設(shè)置網(wǎng)關(guān)為172.16.99.254。在各站段生產(chǎn)崗位的電腦上“Internet協(xié)議（TCP/IP協(xié)議）屬性”中的高級選項里添加此物流服務(wù)器的網(wǎng)關(guān)，再經(jīng)過防火墻的設(shè)置，實現(xiàn)了辦公電腦同時訪問辦公和物流網(wǎng)絡(luò)的功能，而物流網(wǎng)絡(luò)電腦只能訪問物流網(wǎng)絡(luò)，同時辦公電腦還可以通過DR.COM客戶端連接外部網(wǎng)絡(luò)。由于辦公和生產(chǎn)網(wǎng)絡(luò)是獨立的，生產(chǎn)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)又相互隔離，這樣就做到了“三網(wǎng)隔離”，即辦公、生產(chǎn)和外部網(wǎng)絡(luò)相互隔離，避免了非法攻擊。另外，利用現(xiàn)有的網(wǎng)絡(luò)資源，還建立了一套完全獨立的工業(yè)電視網(wǎng)絡(luò)監(jiān)控系統(tǒng)，能現(xiàn)場采集到鐵運(yùn)現(xiàn)場的實時畫面，通過光電轉(zhuǎn)換設(shè)備傳輸?shù)绞覂?nèi)，再經(jīng)過網(wǎng)絡(luò)系統(tǒng)傳送到各生產(chǎn)區(qū)域調(diào)度中心和保衛(wèi)處，做到生產(chǎn)與調(diào)度的同步進(jìn)行。通過以上網(wǎng)絡(luò)系統(tǒng)合理分配和網(wǎng)絡(luò)資源合理利用等方式，既有效利用了現(xiàn)有的網(wǎng)絡(luò)資源，又最大限度保證了辦公、物流、微機(jī)聯(lián)鎖和工業(yè)電視網(wǎng)絡(luò)的安全。

三、組建“內(nèi)網(wǎng)軟件安全服務(wù)中心”

由于采用的是靜態(tài)主機(jī)IP地址分配方式，并使用IPV4協(xié)議。為方便統(tǒng)一管理，管理人員將每臺電腦手動設(shè)定不同的IP地址，規(guī)范計算機(jī)名，記錄每臺電腦的MAC地址和設(shè)置相應(yīng)的工作組。為能及時排除內(nèi)網(wǎng)感染病毒等隱患，在維護(hù)中心指定的一臺電腦上安裝了實用應(yīng)用軟件和殺毒軟件以及最新病毒庫，將它們結(jié)合起來，組建了運(yùn)輸部“內(nèi)網(wǎng)軟件安全服務(wù)中心”，給這臺電腦設(shè)定一個專用IP地址：172.16.99.172，并對其進(jìn)行合理的設(shè)置。只用一臺普通的電腦就可運(yùn)行整個程序，該程序可實時監(jiān)控局域網(wǎng)中每臺加入電腦的狀況，包括漏洞、木馬、病毒和插件，可實時的從后臺進(jìn)行處理。在用戶名為“dwd172”、IP地址為“172.16.99.172”的服務(wù)器端安裝了“360安全衛(wèi)士企業(yè)定制版”，可實現(xiàn)一鍵查殺木馬、全網(wǎng)漏洞補(bǔ)丁修復(fù)、功能軟件升級、風(fēng)險預(yù)警等功能，極大保障了鐵路運(yùn)輸內(nèi)網(wǎng)體系的安全。在“內(nèi)網(wǎng)軟件安全服務(wù)中心”的基礎(chǔ)上，還不定期上外網(wǎng)更新實用軟件，設(shè)置網(wǎng)內(nèi)用戶共享，設(shè)置訪問權(quán)限為讀取，既方便內(nèi)網(wǎng)用戶自己下載和更新，又保證了服務(wù)中心服務(wù)器的安全。

“內(nèi)網(wǎng)軟件安全服務(wù)中心”分別應(yīng)用于鐵路運(yùn)輸生產(chǎn)物流系統(tǒng)專用網(wǎng)和各站段辦公網(wǎng)絡(luò)中，實現(xiàn)一臺電腦實時管理多臺電腦的功能，避免了因絕大部分電腦無法上網(wǎng)引起殺毒軟件功能低等缺陷，為集中管理鐵路運(yùn)輸網(wǎng)絡(luò)體系搭建了一個全能平臺。

四、開展職工網(wǎng)絡(luò)培訓(xùn)，加強(qiáng)網(wǎng)絡(luò)安全教育

（1）開展職工網(wǎng)絡(luò)技能方面的培訓(xùn)，組織專業(yè)人員成立“專家講堂”，由內(nèi)網(wǎng)管理維護(hù)中心的高級工程師擔(dān)任，由其編制一套針對鐵路運(yùn)輸企業(yè)人員的網(wǎng)絡(luò)安全技能講課資料，每個季度走訪一次各個站段，向職工講授計算機(jī)系統(tǒng)的基本組成原理、故障的應(yīng)急維修，以及鐵路運(yùn)輸安全教育等知識。課程結(jié)束后統(tǒng)一組織結(jié)業(yè)考試，并將成績納入經(jīng)濟(jì)考核范疇，對成績突出并有獨到見解的職工給予一定獎勵，針對成績不理想的不但要加深教育，還要設(shè)立單獨的課程，以達(dá)到知識普及的效果。

（2）由于鐵路運(yùn)輸生產(chǎn)要保持24h暢通無阻，有些值班人員因無法統(tǒng)一安排培訓(xùn)課程，為此在鐵路運(yùn)輸網(wǎng)絡(luò)資源的基礎(chǔ)上創(chuàng)建了一個多功能、集成化的網(wǎng)絡(luò)教育系統(tǒng)，內(nèi)網(wǎng)任何一臺電腦都可以登錄，通過網(wǎng)上視頻、遠(yuǎn)程課堂、電子書庫等形式，學(xué)習(xí)到計算機(jī)系統(tǒng)的基本組成原理、故障的應(yīng)急維修，以及鐵路運(yùn)輸安全教育等基礎(chǔ)內(nèi)容。提高了職工的操作技能水平，增強(qiáng)了安全責(zé)任意識，培養(yǎng)了分析和處理問題的能力，同時還不斷開闊了視野。

五、創(chuàng)建鐵路運(yùn)輸內(nèi)部網(wǎng)站

為了完善鐵路運(yùn)輸網(wǎng)絡(luò)體系，豐富鐵路運(yùn)輸文化，還創(chuàng)辦了企業(yè)的鐵運(yùn)網(wǎng)站，專門提供給相關(guān)用戶登錄和瀏覽。網(wǎng)站設(shè)有企業(yè)動態(tài)、網(wǎng)絡(luò)教育、文件匯編、班組建設(shè)和職工快線等平臺，供廣大職工使用。

（1）職工可通過內(nèi)網(wǎng)或在家里使用虛擬服務(wù)器登錄網(wǎng)站，可實時關(guān)注國內(nèi)外冶金行業(yè)的形勢和市場行情，查詢相關(guān)的行業(yè)生產(chǎn)信息，下載辦公自動化系統(tǒng)插件、相關(guān)應(yīng)用軟件和網(wǎng)絡(luò)教育課件等。

（2）“職工快線”版塊為廣大職工搭建起溝通交流平臺，發(fā)揮了企業(yè)和職工的“連心橋”作用，領(lǐng)導(dǎo)通過該平臺可傾聽職工心聲，解答職工困惑。職工可隨時向領(lǐng)導(dǎo)提出各自訴求、工作中的困難等。職工還可將合理化建議等寫在板塊上，與大家共享。

（3）為了加強(qiáng)班組建設(shè)，積極建設(shè)學(xué)習(xí)型班組，“班組建設(shè)”板塊還針對運(yùn)輸部的全部56個班組詳細(xì)制作了班組文化模塊，每個班組可上傳往年的歷史資料，當(dāng)天的工作內(nèi)容，以便領(lǐng)導(dǎo)統(tǒng)一審閱，還可以上傳電腦運(yùn)行情況是否良好等信息，以便技術(shù)人員檢查和維護(hù)，使故障排除在萌芽之中。

在國內(nèi)冶金企業(yè)行業(yè)形勢嚴(yán)峻的關(guān)鍵時刻，鐵路運(yùn)輸網(wǎng)絡(luò)體系的可靠與否，在很大程度上決定了生產(chǎn)效率的高低和企業(yè)效益的好壞。山鋼集團(tuán)萊蕪分公司運(yùn)輸部網(wǎng)絡(luò)維護(hù)中心利用現(xiàn)有的網(wǎng)絡(luò)資源，采取硬件、軟件相結(jié)合、網(wǎng)絡(luò)資源合理分配、開展職工網(wǎng)絡(luò)知識培訓(xùn)等方式，保證了企業(yè)信息在網(wǎng)絡(luò)上的安全和不泄露，避免了來自外來網(wǎng)絡(luò)的非法攻擊，實現(xiàn)了辦公、物流、微機(jī)聯(lián)鎖和工業(yè)電視監(jiān)控網(wǎng)絡(luò)的暢通運(yùn)行，為鐵路運(yùn)輸生產(chǎn)提供了良好的網(wǎng)絡(luò)支持。在科技飛速發(fā)展的今天，科學(xué)的利用現(xiàn)有的條件，合理分配網(wǎng)絡(luò)資源，做好鐵路運(yùn)輸網(wǎng)絡(luò)體系維護(hù)等工作，一定會為保產(chǎn)保量和企業(yè)健康發(fā)展，起到重要的作用。