前言：本站為你精心整理了鐵路基層站段網絡安全現狀淺析范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：鐵路基層站段是鐵路網絡安全的具體執行者，由于各種因素，基層站段網絡安全往往存在一定的問題。本文分析了基層站段網絡安全方面普遍存在的問題，并從人員、技術、物資等方面提出了對應的解決辦法，可以為鐵路基層網絡安全管理人員提供參考。

關鍵詞：鐵路；基層；網絡安全；分析

伴隨信息技術的發展，各行各業早已離不開計算機的使用，計算機及網絡不僅給人類帶來了極大的便利，也促進了各行業生產力的發展[1]。另一方面，也應看到，信息及網絡技術的發展，對黑客或不法人員的攻擊手段同樣有極大的提升，使得現階段網絡安全形勢更加嚴峻，比如棱鏡門事件及勒索病毒等網絡安全事件等的發生，促使大家思考如何在享用計算機網絡帶來便利的同時，做好網絡安全防護[2]，改善網絡安全形勢。鐵路作為國家重要的交通部門之一，同樣廣泛使用了計算機及網絡技術，無論是內部辦公還是防災、視頻、動環、TDCS、TMIS、傳輸、會議、同步網等系統的管理[3]，都必須通過計算機網絡來實施。鐵路基層站段由于人員、技術、物資等多方面的原因，往往存在各種網絡安全方面的問題。

1存在的問題

1.1人的方面

（1）基層人員對網絡安全不重視[4]一個站段往往由多個科室、車間組成，車間下邊又包含多個工區或班組。部分車間及工區管理人員存在重生產、輕網絡安全的思想，認為這么多年來都沒出現過網絡安全問題，以后也不會發生，還不如抓生產效果來得明顯。基于這種想法，網絡安全工作往往會出現這種狀況：路局、站段對網絡安全工作非常重視，文件流轉到車間、工區，相關人員將文件打印出來，大家簽字就結束了，車間及工區人員并未認真學習上級部門所發網絡安全文件內容并做好落實。（2）基層人員網絡安全意識不強由于前期對網絡安全工作的忽視，導致基層及沿線各車間、工區對網絡安全工作不重視，造成基層及沿線車間、工區人員網絡安全意識淡薄，“一機兩網”、“違規外聯”等現象時有發生。2020年2月，某職工違規使用手機連接辦公電腦，構成“一機兩網”事件。2020年6月全路攻防演練期間，攻擊方通過冒充廠家維護人員的方式，從某車間管理人員處套取某系統管理員賬號及密碼，導致該系統在攻防演練期間失守。2021年2月，某段某工區電腦出現故障，該工區員工使用USB無線網卡連接手機熱點下載測試軟件，后又接入內部網絡，被北信源終端防護系統檢測到，構成“違規外聯”事件。（3）基層部分員工網絡安全知識儲備不足鐵路系統存在多個專業，各個專業對網絡安全知識的掌握程度各不相同。鐵路同時也是一個追求穩定的系統，只有穩定，才能使鐵路正常運行，但這也造成了部分工區人員多年未更新自己的知識儲備，知識結構陳舊，知識儲備不足。當面對與其專業知識并無關聯的網絡安全知識時，顯得無所適從，有時甚至會很抗拒。如國鐵集團發文要求安裝的北信源終端防護系統，很多員工極其抵觸，認為其影響電腦操作的流暢性，又沒多大用途。

1.2技的方面

（1）部分區域、系統鐵路內部網絡準入機制存在漏洞正常情況下，鐵路信息部門對計算機接入鐵路內部網絡使用IP地址與MAC地址綁定的方式進行處理。由于歷史、條件等多方面影響，部分樓宇、建筑內的交換機尚未做到IP地址與MAC地址的綁定，部分專業系統甚至未做準入設置，攻擊人員可以通過技術手段獲取網絡配置信息，侵入鐵路內部網絡。（2）內網計算機終端缺少統一的防護措施由于鐵路的特殊性，鐵路內部網絡與互聯網物理隔離，而大部分防病毒軟件都需要通過聯網的方式進行病毒庫升級，因此大部分計算機都未安裝殺毒軟件或者只能安裝單機版的殺毒軟件，之前各路局亦曾使用過離線升級包的方式對殺毒軟件進行病毒庫升級，但大部分員工不會主動去下載離線升級包進行病毒庫的升級，因此防護效果并不特別明顯。同時由于各站段計算機維護方式不一樣，部分站段使用GHOST版本或修改過的Windows安裝源進行系統的安裝，無法保證操作系統的純凈性、可靠性。（2）缺少統一的數據運營平臺[5]鐵路包含車務、機務、工務、電務、車輛、供電、房間等多個專業，出于業務的需要，各個專業會搭建本專業的各種運行、維護、管理系統，各站段出于管理的方便，也會搭建各種運行、維護、管理系統，各個專業各自為戰，各站段各自運行自己的系統，一方面加大員工的工作量，有些員工一天需要登錄多個系統進行事物的處理，另一方面由于各個專業、各個站段獨自運行自己的系統，無法做到各種數據的統一、融合，不僅增加管理難度，同時也增加了數據泄露的可能性，造成資金的浪費。

1.3物的方面

（1）部分計算機配置低，無法運行最新或較新的系統鐵路員工在使用計算機時，往往秉持能用就行的想法，因此很多低配置的老計算機仍然被大家所使用，以筆者所在的海口綜合維修段為例，目前存在較多的AMDAthlon（tm）IIX2215、240、250及Intel（R）Celeron（R）CPUE1500、3200、3300，以及Intel（R）Celeron（R）CPUJ1800、J1900等低性能的處理器，這些性能極低的老電腦，無法安裝Windows7或Windows10等新系統，只能安裝WindowsXP進行使用，而微軟早在2014年4月8日便停止對WindowsXP的服務支持，一旦發現WindowsXP存在新的漏洞，則無法獲得技術支持。（2）原有鐵路計算機網絡不足海口綜合維修段使用廣州信息所搭建的計算機網絡進行數據傳輸，部分交換機上聯帶寬只有2M，承擔廣州局集團公司文字及簡單文檔的傳輸尚可滿足性能方面的要求，但讓其承載視頻回放、視頻教學、在線會議等業務則會顯得無能為力。（3）移動存儲介質配備不足，管理不規范部分工區移動存儲介質配備不足，很多工區只有一個U盤或移動硬盤，當有需要的時候，這個U盤可能會插入多個計算機里進行數據的傳輸，當其中某一個U盤感染木馬或者勒索病毒時，很容易造成多臺計算機甚至大范圍計算機感染病毒的情況。2019年廣州局集團公司組織攻防演練，對管內各地區鐵路內網計算機進行掃描時，發現部分地區少量計算機感染勒索病毒。網絡安全從來不是一個簡單的問題，它涉及人的因素、技術的因素、物的因素，因此解決網絡安全問題，提高網絡安全能力，需要多個部門合作，齊心協力才能將網絡安全工作做好。基于當前基層站段網絡安全基礎薄弱，網絡安全形勢較為嚴峻的情況，應該從人、物、技三個方面著手，著力提高網絡安全防護能力，即需要做好“人防”、技防、物防三方面工作。

2解決辦法

2.1“人防”方面

（1）提高全員網絡安全意識計算機及網絡始終是由人來操作的，基層站段網絡安全形勢是否良好，與計算機及網絡設備的操作人員是否具備較高的網絡安全意識有極大的聯系。基層站段可以通過開展網絡安全動員會、網絡安全年、網絡安全活動周、制作網絡安全海報、宣傳手冊、開展網絡安全知識問答、展覽等活動，鼓勵全員參加各項網絡安全活動，增強網絡安全能力，提高網絡安全意識。各車間、工區管理人員應當將網絡安全放至與生產同等重要的位置，管生產也要管網絡安全，做到網絡安全與安全生產一起抓。各車間、科室應設置專門人員負責網絡安全事項，做好網絡安全工作的具體落實[5]。（2）加強教育培訓，提高網絡安全能力由于基層站段人員水平參差不齊，各計算機配置各不相同，每個人的操作習慣也不一樣，因此職教部門應通過網絡課堂、電子課件、宣傳展示等方式加強對員工的網絡安全知識培訓，同時各員工也可以通過公眾號、網絡學習等方式，主動學習各類網絡安全知識。（3）制定網絡安全使用規范、標準[6]站段層面應該制定本站段網絡安全管理辦法，使本站段網絡安全工作有據可依、有章可循；各專業科室應針對本專業、本科室管轄的各類設備制定相應的網絡安全細化措施；同時網絡安全人員應制定鐵路內部網絡、計算機的操作規程，讓各員工知道哪些事情是可以做的，哪些事情是違反網絡安全規定的。（4）提倡使用正版軟件，拒絕使用盜版軟件鐵路內網用戶使用的軟件，大多從互聯網下載而來，由于互聯網各網站提供的版本不一樣，制作人員也不一樣，因此不可避免會存在軟件被修改、攜帶病毒、存在安全漏洞等各種狀況，為避免用戶隨意從網上下載軟件拷貝至鐵路內網使用，同時降低信息泄露的風險，各站段應統一安排人員下載正版軟件或軟件的正版鏡像，將其拷貝至移動存儲介質，再通過專門的殺毒電腦進行殺毒后，上傳至統一的文件服務器，供各用戶下載，此項工作也可由集團信息部門落實。

2.2技防方面

（1）加強鐵路內部網絡計算機準入機制對現存未做IP地址與MAC地址綁定的部分樓宇、建筑內的交換機及未做準入設置的部分專業系統做好準入控制，嚴格按照各路局相關規定落實計算機準入制度；對重要系統做好等級保護評估、定級。（2）做好北信源終端防護系統的安裝工作[7]北信源終端防護系統是由北京北信源軟件有限公司開發，在全路推行的一套計算機終端防護系統。基層站段應嚴格落實國鐵集團相關規定，做好北信源終端防護系統的安裝與更新工作，對部分電腦配置低，安裝北信源終端防護系統后運行緩慢的電腦，應及時進行更換。鐵路內網計算機安裝北信源終端防護系統后，計算機用戶應按規定定期對電腦進行殺毒、安裝北信源終端防護系統推送的系統及應用軟件漏洞補丁并及時更新病毒庫。（3）構建統一的數據運營平臺從基層站段的角度來說，其并不具備構建統一的數據運營平臺的能力，上級鐵路部門才是構建統一數據運營平臺的主要實施者。數據運營平臺的設計，應秉承統一設計、統一規劃、統一投資、統一標準、統一建設、統一平臺的基本原則，借助新一代信息技術，充分發揮信息化的基礎性和引領性作用，消除業務壁壘，優化業務流程，擴展業務領域，強化業務能力。

2.3物防方面

（1）提升辦公網計算機硬件水平站段應通過各種辦法將配置極低的計算機進行更換，同時，通過更換CPU、增加內存、將機械硬盤更換為固態硬盤等方法，對部分尚有一定價值的計算機進行升級，以提升整體計算機硬件水平，提高計算機用戶使用流暢度。（2）進一步提升網絡性能鐵路站段應配合上級部門做好計算機網絡的規劃、改造、擴建等工作，從而提升計算機網絡帶寬，增強計算機網絡的業務承載能力，實現鐵路內部辦公系統向智能化、一體化、高速化發展。（3）規范移動介質管理基層站段應制定移動存儲介質的管理辦法，在滿足車間、工區對移動介質需求的前提下，車間、工區應嚴格按照站段制定的網絡安全管理辦法，規范移動存儲介質的使用，防止數據泄露、電腦感染病毒等狀況的發生。

3結束語

本文從人、技、物等三個方面分析了當前鐵路基層站段網絡安全方面存在的幾個問題，并給出了相應的解決辦法，希望能對鐵路基層網絡安全管理人員有所幫助。

參考文獻：

[1]劉積芬.網絡入侵檢測關鍵技術研究[D].上海：東華大學博士論文，2013.

[2]劉鑫.網絡入侵檢測系統中模式匹配算法的應用研究[D].大連海事大學碩士論文，2013.

[3]張衛軍，郭桂芳，劉清濤.鐵路通信網網絡安全體系架構研究[J].鐵道通信信號，2018，54（09）：37-42.

[4]李重言.站段計算機網絡安全的思考[J].上海鐵道科技，2012（02）：99-100.

[5]施衛忠.鐵路領域重要信息系統安全保障的創新與實踐[J].中國鐵路，2020（04）：2-6.

[6]王振華.鐵路通信網安全技術標準體系框架研究[J].鐵路通信信號工程技術，2018，15（05）：18-23.

[7]陳梁君.鐵路站段計算機網絡安全系統建設和應用[J].上海鐵道科技，2015（04）：67-69.

作者:羅康生  吳慧晴 單位:中國鐵路廣州局集團有限公司海口綜合維修段