工業企業鐵路運輸網絡體系的可靠性管理

李傳宇 陳國豐 溫曉明

（山鋼集團萊蕪分公司 山東萊蕪）

山鋼集團萊蕪分公司的鐵路運輸計算機網絡系統覆蓋全面，經過多年的發展，逐漸形成了運輸調度指揮系統、辦公自動化文件管理系統、物流系統、微機聯鎖系統、工業電視監控系統等多個系統于一體的網絡體系結構。各個生產區域的調度員根據生產現場情況制定運輸生產作業計劃，信號員與機車車務人員負責傳達和實施，同時各站段分散控制，最后由運輸部調度集中管理。可通過網絡實時監控運輸生產現場的實際情況，極大提高了運輸生產效率。

鐵路運輸計算機的網絡可靠性系統是基于動態物理隔離、用戶身份認證、訪問控制實現的，從而體現了鐵路運輸網絡內外網邊界的保護。由于鐵路運輸計算機絕大多數都無法連接外網，所以無法及時對其進行病毒庫升級、漏洞軟件更新等維護，再加上操作人員或多或少存在安全意識缺失、漠視安全規定、移動存儲廣泛應用等方面的問題，不僅計算機容易感染病毒、遭受ARP攻擊，網絡系統中的硬件、軟件及系統數據也極易遭受破壞和更改，嚴重影響了系統連續及可靠性，甚至使網絡服務中斷或系統癱瘓、運輸生產數據泄露等。為此，針對現階段鐵路運輸網絡體系狀況，實行了以下管理措施。

一、安裝和配置防火墻

防火墻是保證鐵路運輸網絡體系可靠性的第一道屏障，通常放在外部網絡和內部網絡之間，以保證內部網絡的安全。任務是：①在不危及內部網絡數據與其他資源的前提下，允許本地用戶使用外部網絡的資源；②將外部未被授權的用戶屏蔽在內部網絡之外，無法使用內部的資源。作為不同網絡或網絡安全城之間信息的出入口，能根據企業的安全策略控制出入網絡的信息流，而且本身具有較強的抗攻擊能力，還能提供信息安全服務，成為網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器、限制器和分析器，可有效監控內部網絡和外部網絡之間的任何活動。

由于有的辦公電腦可以通過第三方軟件連接外部網絡，這樣就很容易使同在一個內部網絡的其他計算機間接感染病毒或遭受攻擊，嚴重時會導致重要信息外流或系統崩潰。為有效監控內外網絡之間的活動，控制出入網絡信息流，在內外網之間安裝一道防火墻，辦公網電腦可使用DR.COM軟件通過身份驗證登陸外網，外部網絡無法共享和訪問內部網絡。另外在物流和微機聯鎖網絡之間安裝另一道防火墻，使辦公網絡通過其映射的地址可訪問物流網絡，又完全隔離了物流和微機聯鎖網絡。網絡防火墻還有一個專門的保護區域DMZ（非軍事區），在內部網絡將其單獨劃分出來，用一臺專門的電腦來建立內網FTP服務器，內網用戶可登錄設立的FTP服務器站點來下載相應的維護軟件或其他相關工具。

二、網絡資源的合理分配

在目前國內鐵路運輸網絡體系結構中，核心層交換機大部分要劃分3個以上VLAN，包括辦公網絡、物流網絡和微機聯鎖網絡，并在各個生產區域所在的下級交換機劃分相同的VLAN，將3種網絡統一分配。萊蕪分公司采用的是靜態主機IP分配方式，辦公網絡使用IPV4網絡B類私有IP地址，網號為172.16.99.0，網關設置172.16.99.1；物流網絡使用C類私有IP地址，網號為192.168.1.0，網關設置192.168.1.5；微機聯鎖網絡使用C類IP地址，網號設定為202.120.221.0和202.120.220.0；主機房增配了1臺物流服務器，設置網關為172.16.99.254。在各站段生產崗位的電腦上“Internet協議（TCP/IP協議）屬性”中的高級選項里添加此物流服務器的網關，再經過防火墻的設置，實現了辦公電腦同時訪問辦公和物流網絡的功能，而物流網絡電腦只能訪問物流網絡，同時辦公電腦還可以通過DR.COM客戶端連接外部網絡。由于辦公和生產網絡是獨立的，生產網絡與外部網絡又相互隔離，這樣就做到了“三網隔離”，即辦公、生產和外部網絡相互隔離，避免了非法攻擊。另外，利用現有的網絡資源，還建立了一套完全獨立的工業電視網絡監控系統，能現場采集到鐵運現場的實時畫面，通過光電轉換設備傳輸到室內，再經過網絡系統傳送到各生產區域調度中心和保衛處，做到生產與調度的同步進行。通過以上網絡系統合理分配和網絡資源合理利用等方式，既有效利用了現有的網絡資源，又最大限度保證了辦公、物流、微機聯鎖和工業電視網絡的安全。

三、組建“內網軟件安全服務中心”

由于采用的是靜態主機IP地址分配方式，并使用IPV4協議。為方便統一管理，管理人員將每臺電腦手動設定不同的IP地址，規范計算機名，記錄每臺電腦的MAC地址和設置相應的工作組。為能及時排除內網感染病毒等隱患，在維護中心指定的一臺電腦上安裝了實用應用軟件和殺毒軟件以及最新病毒庫，將它們結合起來，組建了運輸部“內網軟件安全服務中心”，給這臺電腦設定一個專用IP地址：172.16.99.172，并對其進行合理的設置。只用一臺普通的電腦就可運行整個程序，該程序可實時監控局域網中每臺加入電腦的狀況，包括漏洞、木馬、病毒和插件，可實時的從后臺進行處理。在用戶名為“dwd172”、IP地址為“172.16.99.172”的服務器端安裝了“360安全衛士企業定制版”，可實現一鍵查殺木馬、全網漏洞補丁修復、功能軟件升級、風險預警等功能，極大保障了鐵路運輸內網體系的安全。在“內網軟件安全服務中心”的基礎上，還不定期上外網更新實用軟件，設置網內用戶共享，設置訪問權限為讀取，既方便內網用戶自己下載和更新，又保證了服務中心服務器的安全。

“內網軟件安全服務中心”分別應用于鐵路運輸生產物流系統專用網和各站段辦公網絡中，實現一臺電腦實時管理多臺電腦的功能，避免了因絕大部分電腦無法上網引起殺毒軟件功能低等缺陷，為集中管理鐵路運輸網絡體系搭建了一個全能平臺。

四、開展職工網絡培訓，加強網絡安全教育

（1）開展職工網絡技能方面的培訓，組織專業人員成立“專家講堂”，由內網管理維護中心的高級工程師擔任，由其編制一套針對鐵路運輸企業人員的網絡安全技能講課資料，每個季度走訪一次各個站段，向職工講授計算機系統的基本組成原理、故障的應急維修，以及鐵路運輸安全教育等知識。課程結束后統一組織結業考試，并將成績納入經濟考核范疇，對成績突出并有獨到見解的職工給予一定獎勵，針對成績不理想的不但要加深教育，還要設立單獨的課程，以達到知識普及的效果。

（2）由于鐵路運輸生產要保持24h暢通無阻，有些值班人員因無法統一安排培訓課程，為此在鐵路運輸網絡資源的基礎上創建了一個多功能、集成化的網絡教育系統，內網任何一臺電腦都可以登錄，通過網上視頻、遠程課堂、電子書庫等形式，學習到計算機系統的基本組成原理、故障的應急維修，以及鐵路運輸安全教育等基礎內容。提高了職工的操作技能水平，增強了安全責任意識，培養了分析和處理問題的能力，同時還不斷開闊了視野。

五、創建鐵路運輸內部網站

為了完善鐵路運輸網絡體系，豐富鐵路運輸文化，還創辦了企業的鐵運網站，專門提供給相關用戶登錄和瀏覽。網站設有企業動態、網絡教育、文件匯編、班組建設和職工快線等平臺，供廣大職工使用。

（1）職工可通過內網或在家里使用虛擬服務器登錄網站，可實時關注國內外冶金行業的形勢和市場行情，查詢相關的行業生產信息，下載辦公自動化系統插件、相關應用軟件和網絡教育課件等。

（2）“職工快線”版塊為廣大職工搭建起溝通交流平臺，發揮了企業和職工的“連心橋”作用，領導通過該平臺可傾聽職工心聲，解答職工困惑。職工可隨時向領導提出各自訴求、工作中的困難等。職工還可將合理化建議等寫在板塊上，與大家共享。

（3）為了加強班組建設，積極建設學習型班組，“班組建設”板塊還針對運輸部的全部56個班組詳細制作了班組文化模塊，每個班組可上傳往年的歷史資料，當天的工作內容，以便領導統一審閱，還可以上傳電腦運行情況是否良好等信息，以便技術人員檢查和維護，使故障排除在萌芽之中。

在國內冶金企業行業形勢嚴峻的關鍵時刻，鐵路運輸網絡體系的可靠與否，在很大程度上決定了生產效率的高低和企業效益的好壞。山鋼集團萊蕪分公司運輸部網絡維護中心利用現有的網絡資源，采取硬件、軟件相結合、網絡資源合理分配、開展職工網絡知識培訓等方式，保證了企業信息在網絡上的安全和不泄露，避免了來自外來網絡的非法攻擊，實現了辦公、物流、微機聯鎖和工業電視監控網絡的暢通運行，為鐵路運輸生產提供了良好的網絡支持。在科技飛速發展的今天，科學的利用現有的條件，合理分配網絡資源，做好鐵路運輸網絡體系維護等工作，一定會為保產保量和企業健康發展，起到重要的作用。