鐵路非運輸企業信息網絡安全的探討

唐貴俠 中國鐵路上海局集團有限公司上海華東鐵路建設監理公司

1 前言

2017 年6 月1 日實施的《中華人民共和國網絡安全法》成為我國首部網絡安全領域的法律, 為網絡健康發展提供了可靠保障。鐵路總公司在各鐵路集團公司到各個站段已經建設完信息化基礎建設，從網絡建設到實際應用，基本上已經覆蓋到運輸主業的各車間和班組，同時也建立了網絡安全防護、網絡安全保障體系。但是,我們鐵路非運輸企業由于各種原因，沒能很好的納入鐵路運輸網絡的總體信息化建設，信息化建設和管理相對來說，還存在一些差距，特別是在信息網絡安全方面，總體的管理還是比較薄弱。另外，各方面對信息網絡安全重視程度也不夠，為了更好的服務運輸生產和對外業務經營，非運輸企業也必須高度重視信息網絡安全工作,杜絕非運輸企業的信息系統數據出現偏差和被竊取現象,有效保護系統信息不受侵害，也要在信息網絡安全方面保持與鐵路總公司思想上統一,行動上堅決,措施上有效,保障上有力。

根據現有鐵路信息系統的應用情況，鐵路非運輸企業信息網絡安全隱患分內部安全隱患和外部安全隱患。內部安全隱患包括網絡安全知識普及、專業技術能力、一機兩網、違規外連、弱化口令、私建內網WiFi、危險端口、系統漏洞、后臺配置管理不當等。外部安全隱患是指網絡的復雜性、開放性會讓網絡病毒和黑客攻擊等非法入侵行為。針對這些隱患提出了合理的控制策略,本著公開、透明、詳實的原則規范審查工作,實現制度規范化,讓信息網絡安全管理工作做實、做細。

2 網絡安全管理存在的隱患

2.1 內部安全隱患

目前, 鐵路非運輸企業信息網絡安全管理雖然已經按集團公司要求實施和部署，但依舊存在一些問題,表現在：一是有些單位的領導對于信息安全的重視程度不夠高，意識不夠強，認為有相關信息專業的人員去實施和管理就可以了，領導對信息網絡安全不必太關注。二是缺乏配備專職的計算機網絡安全人才和分級專項計算機信息人員。三是一些信息相關人員缺乏必要的網絡安全知識與安全意識，認為自己只是作為一個鐵路信息應用的使用者，網絡安全與自己沒有什么關系。四是對于網絡安全的一些措施與管理辦法施行不夠嚴格。五是對信息項目工程建設時網絡安全設備的投入比例不夠。

2.2 外部安全隱患

鐵路非運輸企業，近年來推廣和發揮“互聯網+應用系統”，促進了鐵路非運輸企業競爭核心力，滿足了時代對鐵路非運輸企業和市場對鐵路非運輸企業服務能力的要求。除了有對外的應用服務系統，也有大量內部應用系統，對于應用系統的服務性、網絡的復雜性、開放性可能會讓計算機網絡病毒乘虛而入,極大地危害了網絡安全與性能,給鐵路非運輸企業帶來不可預估的安全隱患。由于鐵路作為國家重要的基礎設施,現已有多個信息系統被列入到國家級重要信息系統。鐵路的很多信息數據也是國家的重要機密，近年來，也發生過多起不明境內外黑客非法侵入事件，比如2019 年就發生某境外黑客非法侵入某集團公司中心機房的重要應用數據庫系統，給鐵路的信息安全造成重大影響。網絡黑客是一個復雜群體，其對網絡安全威脅主要包括發現和攻擊網絡操作系統的漏洞和缺陷，利用網絡安全的脆弱性進行非法活動，除了盜取大量數據，還有可能造成重大破壞行為，如果鐵路信息系統遭到黑客攻擊，其造成的后果將不堪設想。

3 網絡安全的控制策略

3.1 建立專業網絡安全專職人員

網絡安全的重要性必須有配套的管理人員作為保障，必須建立可核查的網絡安全檢查機制并按時對相關部門進行檢查和指導，現在各非運輸企業都設立了信息專職人員，賦予了其專門網絡安全管理職能，其主要職責范圍包含網絡安全的規劃、建設、管理和檢查。我單位就在公司安全部門設立了專職網絡安全工程師一名，負責整個公司計算機管理、培訓、檢查、考核等，分公司一級設立專項信息管理人員，公司各部門、現場一級指定年輕大學生為兼職信息人員，并建立新職信息人員必須培訓和定期培訓管理制度。有了這個專業的人員配置，信息管理實現制度化和專業化，專業技術人員定期對網絡信息安全管理系統實現有效追蹤、管理和監控，確保了我單位的信息網絡工作的安全。

3.2 加強網絡安全培訓與教育

鐵路非運輸企業的信息安全與每位員工的信息安全意識密不可分,除了不定期對信息技術團隊進行技能培訓，讓技術人員能緊跟信息網絡安全的前沿技術發展，了解最新的網絡安全產品與設備，提升信息管理團隊的整體水平。其次對應用信息系統的員工進行網絡安全基礎知識培訓, 可通過教育警示片、安全管理技術培訓等形式讓員工接受到系統的教育培訓，提高網絡安全的認識，提升計算機使用能力。由于鐵路非運輸企業用工結構多種類型，人員復雜、文化素質差異大，辦公地點一般散落在集團公司管內，我單位由公司專職網絡安全人員集中對分公司專項信息人員、公司各部門、現場兼職信息人員進行培訓、指導，分公司專項信息人員負責日常現場兼職信息人員的管理和指導，各位現場兼職信息人員負責所轄現場每位人員的培訓與指導，形成逐級培訓、管理，人員數量由公司1 人→分公司6 人→現場兼職人員40人→使用人員達900 多人的規模。同時,通過制定硬性指標和績效考核來提高所有員工的信息安全意識, 讓信息安全工作落實到了具體工作中。

3.3 優化網絡安全管理技術

第一,為了保證信息免遭竊取、泄露、破壞和修改,使用了最常見設置密碼和用戶權限的手段,對數據進行備份,讓系統運營更加合理。第二, 網絡信息安全管理包括設置防火墻。DPtech UMC 統一管理中心可以配合防火墻進行使用,讓安全性能大幅提升,用戶點也能得到保護。在鐵路系統內部網絡與外部網絡之間,防火墻是一個比較理想的中介,能夠將網絡病毒和不安全信息拒之門外,拒絕非法訪問。第三,做好計算機系統的病毒防范工作,修補安全漏洞,升級病毒庫，遠離病毒傳播。鐵路非運輸企業內部必須采購具有安全專用資質且能夠排除網絡病毒的正版軟件。但系統無論多理想、完備,都會存在一定的安全隱患與漏洞,只要計算機被人使用,就會存在感染病毒和木馬的潛在危險。因此,需要為系統打上補丁,及時升級病毒庫，讓程序能夠順利運行,進而提升信息系統的安全系數。第四,使用入侵檢測系統能夠主動檢查網絡的易受攻擊點和安全漏洞, 能快速發現病毒的存在, 防止黑客非法入侵，進而打開保護傘,將病毒、木馬、黑客等惡意襲擊的危害降到最低,這是最普遍的動態安全檢測防護手段。

3.4 加強對終端用戶網絡操作規范的管理

鐵路網絡安全信息管理工作由多方面組成, 除了管理技術人員要嚴格按照網絡操作規范執行外, 大量一線終端用戶在實際工作中使用時，要嚴格規范操作行為，一是嚴格禁止一機兩網或私建內網WiFi 的情況，這樣的行為各集團公司都發文做了明確的禁止，最近有些集團公司已經嚴肅處理這種嚴重違規情況的案例，有的員工甚至被除名處理，除了對相關責任人作出嚴肅處理外，相關單位的領導將承擔連帶責任，這樣就在鐵路非運輸企業營造一種網絡安全人人有責。二是加強涉密網絡和移動存儲介質的管理, 避免移動存儲介質（如U 盤）在內外網上混亂使用。三是使用保密網絡時，要審查人員的權限，堅決執行保密審查制度,保護密碼口令不被輕易授權，避免涉密的計算機數據外漏。四是同時保證相關政策傳導到每一個相關使用人并簽署網絡安全責任書，在企業內部構建一個強大和有效的網絡安全網保護屏障。

3.5 整合網絡安全管理流程

信息網絡安全有一套嚴格的管理辦法與管理制度，在管理過程中,應按照“誰主管誰負責,誰使用誰負責”的原則定期對所有信息系統(操作系統、中間件、數據庫、存儲、終端)和網絡開展全覆蓋的安全隱患排查, 對于一些重要應用安全密碼管理是有嚴格管理制度，對于一些重要涉密數據也需要按照泄密管理流程處理，而在防火墻的應用中要保證實時有效，病毒防護要及時更新升級。對現有信息系統網絡安全設備進行臺賬清單梳理,合理規劃和執行安全策略管理機制，理清信息系統責任單位和責任人，建立安全保障責任制，制定和完善安全管理流程。新建的網絡安全管理信息系統必須嚴格遵循"三同步"原則,即同步規劃、同步建設、同步使用,保證網絡信息安全工作在鐵路信息建設項目中的投資比例, 建議不少于6%,要將網絡安全工作貫穿于項目始終，形成有效的安全管理全過程。

4 結束語

隨著新一代信息技術的不斷發展，大數據、物聯網、云計算、人工智能、機器人等將不斷在鐵路信息領域得到應用與實施，對提升鐵路信息化、智能化將起到重要的作用。可以說鐵路非運輸企業的各項工作都離不開信息技術的支持，尤其是在鐵路關鍵的服務運輸生產的保障和輔助支持上，信息技術發揮了重要作用。要利用網絡技術做基礎支撐,排除信息網絡安全隱患尤為重要。讓我們以網絡安全技術為保障，制定嚴格的網絡信息安全保障機制，人人樹立網絡安全意識，構建一個安全的鐵路非運輸企業網絡環境，保障鐵路非運輸企業的多元化經營的高效運作。