鐵路物流服務平臺網絡安全解決方案研究

宮新鵬 喬敏慧

摘? ?要：當前我國物流產業得到了飛速的發展，基于鐵路物流服務平臺，對鐵路物流服務平臺的系統構建及網絡安全問題進行了相關說明，在對整個應用系統進行詳盡分析后，文章提出了鐵路物流服務平臺網絡安全的解決方案，可以有效實現鐵路物流服務平臺的安全服務。

關鍵詞：鐵路物流;服務平臺;構建;網絡安全

長期以來，基于我國運力不足等綜合因素，我國的鐵路貨運物流仍采用傳統的生產型模式，該模式已無法適應當前市場經濟狀態下的現代物流市場，鐵路物流運輸的市場在不斷下降。以呼和局為例，它在內蒙古地區運輸份額不足40%[1]，物流產業的迅猛發展為改變現有鐵路傳統的組織管理模式提供了良好契機。

當前，為了有效提高鐵路貨運物流服務水平，提高現代化的網絡辦公水平，實現客戶與鐵路局各級運輸部門的業務交互以及車皮計劃的網上受理、自動審批、網上公布，打造公開、公平、透明、便捷的對外貨運辦理，建立了鐵路物流服務平臺。該鐵路物流服務平臺意義重大，基于通信網絡的安全性問題，必須構建一套完整的鐵路物流服務平臺網絡安全體制，有效降低網絡安全風險，保障鐵路運輸企業的信息資源，為建立和發展現代鐵路物流奠定基礎[2]。

1? ? 鐵路服務物流平臺的構建方案

結合鐵路運輸的特點及用戶需求，按業務屬性規劃基于互聯網的客戶貨運業務服務平臺和基于企業網的業務受理平臺兩級操作平臺;按業務類別規劃基于白貨、港口煤炭、區內煤炭流程的多流程業務處理功能;按業務主體規劃基于客戶、物流公司、車站的3種業務操作平臺;按功能規劃為信息服務中心、用戶服務中心、車站服務中心、路局服務中心、系統管理中心5大服務中心。

2? ? 鐵路服務物流平臺的網絡結構

服務平臺充分利用整合現有資源，以Web技術為核心，利用鐵路運輸管理信息系統（Transportation Management Information System，TMIS）等鐵路信息系統資源，構建統一便利的信息交換平臺，實現了信息資源在相關應用中的共享[3-4]。

服務平臺采用瀏覽器/服務器模式（Browser/Server，B/S）體系結構，以TMIS資源數據庫為核心，建立一套獨立的服務平臺。在鐵路總公司及各鐵路局設立數據中心，數據中心采取同一體系結構。以Web技術為核心，運行應用服務中間件，建立相應的TMIS，各子系統共享數據庫接口，來解決數據共享和功能擴展問題。同時，采用面向服務的結構（Service-Oriented Architecture，SOA）技術實現統一訪問數據接口的構建[5-6]。

3? ? 鐵路服務物流平臺網絡安全解決方案

3.1? 網絡結構的安全設計

鐵路物流信息平臺網絡結構的安全設計思維：在平臺對內及對外區域之中增加一個子網絡，該子網絡起到數據緩沖隔離作用。基于該情況，平臺可以有機地劃分為對內信息、對外服務、中間子網絡3個區域。在該安全結構設置的狀態下，平臺外部客戶無法直接訪問平臺內部鐵路的信息網絡服務器，通過中間子網絡來訪問平臺鐵路的信息應用服務器，實現平臺網絡結構的安全設計。同理，鐵路內部網絡用戶也只有通過中間子網絡才能訪問平臺鐵路的信息應用服務器，進而對數據進行轉儲和管理。在該網絡結構的安全設計狀態下，入侵者只能到達信息應用服務器層面，無法對平臺內部鐵路的信息網絡服務器進行破壞，有效保護了鐵路內網的重要數據。

3.2? 設備安全管理設計

日前機房建設及相應的規章管理制度比較齊全，所以，主要在網絡設備安全配置方面做了努力。其中包括網絡設備的軟件版本的及時更新;所有路由器維護在本地進行;所有路由器的管理都是用互聯網安全協議（Internet Protocol Security，IPSEC）或使用一次性口令系統對路由器的訪問進行控制;關閉路由器上不需要的服務，組織路由器接收帶源路由標記的包，關閉路由器廣播部的轉發;路由器的k，gin Banner信息中不包括該路由器名字、型號、時間等詳細信息，啟動控制列表的日志功能;路由器開啟日志功能;鐵路內部網絡使用靜態路由，對外服務在連接IntPr-net的接口上雙向禁用RJP和開放最短路徑優先（Open Shortest Path First，OSPF）動態路由協議;強化互聯網控制報文協議（Internet Control Message Protocol，ICMP）、網際互連協議（Internet Protocol，IP）、傳輸控制協議（Transmission Control Protocol，TCP）的安全配置;在系統中根據不同的安全級別加強對計算機端口的設置。

3.3? 多鏈路負載均衡

充分利用多個互聯網連接通道，在網絡出口部署技術成熟的鏈路負載均衡器，通過其強大的健康檢查功能實時檢測不同鏈路的健康狀態，將用戶業務請求分發到最優的鏈路實現業務訪問，為解決不同運營商之間互連互通問題及實現最佳訪問效率提供了有效的解決方案。在此基礎上，為了避免單點故障，保證一臺鏈路負載均衡器發生故障時互聯網連接能夠連續通暢，同時部署了2臺鏈路負載均衡器，實現了設備冗余。

3.4? 智能域名解析

使用多個互聯網運營商鏈路，通過在鏈路負載均衡器上部署智能域名解析功能，實現同一域名向不同運營商接入用戶提供相對應的lP地址，鏈路負載均衡器根據靜態列表及動態判斷算法，選擇最優的線路，然后將域名解析成相應運營商線路的IP地址，保證外部用戶訪問物流服務平臺時在鏈路方面的自動優化。

3.5? 多級多平面交換架構

通過具體的網絡規劃，實現業務數據的高效傳輸。按照不同的網絡層次配置相應網絡設備，劃分相應的IP網絡數據段。面向出口方向部署能夠抵御網絡攻擊的網絡安全設備，面向核心業務方向部署應用及數據服務器，同時，劃出網絡安全審計區部署各類審計設備。通過在網絡核心環節上安裝兩臺高度可靠、性能強大的高端核心交換機達到上述網絡結構設計及功能實現。兩臺核心交換機構成冗余備份，采用先進的多級多平面交換架構，支持100 GF以太網標準，提供持續的高帶寬數據傳輸，充分滿足無阻塞應用及未來發展需求。在架構上，采用獨立的交換網板卡，控制引擎和交換網板硬件相互獨立，最大限度地提高設備可靠性，同時，為今后設備的升級提供基礎。

3.6? 分層防御安全體系

針對物流服務對信息傳輸的安全及快速要求，采用信息安全領域成熟的安全防護技術，構建分層防御安全體系框架，部署可有效抵御各類非法攻擊的安全防范策略，保證物流平臺業務系統的硬件、軟件及其系統中的數據資源得到完整、準確、連續運行和服務不受干擾破壞或非授權使用，物流服務平臺對當前及可預見未來的各類安全威脅部署了全面的防御設施及策略，體現了多路冗余、分層防護的特點[7]。在直接與互聯網對接的位置部署高可用集群防火墻，在網絡延伸位置部署高精準入侵防御設備（Intrusion Prevention System，IPS）及流量控制設備，同時，在服務器交換節點部署系統漏洞掃描設備。

3.7? 系統安全保障技術

以既有的鐵路安全平臺為基礎，綜合運用防火墻、流量監控等安全設備和技術，進一步增強信息系統的安全防范、防攻擊、防滲透、進行數據加密、合法用戶認證、訪問控制等功能。構建鐵路服務物流平臺網絡結構的安全設計，在平臺上采用符合公鑰基礎設施（Public Key Infrastructure，PKI）、X.509v3規范的數字證書系統，就可以對系統用戶身份進行鑒別，實現有效的安全認證等功能。在設計中對安全隔離網閘及安全控制服務器進行有機整合，形成完整統一的數據傳輸安全控制系統;在設計中采用安全隔離硬件可以使系統內外兩個網絡在鏈路層斷開，防止非法網絡行為的攻擊;在設計中采用輕型目錄訪問協議（Lightweight Directory Access Protocol，LDAP）數據庫結構，有效對用戶進行安全管理;在設計中采用Access Manager服務確認用戶的身份及相應的授權信息。系統可以根據自身記錄的報警情況、日志信息及相應涉及安全管理方面的信息，進行有效的綜合評估，從而對系統平臺網絡的不安全行為進行統計分析，形成相應的報告。平臺管理者通過安全報告可以有效掌握平臺網絡結構的安全問題，可以有效地采取補救措施，從而實現鐵路物流服務平臺網絡的安全，保障其安全、穩定的運行。

4? ? 結語

本研究在簡要介紹鐵路物流服務平臺應用意義的基礎上，對當前鐵路服務物流平臺的構建方案和網絡結構進行了分析。對鐵路物流平臺的網絡結構的安全設計給出了較綜合的解決方案。

[參考文獻]

[1]李霞.呼和浩特鐵路局貨運營銷輔助決策系統的研究與應用[D].蘭州：蘭州交通大學，2015.

[2]付冶.信息化企業的網絡安全管理[J].煉油與化工，2011（6）：50-52，66.

[3]易美超.淺析計算機網絡安全技術與防范策略[J].內蒙古科技與經濟，2008（6）：217-219.

[4]陳萍，陳華明.計算機網絡安全與對策[J].福建電腦，2003（11）：71-73.

[5]胡新龍，李懷成.互聯網+醫療健康模式下的醫院網絡安全防護[J].中國衛生信息管理雜志，2019（4）：462-466.

[6]施善妮，韋成燕.如何共享鐵路運輸信息資源[J].鐵道運營技術，2004（2）：15-17.

[7]王茜，朱志祥，葛新，等.應用于云計算中心的虛擬主機安全防護系統[J].計算機技術與發展，2014（3）：134-137.

Research on network security solution of railway logistics service platform

Gong Xinpeng， Qiao Minhui

（Hohhot Communication Section of China Railway Hohhot Bureau Group Co.， Ltd.， Hohhot 010020， China）

Abstract：At present， Chinas logistics industry has been developing rapidly. Based on the railway logistics service platform， the system construction and network security problems of the railway logistics service platform are explained. After a detailed analysis of the whole application system， the network security solution of the railway logistics service platform is proposed in this paper， which can effectively realize the security service of the railway logistics service platform.

Key words：railway logistics; service platform; construction; network security