鐵路非運輸企業(yè)信息網(wǎng)絡安全的探討

唐貴俠 中國鐵路上海局集團有限公司上海華東鐵路建設監(jiān)理公司

1 前言

2017 年6 月1 日實施的《中華人民共和國網(wǎng)絡安全法》成為我國首部網(wǎng)絡安全領域的法律, 為網(wǎng)絡健康發(fā)展提供了可靠保障。鐵路總公司在各鐵路集團公司到各個站段已經(jīng)建設完信息化基礎建設，從網(wǎng)絡建設到實際應用，基本上已經(jīng)覆蓋到運輸主業(yè)的各車間和班組，同時也建立了網(wǎng)絡安全防護、網(wǎng)絡安全保障體系。但是,我們鐵路非運輸企業(yè)由于各種原因，沒能很好的納入鐵路運輸網(wǎng)絡的總體信息化建設，信息化建設和管理相對來說，還存在一些差距，特別是在信息網(wǎng)絡安全方面，總體的管理還是比較薄弱。另外，各方面對信息網(wǎng)絡安全重視程度也不夠，為了更好的服務運輸生產(chǎn)和對外業(yè)務經(jīng)營，非運輸企業(yè)也必須高度重視信息網(wǎng)絡安全工作,杜絕非運輸企業(yè)的信息系統(tǒng)數(shù)據(jù)出現(xiàn)偏差和被竊取現(xiàn)象,有效保護系統(tǒng)信息不受侵害，也要在信息網(wǎng)絡安全方面保持與鐵路總公司思想上統(tǒng)一,行動上堅決,措施上有效,保障上有力。

根據(jù)現(xiàn)有鐵路信息系統(tǒng)的應用情況，鐵路非運輸企業(yè)信息網(wǎng)絡安全隱患分內(nèi)部安全隱患和外部安全隱患。內(nèi)部安全隱患包括網(wǎng)絡安全知識普及、專業(yè)技術能力、一機兩網(wǎng)、違規(guī)外連、弱化口令、私建內(nèi)網(wǎng)WiFi、危險端口、系統(tǒng)漏洞、后臺配置管理不當?shù)?。外部安全隱患是指網(wǎng)絡的復雜性、開放性會讓網(wǎng)絡病毒和黑客攻擊等非法入侵行為。針對這些隱患提出了合理的控制策略,本著公開、透明、詳實的原則規(guī)范審查工作,實現(xiàn)制度規(guī)范化,讓信息網(wǎng)絡安全管理工作做實、做細。

2 網(wǎng)絡安全管理存在的隱患

2.1 內(nèi)部安全隱患

目前, 鐵路非運輸企業(yè)信息網(wǎng)絡安全管理雖然已經(jīng)按集團公司要求實施和部署，但依舊存在一些問題,表現(xiàn)在：一是有些單位的領導對于信息安全的重視程度不夠高，意識不夠強，認為有相關信息專業(yè)的人員去實施和管理就可以了，領導對信息網(wǎng)絡安全不必太關注。二是缺乏配備專職的計算機網(wǎng)絡安全人才和分級專項計算機信息人員。三是一些信息相關人員缺乏必要的網(wǎng)絡安全知識與安全意識，認為自己只是作為一個鐵路信息應用的使用者，網(wǎng)絡安全與自己沒有什么關系。四是對于網(wǎng)絡安全的一些措施與管理辦法施行不夠嚴格。五是對信息項目工程建設時網(wǎng)絡安全設備的投入比例不夠。

2.2 外部安全隱患

鐵路非運輸企業(yè)，近年來推廣和發(fā)揮“互聯(lián)網(wǎng)+應用系統(tǒng)”，促進了鐵路非運輸企業(yè)競爭核心力，滿足了時代對鐵路非運輸企業(yè)和市場對鐵路非運輸企業(yè)服務能力的要求。除了有對外的應用服務系統(tǒng)，也有大量內(nèi)部應用系統(tǒng)，對于應用系統(tǒng)的服務性、網(wǎng)絡的復雜性、開放性可能會讓計算機網(wǎng)絡病毒乘虛而入,極大地危害了網(wǎng)絡安全與性能,給鐵路非運輸企業(yè)帶來不可預估的安全隱患。由于鐵路作為國家重要的基礎設施,現(xiàn)已有多個信息系統(tǒng)被列入到國家級重要信息系統(tǒng)。鐵路的很多信息數(shù)據(jù)也是國家的重要機密，近年來，也發(fā)生過多起不明境內(nèi)外黑客非法侵入事件，比如2019 年就發(fā)生某境外黑客非法侵入某集團公司中心機房的重要應用數(shù)據(jù)庫系統(tǒng)，給鐵路的信息安全造成重大影響。網(wǎng)絡黑客是一個復雜群體，其對網(wǎng)絡安全威脅主要包括發(fā)現(xiàn)和攻擊網(wǎng)絡操作系統(tǒng)的漏洞和缺陷，利用網(wǎng)絡安全的脆弱性進行非法活動，除了盜取大量數(shù)據(jù)，還有可能造成重大破壞行為，如果鐵路信息系統(tǒng)遭到黑客攻擊，其造成的后果將不堪設想。

3 網(wǎng)絡安全的控制策略

3.1 建立專業(yè)網(wǎng)絡安全專職人員

網(wǎng)絡安全的重要性必須有配套的管理人員作為保障，必須建立可核查的網(wǎng)絡安全檢查機制并按時對相關部門進行檢查和指導，現(xiàn)在各非運輸企業(yè)都設立了信息專職人員，賦予了其專門網(wǎng)絡安全管理職能，其主要職責范圍包含網(wǎng)絡安全的規(guī)劃、建設、管理和檢查。我單位就在公司安全部門設立了專職網(wǎng)絡安全工程師一名，負責整個公司計算機管理、培訓、檢查、考核等，分公司一級設立專項信息管理人員，公司各部門、現(xiàn)場一級指定年輕大學生為兼職信息人員，并建立新職信息人員必須培訓和定期培訓管理制度。有了這個專業(yè)的人員配置，信息管理實現(xiàn)制度化和專業(yè)化，專業(yè)技術人員定期對網(wǎng)絡信息安全管理系統(tǒng)實現(xiàn)有效追蹤、管理和監(jiān)控，確保了我單位的信息網(wǎng)絡工作的安全。

3.2 加強網(wǎng)絡安全培訓與教育

鐵路非運輸企業(yè)的信息安全與每位員工的信息安全意識密不可分,除了不定期對信息技術團隊進行技能培訓，讓技術人員能緊跟信息網(wǎng)絡安全的前沿技術發(fā)展，了解最新的網(wǎng)絡安全產(chǎn)品與設備，提升信息管理團隊的整體水平。其次對應用信息系統(tǒng)的員工進行網(wǎng)絡安全基礎知識培訓, 可通過教育警示片、安全管理技術培訓等形式讓員工接受到系統(tǒng)的教育培訓，提高網(wǎng)絡安全的認識，提升計算機使用能力。由于鐵路非運輸企業(yè)用工結構多種類型，人員復雜、文化素質(zhì)差異大，辦公地點一般散落在集團公司管內(nèi)，我單位由公司專職網(wǎng)絡安全人員集中對分公司專項信息人員、公司各部門、現(xiàn)場兼職信息人員進行培訓、指導，分公司專項信息人員負責日?，F(xiàn)場兼職信息人員的管理和指導，各位現(xiàn)場兼職信息人員負責所轄現(xiàn)場每位人員的培訓與指導，形成逐級培訓、管理，人員數(shù)量由公司1 人→分公司6 人→現(xiàn)場兼職人員40人→使用人員達900 多人的規(guī)模。同時,通過制定硬性指標和績效考核來提高所有員工的信息安全意識, 讓信息安全工作落實到了具體工作中。

3.3 優(yōu)化網(wǎng)絡安全管理技術

第一,為了保證信息免遭竊取、泄露、破壞和修改,使用了最常見設置密碼和用戶權限的手段,對數(shù)據(jù)進行備份,讓系統(tǒng)運營更加合理。第二, 網(wǎng)絡信息安全管理包括設置防火墻。DPtech UMC 統(tǒng)一管理中心可以配合防火墻進行使用,讓安全性能大幅提升,用戶點也能得到保護。在鐵路系統(tǒng)內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間,防火墻是一個比較理想的中介,能夠?qū)⒕W(wǎng)絡病毒和不安全信息拒之門外,拒絕非法訪問。第三,做好計算機系統(tǒng)的病毒防范工作,修補安全漏洞,升級病毒庫，遠離病毒傳播。鐵路非運輸企業(yè)內(nèi)部必須采購具有安全專用資質(zhì)且能夠排除網(wǎng)絡病毒的正版軟件。但系統(tǒng)無論多理想、完備,都會存在一定的安全隱患與漏洞,只要計算機被人使用,就會存在感染病毒和木馬的潛在危險。因此,需要為系統(tǒng)打上補丁,及時升級病毒庫，讓程序能夠順利運行,進而提升信息系統(tǒng)的安全系數(shù)。第四,使用入侵檢測系統(tǒng)能夠主動檢查網(wǎng)絡的易受攻擊點和安全漏洞, 能快速發(fā)現(xiàn)病毒的存在, 防止黑客非法入侵，進而打開保護傘,將病毒、木馬、黑客等惡意襲擊的危害降到最低,這是最普遍的動態(tài)安全檢測防護手段。

3.4 加強對終端用戶網(wǎng)絡操作規(guī)范的管理

鐵路網(wǎng)絡安全信息管理工作由多方面組成, 除了管理技術人員要嚴格按照網(wǎng)絡操作規(guī)范執(zhí)行外, 大量一線終端用戶在實際工作中使用時，要嚴格規(guī)范操作行為，一是嚴格禁止一機兩網(wǎng)或私建內(nèi)網(wǎng)WiFi 的情況，這樣的行為各集團公司都發(fā)文做了明確的禁止，最近有些集團公司已經(jīng)嚴肅處理這種嚴重違規(guī)情況的案例，有的員工甚至被除名處理，除了對相關責任人作出嚴肅處理外，相關單位的領導將承擔連帶責任，這樣就在鐵路非運輸企業(yè)營造一種網(wǎng)絡安全人人有責。二是加強涉密網(wǎng)絡和移動存儲介質(zhì)的管理, 避免移動存儲介質(zhì)（如U 盤）在內(nèi)外網(wǎng)上混亂使用。三是使用保密網(wǎng)絡時，要審查人員的權限，堅決執(zhí)行保密審查制度,保護密碼口令不被輕易授權，避免涉密的計算機數(shù)據(jù)外漏。四是同時保證相關政策傳導到每一個相關使用人并簽署網(wǎng)絡安全責任書，在企業(yè)內(nèi)部構建一個強大和有效的網(wǎng)絡安全網(wǎng)保護屏障。

3.5 整合網(wǎng)絡安全管理流程

信息網(wǎng)絡安全有一套嚴格的管理辦法與管理制度，在管理過程中,應按照“誰主管誰負責,誰使用誰負責”的原則定期對所有信息系統(tǒng)(操作系統(tǒng)、中間件、數(shù)據(jù)庫、存儲、終端)和網(wǎng)絡開展全覆蓋的安全隱患排查, 對于一些重要應用安全密碼管理是有嚴格管理制度，對于一些重要涉密數(shù)據(jù)也需要按照泄密管理流程處理，而在防火墻的應用中要保證實時有效，病毒防護要及時更新升級。對現(xiàn)有信息系統(tǒng)網(wǎng)絡安全設備進行臺賬清單梳理,合理規(guī)劃和執(zhí)行安全策略管理機制，理清信息系統(tǒng)責任單位和責任人，建立安全保障責任制，制定和完善安全管理流程。新建的網(wǎng)絡安全管理信息系統(tǒng)必須嚴格遵循"三同步"原則,即同步規(guī)劃、同步建設、同步使用,保證網(wǎng)絡信息安全工作在鐵路信息建設項目中的投資比例, 建議不少于6%,要將網(wǎng)絡安全工作貫穿于項目始終，形成有效的安全管理全過程。

4 結束語

隨著新一代信息技術的不斷發(fā)展，大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算、人工智能、機器人等將不斷在鐵路信息領域得到應用與實施，對提升鐵路信息化、智能化將起到重要的作用?？梢哉f鐵路非運輸企業(yè)的各項工作都離不開信息技術的支持，尤其是在鐵路關鍵的服務運輸生產(chǎn)的保障和輔助支持上，信息技術發(fā)揮了重要作用。要利用網(wǎng)絡技術做基礎支撐,排除信息網(wǎng)絡安全隱患尤為重要。讓我們以網(wǎng)絡安全技術為保障，制定嚴格的網(wǎng)絡信息安全保障機制，人人樹立網(wǎng)絡安全意識，構建一個安全的鐵路非運輸企業(yè)網(wǎng)絡環(huán)境，保障鐵路非運輸企業(yè)的多元化經(jīng)營的高效運作。