工业企业铁路运输网络体系的可靠性管理

2014-04-07 19:31李传宇陈国丰温晓明
设备管理与维修 2014年3期
关键词:网络体系IP地址网络资源

李传宇 陈国丰 温晓明

(山钢集团莱芜分公司 山东莱芜)

山钢集团莱芜分公司的铁路运输计算机网络系统覆盖全面,经过多年的发展,逐渐形成了运输调度指挥系统、办公自动化文件管理系统、物流系统、微机联锁系统、工业电视监控系统等多个系统于一体的网络体系结构。各个生产区域的调度员根据生产现场情况制定运输生产作业计划,信号员与机车车务人员负责传达和实施,同时各站段分散控制,最后由运输部调度集中管理。可通过网络实时监控运输生产现场的实际情况,极大提高了运输生产效率。

铁路运输计算机的网络可靠性系统是基于动态物理隔离、用户身份认证、访问控制实现的,从而体现了铁路运输网络内外网边界的保护。由于铁路运输计算机绝大多数都无法连接外网,所以无法及时对其进行病毒库升级、漏洞软件更新等维护,再加上操作人员或多或少存在安全意识缺失、漠视安全规定、移动存储广泛应用等方面的问题,不仅计算机容易感染病毒、遭受ARP攻击,网络系统中的硬件、软件及系统数据也极易遭受破坏和更改,严重影响了系统连续及可靠性,甚至使网络服务中断或系统瘫痪、运输生产数据泄露等。为此,针对现阶段铁路运输网络体系状况,实行了以下管理措施。

一、安装和配置防火墙

防火墙是保证铁路运输网络体系可靠性的第一道屏障,通常放在外部网络和内部网络之间,以保证内部网络的安全。任务是:①在不危及内部网络数据与其他资源的前提下,允许本地用户使用外部网络的资源;②将外部未被授权的用户屏蔽在内部网络之外,无法使用内部的资源。作为不同网络或网络安全城之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,而且本身具有较强的抗攻击能力,还能提供信息安全服务,成为网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、限制器和分析器,可有效监控内部网络和外部网络之间的任何活动。

由于有的办公电脑可以通过第三方软件连接外部网络,这样就很容易使同在一个内部网络的其他计算机间接感染病毒或遭受攻击,严重时会导致重要信息外流或系统崩溃。为有效监控内外网络之间的活动,控制出入网络信息流,在内外网之间安装一道防火墙,办公网电脑可使用DR.COM软件通过身份验证登陆外网,外部网络无法共享和访问内部网络。另外在物流和微机联锁网络之间安装另一道防火墙,使办公网络通过其映射的地址可访问物流网络,又完全隔离了物流和微机联锁网络。网络防火墙还有一个专门的保护区域DMZ(非军事区),在内部网络将其单独划分出来,用一台专门的电脑来建立内网FTP服务器,内网用户可登录设立的FTP服务器站点来下载相应的维护软件或其他相关工具。

二、网络资源的合理分配

在目前国内铁路运输网络体系结构中,核心层交换机大部分要划分3个以上VLAN,包括办公网络、物流网络和微机联锁网络,并在各个生产区域所在的下级交换机划分相同的VLAN,将3种网络统一分配。莱芜分公司采用的是静态主机IP分配方式,办公网络使用IPV4网络B类私有IP地址,网号为172.16.99.0,网关设置172.16.99.1;物流网络使用C类私有IP地址,网号为192.168.1.0,网关设置192.168.1.5;微机联锁网络使用C类IP地址,网号设定为202.120.221.0和202.120.220.0;主机房增配了1台物流服务器,设置网关为172.16.99.254。在各站段生产岗位的电脑上“Internet协议(TCP/IP协议)属性”中的高级选项里添加此物流服务器的网关,再经过防火墙的设置,实现了办公电脑同时访问办公和物流网络的功能,而物流网络电脑只能访问物流网络,同时办公电脑还可以通过DR.COM客户端连接外部网络。由于办公和生产网络是独立的,生产网络与外部网络又相互隔离,这样就做到了“三网隔离”,即办公、生产和外部网络相互隔离,避免了非法攻击。另外,利用现有的网络资源,还建立了一套完全独立的工业电视网络监控系统,能现场采集到铁运现场的实时画面,通过光电转换设备传输到室内,再经过网络系统传送到各生产区域调度中心和保卫处,做到生产与调度的同步进行。通过以上网络系统合理分配和网络资源合理利用等方式,既有效利用了现有的网络资源,又最大限度保证了办公、物流、微机联锁和工业电视网络的安全。

三、组建“内网软件安全服务中心”

由于采用的是静态主机IP地址分配方式,并使用IPV4协议。为方便统一管理,管理人员将每台电脑手动设定不同的IP地址,规范计算机名,记录每台电脑的MAC地址和设置相应的工作组。为能及时排除内网感染病毒等隐患,在维护中心指定的一台电脑上安装了实用应用软件和杀毒软件以及最新病毒库,将它们结合起来,组建了运输部“内网软件安全服务中心”,给这台电脑设定一个专用IP地址:172.16.99.172,并对其进行合理的设置。只用一台普通的电脑就可运行整个程序,该程序可实时监控局域网中每台加入电脑的状况,包括漏洞、木马、病毒和插件,可实时的从后台进行处理。在用户名为“dwd172”、IP地址为“172.16.99.172”的服务器端安装了“360安全卫士企业定制版”,可实现一键查杀木马、全网漏洞补丁修复、功能软件升级、风险预警等功能,极大保障了铁路运输内网体系的安全。在“内网软件安全服务中心”的基础上,还不定期上外网更新实用软件,设置网内用户共享,设置访问权限为读取,既方便内网用户自己下载和更新,又保证了服务中心服务器的安全。

“内网软件安全服务中心”分别应用于铁路运输生产物流系统专用网和各站段办公网络中,实现一台电脑实时管理多台电脑的功能,避免了因绝大部分电脑无法上网引起杀毒软件功能低等缺陷,为集中管理铁路运输网络体系搭建了一个全能平台。

四、开展职工网络培训,加强网络安全教育

(1)开展职工网络技能方面的培训,组织专业人员成立“专家讲堂”,由内网管理维护中心的高级工程师担任,由其编制一套针对铁路运输企业人员的网络安全技能讲课资料,每个季度走访一次各个站段,向职工讲授计算机系统的基本组成原理、故障的应急维修,以及铁路运输安全教育等知识。课程结束后统一组织结业考试,并将成绩纳入经济考核范畴,对成绩突出并有独到见解的职工给予一定奖励,针对成绩不理想的不但要加深教育,还要设立单独的课程,以达到知识普及的效果。

(2)由于铁路运输生产要保持24h畅通无阻,有些值班人员因无法统一安排培训课程,为此在铁路运输网络资源的基础上创建了一个多功能、集成化的网络教育系统,内网任何一台电脑都可以登录,通过网上视频、远程课堂、电子书库等形式,学习到计算机系统的基本组成原理、故障的应急维修,以及铁路运输安全教育等基础内容。提高了职工的操作技能水平,增强了安全责任意识,培养了分析和处理问题的能力,同时还不断开阔了视野。

五、创建铁路运输内部网站

为了完善铁路运输网络体系,丰富铁路运输文化,还创办了企业的铁运网站,专门提供给相关用户登录和浏览。网站设有企业动态、网络教育、文件汇编、班组建设和职工快线等平台,供广大职工使用。

(1)职工可通过内网或在家里使用虚拟服务器登录网站,可实时关注国内外冶金行业的形势和市场行情,查询相关的行业生产信息,下载办公自动化系统插件、相关应用软件和网络教育课件等。

(2)“职工快线”版块为广大职工搭建起沟通交流平台,发挥了企业和职工的“连心桥”作用,领导通过该平台可倾听职工心声,解答职工困惑。职工可随时向领导提出各自诉求、工作中的困难等。职工还可将合理化建议等写在板块上,与大家共享。

(3)为了加强班组建设,积极建设学习型班组,“班组建设”板块还针对运输部的全部56个班组详细制作了班组文化模块,每个班组可上传往年的历史资料,当天的工作内容,以便领导统一审阅,还可以上传电脑运行情况是否良好等信息,以便技术人员检查和维护,使故障排除在萌芽之中。

在国内冶金企业行业形势严峻的关键时刻,铁路运输网络体系的可靠与否,在很大程度上决定了生产效率的高低和企业效益的好坏。山钢集团莱芜分公司运输部网络维护中心利用现有的网络资源,采取硬件、软件相结合、网络资源合理分配、开展职工网络知识培训等方式,保证了企业信息在网络上的安全和不泄露,避免了来自外来网络的非法攻击,实现了办公、物流、微机联锁和工业电视监控网络的畅通运行,为铁路运输生产提供了良好的网络支持。在科技飞速发展的今天,科学的利用现有的条件,合理分配网络资源,做好铁路运输网络体系维护等工作,一定会为保产保量和企业健康发展,起到重要的作用。

猜你喜欢
网络体系IP地址网络资源
智慧高速边缘计算系统架构和网络体系探究
医联体模式下全科住院医师规范化培训网络体系的构建研究
铁路远动系统几种组网方式IP地址的申请和设置
IP地址切换器(IPCFG)
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考
网络资源在高中班级管理中的运用
谈网络资源在大学计算机教学中的应用
基于小世界网络体系算法的图像水印实现
网络资源在语文综合性学习中的运用