铁路基层站段网络安全现状分析及对策

2022-12-08 04:32罗康生吴慧晴
网络安全技术与应用 2022年3期
关键词:工区车间网络安全

◆罗康生 吴慧晴

铁路基层站段网络安全现状分析及对策

◆罗康生 吴慧晴

(中国铁路广州局集团有限公司海口综合维修段 海南 570212)

铁路基层站段是铁路网络安全的具体执行者,由于各种因素,基层站段网络安全往往存在一定的问题。本文分析了基层站段网络安全方面普遍存在的问题,并从人员、技术、物资等方面提出了对应的解决办法,可以为铁路基层网络安全管理人员提供参考。

铁路;基层;网络安全;分析

伴随信息技术的发展,各行各业早已离不开计算机的使用,计算机及网络不仅给人类带来了极大的便利,也促进了各行业生产力的发展[1]。另一方面,也应看到,信息及网络技术的发展,对黑客或不法人员的攻击手段同样有极大的提升,使得现阶段网络安全形势更加严峻,比如棱镜门事件及勒索病毒等网络安全事件等的发生,促使大家思考如何在享用计算机网络带来便利的同时,做好网络安全防护[2],改善网络安全形势。

铁路作为国家重要的交通部门之一,同样广泛使用了计算机及网络技术,无论是内部办公还是防灾、视频、动环、TDCS、TMIS、传输、会议、同步网等系统的管理[3],都必须通过计算机网络来实施。铁路基层站段由于人员、技术、物资等多方面的原因,往往存在各种网络安全方面的问题。

1 存在的问题

1.1 人的方面

(1)基层人员对网络安全不重视[4]

一个站段往往由多个科室、车间组成,车间下边又包含多个工区或班组。部分车间及工区管理人员存在重生产、轻网络安全的思想,认为这么多年来都没出现过网络安全问题,以后也不会发生,还不如抓生产效果来得明显。基于这种想法,网络安全工作往往会出现这种状况:路局、站段对网络安全工作非常重视,文件流转到车间、工区,相关人员将文件打印出来,大家签字就结束了,车间及工区人员并未认真学习上级部门所发网络安全文件内容并做好落实。

(2)基层人员网络安全意识不强

由于前期对网络安全工作的忽视,导致基层及沿线各车间、工区对网络安全工作不重视,造成基层及沿线车间、工区人员网络安全意识淡薄,“一机两网”、“违规外联”等现象时有发生。

2020年2月,某职工违规使用手机连接办公电脑,构成“一机两网”事件。

2020年6月全路攻防演练期间,攻击方通过冒充厂家维护人员的方式,从某车间管理人员处套取某系统管理员账号及密码,导致该系统在攻防演练期间失守。

2021年2月,某段某工区电脑出现故障,该工区员工使用USB无线网卡连接手机热点下载测试软件,后又接入内部网络,被北信源终端防护系统检测到,构成“违规外联”事件。

(3)基层部分员工网络安全知识储备不足

铁路系统存在多个专业,各个专业对网络安全知识的掌握程度各不相同。铁路同时也是一个追求稳定的系统,只有稳定,才能使铁路正常运行,但这也造成了部分工区人员多年未更新自己的知识储备,知识结构陈旧,知识储备不足。当面对与其专业知识并无关联的网络安全知识时,显得无所适从,有时甚至会很抗拒。如国铁集团发文要求安装的北信源终端防护系统,很多员工极其抵触,认为其影响电脑操作的流畅性,又没多大用途。

1.2 技的方面

(1)部分区域、系统铁路内部网络准入机制存在漏洞

正常情况下,铁路信息部门对计算机接入铁路内部网络使用IP地址与MAC地址绑定的方式进行处理。由于历史、条件等多方面影响,部分楼宇、建筑内的交换机尚未做到IP地址与MAC地址的绑定,部分专业系统甚至未做准入设置,攻击人员可以通过技术手段获取网络配置信息,侵入铁路内部网络。

(2)内网计算机终端缺少统一的防护措施

由于铁路的特殊性,铁路内部网络与互联网物理隔离,而大部分防病毒软件都需要通过联网的方式进行病毒库升级,因此大部分计算机都未安装杀毒软件或者只能安装单机版的杀毒软件,之前各路局亦曾使用过离线升级包的方式对杀毒软件进行病毒库升级,但大部分员工不会主动去下载离线升级包进行病毒库的升级,因此防护效果并不特别明显。

同时由于各站段计算机维护方式不一样,部分站段使用GHOST版本或修改过的Windows安装源进行系统的安装,无法保证操作系统的纯净性、可靠性。

(2)缺少统一的数据运营平台[5]

铁路包含车务、机务、工务、电务、车辆、供电、房间等多个专业,出于业务的需要,各个专业会搭建本专业的各种运行、维护、管理系统,各站段出于管理的方便,也会搭建各种运行、维护、管理系统,各个专业各自为战,各站段各自运行自己的系统,一方面加大员工的工作量,有些员工一天需要登录多个系统进行事物的处理,另一方面由于各个专业、各个站段独自运行自己的系统,无法做到各种数据的统一、融合,不仅增加管理难度,同时也增加了数据泄露的可能性,造成资金的浪费。

1.3 物的方面

(1)部分计算机配置低,无法运行最新或较新的系统

铁路员工在使用计算机时,往往秉持能用就行的想法,因此很多低配置的老计算机仍然被大家所使用,以笔者所在的海口综合维修段为例,目前存在较多的AMD Athlon(tm)II X2 215、240、250及Intel(R)Celeron(R)CPU E1500、3200、3300,以及Intel(R)Celeron(R)CPU J1800、J1900等低性能的处理器,这些性能极低的老电脑,无法安装Windows 7或Windows 10等新系统,只能安装Windows XP进行使用,而微软早在2014年4月8日便停止对Windows XP的服务支持,一旦发现Windows XP存在新的漏洞,则无法获得技术支持。

(2)原有铁路计算机网络不足

海口综合维修段使用广州信息所搭建的计算机网络进行数据传输,部分交换机上联带宽只有2M,承担广州局集团公司文字及简单文档的传输尚可满足性能方面的要求,但让其承载视频回放、视频教学、在线会议等业务则会显得无能为力。

(3)移动存储介质配备不足,管理不规范

部分工区移动存储介质配备不足,很多工区只有一个U盘或移动硬盘,当有需要的时候,这个U盘可能会插入多个计算机里进行数据的传输,当其中某一个U盘感染木马或者勒索病毒时,很容易造成多台计算机甚至大范围计算机感染病毒的情况。

2019年广州局集团公司组织攻防演练,对管内各地区铁路内网计算机进行扫描时,发现部分地区少量计算机感染勒索病毒。

网络安全从来不是一个简单的问题,它涉及人的因素、技术的因素、物的因素,因此解决网络安全问题,提高网络安全能力,需要多个部门合作,齐心协力才能将网络安全工作做好。基于当前基层站段网络安全基础薄弱,网络安全形势较为严峻的情况,应该从人、物、技三个方面着手,着力提高网络安全防护能力,即需要做好“人防”、技防、物防三方面工作。

2 解决办法

2.1 “人防”方面

(1)提高全员网络安全意识

计算机及网络始终是由人来操作的,基层站段网络安全形势是否良好,与计算机及网络设备的操作人员是否具备较高的网络安全意识有极大的联系。

基层站段可以通过开展网络安全动员会、网络安全年、网络安全活动周、制作网络安全海报、宣传手册、开展网络安全知识问答、展览等活动,鼓励全员参加各项网络安全活动,增强网络安全能力,提高网络安全意识。

各车间、工区管理人员应当将网络安全放至与生产同等重要的位置,管生产也要管网络安全,做到网络安全与安全生产一起抓。各车间、科室应设置专门人员负责网络安全事项,做好网络安全工作的具体落实[5]。

(2)加强教育培训,提高网络安全能力

由于基层站段人员水平参差不齐,各计算机配置各不相同,每个人的操作习惯也不一样,因此职教部门应通过网络课堂、电子课件、宣传展示等方式加强对员工的网络安全知识培训,同时各员工也可以通过公众号、网络学习等方式,主动学习各类网络安全知识。

(3)制定网络安全使用规范、标准[6]

站段层面应该制定本站段网络安全管理办法,使本站段网络安全工作有据可依、有章可循;各专业科室应针对本专业、本科室管辖的各类设备制定相应的网络安全细化措施;同时网络安全人员应制定铁路内部网络、计算机的操作规程,让各员工知道哪些事情是可以做的,哪些事情是违反网络安全规定的。

(4)提倡使用正版软件,拒绝使用盗版软件

铁路内网用户使用的软件,大多从互联网下载而来,由于互联网各网站提供的版本不一样,制作人员也不一样,因此不可避免会存在软件被修改、携带病毒、存在安全漏洞等各种状况,为避免用户随意从网上下载软件拷贝至铁路内网使用,同时降低信息泄露的风险,各站段应统一安排人员下载正版软件或软件的正版镜像,将其拷贝至移动存储介质,再通过专门的杀毒电脑进行杀毒后,上传至统一的文件服务器,供各用户下载,此项工作也可由集团信息部门落实。

2.2 技防方面

(1)加强铁路内部网络计算机准入机制

对现存未做IP地址与MAC地址绑定的部分楼宇、建筑内的交换机及未做准入设置的部分专业系统做好准入控制,严格按照各路局相关规定落实计算机准入制度;对重要系统做好等级保护评估、定级。

(2)做好北信源终端防护系统的安装工作[7]

北信源终端防护系统是由北京北信源软件有限公司开发,在全路推行的一套计算机终端防护系统。基层站段应严格落实国铁集团相关规定,做好北信源终端防护系统的安装与更新工作,对部分电脑配置低,安装北信源终端防护系统后运行缓慢的电脑,应及时进行更换。

铁路内网计算机安装北信源终端防护系统后,计算机用户应按规定定期对电脑进行杀毒、安装北信源终端防护系统推送的系统及应用软件漏洞补丁并及时更新病毒库。

(3)构建统一的数据运营平台

从基层站段的角度来说,其并不具备构建统一的数据运营平台的能力,上级铁路部门才是构建统一数据运营平台的主要实施者。数据运营平台的设计,应秉承统一设计、统一规划、统一投资、统一标准、统一建设、统一平台的基本原则,借助新一代信息技术,充分发挥信息化的基础性和引领性作用,消除业务壁垒,优化业务流程,扩展业务领域,强化业务能力。

2.3 物防方面

(1)提升办公网计算机硬件水平

站段应通过各种办法将配置极低的计算机进行更换,同时,通过更换CPU、增加内存、将机械硬盘更换为固态硬盘等方法,对部分尚有一定价值的计算机进行升级,以提升整体计算机硬件水平,提高计算机用户使用流畅度。

(2)进一步提升网络性能

铁路站段应配合上级部门做好计算机网络的规划、改造、扩建等工作,从而提升计算机网络带宽,增强计算机网络的业务承载能力,实现铁路内部办公系统向智能化、一体化、高速化发展。

(3)规范移动介质管理

基层站段应制定移动存储介质的管理办法,在满足车间、工区对移动介质需求的前提下,车间、工区应严格按照站段制定的网络安全管理办法,规范移动存储介质的使用,防止数据泄露、电脑感染病毒等状况的发生。

3 结束语

本文从人、技、物等三个方面分析了当前铁路基层站段网络安全方面存在的几个问题,并给出了相应的解决办法,希望能对铁路基层网络安全管理人员有所帮助。

[1]刘积芬.网络入侵检测关键技术研究[D].上海:东华大学博士论文,2013.

[2]刘鑫.网络入侵检测系统中模式匹配算法的应用研究[D].大连海事大学硕士论文,2013.

[3]张卫军,郭桂芳,刘清涛.铁路通信网网络安全体系架构研究[J].铁道通信信号,2018,54(09):37-42.

[4]李重言.站段计算机网络安全的思考[J].上海铁道科技,2012(02):99-100.

[5]施卫忠.铁路领域重要信息系统安全保障的创新与实践[J].中国铁路,2020(04):2-6.

[6]王振华.铁路通信网安全技术标准体系框架研究[J].铁路通信信号工程技术,2018,15(05):18-23.

[7]陈梁君.铁路站段计算机网络安全系统建设和应用[J].上海铁道科技,2015(04):67-69.

猜你喜欢
工区车间网络安全
新建地铁连接通道施工对已运营地铁车站的变形监测分析
100MW光伏车间自动化改造方案设计
纳米陶瓷基铝电解阳极防氧化技术的工业应用
山间采茶忙 车间制茶香
网络安全
招工啦
上网时如何注意网络安全?
“扶贫车间”拔穷根
铁路线上别样的春节
网络安全监测数据分析——2015年11月