李傳宇 陳國(guó)豐 溫曉明

（山鋼集團(tuán)萊蕪分公司 山東萊蕪）

山鋼集團(tuán)萊蕪分公司的鐵路運(yùn)輸計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)覆蓋全面，經(jīng)過(guò)多年的發(fā)展，逐漸形成了運(yùn)輸調(diào)度指揮系統(tǒng)、辦公自動(dòng)化文件管理系統(tǒng)、物流系統(tǒng)、微機(jī)聯(lián)鎖系統(tǒng)、工業(yè)電視監(jiān)控系統(tǒng)等多個(gè)系統(tǒng)于一體的網(wǎng)絡(luò)體系結(jié)構(gòu)。各個(gè)生產(chǎn)區(qū)域的調(diào)度員根據(jù)生產(chǎn)現(xiàn)場(chǎng)情況制定運(yùn)輸生產(chǎn)作業(yè)計(jì)劃，信號(hào)員與機(jī)車車務(wù)人員負(fù)責(zé)傳達(dá)和實(shí)施，同時(shí)各站段分散控制，最后由運(yùn)輸部調(diào)度集中管理。可通過(guò)網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控運(yùn)輸生產(chǎn)現(xiàn)場(chǎng)的實(shí)際情況，極大提高了運(yùn)輸生產(chǎn)效率。

鐵路運(yùn)輸計(jì)算機(jī)的網(wǎng)絡(luò)可靠性系統(tǒng)是基于動(dòng)態(tài)物理隔離、用戶身份認(rèn)證、訪問(wèn)控制實(shí)現(xiàn)的，從而體現(xiàn)了鐵路運(yùn)輸網(wǎng)絡(luò)內(nèi)外網(wǎng)邊界的保護(hù)。由于鐵路運(yùn)輸計(jì)算機(jī)絕大多數(shù)都無(wú)法連接外網(wǎng)，所以無(wú)法及時(shí)對(duì)其進(jìn)行病毒庫(kù)升級(jí)、漏洞軟件更新等維護(hù)，再加上操作人員或多或少存在安全意識(shí)缺失、漠視安全規(guī)定、移動(dòng)存儲(chǔ)廣泛應(yīng)用等方面的問(wèn)題，不僅計(jì)算機(jī)容易感染病毒、遭受ARP攻擊，網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及系統(tǒng)數(shù)據(jù)也極易遭受破壞和更改，嚴(yán)重影響了系統(tǒng)連續(xù)及可靠性，甚至使網(wǎng)絡(luò)服務(wù)中斷或系統(tǒng)癱瘓、運(yùn)輸生產(chǎn)數(shù)據(jù)泄露等。為此，針對(duì)現(xiàn)階段鐵路運(yùn)輸網(wǎng)絡(luò)體系狀況，實(shí)行了以下管理措施。

一、安裝和配置防火墻

防火墻是保證鐵路運(yùn)輸網(wǎng)絡(luò)體系可靠性的第一道屏障，通常放在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，以保證內(nèi)部網(wǎng)絡(luò)的安全。任務(wù)是：①在不危及內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)與其他資源的前提下，允許本地用戶使用外部網(wǎng)絡(luò)的資源；②將外部未被授權(quán)的用戶屏蔽在內(nèi)部網(wǎng)絡(luò)之外，無(wú)法使用內(nèi)部的資源。作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全城之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，而且本身具有較強(qiáng)的抗攻擊能力，還能提供信息安全服務(wù)，成為網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器、限制器和分析器，可有效監(jiān)控內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的任何活動(dòng)。

由于有的辦公電腦可以通過(guò)第三方軟件連接外部網(wǎng)絡(luò)，這樣就很容易使同在一個(gè)內(nèi)部網(wǎng)絡(luò)的其他計(jì)算機(jī)間接感染病毒或遭受攻擊，嚴(yán)重時(shí)會(huì)導(dǎo)致重要信息外流或系統(tǒng)崩潰。為有效監(jiān)控內(nèi)外網(wǎng)絡(luò)之間的活動(dòng)，控制出入網(wǎng)絡(luò)信息流，在內(nèi)外網(wǎng)之間安裝一道防火墻，辦公網(wǎng)電腦可使用DR.COM軟件通過(guò)身份驗(yàn)證登陸外網(wǎng)，外部網(wǎng)絡(luò)無(wú)法共享和訪問(wèn)內(nèi)部網(wǎng)絡(luò)。另外在物流和微機(jī)聯(lián)鎖網(wǎng)絡(luò)之間安裝另一道防火墻，使辦公網(wǎng)絡(luò)通過(guò)其映射的地址可訪問(wèn)物流網(wǎng)絡(luò)，又完全隔離了物流和微機(jī)聯(lián)鎖網(wǎng)絡(luò)。網(wǎng)絡(luò)防火墻還有一個(gè)專門的保護(hù)區(qū)域DMZ（非軍事區(qū)），在內(nèi)部網(wǎng)絡(luò)將其單獨(dú)劃分出來(lái)，用一臺(tái)專門的電腦來(lái)建立內(nèi)網(wǎng)FTP服務(wù)器，內(nèi)網(wǎng)用戶可登錄設(shè)立的FTP服務(wù)器站點(diǎn)來(lái)下載相應(yīng)的維護(hù)軟件或其他相關(guān)工具。

二、網(wǎng)絡(luò)資源的合理分配

在目前國(guó)內(nèi)鐵路運(yùn)輸網(wǎng)絡(luò)體系結(jié)構(gòu)中，核心層交換機(jī)大部分要?jiǎng)澐?個(gè)以上VLAN，包括辦公網(wǎng)絡(luò)、物流網(wǎng)絡(luò)和微機(jī)聯(lián)鎖網(wǎng)絡(luò)，并在各個(gè)生產(chǎn)區(qū)域所在的下級(jí)交換機(jī)劃分相同的VLAN，將3種網(wǎng)絡(luò)統(tǒng)一分配。萊蕪分公司采用的是靜態(tài)主機(jī)IP分配方式，辦公網(wǎng)絡(luò)使用IPV4網(wǎng)絡(luò)B類私有IP地址，網(wǎng)號(hào)為172.16.99.0，網(wǎng)關(guān)設(shè)置172.16.99.1；物流網(wǎng)絡(luò)使用C類私有IP地址，網(wǎng)號(hào)為192.168.1.0，網(wǎng)關(guān)設(shè)置192.168.1.5；微機(jī)聯(lián)鎖網(wǎng)絡(luò)使用C類IP地址，網(wǎng)號(hào)設(shè)定為202.120.221.0和202.120.220.0；主機(jī)房增配了1臺(tái)物流服務(wù)器，設(shè)置網(wǎng)關(guān)為172.16.99.254。在各站段生產(chǎn)崗位的電腦上“Internet協(xié)議（TCP/IP協(xié)議）屬性”中的高級(jí)選項(xiàng)里添加此物流服務(wù)器的網(wǎng)關(guān)，再經(jīng)過(guò)防火墻的設(shè)置，實(shí)現(xiàn)了辦公電腦同時(shí)訪問(wèn)辦公和物流網(wǎng)絡(luò)的功能，而物流網(wǎng)絡(luò)電腦只能訪問(wèn)物流網(wǎng)絡(luò)，同時(shí)辦公電腦還可以通過(guò)DR.COM客戶端連接外部網(wǎng)絡(luò)。由于辦公和生產(chǎn)網(wǎng)絡(luò)是獨(dú)立的，生產(chǎn)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)又相互隔離，這樣就做到了“三網(wǎng)隔離”，即辦公、生產(chǎn)和外部網(wǎng)絡(luò)相互隔離，避免了非法攻擊。另外，利用現(xiàn)有的網(wǎng)絡(luò)資源，還建立了一套完全獨(dú)立的工業(yè)電視網(wǎng)絡(luò)監(jiān)控系統(tǒng)，能現(xiàn)場(chǎng)采集到鐵運(yùn)現(xiàn)場(chǎng)的實(shí)時(shí)畫面，通過(guò)光電轉(zhuǎn)換設(shè)備傳輸?shù)绞覂?nèi)，再經(jīng)過(guò)網(wǎng)絡(luò)系統(tǒng)傳送到各生產(chǎn)區(qū)域調(diào)度中心和保衛(wèi)處，做到生產(chǎn)與調(diào)度的同步進(jìn)行。通過(guò)以上網(wǎng)絡(luò)系統(tǒng)合理分配和網(wǎng)絡(luò)資源合理利用等方式，既有效利用了現(xiàn)有的網(wǎng)絡(luò)資源，又最大限度保證了辦公、物流、微機(jī)聯(lián)鎖和工業(yè)電視網(wǎng)絡(luò)的安全。

三、組建“內(nèi)網(wǎng)軟件安全服務(wù)中心”

由于采用的是靜態(tài)主機(jī)IP地址分配方式，并使用IPV4協(xié)議。為方便統(tǒng)一管理，管理人員將每臺(tái)電腦手動(dòng)設(shè)定不同的IP地址，規(guī)范計(jì)算機(jī)名，記錄每臺(tái)電腦的MAC地址和設(shè)置相應(yīng)的工作組。為能及時(shí)排除內(nèi)網(wǎng)感染病毒等隱患，在維護(hù)中心指定的一臺(tái)電腦上安裝了實(shí)用應(yīng)用軟件和殺毒軟件以及最新病毒庫(kù)，將它們結(jié)合起來(lái)，組建了運(yùn)輸部“內(nèi)網(wǎng)軟件安全服務(wù)中心”，給這臺(tái)電腦設(shè)定一個(gè)專用IP地址：172.16.99.172，并對(duì)其進(jìn)行合理的設(shè)置。只用一臺(tái)普通的電腦就可運(yùn)行整個(gè)程序，該程序可實(shí)時(shí)監(jiān)控局域網(wǎng)中每臺(tái)加入電腦的狀況，包括漏洞、木馬、病毒和插件，可實(shí)時(shí)的從后臺(tái)進(jìn)行處理。在用戶名為“dwd172”、IP地址為“172.16.99.172”的服務(wù)器端安裝了“360安全衛(wèi)士企業(yè)定制版”，可實(shí)現(xiàn)一鍵查殺木馬、全網(wǎng)漏洞補(bǔ)丁修復(fù)、功能軟件升級(jí)、風(fēng)險(xiǎn)預(yù)警等功能，極大保障了鐵路運(yùn)輸內(nèi)網(wǎng)體系的安全。在“內(nèi)網(wǎng)軟件安全服務(wù)中心”的基礎(chǔ)上，還不定期上外網(wǎng)更新實(shí)用軟件，設(shè)置網(wǎng)內(nèi)用戶共享，設(shè)置訪問(wèn)權(quán)限為讀取，既方便內(nèi)網(wǎng)用戶自己下載和更新，又保證了服務(wù)中心服務(wù)器的安全。

“內(nèi)網(wǎng)軟件安全服務(wù)中心”分別應(yīng)用于鐵路運(yùn)輸生產(chǎn)物流系統(tǒng)專用網(wǎng)和各站段辦公網(wǎng)絡(luò)中，實(shí)現(xiàn)一臺(tái)電腦實(shí)時(shí)管理多臺(tái)電腦的功能，避免了因絕大部分電腦無(wú)法上網(wǎng)引起殺毒軟件功能低等缺陷，為集中管理鐵路運(yùn)輸網(wǎng)絡(luò)體系搭建了一個(gè)全能平臺(tái)。

四、開(kāi)展職工網(wǎng)絡(luò)培訓(xùn)，加強(qiáng)網(wǎng)絡(luò)安全教育

（1）開(kāi)展職工網(wǎng)絡(luò)技能方面的培訓(xùn)，組織專業(yè)人員成立“專家講堂”，由內(nèi)網(wǎng)管理維護(hù)中心的高級(jí)工程師擔(dān)任，由其編制一套針對(duì)鐵路運(yùn)輸企業(yè)人員的網(wǎng)絡(luò)安全技能講課資料，每個(gè)季度走訪一次各個(gè)站段，向職工講授計(jì)算機(jī)系統(tǒng)的基本組成原理、故障的應(yīng)急維修，以及鐵路運(yùn)輸安全教育等知識(shí)。課程結(jié)束后統(tǒng)一組織結(jié)業(yè)考試，并將成績(jī)納入經(jīng)濟(jì)考核范疇，對(duì)成績(jī)突出并有獨(dú)到見(jiàn)解的職工給予一定獎(jiǎng)勵(lì)，針對(duì)成績(jī)不理想的不但要加深教育，還要設(shè)立單獨(dú)的課程，以達(dá)到知識(shí)普及的效果。

（2）由于鐵路運(yùn)輸生產(chǎn)要保持24h暢通無(wú)阻，有些值班人員因無(wú)法統(tǒng)一安排培訓(xùn)課程，為此在鐵路運(yùn)輸網(wǎng)絡(luò)資源的基礎(chǔ)上創(chuàng)建了一個(gè)多功能、集成化的網(wǎng)絡(luò)教育系統(tǒng)，內(nèi)網(wǎng)任何一臺(tái)電腦都可以登錄，通過(guò)網(wǎng)上視頻、遠(yuǎn)程課堂、電子書庫(kù)等形式，學(xué)習(xí)到計(jì)算機(jī)系統(tǒng)的基本組成原理、故障的應(yīng)急維修，以及鐵路運(yùn)輸安全教育等基礎(chǔ)內(nèi)容。提高了職工的操作技能水平，增強(qiáng)了安全責(zé)任意識(shí)，培養(yǎng)了分析和處理問(wèn)題的能力，同時(shí)還不斷開(kāi)闊了視野。

五、創(chuàng)建鐵路運(yùn)輸內(nèi)部網(wǎng)站

為了完善鐵路運(yùn)輸網(wǎng)絡(luò)體系，豐富鐵路運(yùn)輸文化，還創(chuàng)辦了企業(yè)的鐵運(yùn)網(wǎng)站，專門提供給相關(guān)用戶登錄和瀏覽。網(wǎng)站設(shè)有企業(yè)動(dòng)態(tài)、網(wǎng)絡(luò)教育、文件匯編、班組建設(shè)和職工快線等平臺(tái)，供廣大職工使用。

（1）職工可通過(guò)內(nèi)網(wǎng)或在家里使用虛擬服務(wù)器登錄網(wǎng)站，可實(shí)時(shí)關(guān)注國(guó)內(nèi)外冶金行業(yè)的形勢(shì)和市場(chǎng)行情，查詢相關(guān)的行業(yè)生產(chǎn)信息，下載辦公自動(dòng)化系統(tǒng)插件、相關(guān)應(yīng)用軟件和網(wǎng)絡(luò)教育課件等。

（2）“職工快線”版塊為廣大職工搭建起溝通交流平臺(tái)，發(fā)揮了企業(yè)和職工的“連心橋”作用，領(lǐng)導(dǎo)通過(guò)該平臺(tái)可傾聽(tīng)職工心聲，解答職工困惑。職工可隨時(shí)向領(lǐng)導(dǎo)提出各自訴求、工作中的困難等。職工還可將合理化建議等寫在板塊上，與大家共享。

（3）為了加強(qiáng)班組建設(shè)，積極建設(shè)學(xué)習(xí)型班組，“班組建設(shè)”板塊還針對(duì)運(yùn)輸部的全部56個(gè)班組詳細(xì)制作了班組文化模塊，每個(gè)班組可上傳往年的歷史資料，當(dāng)天的工作內(nèi)容，以便領(lǐng)導(dǎo)統(tǒng)一審閱，還可以上傳電腦運(yùn)行情況是否良好等信息，以便技術(shù)人員檢查和維護(hù)，使故障排除在萌芽之中。

在國(guó)內(nèi)冶金企業(yè)行業(yè)形勢(shì)嚴(yán)峻的關(guān)鍵時(shí)刻，鐵路運(yùn)輸網(wǎng)絡(luò)體系的可靠與否，在很大程度上決定了生產(chǎn)效率的高低和企業(yè)效益的好壞。山鋼集團(tuán)萊蕪分公司運(yùn)輸部網(wǎng)絡(luò)維護(hù)中心利用現(xiàn)有的網(wǎng)絡(luò)資源，采取硬件、軟件相結(jié)合、網(wǎng)絡(luò)資源合理分配、開(kāi)展職工網(wǎng)絡(luò)知識(shí)培訓(xùn)等方式，保證了企業(yè)信息在網(wǎng)絡(luò)上的安全和不泄露，避免了來(lái)自外來(lái)網(wǎng)絡(luò)的非法攻擊，實(shí)現(xiàn)了辦公、物流、微機(jī)聯(lián)鎖和工業(yè)電視監(jiān)控網(wǎng)絡(luò)的暢通運(yùn)行，為鐵路運(yùn)輸生產(chǎn)提供了良好的網(wǎng)絡(luò)支持。在科技飛速發(fā)展的今天，科學(xué)的利用現(xiàn)有的條件，合理分配網(wǎng)絡(luò)資源，做好鐵路運(yùn)輸網(wǎng)絡(luò)體系維護(hù)等工作，一定會(huì)為保產(chǎn)保量和企業(yè)健康發(fā)展，起到重要的作用。