唐贵侠 中国铁路上海局集团有限公司上海华东铁路建设监理公司

1 前言

2017 年6 月1 日实施的《中华人民共和国网络安全法》成为我国首部网络安全领域的法律, 为网络健康发展提供了可靠保障。铁路总公司在各铁路集团公司到各个站段已经建设完信息化基础建设，从网络建设到实际应用，基本上已经覆盖到运输主业的各车间和班组，同时也建立了网络安全防护、网络安全保障体系。但是,我们铁路非运输企业由于各种原因，没能很好的纳入铁路运输网络的总体信息化建设，信息化建设和管理相对来说，还存在一些差距，特别是在信息网络安全方面，总体的管理还是比较薄弱。另外，各方面对信息网络安全重视程度也不够，为了更好的服务运输生产和对外业务经营，非运输企业也必须高度重视信息网络安全工作,杜绝非运输企业的信息系统数据出现偏差和被窃取现象,有效保护系统信息不受侵害，也要在信息网络安全方面保持与铁路总公司思想上统一,行动上坚决,措施上有效,保障上有力。

根据现有铁路信息系统的应用情况，铁路非运输企业信息网络安全隐患分内部安全隐患和外部安全隐患。内部安全隐患包括网络安全知识普及、专业技术能力、一机两网、违规外连、弱化口令、私建内网WiFi、危险端口、系统漏洞、后台配置管理不当等。外部安全隐患是指网络的复杂性、开放性会让网络病毒和黑客攻击等非法入侵行为。针对这些隐患提出了合理的控制策略,本着公开、透明、详实的原则规范审查工作,实现制度规范化,让信息网络安全管理工作做实、做细。

2 网络安全管理存在的隐患

2.1 内部安全隐患

目前, 铁路非运输企业信息网络安全管理虽然已经按集团公司要求实施和部署，但依旧存在一些问题,表现在：一是有些单位的领导对于信息安全的重视程度不够高，意识不够强，认为有相关信息专业的人员去实施和管理就可以了，领导对信息网络安全不必太关注。二是缺乏配备专职的计算机网络安全人才和分级专项计算机信息人员。三是一些信息相关人员缺乏必要的网络安全知识与安全意识，认为自己只是作为一个铁路信息应用的使用者，网络安全与自己没有什么关系。四是对于网络安全的一些措施与管理办法施行不够严格。五是对信息项目工程建设时网络安全设备的投入比例不够。

2.2 外部安全隐患

铁路非运输企业，近年来推广和发挥“互联网+应用系统”，促进了铁路非运输企业竞争核心力，满足了时代对铁路非运输企业和市场对铁路非运输企业服务能力的要求。除了有对外的应用服务系统，也有大量内部应用系统，对于应用系统的服务性、网络的复杂性、开放性可能会让计算机网络病毒乘虚而入,极大地危害了网络安全与性能,给铁路非运输企业带来不可预估的安全隐患。由于铁路作为国家重要的基础设施,现已有多个信息系统被列入到国家级重要信息系统。铁路的很多信息数据也是国家的重要机密，近年来，也发生过多起不明境内外黑客非法侵入事件，比如2019 年就发生某境外黑客非法侵入某集团公司中心机房的重要应用数据库系统，给铁路的信息安全造成重大影响。网络黑客是一个复杂群体，其对网络安全威胁主要包括发现和攻击网络操作系统的漏洞和缺陷，利用网络安全的脆弱性进行非法活动，除了盗取大量数据，还有可能造成重大破坏行为，如果铁路信息系统遭到黑客攻击，其造成的后果将不堪设想。

3 网络安全的控制策略

3.1 建立专业网络安全专职人员

网络安全的重要性必须有配套的管理人员作为保障，必须建立可核查的网络安全检查机制并按时对相关部门进行检查和指导，现在各非运输企业都设立了信息专职人员，赋予了其专门网络安全管理职能，其主要职责范围包含网络安全的规划、建设、管理和检查。我单位就在公司安全部门设立了专职网络安全工程师一名，负责整个公司计算机管理、培训、检查、考核等，分公司一级设立专项信息管理人员，公司各部门、现场一级指定年轻大学生为兼职信息人员，并建立新职信息人员必须培训和定期培训管理制度。有了这个专业的人员配置，信息管理实现制度化和专业化，专业技术人员定期对网络信息安全管理系统实现有效追踪、管理和监控，确保了我单位的信息网络工作的安全。

3.2 加强网络安全培训与教育

铁路非运输企业的信息安全与每位员工的信息安全意识密不可分,除了不定期对信息技术团队进行技能培训，让技术人员能紧跟信息网络安全的前沿技术发展，了解最新的网络安全产品与设备，提升信息管理团队的整体水平。其次对应用信息系统的员工进行网络安全基础知识培训, 可通过教育警示片、安全管理技术培训等形式让员工接受到系统的教育培训，提高网络安全的认识，提升计算机使用能力。由于铁路非运输企业用工结构多种类型，人员复杂、文化素质差异大，办公地点一般散落在集团公司管内，我单位由公司专职网络安全人员集中对分公司专项信息人员、公司各部门、现场兼职信息人员进行培训、指导，分公司专项信息人员负责日常现场兼职信息人员的管理和指导，各位现场兼职信息人员负责所辖现场每位人员的培训与指导，形成逐级培训、管理，人员数量由公司1 人→分公司6 人→现场兼职人员40人→使用人员达900 多人的规模。同时,通过制定硬性指标和绩效考核来提高所有员工的信息安全意识, 让信息安全工作落实到了具体工作中。

3.3 优化网络安全管理技术

第一,为了保证信息免遭窃取、泄露、破坏和修改,使用了最常见设置密码和用户权限的手段,对数据进行备份,让系统运营更加合理。第二, 网络信息安全管理包括设置防火墙。DPtech UMC 统一管理中心可以配合防火墙进行使用,让安全性能大幅提升,用户点也能得到保护。在铁路系统内部网络与外部网络之间,防火墙是一个比较理想的中介,能够将网络病毒和不安全信息拒之门外,拒绝非法访问。第三,做好计算机系统的病毒防范工作,修补安全漏洞,升级病毒库，远离病毒传播。铁路非运输企业内部必须采购具有安全专用资质且能够排除网络病毒的正版软件。但系统无论多理想、完备,都会存在一定的安全隐患与漏洞,只要计算机被人使用,就会存在感染病毒和木马的潜在危险。因此,需要为系统打上补丁,及时升级病毒库，让程序能够顺利运行,进而提升信息系统的安全系数。第四,使用入侵检测系统能够主动检查网络的易受攻击点和安全漏洞, 能快速发现病毒的存在, 防止黑客非法入侵，进而打开保护伞,将病毒、木马、黑客等恶意袭击的危害降到最低,这是最普遍的动态安全检测防护手段。

3.4 加强对终端用户网络操作规范的管理

铁路网络安全信息管理工作由多方面组成, 除了管理技术人员要严格按照网络操作规范执行外, 大量一线终端用户在实际工作中使用时，要严格规范操作行为，一是严格禁止一机两网或私建内网WiFi 的情况，这样的行为各集团公司都发文做了明确的禁止，最近有些集团公司已经严肃处理这种严重违规情况的案例，有的员工甚至被除名处理，除了对相关责任人作出严肃处理外，相关单位的领导将承担连带责任，这样就在铁路非运输企业营造一种网络安全人人有责。二是加强涉密网络和移动存储介质的管理, 避免移动存储介质（如U 盘）在内外网上混乱使用。三是使用保密网络时，要审查人员的权限，坚决执行保密审查制度,保护密码口令不被轻易授权，避免涉密的计算机数据外漏。四是同时保证相关政策传导到每一个相关使用人并签署网络安全责任书，在企业内部构建一个强大和有效的网络安全网保护屏障。

3.5 整合网络安全管理流程

信息网络安全有一套严格的管理办法与管理制度，在管理过程中,应按照“谁主管谁负责,谁使用谁负责”的原则定期对所有信息系统(操作系统、中间件、数据库、存储、终端)和网络开展全覆盖的安全隐患排查, 对于一些重要应用安全密码管理是有严格管理制度，对于一些重要涉密数据也需要按照泄密管理流程处理，而在防火墙的应用中要保证实时有效，病毒防护要及时更新升级。对现有信息系统网络安全设备进行台账清单梳理,合理规划和执行安全策略管理机制，理清信息系统责任单位和责任人，建立安全保障责任制，制定和完善安全管理流程。新建的网络安全管理信息系统必须严格遵循"三同步"原则,即同步规划、同步建设、同步使用,保证网络信息安全工作在铁路信息建设项目中的投资比例, 建议不少于6%,要将网络安全工作贯穿于项目始终，形成有效的安全管理全过程。

4 结束语

随着新一代信息技术的不断发展，大数据、物联网、云计算、人工智能、机器人等将不断在铁路信息领域得到应用与实施，对提升铁路信息化、智能化将起到重要的作用。可以说铁路非运输企业的各项工作都离不开信息技术的支持，尤其是在铁路关键的服务运输生产的保障和辅助支持上，信息技术发挥了重要作用。要利用网络技术做基础支撑,排除信息网络安全隐患尤为重要。让我们以网络安全技术为保障，制定严格的网络信息安全保障机制，人人树立网络安全意识，构建一个安全的铁路非运输企业网络环境，保障铁路非运输企业的多元化经营的高效运作。