随着铁路信息化发展的不断深入，铁路基层站段以建设“智慧站段”为目标，积极运用信息及网络技术，结合自身生产和办公需求，研发和部署各类信息系统，以促进站段生产自动化、数据分析智能化、作业流程标准化。目前，通过信息系统建设，铁路基层站段在生产、管理、培训等方面普遍实现了信息互联互通，使生产管理更加规范高效，办公更加方便快捷，有助于减少简单重复劳动，促进生产作业流程标准化，提高工作质量和生产效率。

2017年，某机务段开发了机车整备作业综合管理系统（简称：机车整备系统），涵盖从机车入库到出库的全流程管控，实现数据采集、分析、展示自动化，提升了机车整备作业的管理水平和作业质量。经过近4年持续不断的系统完善和应用深化，机车整备系统已经成为该机务段生产管理不可或缺的重要工具。一旦该系统遭到安全威胁，将直接扰乱该机务段的正常生产秩序，甚至影响铁路运输生产。

由于信息系统自身所固有的脆弱性，使其面临着信息泄露、拒绝服务、非法使用、计算机病毒等潜在的安全威胁^[1]。当铁路基层站段的生产和管理越来越依赖信息系统时，一旦信息系统受到攻击或损坏，将严重影响企业安全生产管理和生产秩序。如何实现信息系统安全管理成为铁路各基层站段安全生产的一项重要任务。为此，本文参照GB/T 22239—2019《信息安全技术—网络安全等级保护基本要求》^[2]，结合机车整备系统的应用和机务段的实际情况，制订了该系统的信息安全管理方案，遵循木桶原则和整体性原则，从人防、技防、物防等方面综合防控，确保信息安全风险可控^[3]，保障该系统长期稳定运转。

1   铁路基层站段信息系统的安全管理要求

1.1   机车整备系统概况

机车整备系统是各铁路局集团公司机务信息平台建设中的一个重要环节^[4]，该系统围绕机车整备作业安全卡控和机车质量保障两条主线，遵循中国国家铁路集团有限公司（简称：国铁集团）关于加强机车整备能力建设的指导意见，按照《机车整备作业综合管理系统暂行技术规范》的建设标准，结合机务段机车整备作业现状和管理需要，以机车整备作业为中心，整合车号识别、受电弓自动检测、轮对自动检测、车底自动检测、吸污、加砂、洗车、车底检查、车上检查等整备作业数据，实现机车整备作业管理、机车整备质量控制、机车故障追踪等综合管理。该系统构成如图1所示。

图  1  机车整备系统构成示意

下载: 全尺寸图片 幻灯片

作业人员可以通过手持终端、工位机、PC客户端等多种方式接收工单和上报机车故障信息，在作业完成后登录系统进行销号，实现故障闭环和记名检修。通过数据中心电子大屏，可查看机车停放位置、整备作业状态和车型车号等信息；通过数据接口，机车整备系统可自动获取各类自动化检测系统采集的数据，并对这些检测数据进行关联和融合，方便用户查询和分析。

目前，该系统全面融入机务段的生产过程，打通了生产管理数据链，消除不同作业环节和部门间的信息孤岛，实现了全段机车整备作业信息互通共享，显著提高了整体作业效率。可以说，机车整备系统是铁路基层站段信息系统中一个较为成功的应用范例。

1.2   信息系统面临的安全隐患

关于铁路基层站段网络安全和信息系统运维， 铁路局集团公司已制定了统一的管理办法。但是，由于铁路基层站段人员素质参差不齐，作业对象千差万别，基础环境各不相同等原因，导致铁路基层站段信息系统安全隐患较多，主要存在以下几个方面的问题。

（1）信息系统安全防护能力和技术储备不足：信息系统具有开放性和脆弱性，由于铁路基层站段网络安全防护能力和技术储备不足，导致其信息系统往往缺乏有效和完善的防护手段^[5]，容易遭受高级可持续威胁（APT，Advanced Persistent Threat）攻击、恶意代码、拒绝服务等安全威胁，当遇到服务器宕机、程序报错、系统无法访问等突发情况时，现场人员往往束手无策。

（2）基础设施建设和管理相对滞后：铁路基层站段的规模差异较大，以铁路基层站段的中心机房建设为例，有些铁路基层站段建有数百平方米的专用信息机房，而有的铁路基层站段只能将几十平方米的设备间作为中心机房。有些铁路基层站段由于信息基础设施建设相对滞后，不具备网络安全专用设备和机房环境管理设备的安装条件，机房管理制度难以严格执行，进而影响铁路基层站段信息系统的整体安全管理水平。

（3）人员混杂和运维管理不到位：铁路基层站段大部分直接服务于旅客或货运客户，在信息系统运维、作业施工、学习交流等过程中，外来人员有机会频繁接触铁路基层站段信息系统，这些外来人员的网络安全意识和人员素质良莠不齐，给铁路基层站段信息系统带来安全隐患。另外，在铁路基层站段信息系统的日常运维中，违章作业和违规施工难以杜绝，一机两网、一机两用等网络安全事件时常发生。

除此之外，铁路基层站段还不同程度地面临着安全区域边界不清、安全管理机构不健全、系统建设管理不规范、安全防护和应急处置能力不高等问题。

1.3   信息系统安全防护要求

安全是铁路运输永恒的主题，必须牢固树立“安全第一”的思想不动摇。铁路基层站段的网络环境和需求不同于一般企业，铁路基层站段信息系统事关铁路安全生产、经济发展、社会稳定和国家安全^[6]，其安全防护应满足如下要求。

（1）安全防护标准要明确：部分铁路基层站段信息系统投资建设缺乏总体安全观，各专业信息系统开发投资建设初期定位不准，需求不明，安全措施不完备，重复投资、建设质量不达标等情况时有发生。铁路基层站段需要建立一套可贯穿信息系统规划、开发、运维全生命周期的信息安全管理标准。

（2）安全防护效果要有保证：当前，信息安全管理工具选择众多，安全防护措施多种多样。铁路基层站段需要选用一些切实可行、行之有效的安全管理工具和方法，以确保本单位信息安全防护标准能够有效实施和执行。

（3）安全防护措施要易操作：复杂的管理工具和难以理解的信息安全管理办法，在铁路基层站段都不具有生命力；在构建和设计铁路基层站段信息系统的安全管理体系时，应特别关注安全防护措施的实用性和可操作性^[7]，确保其能够在铁路基层站段落地生根。

2   机车整备系统安全管理方案

机车整备系统涉及生产运输、人员调度、数据统计、信息保密等诸多方面，在该系统的项目规划阶段，就同步考虑建立该系统的安全管理方案，包括安全物理环境、安全通信网络、安全边界管理、安全管理制度等。

2.1   安全物理环境管理

物理环境安全是信息安全的基础。铁路基层站段信息系统的物理环境以中心机房为重点，中心机房是网络、数据、服务交互的核心区域。

（1）中心机房物理位置选择：中心机房建于机务段教育综合楼的中间层，具有防震、防风、防雨等能力，楼上未设置用水设施，消除了中心机房被水淹的风险；中心机房采用国家B类机房标准设计，划分为电源区、网络区、服务器区、备品区、测试区。中心机房布局如图2所示。

图  2  中心机房布局

下载: 全尺寸图片 幻灯片

（2）物理访问控制：在网络安全隐患中，人为因素占到绝大多数；外来人员进出机房严格执行实名登记和审批制度，严禁私自携带电子产品进入机房；门禁采用指纹识别系统，权限设置分为管理员和一般用户，并按权限最小化原则分配门禁权限。

（3）供电安全：机房接入双路电源供电，当某一路电源故障时，能通过自动切换器实现电源自动切换；机房冗余配置2台专用UPS和独立电池柜，互为热备；每一个机柜均引入主/备UPS供电，各机柜和信息设备严格按规范接地。

（4）机房环境管理：机房安装恒温恒湿的专用空调，配备有七氟丙烷自动灭火器，安装防鼠板，铺设静电地板，安装水浸、烟雾、高温、过压、过流等传感器；通过视频和环境监控系统，结合值班人员定期巡视，确保机房环境安全。

2.2   安全通信网络管理

通信网络是信息系统数据传输安全性、保密性、可用性的保障，各种信息数据传递需要安全、稳定、合理的通信网络服务。

（1）合理搭建网络架构：机车整备系统搭建了3层网络架构，核心交换机冗余配置；配置3 台服务器，其中1 台为备用服务器，提供数据库和应用备份；采用有线和无线网络相结合的组网方式，接入的客户端设备包括PC计算机、工位机、电子沙盘和手持终端，系统网络结构如图3所示。

图  3  系统网络结构示意

下载: 全尺寸图片 幻灯片

（2）选用高可靠的国产通信设备：路由器、交换机、防火墙均选用高可靠的国产通信产品，有助于降低网络传输丢包率，减少数据丢失或缺损，确保数据通信的完整性、保密性、可用性。

2.3   安全边界管理

为确保安全风险的区域隔离及安全控制管理，信息系统应划分若干安全区域；利用程序设计、访问控制、安全审计等手段，形成安全的信息系统边界。

（1）明确安全边界防护：信息系统应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。机车整备系统在与受电弓、轮对、走行部、车号等相关接口系统进行数据交互的过程中，按照国铁集团编码规范，采用标准数据接口进行数据传输和共享，明确数据安全边界。

（2）细化信息访问与接入控制：机车整备系统设计有权限管理模块，可依据单位组织架构，按需分配访问权限；利用路由器、防火墙、安全审计等设备，设置访问控制列表，绑定访问信息系设备MAC地址，划分子网，保证用户访问数量最小化；日常巡检重点检查系统访问源地址、目的地址、目的端口和协议等。

（3）重视安全审计和病毒防治：购置网络安全审计设备，检查、分析、发现外部攻击意图，及时采取预防和修复措施，严防恶意入侵；全段部署杀毒软件，制定防病毒安全策略；采用管理软件对内网使用U盘进行“标签”注册，防止U盘内外网交互使用，减少病毒传播和数据泄露的行为。

2.4   安全计算环境管理

网络环境错综复杂，随时可能存在黑客攻击或非授权访问，为了确保计算环境安全，需要采取用户安全审计、防止恶意代码攻击、执行数据备份等措施。

（1）强化身份鉴别与安全审计：采用身份鉴别技术确保系统登录人员的合法性，客户端登录账号采用7位数的工号，密码强制要求设置强口令^[8]。工位机、手持终端均支持IC卡身份识别和指纹登录；绑定设备MAC地址，确保系统用户通过合法的接入设备登录系统；上网行为记录保存不少于6个月，审计覆盖系统的全部用户。

（2）防范入侵和恶意代码攻击：所有办公计算机均安装防护软件，在系统管理终端上设置弱口令报警、一机两网报警、外网U盘报警等安全审计策略，及时推送补丁和安全警告；通过后台日志分析，查找恶意代码攻击。

（3）规范客户端设备及服务器配置管理：该系统的客户端设备仅安装运行该系统所需的软件和应用程序，关闭不需要的系统服务、默认共享、高危端口；严禁职工擅自对外发布、传播重要数据，严禁在互联网计算机、云盘、邮箱内存储内部资料。

2.5   信息安全制度管理

管理制度是信息系统安全稳定的保障，也是控制安全风险的重要手段。为了让作业和管理有章可循，必须建立健全安全规章制度，形成行为规范和制约。

（1）健全信息系统规章制度：严格遵守国铁集团和铁路局集团公司对信息系统建设、管理的各项规章制度，结合本单位实际，细化建立《信息系统设备管理实施细则》《信息安全管理实施细则》《信息系统运行维护管理实施细则》《网络安全事件应急预案》等规章，确保信息安全管理有章可循。

（2）确立文件定期修订机制：定期对文件执行落实情况进行检查监督，结合作业变化和要求调整，定期组织对文件修订；做好文件编号、版本、存档管理。

（3）规范文件制度发布流程：管理文件通过单位电子公文系统规范发布，操作规程要及时装订成册或制成展板，机房应急管理流程、管理规定等按要求张贴上墙。

2.6   机构和人员管理

为了保证有效的通信和协调，必须夯实网络安全的群众基础，使全体员工建立“网络安全人人有责”的意识，全面贯彻“管生产也要管网络安全”的理念，落实责任部门和责任人，明确相关责任和工作要求。

（1）岗位设置要求：机务段的设备物资科负责信息安全的归口管理，成立由党政主要负责人任组长的网信领导小组，负责落实网络安全各项工作；设置设备管理、软件管理、网络管理、信息安全值班员等岗位，并明确各工作岗位的职责。

（2）人员安全管理：对单位内部职工，将网络安全培训纳入新职工“入路第一课”培训，要求职工全员签订《网络安全承诺书》；离职后收回权限并签订离职协议。对外来信息作业人员，要求进行背景审查和网络安全教育培训，签订《网络安全责任书》《施工保密协议》，组织安全培训并考试，由本单位职工陪同，方可进行作业。

（3）网络安全责任包保：实行段、车间、班组层级管理模式，建立责任包保制度，落实责任人和包保人，由车间领导主管网络安全，遵循“谁主管，谁负责，谁使用，谁负责”的原则，落实管控主体责任。

2.7   安全建设管理

遵照GB/T 22239-2019和国铁集团的相关要求，落实分类分级管理，信息系统上线运行前，必须通过专业机构进行网络安全保护等级测评，确保信息系统不“带病上线”，减少安全隐患。

（1）系统定级和备案登记：在机车整备系统实施前，铁路局集团公司和机务段组织专家评审，明确该系统安全保护等级（确定为二级）和定级理由，并在铁路局集团公司安全等级保护系统中进行备案^[9]。

（2）工程实施安全管理：在对需求充分调研后，确定了机车整备系统工程实施的安全防控措施，包括开发环境与实际运行环境物理分开， 在开发过程中进行安全性测试，进行恶意代码检测和审查，严格按照信息系统施工管理规定开展工程实施。

（3）系统测试与交付管理：组织铁路局集团公司专家和技术科、设备科、整备车间等部门的技术人员，制订验收方案，严格按照系统需求说明书和合同及合同附件，完成系统测试、整改和验收工作。

（4）组织等级测评：机车整备系统正式上线运行前，根据铁路局集团公司的信息系统安全等级保护要求，委托专业机构进行等级保护二级测评，对测评中发现的网络安全隐患和编码漏洞进行整改和修复。

2.8   安全运维和应急管理

机车整备系统建成后，为了提高系统可用性，需要专业技术人员负责系统的安全管理和运维工作，包括定期检查基础设施、网络安全设备，安全策略等相关内容是否存在安全隐患、漏洞补丁并及时修复。

（1）机房和设备运维管理：所有信息设备、空调、灭火器、UPS均纳入年度检修计划和月度检修计划，由专业工种按检修计划进行检修、维护和保养，确保该系统的所有相关设备能够安全、稳定、可靠地运行。

（2）应用系统运维管理：专业科室安排专人负责，对机车整备系统的用户角色、权限、组织结构定期进行维护，对申请、建立、删除账户等进行操作；定期查看安全策略、日志、口令等信息，详细记录运维操作日志等。

（3）客户端设备运维管理：所有客户端计算机均开启防火墙，封堵USB端口，关闭高危端口，关闭光驱功能；关闭交换机闲置端口，对闲置或报废的信息设备进行下架处理，减少信息设备暴露面；拆除客户计算机、打印机的无线网卡进行，防止信息设备一机两网；及时升级病毒库、修复系统高危漏洞，定期检查软硬件使用情况。

（4）应急预案和应急处置：使用管理部门负责制定信息系统故障应急处置预案，信息管理部门负责系统故障分析和恢复，生产指挥中心负责生产应急指挥；每年组织一次故障应急演练，确保应急预案可有效执行。

3   结束语

机车整备系统的建设为机务段整备作业管理搭建了统一的信息系统平台，围绕该信息系统的运行维护，机务段严格执行信息系统等级保护制度，组建了一支能够快速响应的信息专业队伍，努力提高信息专业技术人员技术水平。该信息系统上线以来运行平稳，至今未发生重大网络安全事件。但是在信息系统运维工作中，部分数据库、中间件、软件的补丁需要通过互联网下载，由于铁路企业内部网与互联网存在物理隔离，在修复这些信息系统漏洞时，需逐台手动处理，导致部分信息系统漏洞可能无法及时修复。

铁路基层站段有部分信息系统是基于较早版本的操作系统、中间件和数据库平台开发的，系统升级风险较大，容易出现升级失败或信息系统运行异常。另外，铁路基层站段自主研发的信息系统软件较多，软件编码不规范，导致信息系统可靠性、可用性较差。为保障铁路基层站段信息系统的安全，应通过物防、人防、技防相结合，不断完善信息系统安全管理方案，着力提高铁路基层站段职工的网络安全意识，形成“网络安全人人有责”的共识，努力将各项安全措施落实到位，才能保障铁路基层站段信息系统稳定、可靠地运行。