铁路物流服务平台网络安全解决方案研究
来源:用户上传
作者:宫新鹏 乔敏慧
摘 要:当前我国物流产业得到了飞速的發展,基于铁路物流服务平台,对铁路物流服务平台的系统构建及网络安全问题进行了相关说明,在对整个应用系统进行详尽分析后,文章提出了铁路物流服务平台网络安全的解决方案,可以有效实现铁路物流服务平台的安全服务。
关键词:铁路物流;服务平台;构建;网络安全
长期以来,基于我国运力不足等综合因素,我国的铁路货运物流仍采用传统的生产型模式,该模式已无法适应当前市场经济状态下的现代物流市场,铁路物流运输的市场在不断下降。以呼和局为例,它在内蒙古地区运输份额不足40%[1],物流产业的迅猛发展为改变现有铁路传统的组织管理模式提供了良好契机。
当前,为了有效提高铁路货运物流服务水平,提高现代化的网络办公水平,实现客户与铁路局各级运输部门的业务交互以及车皮计划的网上受理、自动审批、网上公布,打造公开、公平、透明、便捷的对外货运办理,建立了铁路物流服务平台。该铁路物流服务平台意义重大,基于通信网络的安全性问题,必须构建一套完整的铁路物流服务平台网络安全体制,有效降低网络安全风险,保障铁路运输企业的信息资源,为建立和发展现代铁路物流奠定基础[2]。
1 铁路服务物流平台的构建方案
结合铁路运输的特点及用户需求,按业务属性规划基于互联网的客户货运业务服务平台和基于企业网的业务受理平台两级操作平台;按业务类别规划基于白货、港口煤炭、区内煤炭流程的多流程业务处理功能;按业务主体规划基于客户、物流公司、车站的3种业务操作平台;按功能规划为信息服务中心、用户服务中心、车站服务中心、路局服务中心、系统管理中心5大服务中心。
2 铁路服务物流平台的网络结构
服务平台充分利用整合现有资源,以Web技术为核心,利用铁路运输管理信息系统(Transportation Management Information System,TMIS)等铁路信息系统资源,构建统一便利的信息交换平台,实现了信息资源在相关应用中的共享[3-4]。
服务平台采用浏览器/服务器模式(Browser/Server,B/S)体系结构,以TMIS资源数据库为核心,建立一套独立的服务平台。在铁路总公司及各铁路局设立数据中心,数据中心采取同一体系结构。以Web技术为核心,运行应用服务中间件,建立相应的TMIS,各子系统共享数据库接口,来解决数据共享和功能扩展问题。同时,采用面向服务的结构(Service-Oriented Architecture,SOA)技术实现统一访问数据接口的构建[5-6]。
3 铁路服务物流平台网络安全解决方案
3.1 网络结构的安全设计
铁路物流信息平台网络结构的安全设计思维:在平台对内及对外区域之中增加一个子网络,该子网络起到数据缓冲隔离作用。基于该情况,平台可以有机地划分为对内信息、对外服务、中间子网络3个区域。在该安全结构设置的状态下,平台外部客户无法直接访问平台内部铁路的信息网络服务器,通过中间子网络来访问平台铁路的信息应用服务器,实现平台网络结构的安全设计。同理,铁路内部网络用户也只有通过中间子网络才能访问平台铁路的信息应用服务器,进而对数据进行转储和管理。在该网络结构的安全设计状态下,入侵者只能到达信息应用服务器层面,无法对平台内部铁路的信息网络服务器进行破坏,有效保护了铁路内网的重要数据。
3.2 设备安全管理设计
日前机房建设及相应的规章管理制度比较齐全,所以,主要在网络设备安全配置方面做了努力。其中包括网络设备的软件版本的及时更新;所有路由器维护在本地进行;所有路由器的管理都是用互联网安全协议(Internet Protocol Security,IPSEC)或使用一次性口令系统对路由器的访问进行控制;关闭路由器上不需要的服务,组织路由器接收带源路由标记的包,关闭路由器广播部的转发;路由器的k,gin Banner信息中不包括该路由器名字、型号、时间等详细信息,启动控制列表的日志功能;路由器开启日志功能;铁路内部网络使用静态路由,对外服务在连接IntPr-net的接口上双向禁用RJP和开放最短路径优先(Open Shortest Path First,OSPF)动态路由协议;强化互联网控制报文协议(Internet Control Message Protocol,ICMP)、网际互连协议(Internet Protocol,IP)、传输控制协议(Transmission Control Protocol,TCP)的安全配置;在系统中根据不同的安全级别加强对计算机端口的设置。
3.3 多链路负载均衡
充分利用多个互联网连接通道,在网络出口部署技术成熟的链路负载均衡器,通过其强大的健康检查功能实时检测不同链路的健康状态,将用户业务请求分发到最优的链路实现业务访问,为解决不同运营商之间互连互通问题及实现最佳访问效率提供了有效的解决方案。在此基础上,为了避免单点故障,保证一台链路负载均衡器发生故障时互联网连接能够连续通畅,同时部署了2台链路负载均衡器,实现了设备冗余。
3.4 智能域名解析
使用多个互联网运营商链路,通过在链路负载均衡器上部署智能域名解析功能,实现同一域名向不同运营商接入用户提供相对应的lP地址,链路负载均衡器根据静态列表及动态判断算法,选择最优的线路,然后将域名解析成相应运营商线路的IP地址,保证外部用户访问物流服务平台时在链路方面的自动优化。
3.5 多级多平面交换架构
通过具体的网络规划,实现业务数据的高效传输。按照不同的网络层次配置相应网络设备,划分相应的IP网络数据段。面向出口方向部署能够抵御网络攻击的网络安全设备,面向核心业务方向部署应用及数据服务器,同时,划出网络安全审计区部署各类审计设备。通过在网络核心环节上安装两台高度可靠、性能强大的高端核心交换机达到上述网络结构设计及功能实现。两台核心交换机构成冗余备份,采用先进的多级多平面交换架构,支持100 GF以太网标准,提供持续的高带宽数据传输,充分满足无阻塞应用及未来发展需求。在架构上,采用独立的交换网板卡,控制引擎和交换网板硬件相互独立,最大限度地提高设备可靠性,同时,为今后设备的升级提供基础。 3.6 分層防御安全体系
针对物流服务对信息传输的安全及快速要求,采用信息安全领域成熟的安全防护技术,构建分层防御安全体系框架,部署可有效抵御各类非法攻击的安全防范策略,保证物流平台业务系统的硬件、软件及其系统中的数据资源得到完整、准确、连续运行和服务不受干扰破坏或非授权使用,物流服务平台对当前及可预见未来的各类安全威胁部署了全面的防御设施及策略,体现了多路冗余、分层防护的特点[7]。在直接与互联网对接的位置部署高可用集群防火墙,在网络延伸位置部署高精准入侵防御设备(Intrusion Prevention System,IPS)及流量控制设备,同时,在服务器交换节点部署系统漏洞扫描设备。
3.7 系统安全保障技术
以既有的铁路安全平台为基础,综合运用防火墙、流量监控等安全设备和技术,进一步增强信息系统的安全防范、防攻击、防渗透、进行数据加密、合法用户认证、访问控制等功能。构建铁路服务物流平台网络结构的安全设计,在平台上采用符合公钥基础设施(Public Key Infrastructure,PKI)、X.509v3规范的数字证书系统,就可以对系统用户身份进行鉴别,实现有效的安全认证等功能。在设计中对安全隔离网闸及安全控制服务器进行有机整合,形成完整统一的数据传输安全控制系统;在设计中采用安全隔离硬件可以使系统内外两个网络在链路层断开,防止非法网络行为的攻击;在设计中采用轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)数据库结构,有效对用户进行安全管理;在设计中采用Access Manager服务确认用户的身份及相应的授权信息。系统可以根据自身记录的报警情况、日志信息及相应涉及安全管理方面的信息,进行有效的综合评估,从而对系统平台网络的不安全行为进行统计分析,形成相应的报告。平台管理者通过安全报告可以有效掌握平台网络结构的安全问题,可以有效地采取补救措施,从而实现铁路物流服务平台网络的安全,保障其安全、稳定的运行。
4 结语
本研究在简要介绍铁路物流服务平台应用意义的基础上,对当前铁路服务物流平台的构建方案和网络结构进行了分析。对铁路物流平台的网络结构的安全设计给出了较综合的解决方案。
[参考文献]
[1]李霞.呼和浩特铁路局货运营销辅助决策系统的研究与应用[D].兰州:兰州交通大学,2015.
[2]付冶.信息化企业的网络安全管理[J].炼油与化工,2011(6):50-52,66.
[3]易美超.浅析计算机网络安全技术与防范策略[J].内蒙古科技与经济,2008(6):217-219.
[4]陈萍,陈华明.计算机网络安全与对策[J].福建电脑,2003(11):71-73.
[5]胡新龙,李怀成.互联网+医疗健康模式下的医院网络安全防护[J].中国卫生信息管理杂志,2019(4):462-466.
[6]施善妮,韦成燕.如何共享铁路运输信息资源[J].铁道运营技术,2004(2):15-17.
[7]王茜,朱志祥,葛新,等.应用于云计算中心的虚拟主机安全防护系统[J].计算机技术与发展,2014(3):134-137.
Research on network security solution of railway logistics service platform
Gong Xinpeng, Qiao Minhui
(Hohhot Communication Section of China Railway Hohhot Bureau Group Co., Ltd., Hohhot 010020, China)
Abstract:At present, China’s logistics industry has been developing rapidly. Based on the railway logistics service platform, the system construction and network security problems of the railway logistics service platform are explained. After a detailed analysis of the whole application system, the network security solution of the railway logistics service platform is proposed in this paper, which can effectively realize the security service of the railway logistics service platform.
Key words:railway logistics; service platform; construction; network security
转载注明来源:https://www.xzbu.com/8/view-15197561.htm
