铁路物流服务平台网络安全解决方案研究

　　摘 要：当前我国物流产业得到了飞速的發展，基于铁路物流服务平台，对铁路物流服务平台的系统构建及网络安全问题进行了相关说明，在对整个应用系统进行详尽分析后，文章提出了铁路物流服务平台网络安全的解决方案，可以有效实现铁路物流服务平台的安全服务。

　　关键词：铁路物流;服务平台;构建;网络安全

　　长期以来，基于我国运力不足等综合因素，我国的铁路货运物流仍采用传统的生产型模式，该模式已无法适应当前市场经济状态下的现代物流市场，铁路物流运输的市场在不断下降。以呼和局为例，它在内蒙古地区运输份额不足40%[1]，物流产业的迅猛发展为改变现有铁路传统的组织管理模式提供了良好契机。

　　当前，为了有效提高铁路货运物流服务水平，提高现代化的网络办公水平，实现客户与铁路局各级运输部门的业务交互以及车皮计划的网上受理、自动审批、网上公布，打造公开、公平、透明、便捷的对外货运办理，建立了铁路物流服务平台。该铁路物流服务平台意义重大，基于通信网络的安全性问题，必须构建一套完整的铁路物流服务平台网络安全体制，有效降低网络安全风险，保障铁路运输企业的信息资源，为建立和发展现代铁路物流奠定基础[2]。

　　1 铁路服务物流平台的构建方案

　　结合铁路运输的特点及用户需求，按业务属性规划基于互联网的客户货运业务服务平台和基于企业网的业务受理平台两级操作平台;按业务类别规划基于白货、港口煤炭、区内煤炭流程的多流程业务处理功能;按业务主体规划基于客户、物流公司、车站的3种业务操作平台;按功能规划为信息服务中心、用户服务中心、车站服务中心、路局服务中心、系统管理中心5大服务中心。

　　2 铁路服务物流平台的网络结构

　　服务平台充分利用整合现有资源，以Web技术为核心，利用铁路运输管理信息系统(Transportation Management Information System，TMIS)等铁路信息系统资源，构建统一便利的信息交换平台，实现了信息资源在相关应用中的共享[3-4]。

　　服务平台采用浏览器/服务器模式(Browser/Server，B/S)体系结构，以TMIS资源数据库为核心，建立一套独立的服务平台。在铁路总公司及各铁路局设立数据中心，数据中心采取同一体系结构。以Web技术为核心，运行应用服务中间件，建立相应的TMIS，各子系统共享数据库接口，来解决数据共享和功能扩展问题。同时，采用面向服务的结构(Service-Oriented Architecture，SOA)技术实现统一访问数据接口的构建[5-6]。

　　3 铁路服务物流平台网络安全解决方案

　　3.1 网络结构的安全设计

　　铁路物流信息平台网络结构的安全设计思维：在平台对内及对外区域之中增加一个子网络，该子网络起到数据缓冲隔离作用。基于该情况，平台可以有机地划分为对内信息、对外服务、中间子网络3个区域。在该安全结构设置的状态下，平台外部客户无法直接访问平台内部铁路的信息网络服务器，通过中间子网络来访问平台铁路的信息应用服务器，实现平台网络结构的安全设计。同理，铁路内部网络用户也只有通过中间子网络才能访问平台铁路的信息应用服务器，进而对数据进行转储和管理。在该网络结构的安全设计状态下，入侵者只能到达信息应用服务器层面，无法对平台内部铁路的信息网络服务器进行破坏，有效保护了铁路内网的重要数据。

　　3.2 设备安全管理设计

　　日前机房建设及相应的规章管理制度比较齐全，所以，主要在网络设备安全配置方面做了努力。其中包括网络设备的软件版本的及时更新;所有路由器维护在本地进行;所有路由器的管理都是用互联网安全协议(Internet Protocol Security，IPSEC)或使用一次性口令系统对路由器的访问进行控制;关闭路由器上不需要的服务，组织路由器接收带源路由标记的包，关闭路由器广播部的转发;路由器的k，gin Banner信息中不包括该路由器名字、型号、时间等详细信息，启动控制列表的日志功能;路由器开启日志功能;铁路内部网络使用静态路由，对外服务在连接IntPr-net的接口上双向禁用RJP和开放最短路径优先(Open Shortest Path First，OSPF)动态路由协议;强化互联网控制报文协议(Internet Control Message Protocol，ICMP)、网际互连协议(Internet Protocol，IP)、传输控制协议(Transmission Control Protocol，TCP)的安全配置;在系统中根据不同的安全级别加强对计算机端口的设置。

　　3.3 多链路负载均衡

　　充分利用多个互联网连接通道，在网络出口部署技术成熟的链路负载均衡器，通过其强大的健康检查功能实时检测不同链路的健康状态，将用户业务请求分发到最优的链路实现业务访问，为解决不同运营商之间互连互通问题及实现最佳访问效率提供了有效的解决方案。在此基础上，为了避免单点故障，保证一台链路负载均衡器发生故障时互联网连接能够连续通畅，同时部署了2台链路负载均衡器，实现了设备冗余。

　　3.4 智能域名解析

　　使用多个互联网运营商链路，通过在链路负载均衡器上部署智能域名解析功能，实现同一域名向不同运营商接入用户提供相对应的lP地址，链路负载均衡器根据静态列表及动态判断算法，选择最优的线路，然后将域名解析成相应运营商线路的IP地址，保证外部用户访问物流服务平台时在链路方面的自动优化。

　　3.5 多级多平面交换架构

　　通过具体的网络规划，实现业务数据的高效传输。按照不同的网络层次配置相应网络设备，划分相应的IP网络数据段。面向出口方向部署能够抵御网络攻击的网络安全设备，面向核心业务方向部署应用及数据服务器，同时，划出网络安全审计区部署各类审计设备。通过在网络核心环节上安装两台高度可靠、性能强大的高端核心交换机达到上述网络结构设计及功能实现。两台核心交换机构成冗余备份，采用先进的多级多平面交换架构，支持100 GF以太网标准，提供持续的高带宽数据传输，充分满足无阻塞应用及未来发展需求。在架构上，采用独立的交换网板卡，控制引擎和交换网板硬件相互独立，最大限度地提高设备可靠性，同时，为今后设备的升级提供基础。

　　推荐阅读：物流方向如何出一篇专著

期刊VIP网，您身边的高端学术顾问

文章名称： 铁路物流服务平台网络安全解决方案研究

文章地址： http://www.qikanvip.com/lunwen/zonghelunwen/2020/0516/51629.html