摘 要：當前我國物流產業得到了飛速的發展，基于鐵路物流服務平臺，對鐵路物流服務平臺的系統構建及網絡安全問題進行了相關說明，在對整個應用系統進行詳盡分析后，文章提出了鐵路物流服務平臺網絡安全的解決方案，可以有效實現鐵路物流服務平臺的安全服務。

　　關鍵詞：鐵路物流;服務平臺;構建;網絡安全

　　長期以來，基于我國運力不足等綜合因素，我國的鐵路貨運物流仍采用傳統的生產型模式，該模式已無法適應當前市場經濟狀態下的現代物流市場，鐵路物流運輸的市場在不斷下降。以呼和局為例，它在內蒙古地區運輸份額不足40%[1]，物流產業的迅猛發展為改變現有鐵路傳統的組織管理模式提供了良好契機。

　　當前，為了有效提高鐵路貨運物流服務水平，提高現代化的網絡辦公水平，實現客戶與鐵路局各級運輸部門的業務交互以及車皮計劃的網上受理、自動審批、網上公布，打造公開、公平、透明、便捷的對外貨運辦理，建立了鐵路物流服務平臺。該鐵路物流服務平臺意義重大，基于通信網絡的安全性問題，必須構建一套完整的鐵路物流服務平臺網絡安全體制，有效降低網絡安全風險，保障鐵路運輸企業的信息資源，為建立和發展現代鐵路物流奠定基礎[2]。

　　1 鐵路服務物流平臺的構建方案

　　結合鐵路運輸的特點及用戶需求，按業務屬性規劃基于互聯網的客戶貨運業務服務平臺和基于企業網的業務受理平臺兩級操作平臺;按業務類別規劃基于白貨、港口煤炭、區內煤炭流程的多流程業務處理功能;按業務主體規劃基于客戶、物流公司、車站的3種業務操作平臺;按功能規劃為信息服務中心、用戶服務中心、車站服務中心、路局服務中心、系統管理中心5大服務中心。

　　2 鐵路服務物流平臺的網絡結構

　　服務平臺充分利用整合現有資源，以Web技術為核心，利用鐵路運輸管理信息系統(Transportation Management Information System，TMIS)等鐵路信息系統資源，構建統一便利的信息交換平臺，實現了信息資源在相關應用中的共享[3-4]。

　　服務平臺采用瀏覽器/服務器模式(Browser/Server，B/S)體系結構，以TMIS資源數據庫為核心，建立一套獨立的服務平臺。在鐵路總公司及各鐵路局設立數據中心，數據中心采取同一體系結構。以Web技術為核心，運行應用服務中間件，建立相應的TMIS，各子系統共享數據庫接口，來解決數據共享和功能擴展問題。同時，采用面向服務的結構(Service-Oriented Architecture，SOA)技術實現統一訪問數據接口的構建[5-6]。

　　3 鐵路服務物流平臺網絡安全解決方案

　　3.1 網絡結構的安全設計

　　鐵路物流信息平臺網絡結構的安全設計思維：在平臺對內及對外區域之中增加一個子網絡，該子網絡起到數據緩沖隔離作用。基于該情況，平臺可以有機地劃分為對內信息、對外服務、中間子網絡3個區域。在該安全結構設置的狀態下，平臺外部客戶無法直接訪問平臺內部鐵路的信息網絡服務器，通過中間子網絡來訪問平臺鐵路的信息應用服務器，實現平臺網絡結構的安全設計。同理，鐵路內部網絡用戶也只有通過中間子網絡才能訪問平臺鐵路的信息應用服務器，進而對數據進行轉儲和管理。在該網絡結構的安全設計狀態下，入侵者只能到達信息應用服務器層面，無法對平臺內部鐵路的信息網絡服務器進行破壞，有效保護了鐵路內網的重要數據。

　　3.2 設備安全管理設計

　　日前機房建設及相應的規章管理制度比較齊全，所以，主要在網絡設備安全配置方面做了努力。其中包括網絡設備的軟件版本的及時更新;所有路由器維護在本地進行;所有路由器的管理都是用互聯網安全協議(Internet Protocol Security，IPSEC)或使用一次性口令系統對路由器的訪問進行控制;關閉路由器上不需要的服務，組織路由器接收帶源路由標記的包，關閉路由器廣播部的轉發;路由器的k，gin Banner信息中不包括該路由器名字、型號、時間等詳細信息，啟動控制列表的日志功能;路由器開啟日志功能;鐵路內部網絡使用靜態路由，對外服務在連接IntPr-net的接口上雙向禁用RJP和開放最短路徑優先(Open Shortest Path First，OSPF)動態路由協議;強化互聯網控制報文協議(Internet Control Message Protocol，ICMP)、網際互連協議(Internet Protocol，IP)、傳輸控制協議(Transmission Control Protocol，TCP)的安全配置;在系統中根據不同的安全級別加強對計算機端口的設置。

　　3.3 多鏈路負載均衡

　　充分利用多個互聯網連接通道，在網絡出口部署技術成熟的鏈路負載均衡器，通過其強大的健康檢查功能實時檢測不同鏈路的健康狀態，將用戶業務請求分發到最優的鏈路實現業務訪問，為解決不同運營商之間互連互通問題及實現最佳訪問效率提供了有效的解決方案。在此基礎上，為了避免單點故障，保證一臺鏈路負載均衡器發生故障時互聯網連接能夠連續通暢，同時部署了2臺鏈路負載均衡器，實現了設備冗余。

　　3.4 智能域名解析

　　使用多個互聯網運營商鏈路，通過在鏈路負載均衡器上部署智能域名解析功能，實現同一域名向不同運營商接入用戶提供相對應的lP地址，鏈路負載均衡器根據靜態列表及動態判斷算法，選擇最優的線路，然后將域名解析成相應運營商線路的IP地址，保證外部用戶訪問物流服務平臺時在鏈路方面的自動優化。

　　3.5 多級多平面交換架構

　　通過具體的網絡規劃，實現業務數據的高效傳輸。按照不同的網絡層次配置相應網絡設備，劃分相應的IP網絡數據段。面向出口方向部署能夠抵御網絡攻擊的網絡安全設備，面向核心業務方向部署應用及數據服務器，同時，劃出網絡安全審計區部署各類審計設備。通過在網絡核心環節上安裝兩臺高度可靠、性能強大的高端核心交換機達到上述網絡結構設計及功能實現。兩臺核心交換機構成冗余備份，采用先進的多級多平面交換架構，支持100 GF以太網標準，提供持續的高帶寬數據傳輸，充分滿足無阻塞應用及未來發展需求。在架構上，采用獨立的交換網板卡，控制引擎和交換網板硬件相互獨立，最大限度地提高設備可靠性，同時，為今后設備的升級提供基礎。

　　推薦閱讀：物流方向如何出一篇專著