摘 要：當(dāng)前我國物流產(chǎn)業(yè)得到了飛速的發(fā)展，基于鐵路物流服務(wù)平臺，對鐵路物流服務(wù)平臺的系統(tǒng)構(gòu)建及網(wǎng)絡(luò)安全問題進(jìn)行了相關(guān)說明，在對整個應(yīng)用系統(tǒng)進(jìn)行詳盡分析后，文章提出了鐵路物流服務(wù)平臺網(wǎng)絡(luò)安全的解決方案，可以有效實(shí)現(xiàn)鐵路物流服務(wù)平臺的安全服務(wù)。

　　關(guān)鍵詞：鐵路物流;服務(wù)平臺;構(gòu)建;網(wǎng)絡(luò)安全

　　長期以來，基于我國運(yùn)力不足等綜合因素，我國的鐵路貨運(yùn)物流仍采用傳統(tǒng)的生產(chǎn)型模式，該模式已無法適應(yīng)當(dāng)前市場經(jīng)濟(jì)狀態(tài)下的現(xiàn)代物流市場，鐵路物流運(yùn)輸?shù)氖袌鲈诓粩嘞陆?。以呼和局為例，它在?nèi)蒙古地區(qū)運(yùn)輸份額不足40%[1]，物流產(chǎn)業(yè)的迅猛發(fā)展為改變現(xiàn)有鐵路傳統(tǒng)的組織管理模式提供了良好契機(jī)。

　　當(dāng)前，為了有效提高鐵路貨運(yùn)物流服務(wù)水平，提高現(xiàn)代化的網(wǎng)絡(luò)辦公水平，實(shí)現(xiàn)客戶與鐵路局各級運(yùn)輸部門的業(yè)務(wù)交互以及車皮計(jì)劃的網(wǎng)上受理、自動審批、網(wǎng)上公布，打造公開、公平、透明、便捷的對外貨運(yùn)辦理，建立了鐵路物流服務(wù)平臺。該鐵路物流服務(wù)平臺意義重大，基于通信網(wǎng)絡(luò)的安全性問題，必須構(gòu)建一套完整的鐵路物流服務(wù)平臺網(wǎng)絡(luò)安全體制，有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障鐵路運(yùn)輸企業(yè)的信息資源，為建立和發(fā)展現(xiàn)代鐵路物流奠定基礎(chǔ)[2]。

　　1 鐵路服務(wù)物流平臺的構(gòu)建方案

　　結(jié)合鐵路運(yùn)輸?shù)奶攸c(diǎn)及用戶需求，按業(yè)務(wù)屬性規(guī)劃基于互聯(lián)網(wǎng)的客戶貨運(yùn)業(yè)務(wù)服務(wù)平臺和基于企業(yè)網(wǎng)的業(yè)務(wù)受理平臺兩級操作平臺;按業(yè)務(wù)類別規(guī)劃基于白貨、港口煤炭、區(qū)內(nèi)煤炭流程的多流程業(yè)務(wù)處理功能;按業(yè)務(wù)主體規(guī)劃基于客戶、物流公司、車站的3種業(yè)務(wù)操作平臺;按功能規(guī)劃為信息服務(wù)中心、用戶服務(wù)中心、車站服務(wù)中心、路局服務(wù)中心、系統(tǒng)管理中心5大服務(wù)中心。

　　2 鐵路服務(wù)物流平臺的網(wǎng)絡(luò)結(jié)構(gòu)

　　服務(wù)平臺充分利用整合現(xiàn)有資源，以Web技術(shù)為核心，利用鐵路運(yùn)輸管理信息系統(tǒng)(Transportation Management Information System，TMIS)等鐵路信息系統(tǒng)資源，構(gòu)建統(tǒng)一便利的信息交換平臺，實(shí)現(xiàn)了信息資源在相關(guān)應(yīng)用中的共享[3-4]。

　　服務(wù)平臺采用瀏覽器/服務(wù)器模式(Browser/Server，B/S)體系結(jié)構(gòu)，以TMIS資源數(shù)據(jù)庫為核心，建立一套獨(dú)立的服務(wù)平臺。在鐵路總公司及各鐵路局設(shè)立數(shù)據(jù)中心，數(shù)據(jù)中心采取同一體系結(jié)構(gòu)。以Web技術(shù)為核心，運(yùn)行應(yīng)用服務(wù)中間件，建立相應(yīng)的TMIS，各子系統(tǒng)共享數(shù)據(jù)庫接口，來解決數(shù)據(jù)共享和功能擴(kuò)展問題。同時(shí)，采用面向服務(wù)的結(jié)構(gòu)(Service-Oriented Architecture，SOA)技術(shù)實(shí)現(xiàn)統(tǒng)一訪問數(shù)據(jù)接口的構(gòu)建[5-6]。

　　3 鐵路服務(wù)物流平臺網(wǎng)絡(luò)安全解決方案

　　3.1 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)

　　鐵路物流信息平臺網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)思維：在平臺對內(nèi)及對外區(qū)域之中增加一個子網(wǎng)絡(luò)，該子網(wǎng)絡(luò)起到數(shù)據(jù)緩沖隔離作用。基于該情況，平臺可以有機(jī)地劃分為對內(nèi)信息、對外服務(wù)、中間子網(wǎng)絡(luò)3個區(qū)域。在該安全結(jié)構(gòu)設(shè)置的狀態(tài)下，平臺外部客戶無法直接訪問平臺內(nèi)部鐵路的信息網(wǎng)絡(luò)服務(wù)器，通過中間子網(wǎng)絡(luò)來訪問平臺鐵路的信息應(yīng)用服務(wù)器，實(shí)現(xiàn)平臺網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)。同理，鐵路內(nèi)部網(wǎng)絡(luò)用戶也只有通過中間子網(wǎng)絡(luò)才能訪問平臺鐵路的信息應(yīng)用服務(wù)器，進(jìn)而對數(shù)據(jù)進(jìn)行轉(zhuǎn)儲和管理。在該網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)狀態(tài)下，入侵者只能到達(dá)信息應(yīng)用服務(wù)器層面，無法對平臺內(nèi)部鐵路的信息網(wǎng)絡(luò)服務(wù)器進(jìn)行破壞，有效保護(hù)了鐵路內(nèi)網(wǎng)的重要數(shù)據(jù)。

　　3.2 設(shè)備安全管理設(shè)計(jì)

　　日前機(jī)房建設(shè)及相應(yīng)的規(guī)章管理制度比較齊全，所以，主要在網(wǎng)絡(luò)設(shè)備安全配置方面做了努力。其中包括網(wǎng)絡(luò)設(shè)備的軟件版本的及時(shí)更新;所有路由器維護(hù)在本地進(jìn)行;所有路由器的管理都是用互聯(lián)網(wǎng)安全協(xié)議(Internet Protocol Security，IPSEC)或使用一次性口令系統(tǒng)對路由器的訪問進(jìn)行控制;關(guān)閉路由器上不需要的服務(wù)，組織路由器接收帶源路由標(biāo)記的包，關(guān)閉路由器廣播部的轉(zhuǎn)發(fā);路由器的k，gin Banner信息中不包括該路由器名字、型號、時(shí)間等詳細(xì)信息，啟動控制列表的日志功能;路由器開啟日志功能;鐵路內(nèi)部網(wǎng)絡(luò)使用靜態(tài)路由，對外服務(wù)在連接IntPr-net的接口上雙向禁用RJP和開放最短路徑優(yōu)先(Open Shortest Path First，OSPF)動態(tài)路由協(xié)議;強(qiáng)化互聯(lián)網(wǎng)控制報(bào)文協(xié)議(Internet Control Message Protocol，ICMP)、網(wǎng)際互連協(xié)議(Internet Protocol，IP)、傳輸控制協(xié)議(Transmission Control Protocol，TCP)的安全配置;在系統(tǒng)中根據(jù)不同的安全級別加強(qiáng)對計(jì)算機(jī)端口的設(shè)置。

　　3.3 多鏈路負(fù)載均衡

　　充分利用多個互聯(lián)網(wǎng)連接通道，在網(wǎng)絡(luò)出口部署技術(shù)成熟的鏈路負(fù)載均衡器，通過其強(qiáng)大的健康檢查功能實(shí)時(shí)檢測不同鏈路的健康狀態(tài)，將用戶業(yè)務(wù)請求分發(fā)到最優(yōu)的鏈路實(shí)現(xiàn)業(yè)務(wù)訪問，為解決不同運(yùn)營商之間互連互通問題及實(shí)現(xiàn)最佳訪問效率提供了有效的解決方案。在此基礎(chǔ)上，為了避免單點(diǎn)故障，保證一臺鏈路負(fù)載均衡器發(fā)生故障時(shí)互聯(lián)網(wǎng)連接能夠連續(xù)通暢，同時(shí)部署了2臺鏈路負(fù)載均衡器，實(shí)現(xiàn)了設(shè)備冗余。

　　3.4 智能域名解析

　　使用多個互聯(lián)網(wǎng)運(yùn)營商鏈路，通過在鏈路負(fù)載均衡器上部署智能域名解析功能，實(shí)現(xiàn)同一域名向不同運(yùn)營商接入用戶提供相對應(yīng)的lP地址，鏈路負(fù)載均衡器根據(jù)靜態(tài)列表及動態(tài)判斷算法，選擇最優(yōu)的線路，然后將域名解析成相應(yīng)運(yùn)營商線路的IP地址，保證外部用戶訪問物流服務(wù)平臺時(shí)在鏈路方面的自動優(yōu)化。

　　3.5 多級多平面交換架構(gòu)

　　通過具體的網(wǎng)絡(luò)規(guī)劃，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的高效傳輸。按照不同的網(wǎng)絡(luò)層次配置相應(yīng)網(wǎng)絡(luò)設(shè)備，劃分相應(yīng)的IP網(wǎng)絡(luò)數(shù)據(jù)段。面向出口方向部署能夠抵御網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全設(shè)備，面向核心業(yè)務(wù)方向部署應(yīng)用及數(shù)據(jù)服務(wù)器，同時(shí)，劃出網(wǎng)絡(luò)安全審計(jì)區(qū)部署各類審計(jì)設(shè)備。通過在網(wǎng)絡(luò)核心環(huán)節(jié)上安裝兩臺高度可靠、性能強(qiáng)大的高端核心交換機(jī)達(dá)到上述網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)及功能實(shí)現(xiàn)。兩臺核心交換機(jī)構(gòu)成冗余備份，采用先進(jìn)的多級多平面交換架構(gòu)，支持100 GF以太網(wǎng)標(biāo)準(zhǔn)，提供持續(xù)的高帶寬數(shù)據(jù)傳輸，充分滿足無阻塞應(yīng)用及未來發(fā)展需求。在架構(gòu)上，采用獨(dú)立的交換網(wǎng)板卡，控制引擎和交換網(wǎng)板硬件相互獨(dú)立，最大限度地提高設(shè)備可靠性，同時(shí)，為今后設(shè)備的升級提供基礎(chǔ)。

　　推薦閱讀：物流方向如何出一篇專著