全国服务热线:
029-88827244
您现在的位置是:网站首页 -> 解决方案 -> 铁路电力系统安全防护方案

铁路供电网络安全防护解决方案

发布时间:2021-01-13  浏览次数:99 次  来源:西安关注网络信息技术有限公司

铁路供电网络安全防护装置后面板有多个RJ45内外网网口可与相邻区域外设备连接,直连、路由、VLANNATIPse等多种接入模式且支持多端口链路聚合。实现MACIP地址的绑定,防止IP地址欺骗;支持静态NAT以及虚拟IP技术;割断穿透性TCP连接;可以定制应用层解析功能,支持应用层特殊标记识别,为铁路供电系统提供透明、安全、高效的隔离防护装置。

主要实施步骤:

1、 采用网络安全防护装置,对安全区域信息数据交换进行防护。

2、对安全区域和安全区域之间进行逻辑隔离

3、对安全区域和非安全区域之间进行物理隔离

4、安全防护区域内外两个处理系统不同时联通。

逻辑隔离模块包含学习模式、警告模式、防护模式;在学习模式状态下,业务全通,IAF会智能学习通信中的流量,并自动产生对应的防护规则,管理中心采用专家鉴别的方式对已产生流量协议自动学习为白名单用户,或由管理人员对应用协议进行筛选鉴别。自动学习白名单用户信息和管理人员添加白名单用户数据允许通信。其余病毒数据,攻击数据等直接隔离并删除。在警告模式状态下,业务全通,IAF会依据系统策略对符合安全策略的放行,对不符合安全策略的通信进行告警,供专业人员参考判断;在防护模式状态下,业务按照系统设定的策略进行防护。逻辑隔离模块对于符合策略的进行放行,并记录日志,对不符合安全策略的通信以及入侵等攻击行为进行阻断,并通过日志、邮件方式告警。

  物理隔离模块是由安全岛硬件,外网读写单元和内网读写单元组成。物理隔离模块只允许安全岛和内网读写单元或外网读写单元其中一个相连,不允许内外网同时联通。物理隔离模块安全岛硬件不能同时与内网读写单元、外网读写单元联通,保证从低安全区到高安全区的TCP应答禁止携带应用数据。

物理隔离模块支持透明工作模式、代理工作模式、路由工作模式。

透明工作模式是当客户端与服务器属同一网段,加入安全防护装置后不希望改变现有网络拓扑。安全防护装置在透明模式下与交换机类似,客户端与服务器可直接通信,安全防护装置加入后只需配置安全策略即可。支持代理工作模式及路由工作模式。

代理模式适用于两端网络在不同的网段,并且不允许访问对方的真实IP。代理模式使用最多,部署方便,两侧主机分别通过本端网络与用户主机通信。客户端只需访问安全防护装置IP,后续通信由安全防护装置完成。

路由模式是客户端与服务器不在同一个网段,但是必须访问对方的真实IP才能通信。客户端需要把去往目标服务器的路由指向安全防护装置本端的IP,如果目标服务器不设置回指路由,则需要在安全防护装置的目标服务器网络接口处勾选隐藏源地址(该功能选项仅在设备工作在路由模式时出现)。

物理隔离模块支持表示层与应用层数据完全单向传输;禁止内网、外网两个应用网关之间直接建立TCP连接,将内外两个应用网管之间的TCP连接分解成内外两个应用网关分别到物理隔离模块内外两个网卡的两个TCP虚拟连接,内外两个网卡在装置内部是非网络连接,且只允许数据单向传输。

本实用新型的铁路供电网络安全防护装置(硬件网络接口处)有多个RJ45内外网网口可与相邻区域外设备连接,直连、路由、VLANNATIPse等多种接入模式且支持多端口链路聚合。实现MACIP地址的绑定,防止IP地址欺骗;支持静态NAT以及虚拟IP技术;割断穿透性TCP连接;可以定制应用层解析功能,支持应用层特殊标记识别,为铁路供电系统提供透明、安全、高效的隔离防护装置。

在客户端工作站内展示出来,主要实施步骤:

1、采用网络安全防护装置,对安全区域信息数据交换进行防护。

2、对安全区域和安全区域之间进行逻辑隔离。

3、对安全区域和非安全区域之间进行物理隔离。

4、安全防护区域内外两个处理系统不同时联通。

   逻辑隔离模块包含学习模式、警告模式、防护模式。在学习模式状态下,业务全通,IAF会智能学习通信中的流量,并自动产生对应的防护规则,管理中心可以采用专家鉴别的方式决定哪些可以通信,哪些不允许通信;在警告模式状态下,业务全通,IAF会依据系统策略对符合安全策略的放行,对不符合安全策略的通信进行告警,供专业人员参考判断;在防护模式状态下,业务按照系统设定的策略进行防护。对于符合策略的进行放行,并记录日志,对不符合安全策略的通信以及入侵等攻击行为进行阻断,并通过日志、邮件等方式告警。

物理隔离模块,实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全物理隔离装置内外两个处理系统不同时联通;在安全岛硬件上保证从低安全区到高安全区的TCP应答禁止携带应用数据,防止病毒和黑客非法访问;支持表示层与应用层数据完全单向传输,无IP地址透明工作方式(虚拟主机IP地址、隐藏MAC地址)、支持网络地址转换(NAT)、混杂工作模式,保证标准应用的透明接入;基于MACIP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;防止穿透性TCP连接:禁止内网、外网两个应用网关之间直接建立TCP连接,将内外两个应用网关之间的TCP连接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟连接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输;提供完备的日志审计功能,如时间、IPMACPORT等日志信息。对通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的记录,以便事后审计;此外,也具有对隔离设备的操作维护日志信息。支持系统告警,支持完备的安全事件告警机制,当发生非法入侵、装置异常、通信中断或丢失应用数据时,可通过隔离装置专用的告警串口或网络输出报警信息,日志格式遵循Syslog标准,方便用户管理;安全、方便的维护管理方式:基于图形化的管理界面,方便对装置进行设置、监视和控制运行;提供正向数据通信API函数接口,方便用户进行二次系统安全物理隔离的改造;具有方便的设备配置文件导入与导出功能。正向安全隔离装置满足单比特应答要求。


上一篇:没有了!