本發明涉及一種信息安全防護方法及裝置，以及一種計算機可讀存儲介質。該信息安全防護方法包括步驟：將列車網絡控制系統劃分至內網區域，并對所述列車網絡控制系統進行區域邊界的安全防護；對所述列車網絡控制系統進行通信網絡的安全防護；以及對所述列車網絡控制系統進行終端設備的安全防護。本發明深度結合列車網絡控制系統應用業務，從區域邊界安全、通信網絡安全及終端設備安全等多個維度，對列車網絡控制系統進行縱深防御，能夠有效應對系統內、外網發起的攻擊行為，提高列車網絡控制系統的信息安全防護能力。

技術領域

本發明涉及軌道交通列車的網絡安全技術，尤其涉及一種基于以太網技術的信息安全防護方法，以及一種用于實施該方法的信息安全防護裝置。

背景技術

隨著列車網絡控制系統(Train Control and Monitoring System，TCMS)的以太網化，以及與外部系統互聯互通的增多，軌道列車原有的“內網模式+管理制度”的信息安全防護技術已不足以防御惡意的網絡攻擊行為。

隨之而來地，列車網絡控制系統的信息安全風險也日益凸顯。一旦列車網絡控制系統遭到入侵攻擊，輕者可能造成列車無法啟動，出現機破事故；重者可能引發列車行車安全事故。因此，開展對軌道交通列車的信息安全防護具有重要意義。

目前，針對列車網絡控制系統的信息安全防護的研究尚處于起步階段，大多數實際運行系統僅采用防火墻來進行簡單的隔離防護，幾乎不涉及任何關于列車網絡控制系統業務的安全防護，難以應付層出不窮的攻擊手段。

為解決列車網絡控制系統的信息安全防護問題，本發明提供了一種信息安全防護方法、一種信息安全防護裝置，以及一種計算機可讀存儲介質，能夠深度結合列車網絡控制系統應用業務的縱深防御體系，從列車網絡控制系統的區域邊界安全、通信網絡安全及終端設備安全等多個維度，對列車網絡控制系統進行信息安全防護。

發明內容

以下給出一個或多個方面的簡要概述以提供對這些方面的基本理解。此概述不是所有構想到的方面的詳盡綜覽，并且既非旨在指認出所有方面的關鍵性或決定性要素亦非試圖界定任何或所有方面的范圍。其唯一的目的是要以簡化形式給出一個或多個方面的一些概念以為稍后給出的更加詳細的描述之前序。

為解決列車網絡控制系統的信息安全防護問題，本發明提供了一種信息安全防護方法、一種信息安全防護裝置，以及一種計算機可讀存儲介質，能夠深度結合列車網絡控制系統應用業務的縱深防御體系，從列車網絡控制系統的區域邊界安全、通信網絡安全及終端設備安全等多個維度，對列車網絡控制系統進行信息安全防護。

本發明提供的上述信息安全防護方法包括步驟：將列車網絡控制系統劃分至內網區域，并對所述列車網絡控制系統進行區域邊界的安全防護；對所述列車網絡控制系統進行通信網絡的安全防護；以及對所述列車網絡控制系統進行終端設備的安全防護。

優選地，在本發明的一些實施例中，進行所述區域邊界的安全防護的步驟可以包括：將列車的控制網劃分至所述內網區域，而將列車的信息網劃分至外網區域，其中，所述控制網包括所述列車網絡控制系統；以及在所述內網區域及所述外網區域的區域邊界處部署安全防護設備，以防止外部攻擊滲透到所述列車網絡控制系統。

優選地，在本發明的一些實施例中，所述列車的信息網可以進一步包括車地無線通信系統及旅客服務系統。

優選地，在本發明的一些實施例中，所述安全防護設備可以進一步包括防火墻模塊、安全監控模塊及安全響應模塊。所述防火墻模塊適于根據所述列車網絡控制系統的通信對象配置防護策略。所述安全監控模塊適于識別網絡攻擊、監測異常通信行為、對所述列車網絡控制系統與所述旅客服務系統之間的傳輸控制信號進行閾值檢查，以及根據所述網絡攻擊、所述異常通信行為或異常的傳輸控制信號產生相應的警告信息。所述安全響應模塊適于丟棄產生所述警告信息的數據包以防止所述外部攻擊。