[發明專利]鐵路供電系統網絡安全防護系統在審
| 申請號: | 202011574352.X | 申請日: | 2020-12-28 |
| 公開(公告)號: | CN112751843A | 公開(公告)日: | 2021-05-04 |
| 發明(設計)人: | 魏光;劉剛;吳波;王繼來;侯啟方;李景坤;張業;蔣功連;靳松;李寧;劉洋 | 申請(專利權)人: | 中鐵第一勘察設計院集團有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/08 |
| 代理公司: | 西安新思維專利商標事務所有限公司 61114 | 代理人: | 李罡 |
| 地址: | 710043*** | 國省代碼: | 陜西;61 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 鐵路 供電系統 網絡安全 防護 系統 | ||
1.鐵路供電系統網絡安全防護系統,其特征在于:
所述系統設置在鐵路供電系統的二級網絡和三級網絡之間,包括邏輯隔離模塊和物理隔離模塊;
邏輯隔離模塊對安全區域和安全區域之間進行邏輯隔離;
物理隔離模塊對安全區域和非安全區域之間進行物理隔離。
2.根據權利要求1所述的鐵路供電系統網絡安全防護系統,其特征在于:
安全區域為內網,即生產控制區域網絡;非安全區域為外網或公網,即生產安全區域以外的網絡。
3.根據權利要求2所述的鐵路供電系統網絡安全防護系統,其特征在于:
邏輯隔離模塊為具有硬件防火墻功能的隔離模塊。
4.根據權利要求3所述的鐵路供電系統網絡安全防護系統,其特征在于:
邏輯隔離模塊包含學習模式、警告模式、防護模式;
在學習模式狀態下,業務全通,IAF會智能學習通信中的流量,并自動產生對應的防護規則,管理中心采用專家鑒別的方式對已產生流量協議自動學習為白名單用戶,或由管理人員對應用協議進行篩選鑒別;自動學習白名單用戶信息和管理人員添加白名單用戶數據允許通信;其余病毒數據,攻擊數據等直接隔離并刪除;
在警告模式狀態下,業務全通,IAF會依據系統策略對符合安全策略的放行,對不符合安全策略的通信進行告警,供專業人員參考判斷;
在防護模式狀態下,業務按照系統設定的策略進行防護。
5.根據權利要求4所述的鐵路供電系統網絡安全防護系統,其特征在于:
邏輯隔離模塊對于符合策略的進行放行,并記錄日志,對不符合安全策略的通信以及入侵等攻擊行為進行阻斷,并通過日志、郵件方式告警。
6.根據權利要求5所述的鐵路供電系統網絡安全防護系統,其特征在于:
物理隔離模塊由安全島硬件、外網讀寫單元和內網讀寫單元組成,物理隔離模塊只允許安全島和內網讀寫單元或外網讀寫單元其中一個相連,不允許內外網同時聯通,安全島硬件指數據擺渡的一個硬件單元。
7.根據權利要求6所述的鐵路供電系統網絡安全防護系統,其特征在于:
物理隔離模塊安全島硬件不能同時與內網讀寫單元、外網讀寫單元聯通,保證從低安全區到高安全區的TCP應答禁止攜帶應用數據。
8.根據權利要求7所述的鐵路供電系統網絡安全防護系統,其特征在于:
物理隔離模塊支持透明工作模式、代理工作模式、路由工作模式;
透明工作模式是當客戶端與服務器屬同一網段,加入安全防護裝置后不希望改變現有網絡拓撲;安全防護裝置在透明模式下與交換機類似,客戶端與服務器可直接通信,安全防護裝置加入后只需配置安全策略即可;支持代理工作模式及路由工作模式;
代理模式適用于在兩端網絡在不同的網段,并且不允許訪問對方的真實IP;代理模式中,兩側主機分別通過本端網絡與用戶主機通信;客戶端只需訪問安全防護裝置IP,后續通信由安全防護裝置完成;
路由模式是客戶端與服務器不在同一個網段,但是必須訪問對方的真實IP才能通信;客戶端需要把去往目標服務器的路由下一跳指向安全防護裝置本端的IP,如果目標服務器不設置回指路由,則需要在安全防護裝置的目標服務側網絡接口處勾選隱藏源地址,該功能選項僅在設備工作在路由模式時出現。
9.根據權利要求8所述的鐵路供電系統網絡安全防護系統,其特征在于:
物理隔離模塊支持表示層與應用層數據完全單向傳輸;
禁止內網、外網兩個應用網關之間直接建立TCP連接,將內外兩個應用網關之間的TCP連接分解成內外兩個應用網關分別到物理隔離模塊內外兩個網卡的兩個TCP虛擬連接,內外兩個網卡在裝置內部是非網絡連接,且只允許數據單向傳輸。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中鐵第一勘察設計院集團有限公司,未經中鐵第一勘察設計院集團有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011574352.X/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種人體內部影像檢查裝置
- 下一篇:一種混凝土泵車用臂架結構
