本發(fā)明涉及一種鐵路供電系統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，所述系統(tǒng)設(shè)置在鐵路供電系統(tǒng)的二級網(wǎng)絡(luò)和三級網(wǎng)絡(luò)之間，包括邏輯隔離模塊和物理隔離模塊；邏輯隔離模塊對安全區(qū)域和安全區(qū)域之間進(jìn)行邏輯隔離；物理隔離模塊對安全區(qū)域和非安全區(qū)域之間進(jìn)行物理隔離。能實時在線防護(hù)鐵路各牽引變電所二級網(wǎng)絡(luò)與三級網(wǎng)絡(luò)的連接，令一臺設(shè)備能同時實現(xiàn)網(wǎng)絡(luò)的物理隔離和邏輯隔離（傳統(tǒng)設(shè)備要實現(xiàn)兩個功能需上一臺正向隔離裝置和一臺硬件防火墻），提高鐵路供電系統(tǒng)安全防護(hù)能力。

技術(shù)領(lǐng)域

本發(fā)明涉及鐵路供電系統(tǒng)網(wǎng)絡(luò)維護(hù)技術(shù)領(lǐng)域，具體涉及一種鐵路供電系統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。

背景技術(shù)

我國電網(wǎng)規(guī)模世界第一，發(fā)電量連續(xù)16年世界第二，電力生產(chǎn)的發(fā)、輸、變、配、用各個環(huán)節(jié)是動態(tài)平衡的過程，信息技術(shù)支撐各環(huán)節(jié)有序運轉(zhuǎn)。其中鐵路供電占比最大，鐵路供電防護(hù)系統(tǒng)用于防護(hù)鐵路運營過程，故保障鐵路供電防護(hù)系統(tǒng)安全是保障鐵路穩(wěn)定運轉(zhuǎn)的關(guān)鍵，也是國家基礎(chǔ)設(shè)施的安全保障。據(jù)統(tǒng)計，近年來，鐵路供電系統(tǒng)信息安全事件呈現(xiàn)低頻率但高威脅的特點，因此保障鐵路供電系統(tǒng)的安全性，利用網(wǎng)絡(luò)關(guān)鍵技術(shù)加強(qiáng)動態(tài)安全防護(hù)十分重要。

動態(tài)防御體系既包括前端的風(fēng)險感知、定向隔離、威脅分析、也包括后端的響應(yīng)聯(lián)動。通過對設(shè)備典型狀態(tài)進(jìn)行畫像刻度、與權(quán)威漏洞庫及病毒庫進(jìn)行交互聯(lián)動等技術(shù)手段，實現(xiàn)對泛在鐵路供電整體安全狀況的實時感知與關(guān)聯(lián)分析，及時發(fā)現(xiàn)惡意攻擊行為并進(jìn)行快速處置。

鐵路供電網(wǎng)絡(luò)數(shù)據(jù)傳輸中，既需要網(wǎng)絡(luò)聯(lián)通達(dá)到數(shù)據(jù)交換，又需要保證數(shù)據(jù)傳輸?shù)膯蜗嘈裕乐沟桶踩燃墔^(qū)域?qū)Ω甙踩燃墔^(qū)域的惡意攻擊和控制。分別獨立安裝防火墻和正向隔離可以滿足變電所需求，但是變電所高度智能化要求設(shè)備數(shù)量越來越少，功能涵蓋化越來越高。因此需進(jìn)一步創(chuàng)新整合技術(shù)，增強(qiáng)區(qū)域間數(shù)據(jù)安全傳輸加密、角色認(rèn)證、授權(quán)管理及訪問權(quán)限檢查，使智能變電站在滿足現(xiàn)有業(yè)務(wù)要求的前提下抵御內(nèi)外網(wǎng)惡意指令攻擊。當(dāng)發(fā)現(xiàn)內(nèi)外網(wǎng)遭受攻擊時，更需采用網(wǎng)絡(luò)技術(shù)手段，阻隔攻擊者行為并發(fā)動反制攻擊。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種鐵路供電系統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，能實時在線防護(hù)鐵路各牽引變電所二級網(wǎng)絡(luò)與三級網(wǎng)絡(luò)的連接，令一臺設(shè)備能同時實現(xiàn)網(wǎng)絡(luò)的物理隔離和邏輯隔離（傳統(tǒng)設(shè)備要實現(xiàn)兩個功能需上一臺正向隔離裝置和一臺硬件防火墻），提高鐵路供電系統(tǒng)安全防護(hù)能力。

本發(fā)明所采用的技術(shù)方案為：

鐵路供電系統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，其特征在于：

所述系統(tǒng)設(shè)置在鐵路供電系統(tǒng)的二級網(wǎng)絡(luò)和三級網(wǎng)絡(luò)之間，包括邏輯隔離模塊和物理隔離模塊；

邏輯隔離模塊對安全區(qū)域和安全區(qū)域之間進(jìn)行邏輯隔離；

物理隔離模塊對安全區(qū)域和非安全區(qū)域之間進(jìn)行物理隔離。

安全區(qū)域為內(nèi)網(wǎng)，即生產(chǎn)控制區(qū)域網(wǎng)絡(luò)；非安全區(qū)域為外網(wǎng)或公網(wǎng)，即生產(chǎn)安全區(qū)域以外的網(wǎng)絡(luò)。

邏輯隔離模塊為具有硬件防火墻功能的隔離模塊。

邏輯隔離模塊包含學(xué)習(xí)模式、警告模式、防護(hù)模式；

在學(xué)習(xí)模式狀態(tài)下，業(yè)務(wù)全通，IAF會智能學(xué)習(xí)通信中的流量，并自動產(chǎn)生對應(yīng)的防護(hù)規(guī)則，管理中心采用專家鑒別的方式對已產(chǎn)生流量協(xié)議自動學(xué)習(xí)為白名單用戶，或由管理人員對應(yīng)用協(xié)議進(jìn)行篩選鑒別；自動學(xué)習(xí)白名單用戶信息和管理人員添加白名單用戶數(shù)據(jù)允許通信；其余病毒數(shù)據(jù)，攻擊數(shù)據(jù)等直接隔離并刪除。

在警告模式狀態(tài)下，業(yè)務(wù)全通，IAF會依據(jù)系統(tǒng)策略對符合安全策略的放行，對不符合安全策略的通信進(jìn)行告警，供專業(yè)人員參考判斷；

在防護(hù)模式狀態(tài)下，業(yè)務(wù)按照系統(tǒng)設(shè)定的策略進(jìn)行防護(hù)。

邏輯隔離模塊對于符合策略的進(jìn)行放行，并記錄日志，對不符合安全策略的通信以及入侵等攻擊行為進(jìn)行阻斷，并通過日志、郵件方式告警。