浅谈铁路站段网络安全防护方案
摘:文参考等保20相关标准结合铁路基层站段实际深入分析站段信息系统架构安全问题基础围绕安全通信网络安全区域边界安全计算环境安全理中心四方面提出铁路站段网络安全防护方案设计
关键词:网络安全等保20铁路站段边界防护访问控制
铁路综合信息网国铁集团铁路局集团公司站段局域网构成基层站段网络安全处铁路中心三重防御深防御体系前端安全作发挥整铁路信息系统网络安全着重影响前国铁集团集团公司网络安全防护体系已覆盖基层站段站段信息系统应环境复杂程度基层专业技术力量足现状基层站段网络安全然整铁路信息网络薄弱环节时伴着国铁路智化发展类智装备智运维逐步赋站段发展物联网设备5G设备等接入铁路信息网络带新安全威胁网络安全等级保护20制度延续等保10标准安全理中心安全计算环境安全区域边界安全通信网络扩数物联网云计算等新型网络保护新时期网络安全工作开展网络安全防护方案研究提供指导
1站段信息系统架构
某客运站例专网系统外信息系统致分办公类系统车次信息数源旅客服务类系统保障车站设施运行运维理类系统传统信息系统基础越越物联网系统接入站段局域网包括环境监测设备监控站台防入侵源理指纹考勤门禁系统等系统总体框架表1示
2站段网络安全问题
站段信息系统种类繁杂终端数量位置分散暴露面广法效控资产碎片化安全策略规范安全理易造成整铁路信息网络隐患站段网络安全问题包括方面
21网络传输
区域划分:着铁路信息化发展站段信息系统规模断增加聚集系统架构变难理网络安全域划分清缺少安全隔离安全事件发生时导致影响范围扩物理环境:站段现场网络设备布置分散设备直接暴露公环境易造成空闲网络端口接入非法终端系统漏洞:交换机路器等网络设备理台身存安全漏洞易攻击
22服务器
系统漏洞:服务器操作系统存漏洞特普速站开发较早信息系统部署部局域网疏安装补丁升级访问控制:系统理员账号密码数库理员账号密码弱口令易攻破服务器安装必服务开启必端口增加安全隐患应服务:Web应服务器安全配置错误导致攻击者恶意代码执行服务器应软件未安全验证开源代码存sql注入漏洞
23计算机终端
系统漏洞:目前站段计算机终端系统Windows系统中Windows7Windows10占绝数机系统存漏洞门风险访问控制:站段倒班轮流值班制度情况信息系统易出现越权访问账号现象行:员部局域网计算机终端线网卡手机连接计算机计算机错误连接互联网网络设备等行造成机两网存门漏洞浏览器音视频处理等办公软件
24感知层设备
物理环境:感知层设备部署区域监易发生终端拆换事件成入侵网络入口设备漏洞:系统组件存漏洞易入侵终端设备硬件调试接口须身份认证成恶意攻击入口存弱口令导致登录开放必远程服务入侵终端资产:站段物联网设备越越厂家标准协议统海量终端接入造成身份认证资产理难题
25安全理
资产理:目前站段通工进行信息资产统计难全面掌握数量庞设备终端技术队伍:基层技术员缺乏网络安全专业培训法效应种安全设备更缺乏威胁动判断力安全制度:员安全意识淡薄理制度缺失导致数泄漏篡改删问题
3网络安全方案
31安全通信网络
(1)冗余设计:站段铁路综合信息网广域网出口站段局域网部网交换设备链路均采冗余备份机制化保障数访问性业务连续性(2)安全域划分:站段局域网数源业务类安全等级原划分VLAN效分散VLAN中运行维护风险网络攻击风险客运站例划分VLAN分:广域网接入区核心交换区服务器区办公系统区旅客服务系统区智运维系统区安全理区利ACL设置VLAN间访问规安全区域划分图1示
32安全区域边界
网络区域边界进行重点防护边界部署防火墙实现访问控制入侵防范恶意代码防范核心交换机旁路部署审计服务器实现边界重网络节点审计功核心交换机旁路通镜部署流量感知设备核心交换机旁路部署网络准入台实现终端接入控制(1)访问控制:广域网接入边界部署代防火墙禁止外部网访问部网辖中间站必单位开启白名单服务器边界部署防火墙允许访问服务器区域特定服务器特定端口严格部网安全准入建立站段局域网网络准入认证台基网络设备端口终端设备MAC址终端设备网络访问权限进行控制实现边界隔离非法接入源头切断外安全威胁流入通道(2)入侵防范:广域网边界开启代防火墙IPS模块定期更新特征库检测数包防范包括Flood恶意扫描欺骗防护异常包攻击等进出网络流量开启双攻击检测时发现部网计算机威胁做出处置集团公司相关部门报告(3)恶意代码防范:开启代防火墙病毒防护模块定期更新策略网络层进行病毒查杀预防阻断网络病毒蠕虫木马等恶意代码攻击网关处封闭1351381394453389等端口阻止僵尸网络连接病毒更新扩散(4)安全审计:部署安全审计设备记录分析员访问数增删改查等行异常通信进行报警开启广域网边界代防火墙应审计特定文件容进行滤避免信息泄漏检测终端流量特定类型文件进行流量深度监测防止数文件盗
33安全计算环境
(1)身份鉴:应系统均设置身份鉴策略户登录时身份鉴信息加密传输拒绝未授权户登录系统重系统采静态口令+动态口令双子认证登录失败次数进行限制机开启复杂口令保护入站规限制非法登录次数等安全策略(2)访问控制:应系统设置户权限访问行控制策略设置户变更策略时清理长期未登录账号制定理制度员离职调动岗位时调整账号删余账号默认账号避免权限(3)入侵恶意代码防范:安装统终端防护软件通终端防护台防范机两网非法外联非法接入实现病毒防护补丁理介质控定期站段局域网设备进行漏洞扫描根铁路网络安全漏洞台信息时修复存漏洞(4)资产理:利统安全台实现终端资产识分析通IP扫描SNMP扫描流量发现等手段网IP存活情况进行踪监控分组理(5)安全审计:利日志审计服务器监控分析安全生产网信息系统服务器系统资源户操作应程序等时发现系统异常行(6)感知层设备安全感知层设备节点装置进行软件身份认证软件加密禁闲置外部设备接口外接存储设备启动功通接口进行软件更新调试时需进行员身份认证权限控制
34安全理中心
建设安全理中心实现动防御态势感知设立系统理账户审计理账户系统理账户负责系统运行资源配置控制理审计理账户负责审计记录分析处理安全理区集中部署审计设备网络准入台流量监控设备时发现异常行网络安全事件利终端防护台实现资产统理网络设备服务器安全设备等进行信息采集实施掌握链路设备应系统情况掌握系统整体态势做早发现早防御
4结
文等保20标准提出铁路基层站段中心三重防御网络安全防护方案明确基层站段网络边界合理划分区域制定出恰边界防护策略兼顾数享网络安全需国铁集团集团公司网络安全体系总体框架利铁路统终端防护台安全漏洞台等结合站段网络准入台安全审计设备设计出站段信息资产识理漏洞补丁修复入侵病毒防范威胁监测报告等机制实现站段网络安全动防御级部门紧密联系形成协防护网络安全局面
参考文献:
[1]张伯驹新形势铁路网络安全工作探索发展展[J]铁路计算机应202029(8):15
[2]刘刚杨轶杰基等级保护20铁路网络安全技术防护体系研究[J]铁路计算机应202029(8):1927
[3]李阳王冰马晓雅铁路网络安全防护策略研究[J]铁路计算机应202130(11):1114
[4]范博龚钢军孙淑娴基等保20配电物联网动态安全体系研究[J]信息网络安全202020(11):1014
[5]赵姗网络安全动防御体系浅析[J]网络安全技术应2022(4):45
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
摘:文参考等保20相关标准结合铁路基层站段实际深入分析站段信息系统架构安全问题基础围绕安全通信网络安全区域边界安全计算环境安全理中心四方面提出铁路站段网络安全防护方案设计
关键词:网络安全等保20铁路站段边界防护访问控制
铁路综合信息网国铁集团铁路局集团公司站段局域网构成基层站段网络安全处铁路中心三重防御深防御体系前端安全作发挥整铁路信息系统网络安全着重影响前国铁集团集团公司网络安全防护体系已覆盖基层站段站段信息系统应环境复杂程度基层专业技术力量足现状基层站段网络安全然整铁路信息网络薄弱环节时伴着国铁路智化发展类智装备智运维逐步赋站段发展物联网设备5G设备等接入铁路信息网络带新安全威胁网络安全等级保护20制度延续等保10标准安全理中心安全计算环境安全区域边界安全通信网络扩数物联网云计算等新型网络保护新时期网络安全工作开展网络安全防护方案研究提供指导
1站段信息系统架构
某客运站例专网系统外信息系统致分办公类系统车次信息数源旅客服务类系统保障车站设施运行运维理类系统传统信息系统基础越越物联网系统接入站段局域网包括环境监测设备监控站台防入侵源理指纹考勤门禁系统等系统总体框架表1示
2站段网络安全问题
站段信息系统种类繁杂终端数量位置分散暴露面广法效控资产碎片化安全策略规范安全理易造成整铁路信息网络隐患站段网络安全问题包括方面
21网络传输
区域划分:着铁路信息化发展站段信息系统规模断增加聚集系统架构变难理网络安全域划分清缺少安全隔离安全事件发生时导致影响范围扩物理环境:站段现场网络设备布置分散设备直接暴露公环境易造成空闲网络端口接入非法终端系统漏洞:交换机路器等网络设备理台身存安全漏洞易攻击
22服务器
系统漏洞:服务器操作系统存漏洞特普速站开发较早信息系统部署部局域网疏安装补丁升级访问控制:系统理员账号密码数库理员账号密码弱口令易攻破服务器安装必服务开启必端口增加安全隐患应服务:Web应服务器安全配置错误导致攻击者恶意代码执行服务器应软件未安全验证开源代码存sql注入漏洞
23计算机终端
系统漏洞:目前站段计算机终端系统Windows系统中Windows7Windows10占绝数机系统存漏洞门风险访问控制:站段倒班轮流值班制度情况信息系统易出现越权访问账号现象行:员部局域网计算机终端线网卡手机连接计算机计算机错误连接互联网网络设备等行造成机两网存门漏洞浏览器音视频处理等办公软件
24感知层设备
物理环境:感知层设备部署区域监易发生终端拆换事件成入侵网络入口设备漏洞:系统组件存漏洞易入侵终端设备硬件调试接口须身份认证成恶意攻击入口存弱口令导致登录开放必远程服务入侵终端资产:站段物联网设备越越厂家标准协议统海量终端接入造成身份认证资产理难题
25安全理
资产理:目前站段通工进行信息资产统计难全面掌握数量庞设备终端技术队伍:基层技术员缺乏网络安全专业培训法效应种安全设备更缺乏威胁动判断力安全制度:员安全意识淡薄理制度缺失导致数泄漏篡改删问题
3网络安全方案
31安全通信网络
(1)冗余设计:站段铁路综合信息网广域网出口站段局域网部网交换设备链路均采冗余备份机制化保障数访问性业务连续性(2)安全域划分:站段局域网数源业务类安全等级原划分VLAN效分散VLAN中运行维护风险网络攻击风险客运站例划分VLAN分:广域网接入区核心交换区服务器区办公系统区旅客服务系统区智运维系统区安全理区利ACL设置VLAN间访问规安全区域划分图1示
32安全区域边界
网络区域边界进行重点防护边界部署防火墙实现访问控制入侵防范恶意代码防范核心交换机旁路部署审计服务器实现边界重网络节点审计功核心交换机旁路通镜部署流量感知设备核心交换机旁路部署网络准入台实现终端接入控制(1)访问控制:广域网接入边界部署代防火墙禁止外部网访问部网辖中间站必单位开启白名单服务器边界部署防火墙允许访问服务器区域特定服务器特定端口严格部网安全准入建立站段局域网网络准入认证台基网络设备端口终端设备MAC址终端设备网络访问权限进行控制实现边界隔离非法接入源头切断外安全威胁流入通道(2)入侵防范:广域网边界开启代防火墙IPS模块定期更新特征库检测数包防范包括Flood恶意扫描欺骗防护异常包攻击等进出网络流量开启双攻击检测时发现部网计算机威胁做出处置集团公司相关部门报告(3)恶意代码防范:开启代防火墙病毒防护模块定期更新策略网络层进行病毒查杀预防阻断网络病毒蠕虫木马等恶意代码攻击网关处封闭1351381394453389等端口阻止僵尸网络连接病毒更新扩散(4)安全审计:部署安全审计设备记录分析员访问数增删改查等行异常通信进行报警开启广域网边界代防火墙应审计特定文件容进行滤避免信息泄漏检测终端流量特定类型文件进行流量深度监测防止数文件盗
33安全计算环境
(1)身份鉴:应系统均设置身份鉴策略户登录时身份鉴信息加密传输拒绝未授权户登录系统重系统采静态口令+动态口令双子认证登录失败次数进行限制机开启复杂口令保护入站规限制非法登录次数等安全策略(2)访问控制:应系统设置户权限访问行控制策略设置户变更策略时清理长期未登录账号制定理制度员离职调动岗位时调整账号删余账号默认账号避免权限(3)入侵恶意代码防范:安装统终端防护软件通终端防护台防范机两网非法外联非法接入实现病毒防护补丁理介质控定期站段局域网设备进行漏洞扫描根铁路网络安全漏洞台信息时修复存漏洞(4)资产理:利统安全台实现终端资产识分析通IP扫描SNMP扫描流量发现等手段网IP存活情况进行踪监控分组理(5)安全审计:利日志审计服务器监控分析安全生产网信息系统服务器系统资源户操作应程序等时发现系统异常行(6)感知层设备安全感知层设备节点装置进行软件身份认证软件加密禁闲置外部设备接口外接存储设备启动功通接口进行软件更新调试时需进行员身份认证权限控制
34安全理中心
建设安全理中心实现动防御态势感知设立系统理账户审计理账户系统理账户负责系统运行资源配置控制理审计理账户负责审计记录分析处理安全理区集中部署审计设备网络准入台流量监控设备时发现异常行网络安全事件利终端防护台实现资产统理网络设备服务器安全设备等进行信息采集实施掌握链路设备应系统情况掌握系统整体态势做早发现早防御
4结
文等保20标准提出铁路基层站段中心三重防御网络安全防护方案明确基层站段网络边界合理划分区域制定出恰边界防护策略兼顾数享网络安全需国铁集团集团公司网络安全体系总体框架利铁路统终端防护台安全漏洞台等结合站段网络准入台安全审计设备设计出站段信息资产识理漏洞补丁修复入侵病毒防范威胁监测报告等机制实现站段网络安全动防御级部门紧密联系形成协防护网络安全局面
参考文献:
[1]张伯驹新形势铁路网络安全工作探索发展展[J]铁路计算机应202029(8):15
[2]刘刚杨轶杰基等级保护20铁路网络安全技术防护体系研究[J]铁路计算机应202029(8):1927
[3]李阳王冰马晓雅铁路网络安全防护策略研究[J]铁路计算机应202130(11):1114
[4]范博龚钢军孙淑娴基等保20配电物联网动态安全体系研究[J]信息网络安全202020(11):1014
[5]赵姗网络安全动防御体系浅析[J]网络安全技术应2022(4):45
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档