本发明专利技术提出一种网络安全防护方法、系统,方法包括:确定交换机和防火墙的配置策略路由和网络安全防护规则;根据所述配置策略路由和所述网络安全防护规则将防火墙连接在交换机上,旁路部署于交换机和路由器之间,实现网络安全防护,采用本发明专利技术的信息安全防护方式,可以用低成本、高可靠性提升TSRS的网络安全等级。当防火墙功能正常时,对CTC通信进行有效校验,进行网络安全防护;当防火墙故障时,也不影响原有系统的通信连续性。降低硬件成本,同时也能降低硬件故障的概率,有利于维持原有系统的稳定性。的稳定性。的稳定性。
【技术实现步骤摘要】
一种网络安全防护方法、系统
[0001]本专利技术属于信息安全
,特别涉及一种网络安全防护方法、系统。
技术介绍
[0002]近年来,伴随着对互联网依赖度的提高,网络空间已日益发展成为继陆、海、空、天之后的第五大主权领域空间,成为各国优先争夺的重要战略空间。目前,各国均采取多种措施不断谋求增强网络防御和对抗能力,网络空间对抗态势不断加剧。
[0003]中国列车运行控制系统CTCS(Chinese Train Control System)是为了提高列车运行效率和保证列车安全运行而诞生和发展的,它同时涉及到铁路运输、铁路信号与自动化控制、通信等多方面专业技术。铁路网络和重要信息系统一旦发生重大故障或遭到破坏,可能会将严重影响铁路的正常运行,甚至会造成铁路运输大面积瘫痪,对社会秩序和公共利益造成严重损害,其影响和损失不亚于一次重大交通事故。因此,CTCS具有极高的安全要求。铁路总公司已成为国家网络安全的重点保护单位,CTCS系统作为国家关键信息基础设施,被确定为网络安全等级保护四级系统,必须对其实施全方位的安全保护,对于关键设备,尤其要进行信息安全防护。
[0004]在没有网络安全防护的情况下,无法对CTC与TSRS的通信数据进行校验,在不受控的情况下,如果CTC端向TSRS端发起恶意通信行为,TSRS将受到攻击,从而影响整个CTCS系统的安全性。对于CTC
‑
TSRS接口数据,目前存在两种现状:1.没有部署信息安全防护手段;2.在TSTS接口服务器(属于CTC系统)TSRS主机之间串接防火墙。
技术实现思路
[0005]针对上述问题,本专利技术提出一种网络安全防护方法,所述方法包括:确定交换机和防火墙的配置策略路由和网络安全防护规则;根据所述配置策略路由和所述网络安全防护规则将防火墙连接在交换机上,旁路部署于交换机和路由器之间,实现网络安全防护。
[0006]具体的,确定防火墙的配置策略路由和网络安全防护规则包括:配置第一接口与第二接口的接口IP;划分接口安全域,并将所述第一接口和所述第二接口添加到安全域;将添加安全域的第一接口与第二接口进行接口联动;在经接口联动的防火墙上添加第一通信单元与第二通信单元的策略路由和安全防护规则。
[0007]具体的,确定交换机配置策略路由和网络安全防护规则包括:划分交换机的虚拟局域网,并根据第一接口与第二接口的接口IP配置所述虚拟局域网的IP;在经IP配置的交换机上添加策略路由和网络安全防护规则,所述网络安全防护规则包括访问控制列表规则。
[0008]具体的,所述第一通信单元包括调度集中控制单元,所述第二通信单元包括临时限速服务器。
[0009]具体的,将防火墙连接在交换机上包括:交换机绑定防火墙接口的静态地址解析协议,并通过静态地址解析协议实现交换机与防火墙的连接。
[0010]本专利技术还提供一种网络安全防护系统,所述系统包括:第一确定单元、连接单元、交换机和防火墙,第一确定单元,用于确定交换机和防火墙的配置策略路由和网络安全防护规则;连接单元,用于根据所述配置策略路由和所述网络安全防护规则将防火墙连接在交换机上,旁路部署于交换机和路由器之间。
[0011]具体的,所述系统还包括第一通信单元、第二通信单元和路由器,所述第一通信单元和所述第二通信单元依次通过路由器、防火墙和交换机通信连接。
[0012]具体的,所述第一通信单元包括调度集中控制单元,所述第二通信单元包括临时限速服务器。
[0013]具体的,所述第一确定单元包括第一配置模块、第一添加模块、联动模块、第二添加模块,第一配置模块,用于配置第一接口与第二接口的接口IP;第一添加模块,用于划分接口安全域,并将所述第一接口和所述第二接口添加到安全域;联动模块,用于将添加安全域的第一接口与第二接口进行接口联动;第二添加模块,用于在经接口联动的防火墙上添加第一通信单元与第二通信单元的策略路由和安全防护规则。
[0014]具体的,所述第一确定单元还包括划分模块、第二配置模块、第三添加模块,划分模块,用于划分交换机的虚拟局域网;第二配置模块,用于根据第一接口与第二接口的接口IP配置所述虚拟局域网的IP;第三添加模块,用于在经IP配置的交换机上添加策略路由和网络安全防护规则。
[0015]本专利技术的网络安全防护方法、系统,采用本专利技术的信息安全防护方式,可以用低成本、高可靠性提升TSRS的网络安全等级。当防火墙功能正常时,对CTC通信进行有效校验,进行网络安全防护;当防火墙故障时,也不影响原有系统的通信连续性。降低硬件成本,同时也能降低硬件故障的概率,有利于维持原有系统的稳定性。
[0016]本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。
附图说明
[0017]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根
据这些附图获得其他的附图。
[0018]图1示出了本专利技术实施例中的网络安全防护方法流程示意图;图2示出了本专利技术实施例中的TSRS通信机柜旁路部署防火墙示意图;图3示出了现有技术中的TSRS通信链路防护结构示意图。
具体实施方式
[0019]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地说明,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0020]本专利技术实施例中提供一种网络安全防护方法,图1示出了本专利技术实施例中的网络安全防护方法流程示意图,图1中,所述方法包括:确定交换机和防火墙的配置策略路由和网络安全防护规则;根据所述配置策略路由和所述网络安全防护规则将防火墙连接在交换机上,旁路部署于交换机和路由器之间,实现网络安全防护。
[0021]具体的,确定防火墙的配置策略路由和网络安全防护规则包括:配置第一接口与第二接口的接口IP;划分接口安全域,并将所述第一接口和所述第二接口添加到安全域;将添加安全域的第一接口与第二接口进行接口联动;在经接口联动的防火墙上添加第一通信单元与第二通信单元的策略路由和安全防护规则。
[0022]具体的,确定交换机配置策略路由和网络安全防护规则包括:划分交换机的虚拟局域网,并根据第一接口与第二接口的接口IP配置所述虚拟局域网的IP;在经IP配置的交换机上添加策略路由和网络安全防护规则,所述网络安全防护规则包括访问控制列表规则。
[0023]具体的,交换机绑定防火墙接口的静态地址解析协议,并通过静态地址解析协议实现交本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络安全防护方法,其特征在于,所述方法包括:确定交换机和防火墙的配置策略路由和网络安全防护规则;根据所述配置策略路由和所述网络安全防护规则将防火墙连接在交换机上,旁路部署于交换机和路由器之间,实现网络安全防护。2.根据权利要求1所述的网络安全防护方法,其特征在于,所述确定防火墙的配置策略路由和网络安全防护规则包括:配置第一接口与第二接口的接口IP;划分接口安全域,并将所述第一接口和所述第二接口添加到安全域;将添加安全域的第一接口与第二接口进行接口联动;在经接口联动的防火墙上添加第一通信单元与第二通信单元的策略路由和安全防护规则。3.根据权利要求2所述的网络安全防护方法,其特征在于,确定交换机配置策略路由和网络安全防护规则包括:划分交换机的虚拟局域网,并根据第一接口与第二接口的接口IP配置所述虚拟局域网的IP;在经IP配置的交换机上添加策略路由和网络安全防护规则,所述网络安全防护规则包括访问控制列表规则。4.根据权利要求2或3所述的网络安全防护方法,其特征在于,所述第一通信单元包括调度集中控制单元,所述第二通信单元包括临时限速服务器。5.根据权利要求3所述的网络安全防护方法,其特征在于,将防火墙连接在交换机上包括:交换机绑定防火墙接口的静态地址解析协议,并通过静态地址解析协议实现交换机与防火墙的连接。6.一种网络安全防护系统,其特征在于,所述系统包括:第一确定单元、连接单元、交换机和防火墙,第一确...
【专利技术属性】
技术研发人员:陈红学,焦名,马卫红,张浩,张子琪,
申请(专利权)人:北京全路通信信号研究设计院集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。