铁路计算机网络安全系统建设和应用

铁路计算机网络安全系统基于"应用分区、网络分层、安全分级"的思想,实现铁路计算机网络基础设施、网络边界和局域网环境的安全保障.介绍构成铁路计算机网络安全系统平台的铁路行业数字证书认证、统一用户管理和资源管理、访问控制、病毒防护和应用系统的安全服务5个子系统及其应用,并结合铁路信息化发展提出进一步建设铁路计算机网络安全保障体系的构想.     

铁路网络攻防靶场平台方案研究

为解决铁路网络安全主动防御能力不足的难题,缓解长期被动防护的压力,切实强化主动安全防护能力,结合铁路网络安全现状,针对铁路网络安全面临的突出问题,研究提出铁路网络攻防靶场平台方案;平台整合既有资源,可模拟铁路网络实际生产环境,提供业务流量仿真、网络攻防对抗演练、网络安全加固试验、人员培训教育等服务,有助于强化铁路网络安全防护能力,促进铁路网络安全防护水平的提升。     

应对供应链攻击的铁路企业网络SDP部署方案研究

在铁路企业信息系统日益开放、拓展互联的过程中,供应链攻击成为当前铁路企业网络安全面临的主要挑战之一。而云计算、移动互联的快速发展导致铁路企业网络的传统内外网边界模糊,传统网络安全防护模式越来越难以应对各种复杂多变的攻击手段。文章基于零信任理念,结合铁路企业网络攻防演练实践,探讨将软件定义边界（SDP,Software Defined Perimeter）模型应用于防范供应链攻击;SDP控制器部署在铁路网络安全管理中心区域,主要由流量检测模块、规则控制模块、流量时间特性分析模块构成;SDP控制器通过这3个模块协同工作,辅助统一日志管理平台完成对铁路信息系统与外部系统的细粒度动态访问控制,以有效应对供应链攻击,构建更加安全的铁路企业网络安全防护体系。     

铁路网络空间靶场方案研究

针对进一步增强铁路自身的网络安全防护能力,完善铁路网络安全人才培养的需求,结合软件定义网络、基于角色的访问控制、自动化多维度测试等多种技术,设计了沉浸式的铁路网络空间靶场方案,具备安全实训,比武竞赛,靶场演练等功能,为铁路网络安全从业人员进行学习训练研究提供了一个多层次,高耦合的平台.在铁路行业内普及应用,将能有效提升...     

基于标记技术的强制访问控制模型设计与应用

为了增强铁路应用在新型计算基础设施环境下的网络安全防护能力,根据《信息安全技术网络安全等级保护基本要求》,在铁路现有的网络架构基础上,设计铁路网络空间安全体系架构,并提出适用于该体系架构的强制访问控制模型.依据该模型,利用标记技术可以实现相同网络空间相同域、相同网络空间不同域和不同网络空间之间的强制访问,并与可信操作系...     

T-RBAC在GSMI-R网络安全中的应用

GSM-R应用业务的安全访问控制是GSM-R网络安全的重要组成部分.在对现有访问控制方法和GSM-R应用业务特点分析的基础上,提出构建动静态权限结合的访问控制策略,采用基于任务和角色的T-RBAC模型,以增强对GSM-R应用业务的访问控制管理,提高GSM-R网络安全,结合铁路GSM-R应用实例阐述这一研究思想.     

巧设CTC路由器ACL降低网络安全风险

铁路CTC网络均采用了带访问控制功能的路由器，正确地设置ACL（访问控制列表），将起到防火墙的作用，降低网络安全风险。在CTC网络路由器上进行规则设定，可阻挡不匹配安全规则的数据包，确保CTC网络安全。     

基于城轨云的网络安全纵深 防御体系研究

针对城轨云网络安全问题,对城轨云网络架构、业务承载和安全风险进行梳理分析,从城轨云网络安全 技术和网络安全运维两个体系进行研究和设计,将云平台及应用系统网络安全防护措施与企业管理相结合,提出 城轨云网络安全纵深防御体系建设思路和方案。研究结果表明,构建城轨云网络安全纵深防御体系可以在面对多 层面网络可疑攻击事件时,确保城轨云具备相适应的防护能力,限制恶意或意外破坏的行为,并最大限度地提高 快速识别潜在安全漏洞的能力,减少城轨行业的经济损失和生产活动的信息泄露。     

铁路客票系统信息安全技术方案设计

随着我国铁路客票系统支付方式趋于多样化、网络化,运营管理模式逐步智能化的同时,铁路客票系统的信息安全将面临更大威胁。通过深入分析我国铁路客票系统的信息安全现状及需求,设计符合信息系统等级保护四级要求的信息安全防护体系。提出"一个中心支撑下的三重防护体系"结构,并构造形式化的安全策略模型,划分以铁道部客票中心、地区客票中心和车站客票系统为核心的三级安全区域。采用整合的安全管理中心制定和下发访问控制策略及事件响应机制,对客票系统计算环境安全、区域边界安全、通信网络安全实施统一标记的全程访问控制,跨级对所有设备进行统一配置和监控,以达到系统的信息安全整体防护的目的。     

铁路信创云平台解决方案

为实现铁路高质量发展和数字化转型,提出建设基于全栈信创体系的云计算平台,对实现科技创新、保障本质本体安全、降低信息化建设和运维成本具有重要意义。通过调研铁路行业云平台应用现状,分析存在云平台服务能力不足、建设标准不统一、自主可控程度较低的问题。结合铁路信息化特点,提出铁路信创云平台解决方案应遵从自主性、开放性、可扩展性、可靠性、安全性、前瞻性的设计原则。研究分析铁路信创云平台总体架构和技术架构,并从云平台安全和租户安全2个维度设计云安全方案,从分布式部署模式和单一数据中心部署架构2个层面设计云部署方案,完成信创云平台功能设计,经实验环境部署测试,平台可实现对IT基础设施的统一管理和运维,为上层业务系统提供有力支撑。     

铁路云计算安全标准研究与实践

为促进铁路云计算安全的合规性，对网络安全等级保护（简称:等级保护）2.0 制度进行了深入研究，分析了等级保护制度中云服务商与云用户的相互关系。对中国国家铁路集团有限公司主数据中心云平台的等级保护测评情况进行了分析研究，为铁路云计算安全标准合规工作提供参考。     

网络安全传输平台通用代理服务设计与开发

针对网络环境愈发复杂、现有网络安全传输平台边界安全防护力薄弱、平台接口功能存在缺陷和重复开发部署、效率低下等问题，采用Golang语言、Socket加密传输方式及身份认证技术开发了网络安全传输平台通用代理服务，该代理服务具有穿越网络安全传输平台的正反向透明代理、内/外网的网络安全防护身份认证、访问控制、行为检测和安全管理等功能。作为铁路互联网和移动App项目中的传输桥梁，网络安全传输平台通用代理服务已在多个系统中应用，应用效果良好。     

全国煤炭交易平台信息和网络安全建设及运维管理

针对互联网快速发展引发的铁路网络安全严峻形势,为提升应对全国煤炭交易平台相关突发事件的能力,最大限度地减轻甚至消除突发事件对平台业务造成的损害,提出了全国煤炭交易平台信息和网络安全建设及运行与维护（简称：运维）管理方案。该方案从平台及应用安全、硬件网络环境、日常运维、管理机制、业务系统安全保护、网络安全保护、新技术新应用、安全管理与防护机制等方面加强信息和网络安全建设,强化运维管理力度,从技术和管理层面共同保障全国煤炭交易平台安全稳定运行,助力铁路网络安全管理工作的创新发展。     

铁路网络安全态势感知平台方案研究

研究基于大数据的网络安全态势感知技术在铁路行业的应用,使铁路信息网络具有全面感知、主动预警的能力是当前铁路网络安全建设的重点任务之一。为此,需要解决目前由于无法及时监测和感知信息网络中所存在的安全风险而导致的应用系统发展受限问题;解决传统网络安全态势感知平台由于实际网络环境中数据处理量巨大、业务复杂、层次套叠所导致的误报警率高、易遗漏报警等问题。以大数据高速存取为基础,利用人工智能和并行处理等技术优化感知预测算法,提出适于铁路行业应用的网络安全态势感知平台解决方案,并在测试环境中进行测试验证。结果表明:在具有高通量、复杂化特点的铁路信息网络环境中,该解决方案对潜在安全风险的感知和发现能力优于传统网络安全态势感知平台,满足铁路信息网络高通量、高实时性响应要求,有效地降低误报警率,提升了报警质量和水平。     

铁路行业关键信息基础设施数据安全防护平台研究

为弥补铁路行业关键信息基础设施数据安全防护方面的薄弱环节,分析铁路行业关键信息基础设施数据安全现状,研究了数据安全防护平台的架构、特点及功能,提出了动态数据安全防护思路,运用轻量级数据加密算法与安全传输协议集成技术,对关键信息基础设施数据全生命周期进行安全防护。平台具备对关键信息基础设施数据流动过程事前感知、事中响应、事后溯源的能力。对铁路关键信息基础设施的数据安全防护具有参考价值。     

铁路关键信息基础设施安全保护框架研究

通过对铁路关键信息基础设施安全保护现状的研究,在网络安全等级保护2.0要求的基础上,结合中国国家铁路集团有限公司网络安全需要,以铁路关键信息基础设施为重点保护对象,以风险管控为出发点,建立一套以识别、保护、检测、响应、恢复为核心的铁路关键信息基础设施安全保护框架。巩固网络安全基础设施保护能力,夯实网络安全合规建设基础,强化网络安全重点保护能力,落实关键信息基础设施安全防护措施,逐步实现铁路关键信息基础设施保护的基础牢固、环节畅通、措施高效、响应有力。