铁路计算机网络安全系统建设和应用

铁路计算机网络安全系统基于"应用分区、网络分层、安全分级"的思想,实现铁路计算机网络基础设施、网络边界和局域网环境的安全保障.介绍构成铁路计算机网络安全系统平台的铁路行业数字证书认证、统一用户管理和资源管理、访问控制、病毒防护和应用系统的安全服务5个子系统及其应用,并结合铁路信息化发展提出进一步建设铁路计算机网络安全保障体系的构想.     

T-RBAC在GSMI-R网络安全中的应用

GSM-R应用业务的安全访问控制是GSM-R网络安全的重要组成部分.在对现有访问控制方法和GSM-R应用业务特点分析的基础上,提出构建动静态权限结合的访问控制策略,采用基于任务和角色的T-RBAC模型,以增强对GSM-R应用业务的访问控制管理,提高GSM-R网络安全,结合铁路GSM-R应用实例阐述这一研究思想.     

巧设CTC路由器ACL降低网络安全风险

铁路CTC网络均采用了带访问控制功能的路由器，正确地设置ACL（访问控制列表），将起到防火墙的作用，降低网络安全风险。在CTC网络路由器上进行规则设定，可阻挡不匹配安全规则的数据包，确保CTC网络安全。     

应对供应链攻击的铁路企业网络SDP部署方案研究

在铁路企业信息系统日益开放、拓展互联的过程中,供应链攻击成为当前铁路企业网络安全面临的主要挑战之一。而云计算、移动互联的快速发展导致铁路企业网络的传统内外网边界模糊,传统网络安全防护模式越来越难以应对各种复杂多变的攻击手段。文章基于零信任理念,结合铁路企业网络攻防演练实践,探讨将软件定义边界（SDP,Software Defined Perimeter）模型应用于防范供应链攻击;SDP控制器部署在铁路网络安全管理中心区域,主要由流量检测模块、规则控制模块、流量时间特性分析模块构成;SDP控制器通过这3个模块协同工作,辅助统一日志管理平台完成对铁路信息系统与外部系统的细粒度动态访问控制,以有效应对供应链攻击,构建更加安全的铁路企业网络安全防护体系。     

铁路局集团公司云平台建设总体设计方案

云平台技术有利于铁路的高速发展和业务运营.文章以中国铁路北京局集团有限公司(简称:北京局集团公司)为例,研究铁路局集团公司云平台建设总体设计方案,采用资源池虚拟化、网络隔离等技术塔建云平台的总体架构.该方案可整合系统资源,降低信息系统成本,提升安全保障机制,将成为北京局集团公司未来信息化发展战略的重要组成部分.     

铁路国产化虚拟云平台建设及应用适配方案研究

针对铁路行业云平台对国外产品依赖度高的问题，研究铁路行业自主可控云平台建设方案，设计实现铁路国产化虚拟云平台。在此基础上，讨论铁路信息系统应用向国产化虚拟云平台迁移的适配方案，阐述应用迁移原则、流程，介绍中间件、数据库等具体迁移方式。该方案已应用于中国铁路兰州局集团有限公司，成功将集团公司网络办公系统迁移至国产化云平台，为铁路行业后续国产化替代工作提供参考。     

铁路信息系统安全防护体系的研究

基于现有的铁道部、铁路局和车站三级网络基础平台,构建1个中心支撑下的三重防护系统.1个中心是指安全管理中心,包括安全管理平台和铁路CA认证平台.三重防护系统是指通信网络防护系统、区域边界防护系统和计算环境防护系统.安全管理平台对全路各类信息系统进行综合监管;铁路CA认证平台通过身份认证和访问授权技术,实行分等级、分权限的访问控制.通信网络防护系统通过加强业务数据流安全,保障通信数据传输的机密性、完整性和不可抵赖性;区域边界防护系统通过铁路内外网接入平台,保护内网数据,隔离外网安全威胁;计算环境防护系统采用合理的访问控制策略和审计功能,提高系统主机层面的安全性.     

基于无证书公钥密码的铁路通信网访问控制方案研究

基于无证书公钥密码技术的铁路通信网访问控制，能够在显著降低系统开销、快速响应网络访问控制的同时，解决加密访问控制信息的公钥的真实性无法保证的问题。研究过程中使用了无证书公钥密码（CL-PKC，Certificateless Public Key Cryptography）技术和基于角色访问控制（RBAC，Role-Based Access Control），保证系统不被非法操作，相较于使用证书的密码技术，减少系统确认信息真实性的时间。此研究使得铁路通信网的访问控制实现了信息真实性和效率的充分兼顾，能够简单、高效地实现对铁路通信网内信息的保护，满足应用要求。     

铁路信创云平台解决方案

为实现铁路高质量发展和数字化转型,提出建设基于全栈信创体系的云计算平台,对实现科技创新、保障本质本体安全、降低信息化建设和运维成本具有重要意义。通过调研铁路行业云平台应用现状,分析存在云平台服务能力不足、建设标准不统一、自主可控程度较低的问题。结合铁路信息化特点,提出铁路信创云平台解决方案应遵从自主性、开放性、可扩展性、可靠性、安全性、前瞻性的设计原则。研究分析铁路信创云平台总体架构和技术架构,并从云平台安全和租户安全2个维度设计云安全方案,从分布式部署模式和单一数据中心部署架构2个层面设计云部署方案,完成信创云平台功能设计,经实验环境部署测试,平台可实现对IT基础设施的统一管理和运维,为上层业务系统提供有力支撑。     

铁路网络空间靶场方案研究

针对进一步增强铁路自身的网络安全防护能力,完善铁路网络安全人才培养的需求,结合软件定义网络、基于角色的访问控制、自动化多维度测试等多种技术,设计了沉浸式的铁路网络空间靶场方案,具备安全实训,比武竞赛,靶场演练等功能,为铁路网络安全从业人员进行学习训练研究提供了一个多层次,高耦合的平台.在铁路行业内普及应用,将能有效提升...     

基于标记技术的强制访问控制模型设计与应用

为了增强铁路应用在新型计算基础设施环境下的网络安全防护能力,根据《信息安全技术网络安全等级保护基本要求》,在铁路现有的网络架构基础上,设计铁路网络空间安全体系架构,并提出适用于该体系架构的强制访问控制模型.依据该模型,利用标记技术可以实现相同网络空间相同域、相同网络空间不同域和不同网络空间之间的强制访问,并与可信操作系...     

铁路云计算安全标准研究与实践

为促进铁路云计算安全的合规性，对网络安全等级保护（简称:等级保护）2.0 制度进行了深入研究，分析了等级保护制度中云服务商与云用户的相互关系。对中国国家铁路集团有限公司主数据中心云平台的等级保护测评情况进行了分析研究，为铁路云计算安全标准合规工作提供参考。     

铁路网络攻防靶场平台方案研究

为解决铁路网络安全主动防御能力不足的难题,缓解长期被动防护的压力,切实强化主动安全防护能力,结合铁路网络安全现状,针对铁路网络安全面临的突出问题,研究提出铁路网络攻防靶场平台方案;平台整合既有资源,可模拟铁路网络实际生产环境,提供业务流量仿真、网络攻防对抗演练、网络安全加固试验、人员培训教育等服务,有助于强化铁路网络安全防护能力,促进铁路网络安全防护水平的提升。     

网络安全传输平台通用代理服务设计与开发

针对网络环境愈发复杂、现有网络安全传输平台边界安全防护力薄弱、平台接口功能存在缺陷和重复开发部署、效率低下等问题,采用Golang语言、Socket加密传输方式及身份认证技术开发了网络安全传输平台通用代理服务,该代理服务具有穿越网络安全传输平台的正反向透明代理、内/外网的网络安全防护身份认证、访问控制、行为检测和安全管理等功能。作为铁路互联网和移动App项目中的传输桥梁,网络安全传输平台通用代理服务已在多个系统中应用,应用效果良好。     

铁路网络安全态势感知平台方案研究

研究基于大数据的网络安全态势感知技术在铁路行业的应用,使铁路信息网络具有全面感知、主动预警的能力是当前铁路网络安全建设的重点任务之一。为此,需要解决目前由于无法及时监测和感知信息网络中所存在的安全风险而导致的应用系统发展受限问题;解决传统网络安全态势感知平台由于实际网络环境中数据处理量巨大、业务复杂、层次套叠所导致的误报警率高、易遗漏报警等问题。以大数据高速存取为基础,利用人工智能和并行处理等技术优化感知预测算法,提出适于铁路行业应用的网络安全态势感知平台解决方案,并在测试环境中进行测试验证。结果表明:在具有高通量、复杂化特点的铁路信息网络环境中,该解决方案对潜在安全风险的感知和发现能力优于传统网络安全态势感知平台,满足铁路信息网络高通量、高实时性响应要求,有效地降低误报警率,提升了报警质量和水平。     

全国煤炭交易平台信息和网络安全建设及运维管理

针对互联网快速发展引发的铁路网络安全严峻形势,为提升应对全国煤炭交易平台相关突发事件的能力,最大限度地减轻甚至消除突发事件对平台业务造成的损害,提出了全国煤炭交易平台信息和网络安全建设及运行与维护（简称：运维）管理方案。该方案从平台及应用安全、硬件网络环境、日常运维、管理机制、业务系统安全保护、网络安全保护、新技术新应用、安全管理与防护机制等方面加强信息和网络安全建设,强化运维管理力度,从技术和管理层面共同保障全国煤炭交易平台安全稳定运行,助力铁路网络安全管理工作的创新发展。     

铁路行业关键信息基础设施数据安全防护平台研究

为弥补铁路行业关键信息基础设施数据安全防护方面的薄弱环节,分析铁路行业关键信息基础设施数据安全现状,研究了数据安全防护平台的架构、特点及功能,提出了动态数据安全防护思路,运用轻量级数据加密算法与安全传输协议集成技术,对关键信息基础设施数据全生命周期进行安全防护。平台具备对关键信息基础设施数据流动过程事前感知、事中响应、事后溯源的能力。对铁路关键信息基础设施的数据安全防护具有参考价值。     

铁路关键信息基础设施安全保护框架研究

通过对铁路关键信息基础设施安全保护现状的研究,在网络安全等级保护2.0要求的基础上,结合中国国家铁路集团有限公司网络安全需要,以铁路关键信息基础设施为重点保护对象,以风险管控为出发点,建立一套以识别、保护、检测、响应、恢复为核心的铁路关键信息基础设施安全保护框架.巩固网络安全基础设施保护能力,夯实网络安全合规建设基础,...