[发明专利]铁路供电系统网络安全防护系统

说明书

本发明涉及一种铁路供电系统网络安全防护系统，所述系统设置在铁路供电系统的二级网络和三级网络之间，包括逻辑隔离模块和物理隔离模块；逻辑隔离模块对安全区域和安全区域之间进行逻辑隔离；物理隔离模块对安全区域和非安全区域之间进行物理隔离。能实时在线防护铁路各牵引变电所二级网络与三级网络的连接，令一台设备能同时实现网络的物理隔离和逻辑隔离（传统设备要实现两个功能需上一台正向隔离装置和一台硬件防火墙），提高铁路供电系统安全防护能力。

技术领域

本发明涉及铁路供电系统网络维护技术领域，具体涉及一种铁路供电系统网络安全防护系统。

背景技术

我国电网规模世界第一，发电量连续16年世界第二，电力生产的发、输、变、配、用各个环节是动态平衡的过程，信息技术支撑各环节有序运转。其中铁路供电占比最大，铁路供电防护系统用于防护铁路运营过程，故保障铁路供电防护系统安全是保障铁路稳定运转的关键，也是国家基础设施的安全保障。据统计，近年来，铁路供电系统信息安全事件呈现低频率但高威胁的特点，因此保障铁路供电系统的安全性，利用网络关键技术加强动态安全防护十分重要。

动态防御体系既包括前端的风险感知、定向隔离、威胁分析、也包括后端的响应联动。通过对设备典型状态进行画像刻度、与权威漏洞库及病毒库进行交互联动等技术手段，实现对泛在铁路供电整体安全状况的实时感知与关联分析，及时发现恶意攻击行为并进行快速处置。

铁路供电网络数据传输中，既需要网络联通达到数据交换，又需要保证数据传输的单相性，防止低安全等级区域对高安全等级区域的恶意攻击和控制。分别独立安装防火墙和正向隔离可以满足变电所需求，但是变电所高度智能化要求设备数量越来越少，功能涵盖化越来越高。因此需进一步创新整合技术，增强区域间数据安全传输加密、角色认证、授权管理及访问权限检查，使智能变电站在满足现有业务要求的前提下抵御内外网恶意指令攻击。当发现内外网遭受攻击时，更需采用网络技术手段，阻隔攻击者行为并发动反制攻击。

发明内容

本发明的目的是提供一种铁路供电系统网络安全防护系统，能实时在线防护铁路各牵引变电所二级网络与三级网络的连接，令一台设备能同时实现网络的物理隔离和逻辑隔离（传统设备要实现两个功能需上一台正向隔离装置和一台硬件防火墙），提高铁路供电系统安全防护能力。

本发明所采用的技术方案为：

铁路供电系统网络安全防护系统，其特征在于：

所述系统设置在铁路供电系统的二级网络和三级网络之间，包括逻辑隔离模块和物理隔离模块；

逻辑隔离模块对安全区域和安全区域之间进行逻辑隔离；

物理隔离模块对安全区域和非安全区域之间进行物理隔离。

安全区域为内网，即生产控制区域网络；非安全区域为外网或公网，即生产安全区域以外的网络。

逻辑隔离模块为具有硬件防火墙功能的隔离模块。

逻辑隔离模块包含学习模式、警告模式、防护模式；

在学习模式状态下，业务全通，IAF会智能学习通信中的流量，并自动产生对应的防护规则，管理中心采用专家鉴别的方式对已产生流量协议自动学习为白名单用户，或由管理人员对应用协议进行筛选鉴别；自动学习白名单用户信息和管理人员添加白名单用户数据允许通信；其余病毒数据，攻击数据等直接隔离并删除。

在警告模式状态下，业务全通，IAF会依据系统策略对符合安全策略的放行，对不符合安全策略的通信进行告警，供专业人员参考判断；

在防护模式状态下，业务按照系统设定的策略进行防护。

逻辑隔离模块对于符合策略的进行放行，并记录日志，对不符合安全策略的通信以及入侵等攻击行为进行阻断，并通过日志、邮件方式告警。