网络安全准入控制系统及其铁路应用浅析.docVIP

网络安全准入控制系统及其铁路应用浅析.doc

  1. 1、本文档共5页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
网络安全准入控制系统及其铁路应用浅析.doc

网络安全准入控制系统及其铁路应用浅析   摘要:主要介绍网络安全准入控制系统组成及相关技术,并对该技术在铁路信息系统中如何应用加以探讨。   Abstract: The paper mainly introduces the components and the related technology of network security access control system and explores the application of this technology on railway information system.   关键词:网络安全;准入控制;铁路   Key words: network security; access control; railway   中图分类号:TP319文献标识码:A文章编号:1006-4311(2010)27-0170-01      0引言   随着网络环境愈发复杂,国家对铁路信息系统的安全级别提高到了《信息安全等级保护》的范畴,这就意味着铁路信息系统需要进一步提高安全等级。为此,铁路部门非常重视各种信息系统的安全建设。   现有铁路各信息系统中一般都部署了防病毒、补丁分发等安全措施,起到了一定的网络安全防护作用。但随着网络的发展,这些单个、相对静态的防护措施如何能够进一步的增强和扩展,如何能够有效的结合在一起提高系统安全性,达到国家对铁路系统的安全要求,这就是需要探讨的网络安全准入控制系统。   1网络安全准入控制技术概述   网络安全准入控制的核心概念是从网络接入端点的安全控制入手,结合认证服务器,安全策略服务器和网络设备,以及第三方防病毒、系统补丁等服务器,完成对接入终端用户的强制认证和安全策略应用,从而保障网络安全。   现今,思科、赛门铁克、H3C等厂家已有成熟的网络安全准入控制系统,可以支持常见的准入控制、安全管理、防病毒、补丁分发、ACL(访问控制列表)下发、防ARP攻击、U盘外设管理等功能。其可以实现对整个系统的接入控制、可视化和动态的管理,增强系统的高安全。   2铁路系统应用方案   对于铁路各信息系统应用网络安全准入控制系统,只需增加安全策略服务器、认证服务器,并结合已有的防病毒、补丁分发、网络设备等,即可进行无缝、有效的整合,形成一套联动的系统,实现准入控制等强大的功能。   2.1 铁路信息系统现状铁路行业各信息系统的网络构架以典型的E1环形网络为主,网络接入节点为车站,核心节点一般为铁路局。铁路信息系统具备常用的防病毒和漏洞补丁等安全设备,可以起到对网内固定的计算机、服务器等设备进行病毒防护和补丁升级,但对于系统中是否有其他终端接入,接入的终端设备是否合法,合法用户终端系统是否安全等并未做更进一步的控制。   2.2 网络安全准入控制实现方式网络安全准入控制系统以既有系统网络为基础,在网络核心交换机处设置隔离区,增加安全策略和认证服务器,并利旧补丁分发和防病毒服务器。隔离区中服务器与既有服务器群采用不同VLAN子网隔离开来。在既有车站路由器开启802.1x通用认证协议。   2.2.1 系统构成。①安全策略服务器及安全代理客户端。②认证服务器。③防病毒、补丁分发服务器。④网络设备。   2.2.2 系统要求。用户终端计算机必须安装准入控制系统客户端软件,在接入网络前首先要进行802.1x和安全认证,否则将不能接入网络或者只能访问隔离区的资源。在接入路由器或交换机中要部署802.1x认证,结合认证服务器进行联动,强制进行基于用户的802.1x认证和动态ACL、VLAN控制。安全策略服务器中配置用户的服务策略、接入策略、安全策略,用户进行802.1x认证时,由安全策略服务器验证用户身份的合法性,并基于用户角色(服务)向安全客户端下发安全评估策略(如检查病毒库版本、补丁安装情况等),完成身份和安全评估后,由安全策略服务器确定用户的ACL、VLAN以及病毒监控策略等。防病毒、漏洞补丁服务器部署于隔离区。   2.2.3 流程说明。①用户上网前必须首先进行身份认证,确认是合法用户后,安全客户端还要检测病毒软件和补丁安装情况,上报安全策略服务器。②安全策略服务器检测补丁安装、病毒库版本等是否合格。③安全策略服务器通知接入设备,将该用户的访问权限限制到隔离区内。此时,用户只能访问补丁服务器、防病毒服务器等安全资源,因此不会受到外部病毒和攻击的威胁。④安全客户端通知用户进行补丁和病毒库的升级操作。⑤用户升级完成后,可重新进行安全认证。⑥如果用户补丁升级不成功,用户仍然无法访问其他网络资源,可进行相应检测。⑦用户可以正常访问其他授权(ACL、VLAN)的网络资源。   2.3 实施效果①由于接入节点路由器或交换机对端口

文档评论(0)

heroliuguan + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

版权声明书
用户编号:8073070133000003

1亿VIP精品文档

相关文档