CHb网络安全技术解读.pptVIP

通信功能模块（CFM）功能 通信功能模块针对非安全的信息传输，提供以下功能： MASL层和传输层之间的适配； 冗余功能，以满足系统可用性需求； 数据的可靠、透明和双向传输； 必要时协议数据单元的重传； 通道可用性监测。 安全措施 硬件防火墙控制外网的IP地址访问授权；入侵检测设备实时监控网络中的流量，甄别出有风险的攻击行为； 漏洞扫描系统定期对服务器主动扫描，针对安全弱点提供检测报告和建议； 防病毒服务器对各个终端和站机上的客户端软件实时更新病毒库，保障工控机和服务器的防端病毒安全； WSUS补丁升级服务器精确控制Windows各版本升级补丁的下发，由其作为代理服务器下载存储Windows升级补丁，并审核控制下发给内网的其他服务器，降低了整个系统的安全风险； 网管服务器实时监测每台可管理网络设备的运行状态，并且详细监视整个网络中的流量状态，极大地保证了整套系统的稳定运营，并对突发故障能够快速响应，快速定位故障范围，对及时排查故障起到重要作用。 车站节点在路由器上启用访问控制列表，只放行系统所需端口，将其他端口屏蔽，还可选择使用访问控制列表对IP地址进行控制，从而达到控制访问权限的目的来进一步增强网络安全能力。 分散自律CTC系统网络结构 传输网络包括网络通信设备和传输通道，双环自愈结构，采用了迂回、环状、冗余等方式来提高其可靠性。 3.7.5 客运专线信号安全数据网 客运专线信号安全数据网接入设备包括：列控中心（TCC）、计算机联锁（CBI）、临时限速服务器（TSRS）、无线闭塞中心（RBC），需要满足TCC与TCC之间、TCC与CBI之间、TSRS与RBC之间、TSRS与TCC之间、TSRS与TSRS之间、RBC与CBI之间、RBC与RBC之间、CBI与CBI之间的信息传输。 （1）客运专线信号安全数据网的总体要求 客运专线信号安全数据网应确保车站、中继站（无岔站）以及其与中心信号设备（如RBC、TSRS）间的安全信息可靠传输；确保RBC、TSRS等中心设备与其他相邻线路安全数据网的安全信息可靠传输。 网络设备中单节点信息传输时延不大于50us，单网络内数据通信自愈时间不大于50ms。网络间数据通信自愈时间不大于500ms。 客运专线安全数据网应满足高可靠、高可用和高可维护性的要求，设置网络管理系统，实现数据记录、故障报警、状态预测等功能。 客运专线信号安全数据网应采用工业以太网网络设备（工业级交换机）构成冗余双环网，双网间物理隔离，网络设备间应采用专用单模光纤连接。 两环网设备间互联光纤（设备端-设备端）应采用不同物理路径；同一环网络设备间互联光纤与迂回通道使用光纤应采用不同物理路径。 连接相邻网络设备的光纤长度应不超过70km，光纤长度不满足要求时应增加中继器设备。 采用8芯光纤构成信号安全数据网，其中4芯光纤采用一侧光缆提供，另4芯光纤采用另一侧光缆提供。每侧光缆中另各预留2芯光纤作为信号安全数据网的备用光纤。 每一独立环网中接入的网络设备（交换机、中继器）超过40个或应用网络线路（铁路线路）长度超过600km时，应将网络环路分割成不同子环网。各相邻子环网间应采用三层工业以太网交换机进行连接。 根据业务需求，应对网络进行虚拟局域网（VLAN）的划分：业务VLAN，用于承载数据业务；管理VLAN，用于网络管理。 网络应以完整网络或子网络为基本单元设置独立的网管系统，应设置集中网络管理设备和操作维护终端。 ? 交换机的环网接口应为100M或1000M光接口，数据业务接口为100M电接口。 （2）客运专线基本网络结构 在客运专线中，信号安全数据网的基本网络如下图所示。每一独立环网络中用于交换机串接的光纤和用于迂回通道中继器（交换机）连接的光纤应取自通信专业提供的两条不同路径的干线光缆，干线光缆与交换机连接的尾缆或尾纤应采用不同的引入路径。 用于两个独立环网迂回通道中继器（交换机）串接的光纤应取自通信提供的两条不同路径的干线光缆，干线光缆与交换机连接的尾缆或尾纤应采用不同的引入路径。 两个独立环网迂回通道使用的中继器（交换机）不应在业务站点处同时设置。 信号安全数据网基本组网结构图 （3）客运专线划分子网的网络结构 同一线路划分子网的数据组网结构如下图所示。子环网划分应在网络分界点处设置三层交换机实现，三层交换机间采用双冗余光缆进行连接，双通道冗余光缆应采用不同路径铺设。 两个独立子环网的分界点不应设在同一车站或中继站。 设置三层交换机的站点不应作为迂回中继的站点。 具有子环网的信号安全数据网组网结构图 （4）不同线路客运专线网络连接 连接相邻网络的设备应采用三层交换机，如下图所示。三层交换机间采用冗余光缆进行连接，冗余光缆应采用不同路径铺设。 相邻数据网的连接图 一侧为客运专线信号安