毕业设计 tadcs组网方案.docxVIP

毕业设计任务书学 期　 2014学年第一学期 　 课题名称TDCS/CTC系统网络安全防护方案设计班级铁路通信12级指导教师薛志良专业负责人 　　　教学院长　　2014 年 9月5日第一章绪论研究背景随着铁路信息化建设的迅猛发展，铁路核心生产业务信息化水平也不断提高，列车调度指挥系统(TDCS)迅速覆盖全路，分散自律调度集中系统(CTC)也逐步推广使用，大大提高了铁路运输调度指挥的现代化水平。TDCS／CTC网络覆盖全路各铁路局及车站，系统整体的保密性、完整性和可用性成为了保障行车安全的一个重要环节，系统网络安全也逐渐成为一个潜在的巨大风险。目前TDCS／CTC系统网络安全建设工作仍处于起步阶段，已投入的各项网络安全子系统对保护核心业务虽已发挥了重要的作用，但也存在着一些不足。2007年列车调度指挥系统(TDCS)、分散自律调度集中系统(CTC)正式被国家相关部门评定为“等级保护”四级系统，对该系统信息网络安全提出了更高的要求。现有TDCS／CTC信息安全防护系统目前，全路TDCS／CTC系统信息安全防护体系已初步建成，具体由以下几个方面构成：防火墙系统、网络防病毒系统、身份认证系统、安全漏洞评估系统。TDCS／CTC系统路局网络安全防护体系如图1.1防火墙系统防火墙的主要功能包括数据包过滤、连接状态检查、会话检查、入侵行为检查等，它能够根据用户定义允许或拒绝某些数据包通过防火墙，保护内部网络设备及系统不受非法攻击及访问的影响。同时为每个通过防火墙的连接建立连接状态表，当遇到连接异常，如会话被胁持等攻击行为时，防火墙能及时准确地阻断这种非法连接。2网络防病毒系统鉴于病毒本身的特点和构筑多层保护系统的必要性，结合TDCS／CTC系统的网络结构、安全性和实时性的要求，TDCS／CTC系统按照“统一管理、集中监控、多重防护”的原则，将整体防病毒系统部署在其网络结构中各个层面(包括服务器和工作站)，覆盖范围包括各局中心及其下属的车站。TDCS／CTc路局中心部署一套中心防病毒服务器。通过防病毒服务器对网络中的TDCS／CTC服务器、终端和车站终端统一安装防病毒客户端软件、统一管理、统一升级病毒库、统一报表和分析，对网络中的病毒进行实时监控和杏杀。3身份认证系统身份认证系统可以通过硬件口令牌实现动态口令的身份认证。操作人员可通过口令牌生成一个一次性临时口令登录TDCS程序或操作系统，该口令应具有极高的安全性，即便该口令被他人获取也无法再次进行登录。系统每次登录时应生成不同的密码，操作人员无需记忆登录口令，应用方便。路局TDCs／CTC中心部署一套身份认证服务器。客户端的请求按照配置的比例被自动分配到认7证服务器上，用以降低单台服务器的工作负载，从而提高系统的运转性能。4安全漏洞评估系统安全漏洞评估系统的核心功能在于检测目标网络设备存在的各种网络安全漏洞，针对发现的网络安全漏洞提供详尽的检测报告和切实可行的网络安全漏洞解决方案，使系统管理员在黑客入侵之前将系统可能存在的各种网络安全漏洞修补好，避免黑客的入侵而造成不同程度的损失。在TDCS／CTC系统中部署一套中心安全漏洞评估系统，可以从多角度、全方位对网络中的关键服务器进行漏洞分析及评估。解决网络安全风险的途径依据TDCS／CTC现有安全保护框架，结合目前已有各项网络安全装备，针对等级保护四级要求需要对网络安全防御体系的其他方面进一步强化。1．防范控制外来设备的接入。为了保证TDCS／CTC网络的封闭性，发现非法的外联行为(各种拨号、多网卡)以及对外来的计算机非法接人运输业务系统进行检测和报警，需要建立新的网络安全体系来加以防范。对未经授权的各类移动设备进行严格的接人控制，消除移动设备和非法接人业务系统的终端造成的潜在病毒传播风险。2．针对TDCS／CTC各终端及时进行补丁升级。针对TDCS／CTC各类终端操作系统的漏洞进行评估与分析，并根据补丁升级策略，自动解决终端操作系统漏洞补丁升级和其他补丁自动分发工作，安全、及时修补可以被病毒利用或攻击的系统漏洞，有力提升TDCS／CTC终端安全防护能力。3．对关键数据审计。TDCS／CTC应用、日常维护参与人员众多，需要建立完备的安全审计机制，在各种安全事件发生后可以进行有效地追踪与定责。同时也要具备对数据库审计、网络行为审计和日志审计的功能。并且能够满足TDCS／CTC对网络应用、信息系统安全、数据库应用安全等关键数据审计的要求。全面监测信息系统内各类应用的操作过程和内容，通过深层次地审计分析，生成详细的追踪记录及审计报告。4．建立完整统一的纵深网络安全防御体系。充分考虑各种安全组件的互补性，建立完整的TDCS／CTC纵深防御体系，实行集中管理，将不同位置、不同安全系统中分散且海量的单一安全