北京交通大学网通安全信息交换平台国家铁路局铁路行业业务系统与信息系统.pdfVIP

北京交通大学网通安全信息交换平台 国家铁路局铁路行业业务系统与信息系统 项目背景： 北京交通大学在分析和研究了铁路行业的业务及管理特点，以及铁路行业信息化建设现 状，提出铁路行业业务系统与信息系统模型。并在充分理解国产Linux 的基础上，研究以国 产LINUX 为核心支撑平台的，适用于铁路行业的专用信息交换安全平台（服务器）的总体框 架设计。 最终在总体设计的基础上，北京交大网通安全信息平台项目组提出了多处理器的安全服 务器的专用信息交换安全平台的实现方案，具体包括了： 安全网闸技术的研究 数据库安全访问接口的研究 应用网关的研究 安全日志、审计管理的研究 专用安全平台硬件结构的研究 并完成了专用信息交换安全平台的软件硬件研制，同时与国家铁路局现有业务系统有机 结合，提出铁路相关信息系统接口的技术规范建议。 客户需求： 北京交大网通安全信息平台项目的主要任务是研制一个基于国产 Linux 的拥有自主产 权的铁路专用信息交换安全平台（服务器）。该安全平台将起到既能隔离不同的信息系统的 网络，又能提供安全服务通道，实现信息系统之间信息交互、资源共享的目的。 同时，该系统平台将通过成果推广带动国产Linux 推广应用 解决方案及部署实施： 北京交大网通安全信息平台项目组在北京中科红旗软件技术有限公司的紧密合作下，共 同 提出了以红旗Linux 为核心支撑平台的、适用于铁路行业的信息交换安全服务器的总体 框架设计方案。 该方案采用了智能网闸、安全代理、安全认证、访问控制等多项安全技术，以保证其安 全性能满足铁路行业的实际需求。 北京交大网通NetOne 8000 型信息安全交换平台是一种基于国产LINUX 的对数据库访问 进行应用代理的网络隔离产品。其主机部署使用了Red Flag Advanced Server 4.1 操作系 统，两块PCI 网闸卡内嵌国产Linux 操作系统，上面运行着客户开发的应用代理服务。 由于该项目的成功对于国家铁路行业业务系统和信息系统的安全生产具有重要意义，因 此对于本身的安全性和稳定性也有很高的要求。为此，中科红旗与北京交大网通安全信息平 北京中科红旗软件技术有限公司 中国北京海淀区万泉河路68 号紫金大厦6 层，100086 电话：8610 传真：8610 Http://www.Redflag-L 台项目组又提出了采用Red Flag HA Cluster 4.1 来确保系统平台的高可用性。 NetOne 8000 型信息安全交换平台具有自身的特点，Red Flag HA Cluster 4.1 需要监 控的应用主要在嵌入式板卡系统上，而该系统是作为独立操作系统存在，具有独立的ip 等， 而高可用监视程序只能运行于主机上。经过几次讨论中科红旗与北京交大网通安全信息平台 项目组双方合作开发了板载服务及相连网络与主机HA 程序的接口，确定了HA 程序根据这一 特定应用的工作方式。 采用Red Flag HA Cluster 4.1 的实现系统平台高可用设置具体的部署如下： 1、两台实施Red Flag HA Cluster 4.1 的机器添加两块网卡，进行直连； 2、浮动IP：通过提供的程序进行控制，直接在操作系统之上执行ChangeVIP 配置IP； 3、监听方面主要分为两个部分：一个是服务的监听、二是网络的监听。客户可以通过 服务监听程序从两块板卡里面得到服务的运行情况，然后在操作系统里面生成相应 的文件 （PS.log），Red Flag HA Cluster 4.1 通过判断这个文件里面内容来判别 服务的运行状态，再进行相应的切换策略。网络监听方面，客户通过 ChangeGW 设 定两块板卡的网关，通过网络监听程序来判断网络状况并在操作系统里面生成相应 得文件(Ping.log)，Red Flag HA Cluster 4.1 通过判别这个文件来检测它的状态 来进行相应策略的切换。 本次系统平台合作实施的网络拓扑图示意如下： 软硬件产品的版本/型号： 中科红旗软件在部署实施该系统过程中，综合提供了如下软硬件产品，共同搭建了一个 高效、稳定、安全的系统平台： 软件平台：Red Flag Advanced Server 4.1、Red Flag HA Cluster 4.1