[发明专利]一种信息安全防护方法及装置

说明书

本发明涉及一种信息安全防护方法及装置，以及一种计算机可读存储介质。该信息安全防护方法包括步骤：将列车网络控制系统划分至内网区域，并对所述列车网络控制系统进行区域边界的安全防护；对所述列车网络控制系统进行通信网络的安全防护；以及对所述列车网络控制系统进行终端设备的安全防护。本发明深度结合列车网络控制系统应用业务，从区域边界安全、通信网络安全及终端设备安全等多个维度，对列车网络控制系统进行纵深防御，能够有效应对系统内、外网发起的攻击行为，提高列车网络控制系统的信息安全防护能力。

技术领域

本发明涉及轨道交通列车的网络安全技术，尤其涉及一种基于以太网技术的信息安全防护方法，以及一种用于实施该方法的信息安全防护装置。

背景技术

随着列车网络控制系统(Train Control and Monitoring System，TCMS)的以太网化，以及与外部系统互联互通的增多，轨道列车原有的“内网模式+管理制度”的信息安全防护技术已不足以防御恶意的网络攻击行为。

随之而来地，列车网络控制系统的信息安全风险也日益凸显。一旦列车网络控制系统遭到入侵攻击，轻者可能造成列车无法启动，出现机破事故；重者可能引发列车行车安全事故。因此，开展对轨道交通列车的信息安全防护具有重要意义。

目前，针对列车网络控制系统的信息安全防护的研究尚处于起步阶段，大多数实际运行系统仅采用防火墙来进行简单的隔离防护，几乎不涉及任何关于列车网络控制系统业务的安全防护，难以应付层出不穷的攻击手段。

为解决列车网络控制系统的信息安全防护问题，本发明提供了一种信息安全防护方法、一种信息安全防护装置，以及一种计算机可读存储介质，能够深度结合列车网络控制系统应用业务的纵深防御体系，从列车网络控制系统的区域边界安全、通信网络安全及终端设备安全等多个维度，对列车网络控制系统进行信息安全防护。

发明内容

以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览，并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之前序。

为解决列车网络控制系统的信息安全防护问题，本发明提供了一种信息安全防护方法、一种信息安全防护装置，以及一种计算机可读存储介质，能够深度结合列车网络控制系统应用业务的纵深防御体系，从列车网络控制系统的区域边界安全、通信网络安全及终端设备安全等多个维度，对列车网络控制系统进行信息安全防护。

本发明提供的上述信息安全防护方法包括步骤：将列车网络控制系统划分至内网区域，并对所述列车网络控制系统进行区域边界的安全防护；对所述列车网络控制系统进行通信网络的安全防护；以及对所述列车网络控制系统进行终端设备的安全防护。

优选地，在本发明的一些实施例中，进行所述区域边界的安全防护的步骤可以包括：将列车的控制网划分至所述内网区域，而将列车的信息网划分至外网区域，其中，所述控制网包括所述列车网络控制系统；以及在所述内网区域及所述外网区域的区域边界处部署安全防护设备，以防止外部攻击渗透到所述列车网络控制系统。

优选地，在本发明的一些实施例中，所述列车的信息网可以进一步包括车地无线通信系统及旅客服务系统。

优选地，在本发明的一些实施例中，所述安全防护设备可以进一步包括防火墙模块、安全监控模块及安全响应模块。所述防火墙模块适于根据所述列车网络控制系统的通信对象配置防护策略。所述安全监控模块适于识别网络攻击、监测异常通信行为、对所述列车网络控制系统与所述旅客服务系统之间的传输控制信号进行阈值检查，以及根据所述网络攻击、所述异常通信行为或异常的传输控制信号产生相应的警告信息。所述安全响应模块适于丢弃产生所述警告信息的数据包以防止所述外部攻击。