CTC网络安全防护

铁路调度指挥系统维护目录调度集中（CTC）系统维护CTC网络安全防护进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对内访问发起访问请求防火墙的功能：1、过滤进、出网络的数据2、防止不安全的协议和服务3、管理进、出网络的访问行为4、记录通过防火墙的信息内容5、对网络攻击进行检测与警告6、防止外部对内部网络信息的获取7、提供与外部连接的集中管理

Internet区域Internet边界路由器DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网防火墙：是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间构造的保护屏障。CTC网络安全防护局限性：不能防止源于内部的攻击；防火墙不能防范不经由防火墙的攻击防火墙不能防止感染了病毒的软件或文件的传输防火墙不能防止数据驱动型攻击设置：

防火墙部署于单位或企业内部网络的出口位置。CTC调度集中系统的防火墙不管在调度中心还是车站网都部署在内网和外网入口处。CTC网络安全防护防火墙入侵检测系统：简称IDS，是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。功能：实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理CTC网络安全防护设置：作为防火墙后的第二道防线。一般设置在服务器区域的交换机上；接入路由器之后的第一台交换机上；重点保护网段的局域交换机上。FirewallInternetServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgentCTC网络安全防护入侵检测系统功能：利用RealSecure进行可适应性

攻击检测和响应DMZ?E-Mail

?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击警告!记录攻击外部攻击终止连接入侵检测工具举例CTC网络安全防护DMZ?E-Mail

?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击商务伙伴警告!记录进攻,发送消息,终止连接外部攻击中止连接重新配置路由或防火墙以便隐藏IP地址CTC网络安全防护入侵检测工具举例DMZ?E-Mail

?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继内部攻击警告!启动事件日志,发送消息入侵检测工具举例CTC网络安全防护优点：

能及时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于及时采取措施。局限性：准确性：误报率和漏报率有效性：难以及时阻断危险行为CTC网络安全防护网络防病毒系统：串接于网络中，根据网络病毒的特征在网络数据中比对，从而发现并阻断病毒传播

配置要求：防病毒客户端系统资源占用率应小于5%；具有对不同类型文件感染病毒采取不同的处理方式保证系统正常运行的能力；具备查杀引导型病毒、混合型病毒、变形病毒、宏病毒、网络蠕虫病毒、java/Active恶意代码等多种威胁的能力。不足：只能检查已经局部发作的病毒CTC网络安全防护动态口令身份认证：具有四A认证功能的双因素认证，解决客户在访问控制、身份认证、同一授权、安全审计四个方面存在的安全和管理难题只有输入正确的动态口令，才能登陆成功CTC网络安全防护CTC网络安全防护技术要求：对用户信息进行实时分析，一旦发现异常登录，暴力破解等情况，可主动防御，对账号或IP进行冻结。支持多种协议标准，提供多种语言的接口，丰富的集成协议、接口，满足用户集成各种第三方应用的需求；具有高度的可用性和可扩展性，不仅支持数据服务主复制、集群部署，还支持对接多种轻量级目录服务，并且在oracle数据库宕机时依然可以提供登陆认证服务，有效保障业务系统的稳定运行。CTC网络安全防护安全漏洞评估系统：检测目标网络设备存在的各种网络安全漏洞，针对发现的网络安全漏洞提供详尽的检测报告和切实可行的网络安全漏洞解决方案，使系统管理员在黑客入侵前将系统可能存在的各种网络安全漏洞修补好