物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)
RFID世界網(wǎng) >  解決方案  >  其他  >  正文

高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)安全系統(tǒng)工程

作者:深圳市富卡思通智能科技有限公司
來源:RFID世界網(wǎng)
日期:2016-02-29 14:14:03
摘要:本方案中IDS和防毒墻都是用旁路方式接入網(wǎng)絡(luò),不對(duì)網(wǎng)絡(luò)性能產(chǎn)生任何影響。設(shè)備本身通過高性能的內(nèi)核監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)包。

高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)安全系統(tǒng)工程

  一、工程背景

  珠三角區(qū)域高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)光傳輸系統(tǒng)采用SDH數(shù)字傳輸設(shè)備,網(wǎng)絡(luò)結(jié)構(gòu)為鏈型網(wǎng)絡(luò)結(jié)構(gòu)。傳輸信號(hào)采用基本模塊STM-4信號(hào)(速率622Mbit/s)。不同路段之間,管理制度和技術(shù)力量方面存在著較大的差別。大部分路段管理制度較為松散,工作人員的網(wǎng)絡(luò)安全意識(shí)比較薄弱,存在著較大的安全隱患。珠三角區(qū)域高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)拓?fù)涫疽鈭D見附圖1。

高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)安全系統(tǒng)工程

  二.總體結(jié)構(gòu)

  根據(jù)珠三角高速公路收費(fèi)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況依據(jù)我們的安全系統(tǒng)設(shè)計(jì)原則,采用高性能的網(wǎng)絡(luò)安全系列產(chǎn)品搭建安全防范體系,通過安全技術(shù)和管理手段,使安全產(chǎn)品充分發(fā)揮其安全保護(hù)的作用。

  首先,從安全區(qū)域上,我們將網(wǎng)絡(luò)劃分為:高速公路收費(fèi)系統(tǒng)區(qū)域營(yíng)運(yùn)中心、路段管理中心以及下屬的各個(gè)收費(fèi)站和車道,并采用防火墻將上述各個(gè)區(qū)域進(jìn)行隔離,以對(duì)各個(gè)區(qū)域之間的相互訪問進(jìn)行訪問控制,構(gòu)成第一道安全防護(hù)體系。

  第二,為了對(duì)保護(hù)公司本部的重要服務(wù)器(如管理服務(wù)器、業(yè)務(wù)服務(wù)器、收費(fèi)系統(tǒng)服務(wù)器),特將這些重要的服務(wù)器放在同一網(wǎng)段,用防火墻進(jìn)行訪問控制,該網(wǎng)段稱為核心防護(hù)區(qū)??梢允褂迷芯W(wǎng)關(guān)處的防火墻的多網(wǎng)絡(luò)接口功能,只多增加一個(gè)網(wǎng)絡(luò)接口。

  第三,在路段的網(wǎng)絡(luò)出口處部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS,自動(dòng)地對(duì)收費(fèi)系統(tǒng)的網(wǎng)絡(luò)運(yùn)行進(jìn)行監(jiān)控,對(duì)可疑的事件給予檢測(cè)和響應(yīng),在主機(jī)和網(wǎng)絡(luò)遭受破壞之前阻止非法的入侵行為。由于IDS是被動(dòng)監(jiān)聽的特點(diǎn),所以不產(chǎn)生流量不會(huì)影響網(wǎng)絡(luò)的帶寬。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以和防火墻形成聯(lián)動(dòng),當(dāng)發(fā)現(xiàn)入侵行為,可自動(dòng)通知防護(hù)墻動(dòng)態(tài)改變規(guī)則,構(gòu)造深層防御體系。

  第四,通過防毒墻部署,利用全方位的企業(yè)防毒產(chǎn)品,實(shí)施“層層設(shè)防,集中控管,以防為主、防治結(jié)合”的策略,使網(wǎng)絡(luò)沒有能成為病毒入侵的薄弱環(huán)節(jié)。針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊配置對(duì)應(yīng)的防毒軟件,構(gòu)建全方位、多層次的整體的防病毒體系。

高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)安全系統(tǒng)工程

  三、方案優(yōu)點(diǎn)

  1、高可靠性

  本方案選用的產(chǎn)品,都是具有MTBF大于10000小時(shí)。

  2、高擴(kuò)展性

  本方案選用的防火墻、IDS、防毒墻都技術(shù)網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)協(xié)議,支持與其它品牌設(shè)備的聯(lián)動(dòng),有利于保護(hù)業(yè)主的投資。所選用的防火墻支持VPN,方便日后業(yè)主網(wǎng)絡(luò)的擴(kuò)展需要。

  3、高防御性

  本方案防火墻、IDS、防毒墻構(gòu)成一套立體的防護(hù)體系,防火墻隔離各安全區(qū)域;IDS實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流;防毒墻不但可以切斷病毒在網(wǎng)絡(luò)上傳播的通路,也可以防殺網(wǎng)絡(luò)上受控主機(jī)的病毒,這是一般網(wǎng)關(guān)級(jí)防毒墻所不具備的功能。

  4、高性能

  本方案中IDS和防毒墻都是用旁路方式接入網(wǎng)絡(luò),不對(duì)網(wǎng)絡(luò)性能產(chǎn)生任何影響。設(shè)備本身通過高性能的內(nèi)核監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)包。