本发明涉及信号系统网络终端安全,尤其是涉及一种城市轨道交通信号系统终端准入系统及方法。
背景技术:
1、城市轨道交通信号系统,在项目开通前都需要通过等级3级保护测评。等级保护2.0实施以来,信号系统的等级保护测评和每年一次的复测也日趋严格化,运营线路针对复测问题整改起来费时费力。所以针对每条等级保护的要求都要更深入分析,尽量在保证信息安全设备故障不影响运营的前提下,提高信息安全方案的技术水平,减少运营以后等级保护复测的整改项。
2、针对等级保护中“应能够对非授权设备私自联到内部网络的行为进行检查或者限制”的需求,理论上需要在信号系统内部部署radius认证服务器,实现对信号系统内网设备的准入认证。但是增加radius认证服务器存在以下问题:
3、1、无论radius认证采用802.1x还是mac认证方式,当认证出现问题时都会影响信号业务的正常工作。为避免此风险,早期轨道交通信号系统没有实施准入认证的方案;从另一方面说,radius认证服务器对信号系统来说是第三方设备,但需要直接访问信号系统的工作站和服务器,这对信号系统来讲也是一个安全隐患。
4、2、早期等级保护测评时,考虑到认证出现问题可能会影响信号正常运营,信号系统不实施准入认证时测评不会扣分。等级保护2.0实施以来,测评对于有认证要求而没有应对方案的情况会直接扣分。为确保等保测评能够满足要求,信号系统需要提供合理的准入方案来满足等级保护认证的要求。
技术实现思路
1、本发明的目的是克服上述现有轨道交通信号系统中缺乏准入认证的缺陷而提供一种城市轨道交通信号系统终端准入系统及方法。
2、本发明的目的可以通过以下技术方案来实现:
3、作为本发明的第一方面,提供一种轨道交通信号系统终端准入系统,所述系统包括:
4、信号骨干网,于轨道交通各站点设置骨干交换机并组成环网;所述的交换机作为终端设备访问网络的网络控制点,按照所制定的安全策略实施相应的终端设备准入控制;
5、radius认证服务器,接入信号骨干网交换机,用于确认尝试接入网络的终端身份是否合法,指定身份合法的终端所能拥有的网络访问权限;
6、信号系统内部终端设备采用mac认证方式接入信号骨干网交换机,并且配置有约束集策略,通过mac认证的设备详细限制端口访问。
7、作为优选技术方案,所述的radius认证服务器主备配置有两台,两台radius认证服务器分别设置在任意两个物理位置不同的站点,并接入对应站点的骨干交换机。
8、作为优选技术方案,所述的radius认证服务器和信号骨干网络之间设置有防火墙,配置有防病毒模块和入侵模块。
9、作为优选技术方案,所述的防火墙具有断电bypass功能。
10、作为优选技术方案,所述的radius认证服务器在非运营时段进行周期性的radius重认证。
11、作为优选技术方案,所述的交换机所实施的准入控制包括允许、拒绝、隔离或限制。
12、作为优选技术方案,所述的交换机采用支持mac逃生功能的交换机设备。
13、作为优选技术方案,所述的radius认证服务器,对哑终端设备设置有允许mac认证标志。
14、作为本发明的第二方面,提供一种轨道交通信号系统终端准入方法,所述方法采用如上所述的轨道交通信号系统终端准入系统,步骤包括:
15、交换机上开启mac认证,当终端设备接入时,产生mac认证的radius请求;
16、主用radius认证服务器根据请求中的mac地址计算设备入网权限并返回交换机,交换机根据权限执行控制。
17、作为优选技术方案,所述方法在运营期间紧急替换设备时,手动录入新设备的mac,新设备通过radius认证服务器认证后入网使用。
18、作为优选技术方案,
19、当主用radius认证服务器故障,备用radius认证服务器切换为主用,继续提供认证服务;终端向备用radius认证服务器提交入网申请,审核通过后入网。
20、作为优选技术方案,在备用radius认证服务器切换为主用运营期间紧急替换设备时,手动录入新设备的mac,新设备通过备用radius认证服务器认证后入网使用。
21、作为优选技术方案,当主备radius认证服务器均故障,交换机启用mac逃生机制,自动放行所有的接入设备。
22、作为优选技术方案,在交换机自动启用mac逃生机制期间紧急替换设备时,无需认证的新设备直接入网使用。
23、作为优选技术方案,在radius认证服务器故障恢复后,通过radius重认证,重新使用radius认证服务器授权接入网络。
24、与现有技术相比,本发明具有以下有益效果:
25、1)本发明提供了一种城市轨道交通信号系统终端准入方案能够有效地方法提高了radius认证的可靠性,通过采用mac认证方式、设置主备认证服务器、合理设置重认证周期及交换机开启mac逃生,既满足等级保护对信号系统的要求,又有效的提高了网络可用性,为地铁线路稳定运营提供了可靠保障。同时在认证服务器和信号内网之间部署防火墙,对信号内网进行有效防护。
26、2)轨道交通信号系统采用mac认证方式,用户终端不需要安装任何客户端软件。避免802.1x认证客户端软件的可靠性等问题,可以支持哑终端认证。
27、3)轨道交通信号系统采用mac认证方式,对mac认证过程中,不需要用户手动输入用户名和密码。不增加运营手动操作步骤,不影响运营工作效率。
28、4)合理设置radius重认证周期,要求radius重认证周期可以设置为24h的整数倍,在非运营时段进行重认证,如果重认证有问题,可以及时处理。
29、5)选用支持mac逃生的交换机,交换机开启mac逃生,在极端情况下,主备服务器故障,交换机mac逃生模式下,不影响信号业务。
30、6)主备服务器模式,任意一台服务器故障,备用服务器会升级为主动服务器,承担起认证工作任务,提高了可靠性。
31、7)运营期间如果紧急替换设备,手动录入设备的mac,新设备通过服务器认证后能够满足紧急情况下运营需求。即使服务器双重故障,交换机启用mac逃生,可以满足应急预案的运营需求。
32、8)准入设备和信号内部网络之间增加防火墙,把信息安全设备和信号内部网络做隔离。防火墙具有断电bypass功能,配置防病毒模块和入侵模块,降低防火墙故障对认证服务的影响,并预防信息安全设备带给信号系统内网的病毒和入侵风险。
1.一种轨道交通信号系统终端准入系统,其特征在于,所述系统包括:
2.根据权利要求1所述的一种轨道交通信号系统终端准入系统,其特征在于,所述的radius认证服务器主备配置有两台,两台radius认证服务器分别设置在任意两个物理位置不同的站点,并接入对应站点的骨干交换机。
3.根据权利要求1所述的一种轨道交通信号系统终端准入系统,其特征在于,所述的radius认证服务器和信号骨干网络之间设置有防火墙,配置有防病毒模块和入侵模块。
4.根据权利要求3所述的一种轨道交通信号系统终端准入系统,其特征在于,所述的防火墙具有断电bypass功能。
5.根据权利要求1所述的一种轨道交通信号系统终端准入系统,其特征在于,所述的radius认证服务器在非运营时段进行周期性的radius重认证。
6.根据权利要求1所述的一种轨道交通信号系统终端准入系统,其特征在于,所述的交换机所实施的准入控制包括允许、拒绝、隔离或限制。
7.根据权利要求1所述的一种轨道交通信号系统终端准入系统,其特征在于,所述的交换机采用支持mac逃生功能的交换机设备。
8.根据权利要求1所述的一种轨道交通信号系统终端准入系统,其特征在于,所述的radius认证服务器,对哑终端设备设置有允许mac认证标志。
9.一种轨道交通信号系统终端准入方法,其特征在于,所述方法采用如权利要求1-8任一所述的轨道交通信号系统终端准入系统,步骤包括:
10.根据权利要求9所述的一种轨道交通信号系统终端准入方法,其特征在于,所述方法在运营期间紧急替换设备时,手动录入新设备的mac,新设备通过radius认证服务器认证后入网使用。
11.根据权利要求9所述的一种轨道交通信号系统终端准入方法,其特征在于,当主用radius认证服务器故障,备用radius认证服务器切换为主用,继续提供认证服务;终端向备用radius认证服务器提交入网申请,审核通过后入网。
12.根据权利要求11所述的一种轨道交通信号系统终端准入方法,其特征在于,在备用radius认证服务器切换为主用运营期间紧急替换设备时,手动录入新设备的mac,新设备通过备用radius认证服务器认证后入网使用。
13.根据权利要求9所述的一种轨道交通信号系统终端准入方法,其特征在于,当主备radius认证服务器均故障,交换机启用mac逃生机制,自动放行所有的接入设备。
14.根据权利要求13所述的一种轨道交通信号系统终端准入方法,其特征在于,在交换机自动启用mac逃生机制期间紧急替换设备时,无需认证的新设备直接入网使用。
15.根据权利要求14所述的一种轨道交通信号系统终端准入方法,其特征在于,在radius认证服务器故障恢复后,通过radius重认证,重新使用radius认证服务器授权接入网络。
