一种集约型一体化列车车载网络信息安全防护系统

本发明涉及列车安全防护，尤其涉及一种集约型一体化列车车载网络信息安全防护系统。

背景技术：

1、目前网络信息安全系统主要由防火墙、安全审计和病毒查杀组成，称为“老三样”。在车载网络系统中主要通过部署防火墙和安全审计产品实现安全防护，各产品孤立工作，无法实现有效的信息共享、能力共享和协同工作，且缺乏主动性和对攻击的预测能力，难以应对利用逻辑缺陷的攻击。

2、随着云计算、物联网、移动互联网和大数据的技术的应用，目前网络攻击具有定向性、隐蔽性、攻击手段多元化和技术多样化等特点。列车内部的连接设备数量不断增加。这给恶意攻击者提供了更多潜在的入侵点，网络攻击可能导致列车的功能受损、信息泄露或运营中断。保护列车车载网络安全有助于防止未经授权的访问和恶意操作，维护列车的正常运营和乘客的安全。

3、集约一体化联动防护控制系统是通过对硬件设备与网络防御系统进行有机结合。当攻击行为发生时，不仅仅依靠单一系统做出响应。通过对攻击行为的分析，智能选择合理的防御手段，并根据攻击类型选择与其适配的硬件设备来阻止攻击行为。通过联动防护控制的手段，可以更大程度上保护网络资源，提高网络性能。

4、目前，现有技术中的列车车载网络系统中安全防护设备的缺点包括：

5、目前列车车载网络系统中安全防护设备孤立工作，无法实现有效信息共享、协同联动防护，且缺乏主动性和对攻击的预测能力，难以应对利用逻辑缺陷导致的攻击等问题。

6、目前的网络安全防护设备如网络隔离设备、入侵检测设备、安全审计设备、访问控制设备以及数据加密设备等采用独立设计，单个设备采用单独的硬件，各设备间相对独立，若部署到列车车载网络系统中不但占据空间，而且增加列车自身重量。

技术实现思路

1、本发明的实施例提供了一种集约型一体化列车车载网络信息安全防护系统，以实现有效地提高列车车载网络系统的性能和安全性。

2、为了实现上述目的，本发明采取了如下技术方案。

3、一种集约型一体化列车车载网络信息安全防护系统，包括：管理模块、策略分发模块和安全防护控制模块；

4、所述的管理模块：用于管理列车车载网络信息的安全防护系统的配置、状态和资源，给用户提供安全防护策略组件的操作接口，接收并管理用户通过所述操作接口动态定制的安全防护策略；

5、所述的策略分发模块：用于将安全防护策略配置为可编程软件模块，将安全防护策略与所述集约型一体化列车车载网络信息的安全防护系统的cpu内核进行动态绑定，根据需求将安全防护策略动态部署到相关的硬件设备上；

6、所述的安全防护控制模块：用于采用软件定义网络sdn将网络安全防护功能划分成多个互相独立的安全组件，将安全组件从硬件设备中解耦，将安全组件配置为可编程软件模块，将每个安全组件以软件模块的形式部署在硬件设备，给每个安全组件设置对应的安全防护策略，在硬件设备的安全组件上执行安全防护策略。

7、优选地，所述的系统还包括：计算模块、规则库模块、认证与授权模块、加密与解密模块、调度模块和接口模块；

8、所述的计算模块：用于处理与安全防护相关的计算任务，监测系统中的各种安全事件和威胁；

9、所述的规则库模块：用于存储列车车载网络的安全规则和安全防护策略；

10、所述的认证与授权模块：用于验证和授权连接到车载网络的设备和用户，确保只有经过授权的设备和用户才能访问列车车载网络。

11、所述的加密与解密模块：用于执行数据加密和解密的任务；

12、所述的调度模块：用于将任务分配到不同的所述集约型一体化列车车载网络信息的安全防护系统的cpu内核上执行，根据绑定策略和实时需求进行任务调度和资源分配，协调和管理各个模块的工作；

13、所述的接口模块：用于提供集约型一体化列车车载网络信息的安全防护系统与其他系统和设备进行交互的接口。

14、优选地，所述的管理模块包括：资源管理模块、业务场景任务与cpu绑定模块和安全防护策略组件模块；

15、所述的资源管理模块，用于管理安全防护系统的配置、状态和资源；

16、所述的业务场景任务与cpu绑定模块，用于根据系统配置和运行时性能指标，确定每个业务场景任务运行在哪个cpu内核上，通过操作系统提供的调度策略和应用程序编程接口api动态确定业务场景任务和cpu内核之间的绑定关系，监控业务场景任务和cpu内核的绑定关系的变化；

17、所述的安全防护策略组件模块，用于配置和管理安全防护策略组件，所述安全防护策略组件包括：

18、策略控制器，用于为用户提供操作接口，用户通过这个操作接口动态定制列车的安全防护策略；

19、动态策略解析模块，用于根据需要执行的业务场景中的任务确定安全防护策略，查询策略库中是否存储有对应的安全防护策略，如果有，则直接从策略库中选取对应的安全防护策略；否则，查询构件库，选取能够用来生成所述安全防护策略的各种构件信息，该构件信息包括构件的编码和名称信息，向重构器发送携带所述各种构件信息的重构消息；

20、重构器，用于读取重构消息中携带的构件信息，根据构件信息激活构件库中相应的构件，并以树型的形式显示出来，用户直接在树型显示的构件形式上选择相应的构件功能，生成新的安全防护策略，将生成的安全防护策略存储在策略库；

21、策略库，用于采用策略表的形式存储列车的安全防护策略；

22、所述的构件库，用于存储用来生成列车的安全防护策略的各种构件。

23、优选地，所述的安全防护控制模块包括：

24、安全组件生成模块，用于将网络安全防护功能划分为：包括访问控制功能、包过滤功能、入侵检测功能、安全审计功能、漏洞扫描、负载均衡、加解密功能、身份认证功能、监控管理功能和态势感知功能的各个安全组件，将安全组件从传统的硬件设备中解耦，将安全组件略配置为可编程软件模块，将每个安全组件以软件的形式在硬件设备上部署和运行，根据业务的需要添加安全组件；

25、安全防护策略执行模块，用于通过安全防护策略绑定的cpu内核执行在安全组件、切片和硬件设备上部署的安全防护策略，各个安全组件和切片的安全防护策略执行和升级维护过程相互独立。

26、优选地，所述的安全组件生成模块，用于针对一个安全防护功能设置多个安全组件，存储安全防护功能和安全组件之间的对应关系。针对每个安全组件根据需要设置对应的安全防护策略，一个安全组件和对应的安全防护策略构成一个安全防护单元；当一个硬件设备上需要实现一种安全防护功能时，则在该硬件设备上设置一组安全防护单元；当一个硬件设备上需要实现多种安全防护功能时，则在该硬件设备上设置多组安全防护单元；

27、所述的安全防护策略执行模块，用于当需要进行某种安全防护功能时，查询所述安全防护功能和安全组件之间的对应关系，选取多个所述某种安全防护功能对应的安全组件，再查询规则库模块根据需要给选取的每个安全组件配置对应的安全防护策略，针对所述某种安全防护功能设置多个安全防护单元，多个安全防护单元通过智能联动实现动态冗余防护。

28、优选地，所述的策略分发模块包括：

29、安全防护策略解耦模块，用于基于sdn采用虚拟化切片技术将安全防护策略从传统设备中解耦，将安全防护策略配置为可编程软件模块，将安全防护策略与所述集约型一体化列车车载网络信息的安全防护系统的cpu内核进行动态绑定，所述安全防护策略包括：网络隔离策略、认证与授权策略、加密通信策略和更新与漏洞修复策略；

30、网络资源分割模块，用于采用虚拟化切片技术将网络资源在逻辑上进行抽象和复用，通过使用虚拟化软件层将网络资源划分为多个虚拟实例，每个虚拟实例对应一个切片，给每个切片配置对应的安全防护策略；

31、安全防护策略部署模块，用于将安全防护策略与所述集约型一体化列车车载网络信息的安全防护系统的cpu内核进行动态绑定，根据需求对安全防护策略进行动态配置和部署，给各个安全组件、切片和硬件设备部署对应的安全防护策略。

32、优选地，所述的安全防护策略解耦模块，用于将安全防护策略与所述集约型一体化列车车载网络信息的安全防护系统的cpu内核在硬件层面和软件层面进行动态绑定，在硬件层面，cpu具有多个物理核心和逻辑核心，每个物理核心都有缓存和执行单元，逻辑核心通过超线程技术实现，在物理核心上创建多个虚拟核心，在软件层面，操作系统调度任务到不同的cpu内核上执行，通过操作系统提供的调度策略和api将特定的业务场景任务与cpu内核进行动态绑定。

33、优选地，所述的策略分发模块采用的虚拟化切片技术，系统包括：物理主机、虚拟机、虚拟化软件和管理接口；

34、所述的物理主机，用于提供计算资源的物理服务器；

35、所述的虚拟机，用于在物理主机上运行的独立虚拟实例，每个虚拟机都有自己的操作系统和应用程序；

36、所述的虚拟化软件，用于管理和控制虚拟机的创建、销毁、迁移和监控，通过docker应用容器引擎将所述集约型一体化列车车载网络信息的安全防护系统的cpu核心一比一映射到虚拟机vcpu上，将安全防护策略与虚拟机vcpu进行动态绑定；

37、所述的管理接口：用于对虚拟机进行管理和配置的界面，通过命令行或图形化界面进行操作。

38、优选地，所述网络隔离策略将列车内的车载网络划分为不同的安全区域，每个区域之间通过访问控制进行网络隔离；

39、所述认证与授权策略实施认证与授权机制，只有经过验证的用户才能访问车载网络，并限制用户的访问权限，以确保合法接入；

40、所述加密通信策略对列车网络中的通信进行加密处理，包括数据传输的加密和身份验证的加密；

41、所述更新与漏洞修复策略更新列车网络中的软件和操作系统，并修补已知的漏洞。

42、优选地，所述系统部署在列车头车与尾车的车辆级交换机处。

43、由上述本发明的实施例提供的技术方案可以看出，本发明的列车车载网络信息的安全防护系统通过采用集约型一体化设计，将多个分散的网络安全防护设备整合为一个统一的系统，通过集中管理和控制来提高效率，降低成本，增强列车车载网络信息的安全性。

44、本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。