CN111917757A - 一种船舶网络边界安全防护机制 - Google Patents

一种船舶网络边界安全防护机制 Download PDF

Info

Publication number
CN111917757A
CN111917757A CN202010728304.5A CN202010728304A CN111917757A CN 111917757 A CN111917757 A CN 111917757A CN 202010728304 A CN202010728304 A CN 202010728304A CN 111917757 A CN111917757 A CN 111917757A
Authority
CN
China
Prior art keywords
network
service
ship
safety
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010728304.5A
Other languages
English (en)
Inventor
吴鹏
吴茂传
朱军
左振波
王雷
武茂浦
李建华
咸云飞
吴佰胜
江浩
张鲁
董招生
陈利亚
孙锐
朱彤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CSIC Information Technology Co Ltd
Original Assignee
CSIC Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CSIC Information Technology Co Ltd filed Critical CSIC Information Technology Co Ltd
Priority to CN202010728304.5A priority Critical patent/CN111917757A/zh
Publication of CN111917757A publication Critical patent/CN111917757A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种船舶网络边界安全防护机制,通过在船舶网络边界设置数据交换网来负责内部安全网络和外部非安全网络交换业务数据,同时抵御外部的攻击、阻止入侵与病毒的通过,并通过业务代理隔离直接访问,通过审计验证业务安全;数据交换网包括接入缓冲区和业务缓冲区,接入缓冲区与业务缓冲区之间还设置有中间防火墙,接入缓冲区用于负责业务的申请代理,完成对非安全网络中的用户接入;业务缓冲区用于负责对业务申请的审核,并完成数据交换。该机制基于缓冲区隔离的思想,采用“土地换安全”的策略,在船舶网络边界处修建了一个“数据交易市场”,即在两个网络间形成两个隔离缓冲区,让“贸易往来”处于可控的范围之内。

Description

一种船舶网络边界安全防护机制
技术领域
本发明涉及一种网络安全防护机制,特别是一种船舶网络边界安全防护机制。
背景技术
随着如今船舶上配备了一系列电子导航,指挥和控制系统,通过卫星与全球互联网相连,加上船员对互联网的使用,意味着船只充满了连接和自动化系统,使得它们在内部和边界都受到特别的攻击,传统以边界防护为核心的安全措施显得越发捉襟见肘。在以高隐蔽性复杂攻击为新安全挑战的网络环境中来看,边界防御正在面临着极大的危机。
目前,具有不同安全级别的网络之间的分界线都可以定义为网络边界,船舶网络常见边界为船舶内部网络与外部网络、不同网段、不同网络区域之间等。传统的边界防护是采用常规的边界防护机制,如基本的登陆/连接控制等,实现基本的船舶信息系统边界安全防护,比较严格的安全机制是在不同的网络边界处加装防火墙、多重安全网关等安全装置,形成船舶网络边界的初步安全防护。
缺陷:
(1)单个边界安全防护机制都有其局限性,比如防火墙不能对应用层有效识别,面对隐藏在应用中的病毒、木马等没有很好的办法,一旦越过防护机制,边界安全防护就没有作用。
(2)边界安全防护是被动的,不能主动进行安全防护,虽然目前的防火墙已经提升了应用识别、用户识别、资产识别等能力,提升了防火墙内的安全能力,但是基于预置特征和安全策略的静态防护,在面对船舶智能化后所面临的更高隐蔽性和复杂攻击手段仍然显得力不从心。
(3)对边界安全装置自身的完整性缺少度量和鉴别,边界安全防护装置自身的完整性缺少必要的度量手段,使得船舶边界安全防护装置成为一个特权设备,一方面能够坚挺所有进出船舶网络的数据流内容,另一方面起完整性在系统中没有度量,如果安全防护装置被攻击者控制或厂商在设备中留有后门,则整个船舶万立国系统的安全将会受到极大的威胁。
发明内容
本发明所要解决的技术问题是针对现有技术的不足,提供一种能够形成多层次动态安全防护、构建立体化安全防护机制、留下所有网络进入者的“脚印”的船舶网络边界安全防护机制。
本发明所要解决的技术问题是通过以下的技术方案来实现的。本发明是一种船舶网络边界安全防护机制,该防护机制通过在船舶网络边界设置数据交换网来负责内部安全网络和外部非安全网络交换业务数据,同时抵御外部的攻击、阻止入侵与病毒的通过,并通过业务代理隔离直接访问,通过审计验证业务安全;数据交换网包括接入缓冲区和业务缓冲区,接入缓冲区与业务缓冲区之间还设置有中间防火墙,接入缓冲区用于负责业务的申请代理,完成对非安全网络中的用户接入;中间防火墙用于对网络入侵行为和网络的异常流量进行监控;业务缓冲区用于负责对业务申请的审核,并完成数据交换。
本发明所要解决的技术问题还可以通过以下的技术方案来进一步实现,对于以上所述的船舶网络边界安全防护机制,在接入缓冲区设置多重安全网关,包括接入防火墙、入侵防御、防病毒、防攻击、流量管理、内容过滤,用于对船舶“在线”的未经授权访问的系统入侵、通过网络攻击方法的系统入侵或中断。
本发明所要解决的技术问题还可以通过以下的技术方案来进一步实现,对于以上所述的船舶网络边界安全防护机制,在接入缓冲区还采用硬件过滤技术,用于对常见的、特征型的病毒与入侵进行过滤,限制和控制网络端口、协议及其服务。
本发明所要解决的技术问题还可以通过以下的技术方案来进一步实现,对于以上所述的船舶网络边界安全防护机制,所述接入缓冲区还用于收集用户的业务代理,即TP把UDI转换为CDI1,接管用户业务的控制权。
本发明所要解决的技术问题还可以通过以下的技术方案来进一步实现,对于以上所述的船舶网络边界安全防护机制,所述防火墙还用于对高级黑客的攻击行为与未知攻击的监控。
本发明所要解决的技术问题还可以通过以下的技术方案来进一步实现,对于以上所述的船舶网络边界安全防护机制,在数据交换网与内部安全网络连接处设置多重安全网关,采用防火墙、认证与线路负载平衡配合的防护策略,用于保证数据交换网安全,同时不影响船舶上的用户接入速度。
本发明所要解决的技术问题还可以通过以下的技术方案来进一步实现,对于以上所述的船舶网络边界安全防护机制,在业务缓冲区内部采用“花瓶模型”的安全保障建设思路,“花瓶模型”中的防护、监控、审计分别是入侵检测、行为审计系统、安全管理平台的安全技术有机结合,为事前防护、事中监控、事后审计的立体安全保障体系。
本发明所要解决的技术问题还可以通过以下的技术方案来进一步实现,对于以上所述的船舶网络边界安全防护机制,在业务缓冲区完成业务的代理,对业务的审计,完成TP的生成CDI2、CDI3的功能与IVP的功能。
本发明所要解决的技术问题还可以通过以下的技术方案来进一步实现,对于以上所述的船舶网络边界安全防护机制,外部非安全网络的用户接入通过接入缓冲区接入内部安全网络,外部非安全网络的专用通信业务直接通过业务缓冲区接入内部安全网络。
本发明所要解决的技术问题还可以通过以下的技术方案来进一步实现,对于以上所述的船舶网络边界安全防护机制,外部非安全网络的专用通信业务包括地面通信系统、海事卫星通信系统、定位寻位系统、海上安全信息播发系统的业务。
与现有技术相比,本发明的优点及技术效果:
1、船舶与外界通信过程中,综合了使用多重安全网关与防火墙,采用多层次的安全“关卡”;
2、数据交换过程中有了缓冲空间,可以增加安全监控与审计,有效的针对黑客入侵,边界始终处于可控制的范围内,任何异常情况都在安全监控范围中;
3、业务代理保证数据的完整性和内外数据的一致性,业务代理让外来访问止步于网络的交换区,所有的需求由服务人员提供,就像是来访的人只能在固定的接待区洽谈业务,不能进入到内部的办公区。
附图说明
图1为本发明的一种模型示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1,一种船舶网络边界安全防护机制,基于缓冲区隔离的思想,采用“土地换安全”的策略,在船舶网络边界处修建了一个“数据交易市场”,即在两个网络间形成两个隔离缓冲区,让“贸易往来”处于可控的范围之内;在防止内部网络数据泄密的同时,保证数据的完整性,即没有授权的人不能修改数据,防止授权用户错误的修改,以及内外数据的一致性。
具体为在内部安全网络和外部非安全网络间建立一个可监控的、安全的、专用的网络,来负责交换业务数据、抵御外部的攻击、阻止入侵与病毒的通过,通过业务代理隔离直接访问,通过审计验证业务安全,这个网络称为数据交换网,数据交换网分成两个区域:
(1)接入缓冲区:负责业务的申请代理,完成对非安全网络中的用户接入;
非安全网络的接入是安全第一道关,采用多重安全网关(防火墙+入侵防御+防病毒+防攻击+流量管理+内容过滤),实行多重关卡防护,主要是针对船舶“在线”的未经授权访问的系统入侵、通过网络攻击方法的系统入侵或中断等;另外一个考虑是不影响船舶上的用户接入速度,多重安全网关一般采用硬件过滤技术,重点是常见的、特征型的病毒与入侵的过滤,应限制和控制网络端口、协议及其服务,相当于安全网络的“大门”。
在接入缓冲区内采用防火墙对网络入侵行为监控、对网络的异常流量监控,该处主要是针对高级黑客的攻击行为与未知攻击的监控。
在接入缓冲区主要是收集用户的业务代理,即TP把UDI转换为CDI1,接管用户业务的控制权。
(2)业务缓冲区:负责对业务申请的审核,并完成数据交换;
为了不影响船舶上的用户接入速度,数据交换网安全与内网连接的最后一道门也是多重安全网关,但是与接入缓冲区采取不同的防护策略,即防火墙+认证+线路负载平衡。
在业务缓冲区内部采用“花瓶模型”的安全保障建设思路,“花瓶模型”中的防护、监控、审计分别是入侵检测、行为审计系统、安全管理平台的安全技术有机结合,形成事前防护、事中监控、事后审计的立体安全保障体系。在业务缓冲区完成业务的代理,对业务的审计,完成TP的生成CDI2、CDI3的功能与IVP的功能。
另外,非安全网络的用户接入是通过介入缓冲区进来的,但对地面通信系统、海事卫星通信系统、定位寻位系统、海上安全信息播发系统等专用通信业务的接入,由于该业务是固定接入的,且是安全可控的,所以可以直接接入到业务缓冲区的接入防火墙上,以此提高业务访问的效率。
本申请的发明原理:
本申请是把“花瓶模型”的安全保障机制与Clark-Wilson模型的数据保障机制有机地结合起来,依据船舶网络安全边界防护特点,深入分析船舶区域边界,采用渡船策略,延长数据通讯“里程”,构建船舶数据交换网络模型,在船舶网络边界处建立网络交换区域,负责数据的交换;主要是通过业务代理与双人审计的思路,船舶业务经过接入缓冲区的申请代理,再到业务缓冲区的业务代理,最后进入船舶网络,同时在交换网络的两端采用多重安全网关,在缓冲区的中间采用防火墙,实时监测和审计船舶通信产生的流量和日志,及时发现并处理异常事件,形成覆盖船舶立体交换网的安全防护体系,从网络安全、业务安全的角度审视与非安全网络的业务互联,保护数据的完整性以及内外部数据的一致性。
Clark-Wilson模型中的有关术语:
事务过程(TP):也称转换过程,作用是把UDI从一种合法状态转换到另一种合法状态。
有约束数据项(CDI):模型要应用到的数据项,即可信数据。
无约束数据项(UDI):用户提交的原始数据,UDI不是可信数据。
完整性验证过程(IVP):这是一个保证所有系统中的CDI都服从完整性规定的过程,它用在与审计相关的过程中,模仿人的审计操作。
Clark-Wilson模型的规则如下:
强迫性规则:E1:用户只能间接通过操作TP才能操作可信数据(CDI);E2:用户只有被明确地授权,才能执行操作;E3:用户的确认必须通过验证;E4:只有安全官员才能改变授权。
确认性规则:C1:可信数据必须经过与真实世界一致性表达的检验;C2:程序以合规式交易的形式执行操作;C3:系统必须支持责任分离;C4:有操作检验输入、或接收或拒绝。
本申请的发明点在于:
1、事前的三重安全网关,形成多层次动态安全防护
多重安全网关在接入缓冲区与业务缓冲区,中间是防火墙,实现船舶网络边界恶意代码防范、入侵防范及访问控制等边界动态的安全防护。
2、事中的两重监控系统,构建立体化安全防护机制
接入缓冲区与业务缓冲区的入侵检测、安全管理平台、网络审计等安全技术有机融合,实现船舶网络的立体化安全监测与报警。
3、事后的审计系统,留下所有网络进入者的“脚印”
全面详实地记录网络内流经监听出口的各种网络行为,以便进行事后的审计和分析;日志以加密的方式存放,只有管理者才能调阅读取;网络行为日志全面地记录了包括使用者、分组、访问时间、源 IP 地址、源端口、源 MAC 地址、目的 IP 地址、目 的端口、访问类型、访问地址/标识等关键数据项。
4、业务代理、业务申请验证保证数据的完整性
业务的代理与验证是业务保障的精要,首先在接入缓冲区,用户申请业务只能通过操作TP才能操作可信数据(CDI),此时用户是经过明确授权并且通过身份验证;然后申请业务进入业务缓冲区,此时对业务(源IP、端口、访问类型等)的真实性、合规性进行审计;通过业务申请的用户接入与业务代理的数据一致性检验,可确保数据的完整性。
本发明的优点及技术效果:
1、船舶与外界通信过程中,综合了使用多重安全网关与防火墙,采用多层次的安全“关卡”;
2、数据交换过程中有了缓冲空间,可以增加安全监控与审计,有效的针对黑客入侵,边界始终处于可控制的范围内,任何异常情况都在安全监控范围中;
3、业务代理保证数据的完整性和内外数据的一致性,业务代理让外来访问止步于网络的交换区,所有的需求由服务人员提供,就像是来访的人只能在固定的接待区洽谈业务,不能进入到内部的办公区。

Claims (10)

1.一种船舶网络边界安全防护机制,其特征在于:该防护机制通过在船舶网络边界设置数据交换网来负责内部安全网络和外部非安全网络交换业务数据,同时抵御外部的攻击、阻止入侵与病毒的通过,并通过业务代理隔离直接访问,通过审计验证业务安全;数据交换网包括接入缓冲区和业务缓冲区,接入缓冲区与业务缓冲区之间还设置有中间防火墙,接入缓冲区用于负责业务的申请代理,完成对非安全网络中的用户接入;中间防火墙用于对网络入侵行为和网络的异常流量进行监控;业务缓冲区用于负责对业务申请的审核,并完成数据交换。
2.根据权利要求1所述的船舶网络边界安全防护机制,其特征在于:在接入缓冲区设置多重安全网关,包括接入防火墙、入侵防御、防病毒、防攻击、流量管理、内容过滤,用于对船舶“在线”的未经授权访问的系统入侵、通过网络攻击方法的系统入侵或中断。
3.根据权利要求1或2所述的船舶网络边界安全防护机制,其特征在于:在接入缓冲区还采用硬件过滤技术,用于对常见的、特征型的病毒与入侵进行过滤,限制和控制网络端口、协议及其服务。
4.根据权利要求1所述的船舶网络边界安全防护机制,其特征在于:所述接入缓冲区还用于收集用户的业务代理,即TP把UDI转换为CDI1,接管用户业务的控制权。
5.根据权利要求1所述的船舶网络边界安全防护机制,其特征在于:所述防火墙还用于对高级黑客的攻击行为与未知攻击的监控。
6.根据权利要求1所述的船舶网络边界安全防护机制,其特征在于:在数据交换网与内部安全网络连接处设置多重安全网关,采用防火墙、认证与线路负载平衡配合的防护策略,用于保证数据交换网安全,同时不影响船舶上的用户接入速度。
7.根据权利要求1或6所述的船舶网络边界安全防护机制,其特征在于:在业务缓冲区内部采用“花瓶模型”的安全保障建设思路,“花瓶模型”中的防护、监控、审计分别是入侵检测、行为审计系统、安全管理平台的安全技术有机结合,为事前防护、事中监控、事后审计的立体安全保障体系。
8.根据权利要求1、6、7任意一项所述的船舶网络边界安全防护机制,其特征在于:在业务缓冲区完成业务的代理,对业务的审计,完成TP的生成CDI2、CDI3的功能与IVP的功能。
9.根据权利要求1所述的船舶网络边界安全防护机制,其特征在于:外部非安全网络的用户接入通过接入缓冲区接入内部安全网络,外部非安全网络的专用通信业务直接通过业务缓冲区接入内部安全网络。
10.根据权利要求9所述的船舶网络边界安全防护机制,其特征在于:外部非安全网络的专用通信业务包括地面通信系统、海事卫星通信系统、定位寻位系统、海上安全信息播发系统的业务。
CN202010728304.5A 2020-07-24 2020-07-24 一种船舶网络边界安全防护机制 Pending CN111917757A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010728304.5A CN111917757A (zh) 2020-07-24 2020-07-24 一种船舶网络边界安全防护机制

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010728304.5A CN111917757A (zh) 2020-07-24 2020-07-24 一种船舶网络边界安全防护机制

Publications (1)

Publication Number Publication Date
CN111917757A true CN111917757A (zh) 2020-11-10

Family

ID=73281720

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010728304.5A Pending CN111917757A (zh) 2020-07-24 2020-07-24 一种船舶网络边界安全防护机制

Country Status (1)

Country Link
CN (1) CN111917757A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113660349A (zh) * 2021-09-17 2021-11-16 上海外高桥造船有限公司 一种船舶网络安全防护系统和方法
CN114629730A (zh) * 2022-05-16 2022-06-14 华能国际电力江苏能源开发有限公司 一种区域公司计算机网络安全互联方法及系统

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
史克功;: "浅析海上安全通信存在的问题及对策" *
崔正;: "浅析船舶通信导航技术的发展与趋势" *
沈辉焱;朱军;郭思远;: "船舶工控系统安全防护体系研究" *
翟胜军: "数据交换网:全方位保障业务安全性" *
翟胜军;: "数据交换网技术" *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113660349A (zh) * 2021-09-17 2021-11-16 上海外高桥造船有限公司 一种船舶网络安全防护系统和方法
CN114629730A (zh) * 2022-05-16 2022-06-14 华能国际电力江苏能源开发有限公司 一种区域公司计算机网络安全互联方法及系统
CN114629730B (zh) * 2022-05-16 2022-08-12 华能国际电力江苏能源开发有限公司 一种区域公司计算机网络安全互联方法及系统

Similar Documents

Publication Publication Date Title
Marinova-Boncheva A short survey of intrusion detection systems
Rani et al. Cyber security techniques, architectures, and design
CN111917757A (zh) 一种船舶网络边界安全防护机制
Duppa et al. Evaluation of network security based on next generation intrusion prevention system
Anderson Research and Development Initiatives Focused on Preventing, Detecting, and Responding to Insider Misuse of Critical Defense Information Systems: Results of a Three-Day Workshop
CISM et al. Wireless operational security
Cisco Introduction
Liu et al. Research on Campus Network Security Problem and Protection Strategy
Muttoo et al. Analysing security checkpoints for an integrated utility-based information system
Ibrahim A review on online-banking security models, successes, and failures
Wang Research on firewall technology and its application in computer network security strategy
Choi IoT (Internet of Things) based Solution Trend Identification and Analysis Research
Kishore et al. Intrusion Detection System a Need
Priyambodo et al. A comprehensive review of e-government security
Deep et al. Analysis and Impact of Cyber Security Threats in India using Mazarbot Case Study
Xia Data security risk and preventive measures of virtual cloud server based on cloud computing
Ou Research and Design of Multi-level Network Security Active Defense System
Pandya Local area network security
Lai et al. Network security improvement with isolation implementation based on ISO-17799 standard
MA et al. Attacks and countermeasures in software system security
CN116155544A (zh) 一种船舶控制系统安全信息交互方法
Krishna et al. Simulation of firewall and comparative study
Mohseni Network Security for Small Businesses
Naedele et al. Industrial information system securityPart
Glīzds et al. Computer Security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination