原文传递
基于SD-WAN架构的铁路零信任网络研究
| 论文题名: | 基于SD-WAN架构的铁路零信任网络研究 |
| 关键词: | 铁路零信任网络;SD-WAN架构;攻击防护;等保合规性 |
| 摘要: | 随着信息技术的快速发展,信息系统在铁路的应用越来越广泛,加之目前网络攻击频发,铁路网络安全的研究已经成为了保障铁路安全的重要课题。铁路既有的边界防护模式,将网络隔离成为不可信的外部网络和可信的内部网络两部分。这种模式对于来自外部的攻击能够起到较好防护效果,但随着来自内部网络的攻击越来越多,内部网络已经不再是一个可信的网络环境。铁路需要一种新的网络安全防护模式来应对当下复杂而危险的网络形势。 为解决上述问题,本论文分析了既有铁路信息网络及边界防护模式所存在的局限性,并引入零信任网络概念。通过对零信任网络理念、组件和工作流程的研究,设计了铁路零信任网络架构。同时,结合逐渐被广泛应用在大型企业中的SD-WAN架构,利用SD-WAN转控分离、软件定义等特性,实现零信任网络动态策略、认证与授权、最小权限等重要功能,通过将SD-WAN作为铁路零信任网络的策略执行组件,搭建出基于SD-WAN架构的铁路零信任网络。本文主要研究内容如下: (1)对目前铁路信息网络的关键技术进行研究,分析既有的铁路信息网络和边界防护模式的问题和局限性,从业务和安全两个维度研究构建铁路零信任网络的需求和重要性。 (2)对零信任网络理念和架构的研究。通过对于目前零信任网络研究现状的学习调研,建立零信任网络设计思路,明确零信任网络组成部件及各自功能,分析零信任网络最核心的认证、授权和策略执行的过程。结合铁路信息网络现状,设计搭建铁路零信任网络架构。 (3)对SD-WAN关键技术的研究。通过对于SD-WAN架构的研究,明确各组件的功能及彼此间的逻辑关系,研究SD-WAN实现转控分离以及软件定义所采用的IPSec、TLS/DTLS、NETCONF协议、RESTfulAPI接口等关键技术,采用SD-WAN作为铁路零信任网络的策略执行组件,搭建出基于SD-WAN架构的铁路零信任网络,并给出既有网络向铁路零信任网络迁移的初步方案。 (4)对铁路零信任网络的应用及安全性的研究。通过居家办公、接入云资源的场景,研究铁路零信任网络的应用技术细节,并从攻击者视角和等保合规性两个角度研究铁路零信任网络的安全性。 |
| 作者: | 张钟骏 |
| 专业: | 电子信息 |
| 导师: | 史宏 |
| 授予学位: | 硕士 |
| 授予学位单位: | 中国铁道科学研究院 |
| 学位年度: | 2023 |
检索历史
应用推荐
