解决方案
当前位置: 首页 > 解决方案 > 通用行业解决方案
物联网应用安全解决方案

一、用户背景

中铁物总下属某公司成立于2009年,是中国铁路物资股份有限公司的全资子公司,总部设在北京。该公司为铁路及流通行业信息化建设提供整体解决方案和服务,业务包括提供IT系统规划、供应链系统、ERP系统、数据仓库、电子商务、企业门户;IT基础设施、信息安全、基础应用服务、运维支持服务;铁路上油点库区油罐监控、智能大流量加油等信息化规划实施。

二、用户需求

用户需求如下:

  1. 确保身份的真实性
  2. 铁路加油终端机和平台服务器之间的认证,使用普通用户名密码的方式易被猜测、窃听、或者暴力破解,因此需要一种高强度的身份认证方式保证登录终端机身份的真实性。

  3. 确保交易操作的防抵赖、防篡改
  4. 确认加油机数据的一些关键性操作,需要进行防抵赖,出问题后可进行追溯。

  5. 确保传输的机密性
  6. 对远程传输的数据进行加密,确保数据传输的机密性。

  7. 确保局域网资源不受病毒、木马、蠕虫的攻击
  8. 通过应用层传输技术,确保局域网的边界,在网络层闭合,只在应用层进行数据传输,确保病毒、木马、蠕虫不经过远程的接入终端攻击内部的局域网,确保局域网计算环境的安全。

三、解决方案

建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题。具体建设方案如下:

  1. 建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题:
    • 1) 证书服务器负责证书的日常管理;
    • 2) 管理终端完成证书的申请和发放工作;
    • 3) 为终端机颁发设备证书。访问时,确保终端机身份的真实性。
  2. 建设签名验签服务器,对系统中的操作实现数字签名,实现抗抵赖的功能、数据完整性保护:
    • 1) 终端机对数据进行签名;
    • 2) 服务器端对终端机的签名数据进行验签;
    • 3) 应用数据和签名数据进行分别的存储。
  3. 建设安全认证传输服务器,解决数据传输加密问题:
    • 1) 安全认证传输服务器部署在防火墙之后,采用单臂接入方式;
    • 2) 部署中心化、简单化,不改变整体网络的结构;
    • 3) 内部的服务器全部在安全认证传输服务器的保护之下,这些应用全部注册到安全认证传输服务器中,由安全认证传输服务器来向用户提供具体的服务与应用;
    • 4) 对应用的访问全部通过安全认证传输服务器来实现,即所有的基于IP层的连接全部由安全认证传输服务器来完成。外部无法直接访问,或无法通过TCP/IP与服务器建立连接。

四、网络拓扑

应用安全设备部署拓扑图

五、用户收益

  1.  通过强身份认证手段的采用,确保所有登录加油终端机设备的身份的真实性。
  2.  对加油系统的操作、交易实现签名,满足不可抵赖性、事后可追溯的应用需求。
  3.  通过建立安全加密传输通道,保证数据传输的安全,保证接入节点才可以安全访问管理平台服务器。隔离病毒与木马,最大程度保护管理平台服务器的安全。