22–26 Jun 2026
HEPS高能同步辐射光源
Asia/Shanghai timezone

高能同步辐射光源网络安全技术与应用概述

Not scheduled
20m
中环102报告厅 (HEPS高能同步辐射光源)

中环102报告厅

HEPS高能同步辐射光源

北京市怀柔区
Poster

Speaker

德海 安 (高能所)

Description

高能同步辐射光源(HEPS)作为国家重大科技基础设施,其网络系统具有高吞吐、低延迟、控制与数据混合等典型特征,网络安全防护面临大流量与高性能、开放共享与严格管控之间的突出矛盾。本文系统总结HEPS网络安全技术部署与应用实践。首先,构建了以边界防火墙、入侵检测系统、Web应用防火墙(WAF)、堡垒机、VPN、数据库审计及数据安全一体化平台为核心的纵深防御体系,并形成了层次化拓扑结构:互联网出口部署100G防火墙与10G WAF,核心交换机旁路部署流量分流器与入侵检测探针,控制网与管理网之间通过点对点防火墙策略实施逻辑隔离,全网日志与探针数据统一汇聚至上级高能所安全运营中心(SOC)。其次,重点针对控制网这一关键区域,明确其访问途径仅为堡垒机代理运维、VPN加密远程接入以及严格预定义的点对点防火墙策略,禁止任何直连访问。第三,在网络通讯数据安全方面,实时监测网络流量,将Syslog日志与探针数据加密转发至高能所SOC进行关联分析,系统一旦确认威胁,自动触发防火墙与路由器联动策略,对攻击源IP实施动态实时封堵,同时通过Email向安全员发送分级告警。第四,数据安全采用两重设备数据库审计与数据安全一体化平台,实现数据库操作全记录、敏感数据发现与脱敏、数据流转可视化管理。第五,为解决大流量环境下串联设备的性能瓶颈,创新采用防火墙旁路技术,基于交换机端口镜像与策略路由引流,仅将特定流量引入防火墙检测,确保主干链路无阻塞转发。第六,结合核心交换机与路由器策略路由,实现可选的WAF防护路径——常规流量直通,高风险会话按需导向WAF集群,兼顾性能与安全性。第七,针对高端100Gbps镜像流量与低端分析设备不兼容的问题,设计分流器协议筛选策略,依据五元组或应用协议特征,将100G原始镜像流量精准筛选并降速为10G或1G输出,确保各类安全监测设备可高效部署。上述技术已在HEPS实际环境中落地运行,显著提升了光源网络的整体安全性、可观测性与弹性扩展能力。

Primary authors

Presentation materials

There are no materials yet.