南瑞反向型安全隔离产品技术白皮书（20081218）.doc

...word格式整理版..... ...范文.范例.参考分享...... ...word格式整理版..... ...范文.范例.参考分享...... 安全隔离装置 技术白皮书 2007年4月 一、序言 电力监控系统及调度数据网作为电力系统的重要基础设施，是电力控制系统安全的重要组成部分。随着通信技术和网络技术的发展，接入电力调度数据网的电力控制系统越来越多,数据交换也越来越频繁。这对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的挑战。由于在规划、设计、建设控制系统和数据网络时，对网络安全问题认识不足，现有的系统中存在着一些安全隐患，对电力调度系统构成了潜在威胁。为此，电力行业制定了全国电力二次系统安全防护总体框架，该框架依据中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》（以下简称《规定》）的要求，并根据我国电力调度系统的具体情况编制的，目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。 电力系统二次安全防护总体框架其核心思想是提出了分层分区的总体防护体系，并将开发与部署实时数据传输专用安全隔离设备作为落实30号令的一项关键技术。其中，安全隔离装置（正向）用于安全区I/II到安全区III的单向数据传递；安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递。并分别提出了安全隔离设备应满足的具体要求。正向安全隔离装置具有下述特点：硬件装置采用非Intel（及兼容）的双微处理器；软件系统基于特别配置的Linux内核；实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；取消所有网络功能，并且采取无IP地址的透明监听方式，支持网络地址转换，内设综合报文过滤，防止穿透性TCP连接；应用层解析，支持身份认证，单向数据通信控制，单向连接控制，维护管理界面灵活方便。反向安全隔离装置除具有下述特点：应用网关功能，实现应用数据的接收与转发；具有应用数据内容有效性检查功能；具有基于数字证书的数据签名/解签名功能；实现两个安全区之间的非网络方式的安全的数据传递；支持透明工作方式：虚拟主机IP地址、隐藏MAC地址；支持NAT；基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；防止穿透性TCP联接。 电力网络专用安全隔离设备是位于调度数据网络与公用信息网络之间的一个安全防护装置，它可以识别非法请求并阻止超越权限的数据访问和操作，从而有效地抵御病毒、黑客等通过各种形式发起的对电力网络系统的恶意破坏和攻击活动，保护实时闭环监控系统和调度数据网络的安全；同时它采用非网络传输方式实现这两个网络的信息和资源共享，保障电力系统的安全稳定运行。因此，该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性，促进各部门的生产和新应用的开发与运用，并为建立全国电网二次系统安全防护体系提供有力保障。 二、体系结构 2.1 反向型硬件结构 SysKeeper-2000网络安全隔离系列产品（反向型）的硬件结构如图2所示。本产品硬件采用RISC体系结构高性能嵌入式计算机芯片，双机之间通过四片高速FIFO芯片进行物理连接，内嵌智能IC卡接口（IA3）用于装置的身份认证，底板上各有两个10M/100M以太网接口（IA1/IA2、IB1/IB2）用来连接要隔离的两个网络。双机接口（IB3）采用网络方式实现隔离装置的双机热备份，内外网的告警接口（IA4、IB4）采用标准串口进行告警信息输出，同时能上报到后台监控主机。内网串口可以用来连接配置终端，方便管理人员对网络安全隔离设备的控制。外网采用对称加密算法实现数据加、解密处理，保证反向传输数据的安全性。硬件看门狗时刻监视系统状态，保证隔离装置的稳定、可靠运行。 图2 反向型网络安全隔离装置硬件结构图 2.2 反向型软件结构 SysKeeper-2000网络安全隔离装置(反向型)位于实时监控系统网络与生产管理信息网络之间的唯一一条通路上。软件系统考虑到二者在安全等级上的非对称性，与之相连的两个子系统被设计为非对称结构，如图3所示。它们协同完成对报文的综合过滤、应用数据的检查、设备认证、数字签名、E语言检查、纯文本的编码转换和识别等安全功能。所有报文处理模块在嵌入式操作系统内核态运行，设计专用密钥存储区，保证物理隔离环境下数据的安全交换。 图3 反向型网络安全隔离装置软件结构图 三、产品特点 为满足电力系统二次安全防护的需要，南瑞集团公司依托在网络安全产品中的广泛技术积累和应用实践经验，以性能好﹑功能全﹑使用简便﹑