電力系統(tǒng)專用網(wǎng)絡(luò)隔離裝置的原理及應(yīng)用

1、詳細(xì)說明：電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)作為電力系統(tǒng)的重要基礎(chǔ)設(shè)施，不僅與電力生產(chǎn)、經(jīng)營和服務(wù)相關(guān)，而且與電網(wǎng) 調(diào)度和控制系統(tǒng)的安全運(yùn)行緊密關(guān)聯(lián)，是電力系統(tǒng)安全的重要組成部分。按照國家經(jīng)貿(mào)委第30號令電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定的要求，國家電力二次 系統(tǒng)安全防護(hù)專家組針對我國電網(wǎng)調(diào)度系統(tǒng)的具體情況，制定了相關(guān)的安全防護(hù)總體方案，以便規(guī)范和統(tǒng)一我國電網(wǎng)和 電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)劃、實(shí)施和監(jiān)管，以防范對電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng) 絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，保障我國電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，保護(hù)國家重要基礎(chǔ)設(shè)施的安全。物理隔離的必要

2、性物理隔離指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。物理隔離的目的是保護(hù)網(wǎng)絡(luò)設(shè)備及計(jì)算機(jī)等硬件實(shí)體和通信鏈路免受自 然災(zāi)害、人為破壞和搭線竊聽攻擊。只有使內(nèi)部網(wǎng)和公共網(wǎng)物理隔離，才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑 客攻擊。同時(shí)，物理隔離也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強(qiáng)，便于內(nèi)部管理。在物理隔離技術(shù)出現(xiàn)之前，對網(wǎng)絡(luò)的信息安全采取了許多措施，如在網(wǎng)絡(luò)中增加防火墻、防病毒系統(tǒng)，對網(wǎng)絡(luò)進(jìn)行 入侵檢測、漏洞掃描等。由于這些技術(shù)的極端復(fù)雜性，安全控制十分有限性，這些在線分析技術(shù)無法提供涉密機(jī)構(gòu)提出 的高度數(shù)據(jù)安全要求。而且，此類軟件的保護(hù)是一種邏輯機(jī)制，對于邏輯實(shí)體而言極易被操縱。因此

3、，必須有一道絕對 安全的大門，保證涉密網(wǎng)的信息不被泄露和破壞，這就是物理隔離所起的作用。安全工作區(qū)方案電力二次系統(tǒng)劃分為不同的安全工作區(qū)，反映了各區(qū)中業(yè)務(wù)系統(tǒng)的重要性的差別。不同的安全區(qū)確定了不同的安全防護(hù) 要求，從而決定了不同的安全等級和防護(hù)水平。根據(jù)電力二次系統(tǒng)的特點(diǎn)、目前狀況和安全要求，整個(gè)二次系統(tǒng)分為四個(gè)安全工作區(qū)：實(shí)時(shí)控制區(qū)、非控制生產(chǎn)區(qū)、 生產(chǎn)管理區(qū)、管理信息區(qū)。安全區(qū)I是實(shí)時(shí)控制區(qū)，安全保護(hù)的重點(diǎn)與核心；安全區(qū)II是非控制生產(chǎn)區(qū)；安全區(qū)III是生產(chǎn)管理區(qū)；安全區(qū)IV是管理信息區(qū)。1、隔離裝置接入點(diǎn)電力專用安全隔離裝置作為安全區(qū)I/II與安全區(qū)III的必備邊界，具有最高的安全防護(hù)強(qiáng)

4、度，是安全區(qū)I/II橫向防護(hù) 的要點(diǎn)。其中，安全隔離裝置（正向）用于安全區(qū)I/II到安全區(qū)III的單向數(shù)據(jù)傳遞；安全隔離裝置（反向）用于安全區(qū)III 到安全區(qū)I/II的單向數(shù)據(jù)傳遞。2、正向隔離裝置功能安全隔離裝置（正向）具有如下功能：（1）現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換，并且保證安全隔離裝置內(nèi)外兩個(gè)處理系統(tǒng)不同時(shí)連通；（2）表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸，即從安全區(qū)III到安全區(qū)I/II的TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù)；（3）透明工作方式：虛擬主機(jī)IP地址、隱藏MAC地址；（4）基于MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)文過濾與訪問控制；（5）支持 NAT；（6）防止

5、穿透性TCP聯(lián)接：禁止兩個(gè)應(yīng)用網(wǎng)關(guān)之間直接建立TCP聯(lián)接，將內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)之間的TCP聯(lián)接分 解成內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外兩個(gè)網(wǎng)卡的兩個(gè)TCP虛擬聯(lián)接。隔離裝置內(nèi)外兩個(gè)網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò) 連接，且只允許數(shù)據(jù)單向傳輸；（7）具有可定制的應(yīng)用層解析功能，支持應(yīng)用層特殊標(biāo)記識別；安全、方便的維護(hù)管理方式：基于證書的管理人員認(rèn)證，使用圖形化的管理界面。3、反向隔離裝置功能專用安全隔離裝置（反向）用于從安全區(qū)III到安全區(qū)I/II傳遞數(shù)據(jù)，是安全區(qū)III到安全區(qū)I/II的唯 個(gè)數(shù)據(jù)傳 遞途徑。專用安全隔離裝置（反向）集中接收安全區(qū)III發(fā)向安全區(qū)I/II的數(shù)據(jù)，進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有

6、效性檢查 等處理后，轉(zhuǎn)發(fā)給安全區(qū)I/II內(nèi)部的接收程序具體過程如下：（1）全區(qū)III內(nèi)的數(shù)據(jù)發(fā)送端首先對需要發(fā)送的數(shù)據(jù)簽名，然后發(fā)給專用安全隔離裝置（反向）；（2）專用安全隔離裝置（反向）接收數(shù)據(jù)后，進(jìn)行簽名驗(yàn)證，并對數(shù)據(jù)進(jìn)行內(nèi)容過濾、有效性檢查等處理。4、接收程序?qū)⑻幚磉^的數(shù)據(jù)轉(zhuǎn)發(fā)給安全區(qū)I/II內(nèi)部的接收程序，其功能如下：（1）有應(yīng)用網(wǎng)關(guān)功能，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的接收與轉(zhuǎn)發(fā)；（2）具有應(yīng)用數(shù)據(jù)內(nèi)容有效性檢查功能；（3）具有基于數(shù)字證書的數(shù)據(jù)簽名/解簽名功能；（4）實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)傳遞；（5）支持透明工作方式：虛擬主機(jī)IP地址、隱藏MAC地址；（6）支持 NAT；（7）基

7、于MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)文過濾與訪問控制；（8）防止穿透性TCP聯(lián)接。5、裝置安全保障要點(diǎn)專用安全隔離裝置本身應(yīng)該具有較高的安全防護(hù)能力，其安全性要求主要包括：（1）用非INTEL指令系統(tǒng)的（及兼容）微處理器；（2）安全、固化的操作系統(tǒng)；（3）不存在設(shè)計(jì)與實(shí)現(xiàn)上的安全 漏洞，抵御除Dos以外的已知的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)隔離裝置要點(diǎn)1、一個(gè)網(wǎng)絡(luò)隔離裝置（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)監(jiān)控系統(tǒng)的安全性，并通過過濾不安全的服務(wù)而降低 風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過網(wǎng)絡(luò)隔離裝置，所以網(wǎng)絡(luò)環(huán)境變得更安全。如網(wǎng)絡(luò)隔離裝置可以禁止 不安全的NFS協(xié)議進(jìn)出保護(hù)網(wǎng)絡(luò)，

8、這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊監(jiān)控系統(tǒng)。網(wǎng)絡(luò)隔離裝置同時(shí) 可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。網(wǎng)絡(luò)隔離裝置應(yīng)該可以 拒絕所有以上類型攻擊的報(bào)文并通知網(wǎng)絡(luò)隔離裝置管理員。2、通過以網(wǎng)絡(luò)隔離裝置為中心的安全方案配置，能將所有安全策略配置在網(wǎng)絡(luò)隔離裝置上。與將網(wǎng)絡(luò)安全問題分 散到各個(gè)主機(jī)上相比，網(wǎng)絡(luò)隔離裝置的集中安全管理更方便可靠。例如在網(wǎng)絡(luò)訪問時(shí)，監(jiān)控系統(tǒng)通過加密口令身份認(rèn)證 方式與其它信息系統(tǒng)通信，在電力監(jiān)控系統(tǒng)基本上不可行，它意味監(jiān)控系統(tǒng)要重新測試，因此用網(wǎng)絡(luò)隔離裝置集中控制， 無需修改雙端應(yīng)用程序是最佳的選擇。3、如果所有

9、的訪問都經(jīng)過網(wǎng)絡(luò)隔離裝置，那么，網(wǎng)絡(luò)隔離裝置就能記錄下這些訪問并作出日志記錄，同時(shí)也能提 供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，網(wǎng)絡(luò)隔離裝置能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的 詳細(xì)信息。4、通過網(wǎng)絡(luò)隔離裝置對監(jiān)控系統(tǒng)及其它信息系統(tǒng)的劃分，實(shí)現(xiàn)監(jiān)控系統(tǒng)重點(diǎn)網(wǎng)段的隔離，一個(gè)監(jiān)控系統(tǒng)中不引人 注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了監(jiān)控系統(tǒng)的某些安全漏洞。使用網(wǎng) 絡(luò)隔離裝置就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)，例如網(wǎng)絡(luò)隔離裝置可以進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），這樣一臺主機(jī)IP地址就 不會(huì)被外界所了解，不會(huì)為外部攻擊創(chuàng)造條件。以上是本人對電力系統(tǒng)專用網(wǎng)絡(luò)隔離裝置的一點(diǎn)粗淺認(rèn)識，請專家指正。南瑞SysKeeper-2000網(wǎng)絡(luò)安全隔離設(shè)備完全針對上述需求開發(fā)研制，可以很好的解決電力系統(tǒng)網(wǎng)絡(luò)信息安全存在的問題。南瑞SysKeeper-