南瑞反向型安全隔离产品技术白皮书.docx
- 文档编号:1965527
- 上传时间:2022-10-25
- 格式:DOCX
- 页数:44
- 大小:541.32KB
南瑞反向型安全隔离产品技术白皮书.docx
《南瑞反向型安全隔离产品技术白皮书.docx》由会员分享,可在线阅读,更多相关《南瑞反向型安全隔离产品技术白皮书.docx(44页珍藏版)》请在冰豆网上搜索。
南瑞反向型安全隔离产品技术白皮书
安全隔离装置
技术白皮书
NARI
2007年4月
、丿丁言
电力监控系统及调度数据网作为电力系统的重要基础设施,是电力控制系统安全的重要组成部分。
随着通信技术和网络技术的发展,接入电力调度数据网的电力控制系统越来越多,数据交换也越来越频繁。
这对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的挑战。
由于在规划、设计、建设控制系统和数据网络时,对网络安全问题认识不足,现有的系统中存在着一些安全隐患,对电力调度系统构成了潜在威胁。
为此,电力行业制定了全国电力二次系统安全防护总体框架,该框架依据中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》(以下简称《规定》)的要求,并根据我国电力调度系统的具体情况编制的,目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管,以保障我国电力系统的安全、稳定、经济运行,保护国家重要基础设施的安全。
电力系统二次安全防护总体框架其核心思想是提出了分层分区的总体防护体系,并将开发与部署实时数据传输专用安全隔离设备作为落实30号令的一项关键技术。
其中,
安全隔离装置(正向)用于安全区1川到安全区III的单向数据传递;安全隔离装置(反向)用于安全区III到安全区1/11的单向数据传递。
并分别提出了安全隔离设备应满足的具体要求。
正向安全隔离装置具有下述特点:
硬件装置采用非Intel(及兼容)的双微
处理器;软件系统基于特别配置的Linux内核;实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;取消所有网络功能,并且采取无IP地址的透明监听方式,支持网络地址转换,内设综合报文过滤,防止穿透性TCP连接;应用层解析,支持身份认证,单向数据通信控制,单向连接控制,维护管理界面灵活方便。
反向安全隔离装置除具有下述特点:
应用网关功能,实现应用数据的接收与转发;具有应用数据内容有效性检查功能;具有基于数字证书的数据签名/解签名功能;实现两个安全区之间的非网络方式的安全的数据传递;支持透明工作方式:
虚拟主机IP地址、隐藏MAC地址;支持NAT基于MACIP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;防止穿透性TCP联接。
电力网络专用安全隔离设备是位于调度数据网络与公用信息网络之间的一个安全防
护装置,它可以识别非法请求并阻止超越权限的数据访问和操作,从而有效地抵御病毒、
黑客等通过各种形式发起的对电力网络系统的恶意破坏和攻击活动,保护实时闭环监控系统和调度数据网络的安全;同时它采用非网络传输方式实现这两个网络的信息和资源共享,保障电力系统的安全稳定运行。
因此,该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性,促进各部门的生产和新应用的开发与运用,并为建立全国电网二次系统安全防护体系提供有力保障。
1、体系结构
2.1反向型硬件结构
SysKeeper-2000网络安全隔离系列产品(反向型)的硬件结构如图2所示。
本产品
硬件采用RISC体系结构高性能嵌入式计算机芯片,双机之间通过四片高速FIFO芯片进
行物理连接,内嵌智能IC卡接口(IA3)用于装置的身份认证,底板上各有两个10M/100M以太网接口(IA1/IA2、IB1/IB2)用来连接要隔离的两个网络。
双机接口(IB3)采用网
络方式实现隔离装置的双机热备份,内外网的告警接口(IA4、IB4)采用标准串口进行
告警信息输出,同时能上报到后台监控主机。
内网串口可以用来连接配置终端,方便管理人员对网络安全隔离设备的控制。
外网采用对称加密算法实现数据加、解密处理,保证反向传输数据的安全性。
硬件看门狗时刻监视系统状态,保证隔离装置的稳定、可靠
运行。
外网接
口IB1
口IA2
1外関接
1取机接
口IB3
PCIBUS
内网離入式
计绰机當
宜全in富文件传
甘零接II硯秤看内网串
PCIBUS
外
应用层单l)ir应答
⑪2
口B
ic咔隹口IA3
告警轅硬件看外网串口
图2反向型网络安全隔离装置硬件结构图
2.2反向型软件结构
SysKeeper-2000网络安全隔离装置(反向型)位于实时监控系统网络与生产管理信息网络之间的唯一一条通路上。
软件系统考虑到二者在安全等级上的非对称性,与之相连的两个子系统被设计为非对称结构,如图3所示。
它们协同完成对报文的综合过滤、应
用数据的检查、设备认证、数字签名、E语言检查、纯文本的编码转换和识别等安全功能。
所有报文处理模块在嵌入式操作系统内核态运行,设计专用密钥存储区,保证物理隔离环境下数据的安全交换。
解析嶷据内容
从组报文
应用层解析数据内容编码检直E塞言检査签名验证
安全策略过蘑
数据链路处理
【虚拟地址》
UDP发送据业紛姬内容
网卡駆动F冊駆动
数据链路处理
(虚拟迪址)
Fife驱动
I川区业务主机
HH/IVE业务主机
图3反向型网络安全隔离装置软件结构图
二、产品特点
为满足电力系统二次安全防护的需要,南瑞集团公司依托在网络安全产品中的广泛
技术积累和应用实践经验,以性能好、功能全、使用简便、运行稳定为网络安全隔离产品的设计原则,自主研制并推出SysKeeper-2000网络安全隔离系列产品。
通过长时间的测试,网络安全隔离设备具有很高的可靠性、稳定性和可以满足用户需要的执行效率。
外网灯
电源灯
加密E状态灯智能卡读写器
状态灯
SysKeeper-2000网络安全隔海装直
吿警灯
内网灯
帮能卡读写灯
数拡加密灯
内网配骨■口内网网口内网网I1A
电源捕座E电源开关B电源捕座A电源开关A外网配置H外网网口M外聘网口A告警接n双机接n
图4A南瑞网络安全隔离装置(反向型)前面板图
•
-
v*wir
JU
口U_J
爭。
■Q
JUtMlfMato—*
1
—fiNfew
图4B南瑞网络安全隔离装置(反向型)后面板图
3.1硬件特色
高安全隔离能力的硬件结构
SysKeeper-2000网络安全隔离系列产品由两个高性能嵌入式微机及辅助装置形
成安全隔离系统,嵌入式微处理器采用RISC体系结构,减少受攻击的概率;实现两
个安全区之间的非网络方式的数据交换,并且采用安全算法保证安全隔离装置内外两
个处理系统不同时连通,在保证安全隔离的前提下,实现数据的高速交换。
高可靠性硬件设计
SysKeeper-2000网络安全隔离系列产品硬件供电采用的是国外进口开关电源,符合EN55022classB,IEC801-2,3,4,5,EN60555-2,3EMC标准,平均无故障时间达
64223小时。
在PCB板的设计中,加有线性稳压及滤波装置,并严格按照EDA寸高频
电路设计的要求,设计了单独的电源层与地层,进一步保证了整个板上电源的稳定性。
硬件优化设计
充分考虑电厂和变电站的特殊运行环境,SysKeeper-2000网络安全隔离系列产品装置设计遵循分布均匀、布局合理的原则,风扇处增加了防尘罩,而且紧靠散热源,起过滤作用,避免灰尘和湿气;机箱散热风扇也采用滚轴风扇,保证了风扇的长期可靠运行;通过增加专用转接板,起到了更好的加固和抗震作用;即使在长途的运输过程中,也能充分地保障设备内部的完整性和可用性能
严格的生产流程控制
南瑞网络安全隔离系列产品严格遵循ISO90002000版质量认证体系,对每一台隔离产品的关键芯片和元器件进行产品老化试验,所有的隔离产品在出厂前必须经过
240小时以上的连续通电测试,确保每一台网络安全隔离产品运行的稳定性和硬件的高可靠性。
支持双电源
实践经验及理论都证明,一个产品最易出故障的部位在电源部分。
在南瑞安全隔离系列产品中,设计有双电源。
在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。
南瑞安全隔离系列产品为国内第一家采用双电源设计的物理隔离产品。
支持双机热备
在实际应用中,可以设置有双机备份,一台工作在主机位置,一台工作于备用位置,两台机器时刻进行通信并进行信息备份,一旦当主用设备出现故障(包括掉电、
连接的网络线路至少有一根出现故障)时,或者处于看门狗复位阶段,备机可以以承担起主机的工作,以避免重要数据的丢失。
支持系统告警
南瑞网络安全隔离系列产品支持完备的安全事件告警机制,当发生非法入侵、装
置异常、通信中断或丢失应用数据时,可通过隔离装置专用的告警接口输出报警信息。
3.2反向型产品特点
安全裁剪内核,系统的安全性和抗攻击能力强
为了保证系统安全的最大化,SysKeeper-2000网络安全隔离产品(反向型)已经将嵌入式内核进行了裁剪和优化。
目前,内核中只包括用户管理、进程管理,裁剪掉TCP/IP协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力,免于黑客对操作系统的攻击,并有效抵御Dos/DDos攻击。
基于数字证书的签名验证和内容检查机制
采用基于数字证书的数字签名技术,在数据的发送端对需要发送的数据进行签
名,然后发给专用反向隔离装置;隔离装置收到数据后进行签名验证,并根据用户对数据的定义检查数据文件的格式和内容,支持通用的数据类型和记录分割符,反向隔离装置将处理过的数据发送给内网的数据接收程序。
基于电力描述语言的内容强过滤
通过反向隔离装置传输的软件都是从低安全区向高安全区进行传输,为了严格保
障内网安全,禁止非法文件、病毒文件传输到内网,要对传输的文件内容进行过滤。
为此国家调度中心制定了《电力系统数据描述语言》,提出了电力行业专用的数据描述语言E语言。
按照国调要求,反向隔离装置支持对E语言文件的格式检查,来对传输的文件进行内容强过滤
基于纯文本的编码转换和识别
来判断文件的合法性,也可以将纯文本文件中单字符的ASCII码(非控制字符)转换为对应的双字节码,并能正常显示。
南瑞SysKeeper—2000反向隔离装置提供了专用发送软件在发送文本文件数据时,自动将半角字符转换为全角字符。
SysKeeper-2000反向隔离装置对收到的数据进行纯文本的识别,如果数据包中数据为合法的纯文本,反向隔离装置都会按照编码范围正确的识别,保证进入内网的数据为纯文本数据。
完善的密钥管理机制
SysKeeper-2000反向型网络安全隔离设备提供基于RSA公私密钥对的数字签名和采用专用加密算法进行数字加密的功能。
进行RSA运算时,为了保证密钥的安全
性,提供已密钥的ID号使用密钥的功能,密钥仅存在与反向型网络安全隔离设备的安全存储区中,与应用系统隔离,不能通过任何非法手段进行访问,极大的提高了数据交换的安全性。
割断穿透性的TCP连接
SysKeeper-2000反向型网络安全隔离设备采用截断TCP连接的方法,剥离数据包中的TCP/IP头,将外网的纯数据通过反向安全通道发送到内网,同时只允许应用层不带任何数据的TCP包的控制信息传输到外网,保护内网监控系统的安全性。
基本安全功能丰富,可实现在网络中的快速部署
采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MA(与IP地址绑定,防止IP地址欺骗;支持静态地址映射(NAT)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 反向 安全 隔离 产品 技术 白皮书