《南瑞网络安全隔离技术与产品教学文案》由会员分享,可在线阅读,更多相关《南瑞网络安全隔离技术与产品教学文案(70页珍藏版)》请在金锄头文库上搜索。
1、南瑞网络安全隔离南瑞网络安全隔离(gl)技术与产品技术与产品国网电力国网电力(dinl)科学研究院科学研究院刘金锁刘金锁 liujinsuonari-手机:手机:136751102252008年年7月月第一页,共70页。第一章第一章 物理隔离物理隔离(gl)技术技术第二页,共70页。1.1 1.1 研发研发(yn (yn f)f)背景背景国网电力二次系统安全防护规定要求:安全分区,网络专用,横向隔离,纵向认证。其中横向隔离是电力二次安全防护体系的横向防线,在生产控制大区与管理信息大区之间必须设置(shzh)经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。电力
2、专用横向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施,是横向防护的关键设备。第三页,共70页。* *20002000年年1010月月1313日二滩电厂由于控制系统死机造成甩出电力日二滩电厂由于控制系统死机造成甩出电力8989万千瓦,造万千瓦,造成川渝电网大范围停电,通过专家调查认为控制系统与办公自动化系统成川渝电网大范围停电,通过专家调查认为控制系统与办公自动化系统网络的直接互联是事故的一个可能因素。网络的直接互联是事故的一个可能因素。国家电力公司科技环保部国家电力公司科技环保部20002000年设立了科技攻关项目,研究电力二次系年设立了科技攻关项目,研究电力二次系统安全防
3、护技术,并申请了国家统安全防护技术,并申请了国家863863项目。项目。南瑞集团公司于南瑞集团公司于20012001年开始研究电力专用安全隔离技术。年开始研究电力专用安全隔离技术。南瑞集团公司多名专家参加国家南瑞集团公司多名专家参加国家“863”“863”科技项目国家电网调度中心科技项目国家电网调度中心及网络安全防护策略研究,并在其中发挥重要作用。及网络安全防护策略研究,并在其中发挥重要作用。20032003年年6 6月,月,SysKeeper-2000SysKeeper-2000网络安全隔离产品通过公安部计算机信息网络安全隔离产品通过公安部计算机信息系统安全产品质量监督检验中心检测,并获得产
4、品销售许可证,销售许系统安全产品质量监督检验中心检测,并获得产品销售许可证,销售许可证号可证号XKC30412XKC30412。20032003年年7 7月,成为全国唯一一家通过国家电网公司电磁兼容试验和常规月,成为全国唯一一家通过国家电网公司电磁兼容试验和常规型式型式(xn sh)(xn sh)试验检测认证的网络安全隔离产品。试验检测认证的网络安全隔离产品。1.1 1.1 研研发(yn (yn f)f)背景背景第四页,共70页。20032003年年7 7月,通过解放军信息安全测评认证中心的攻防测试。月,通过解放军信息安全测评认证中心的攻防测试。20032003年年8 8月,获得国家月,获得国
5、家(guji)(guji)电力调度通信中心关于电力专用安全防护设电力调度通信中心关于电力专用安全防护设备的检测证明备的检测证明( (正向型正向型) )20032003年年1111月,获得国家月,获得国家(guji)(guji)电力调度通信中心关于电力专用安全防护电力调度通信中心关于电力专用安全防护设备的检测证明设备的检测证明( (反向型反向型) )。20042004年年5 5月,南瑞单向通道隔离技术获得国家月,南瑞单向通道隔离技术获得国家(guji)(guji)知识产权局专利,专知识产权局专利,专利号:利号:ZL2004 2 0025888.6ZL2004 2 0025888.62007200
6、7年年初,国家年年初,国家(guji)(guji)调度中心鉴于电力网络的安全状况,提出对正调度中心鉴于电力网络的安全状况,提出对正反向隔离装置的改造方案,以加强各个安全区之间的隔离效果,提高安全性。反向隔离装置的改造方案,以加强各个安全区之间的隔离效果,提高安全性。改造方案要求隔离装置在物理上进行严格隔离,在传输内容上进行强制过滤。改造方案要求隔离装置在物理上进行严格隔离,在传输内容上进行强制过滤。* *1.1 1.1 研发研发(yn (yn f)f)背景背景第五页,共70页。1.2 1.2 隔离隔离(gl)(gl)技技术概述概述 安安全全(nqun)(nqun)域域是是以以信信息息涉涉密密程
7、程度度划划分分的的网网络络空空间间。涉涉密密域域就就是是涉涉及及国国家家秘秘密密的的网网络络空空间间。非非涉涉密密域域就就是是不不涉涉及及国国家家的的秘秘密密,但但是是涉涉及及本本单单位位,本本部部门门或或者者本本系系统统的的工工作作秘秘密密的的网网络络空空间间。公公共共服服务务域域是是指指既既不不涉涉及及国国家家秘秘密密也也不不涉涉及及工工作作秘秘密密,是是一一个个向向因因特特网网络完全开放的公共信息交换空间。络完全开放的公共信息交换空间。 1.1.1 1.1.1 隔离隔离(gl)(gl)的概的概念念 1 1、安全域安全域 电子政务的内网和外网要实行严格的物理隔离。政务的外网和因特网络要实行
8、逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,因特网就是公共服务域。 第六页,共70页。1.2 1.2 隔离隔离(gl)(gl)技技术概概述述 网网络络隔隔离离(Network Network IsolationIsolation),主主要要是是指指把把两两个个或或两两个个以以上上可可路路由由的的网网络络(如如TCP/IPTCP/IP)通通过过不不可可路路由由的的协协议议(如如IPX/SPXIPX/SPX、NetBEUINetBEUI等等)进进行行数数据据交交换换而而达达到到(d (d do)do)隔隔离离目目的的。由由于于其其原原理理主主要要是是采采用用了了不不同
9、同的的协协议议,所所以通常也叫协议隔离(以通常也叫协议隔离(Protocol IsolationProtocol Isolation)。)。 2 2、网络、网络(wnglu)(wnglu)隔离隔离 第一代隔离技术完全的隔离第二代隔离技术硬件卡隔离 第三代隔离技术数据转播隔离 第四代隔离技术空气开关隔离 第五代隔离技术安全通道隔离 1.1.1 1.1.1 隔离的概念隔离的概念 第七页,共70页。1.1.2 1.1.2 网络隔离的技术网络隔离的技术(jsh)(jsh)原理原理 下图表示没有连接时内外网的应用状况,从连接特下图表示没有连接时内外网的应用状况,从连接特征可以看出征可以看出(kn ch)
10、(kn ch)这样的结构从物理上完全分离。这样的结构从物理上完全分离。 1.2 1.2 隔离技隔离技术(jsh)(jsh)概述概述 第八页,共70页。 当外网需要有数据到达当外网需要有数据到达(dod)(dod)内网的时候,以内网的时候,以电子邮件为例,外部的服务器立即发起对隔离设备电子邮件为例,外部的服务器立即发起对隔离设备的非的非TCP/IPTCP/IP协议的数据连接,隔离设备将所有的协协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。议剥离,将原始的数据写入存储介质。1.2 1.2 隔离隔离(gl)(gl)技技术概概述述 1.1.2 1.1.2 网络网络(wnglu)(
11、wnglu)隔离的隔离的技术原理技术原理 第九页,共70页。1.2 1.2 隔离隔离(gl)(gl)技技术概述概述 一旦数据完全写入隔一旦数据完全写入隔离设备的存储介质,隔离离设备的存储介质,隔离设备立即中断设备立即中断(zhngdun)(zhngdun)与外网的连接。转而发起与外网的连接。转而发起对内网的非对内网的非TCP/IPTCP/IP协议的协议的数据连接。隔离设备将存数据连接。隔离设备将存储介质内的数据推向内网。储介质内的数据推向内网。内网收到数据后,立即进内网收到数据后,立即进行行TCP/IPTCP/IP的封装和应用协的封装和应用协议的封装,并交给应用系议的封装,并交给应用系统。统。
12、 在控制台收到完整在控制台收到完整(wnzhng)(wnzhng)的交换信号之后,的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接隔离设备立即切断隔离设备于内网的直接连接 1.1.2 1.1.2 网络隔离的技术原理网络隔离的技术原理 第十页,共70页。1.2 1.2 隔离技隔离技术(jsh)(jsh)概述概述 内网有电子邮件要发出,隔离设备收到内网建立连接(linji)的请求之后,建立与内网之间的非TCP/IP协议的数据连接(linji)。隔离设备剥离所有的TCP/IP协议和应用协议,得到原始的数据,将数据写入隔离设备的存储介质。 1.1.2 1.1.2 网络网络(wnglu)(wng
13、lu)隔离的技隔离的技术原理术原理 第十一页,共70页。1.2 1.2 隔离技隔离技术(jsh)(jsh)概述概述 一旦数据(shj)完全写入隔离设备的存储介质,隔离设备立即中断与内网的连接。转而发起对外网的非TCP/IP协议的数据(shj)连接。隔离设备将存储介质内的数据(shj)推向外网。外网收到数据(shj)后,立即进行TCP/IP的封装和应用协议的封装,并交给系统 1.1.2 1.1.2 网络隔离网络隔离(gl)(gl)的技的技术原理术原理 第十二页,共70页。1.2 1.2 隔离技隔离技术(jsh)(jsh)概述概述 每一次数据交换,隔离设备每一次数据交换,隔离设备(shbi)(sh
14、bi)经历了数据经历了数据的接受、存储和转发三个过程。由于这些规则都是在的接受、存储和转发三个过程。由于这些规则都是在内存和内核中完成的,因此速度上有保证,可以达到内存和内核中完成的,因此速度上有保证,可以达到100%100%的总线处理能力。物理隔离的一个特征,就是内的总线处理能力。物理隔离的一个特征,就是内网与外网永不连接,内网和外网在同一时间最多只有网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备一个同隔离设备(shbi)(shbi)建立非建立非TCP/IPTCP/IP协议的数据连协议的数据连接。其数据传输机制是存储和转发。物理隔离的好处接。其数据传输机制是存储和转发。物理隔离
15、的好处是明显的,即使外网在处在最坏的情况下,内网也不是明显的,即使外网在处在最坏的情况下,内网也不会有任何破坏,修复外网系统也非常容易。会有任何破坏,修复外网系统也非常容易。1.1.2 1.1.2 网络网络(wnglu)(wnglu)隔离的技隔离的技术原理术原理 第十三页,共70页。1.2 1.2 隔离隔离(gl)(gl)技技术概述概述 1.1.3 1.1.3 网络隔离技术网络隔离技术(jsh)(jsh)分类分类 1 1基于代基于代码、内容等隔离、内容等隔离(gl)(gl)的反病毒和内容的反病毒和内容过滤技技术 2 2基于网基于网络层隔离的防火隔离的防火墙技技术 3 3基于物理基于物理链路路层
16、的物理隔离技的物理隔离技术 第十四页,共70页。1.2 1.2 隔离技隔离技术(jsh)(jsh)概述概述 1.1.4 1.1.4 网络隔离技术要点与发展网络隔离技术要点与发展(fzhn)(fzhn)方向方向 1网络(wnglu)隔离技术需要具有的安全要点2网络隔离的关键点 隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。 要具有高度的自身安全性要确保网络之间是隔离的 要保证网间交换的只是应用数据 要对网间的访问进行严格的控制和检查 要在坚持隔离的前提下保证网络畅通和应用透明 第十五页,共70页。1.2 1.2 隔离技隔离技术(js
17、h)(jsh)概述概述 3隔离技术的未来(wili)发展方向 通过专用通信设备、专有安全协议和加密验证机制及应通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断网络间的直接的数据交换,彻底阻断网络间的直接TCP/IPTCP/IP连接,同时对网连接,同时对网间通信的双方、内容间通信的双方、内容(nirng)(nirng)、过程施以严格的身份认证、过程施以严格的身份认证、内容内容(nirng)(nirng)过滤、安全审计等多种安全防护机制,从而过滤、安全审计等多种安全防护机制,
18、从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。网络协议自身漏洞带来的安全风险。第十六页,共70页。第二章第二章 SysKeeper-2000网络安全网络安全隔离隔离(gl)产品概述产品概述第十七页,共70页。* 实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;* 透明工作方式:虚拟主机IP地址、隐藏MAC地址;* 基于MAC、IP、传输协议、传输端口以及(yj)通信方向的综合报文过滤与访问控制;* 支持NAT;安全安全(nqun)隔离装置的基本要求(正向
19、型)隔离装置的基本要求(正向型)第十八页,共70页。* 防止穿透性TCP联接:禁止两个应用网关之间直接建立TCP联接,应将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置(zhungzh)内外两个网卡的两个TCP虚拟联接。隔离装置(zhungzh)内外两个网卡在装置(zhungzh)内部是非网络连接,且只允许数据单向传输。* 具有可定制的应用层解析功能,支持应用层特殊标记识别;* 安全、方便的维护管理方式:基于证书的管理人员认证,图形化的管理界面。安全隔离装置安全隔离装置(zhungzh)的基本要求(正向型)的基本要求(正向型)第十九页,共70页。隔离设备隔离设备(shbi
20、)前面板图前面板图(正向型正向型)电源电源内网灯内网灯外网灯外网灯第二十页,共70页。隔离隔离(gl)设备后面板图设备后面板图(正向型正向型)第二十一页,共70页。* 具有应用(yngyng)网关功能,实现应用(yngyng)数据的接收与转发;* 具有应用(yngyng)数据内容有效性检查功能;* 具有基于数字证书的数据签名/解签名功能;* 实现两个安全区之间非网络方式的安全数据传递;* 支持透明工作方式:虚拟主机IP地址、隐藏MAC地址* 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;安全隔离装置安全隔离装置(zhungzh)的基本要求(反向型)的基本要求(反向型
21、)第二十二页,共70页。* *隔离隔离(gl)设备前面板图设备前面板图(反向型反向型)智能智能(zh (zh nn)ICnn)IC卡接口卡接口第二十三页,共70页。* *隔离隔离(gl)设备后面板图设备后面板图(反向型反向型)第二十四页,共70页。* *SysKeeper-2000安全隔离安全隔离(gl)系列产品特性系列产品特性1.具有安全隔离能力的硬件结构具有安全隔离能力的硬件结构2.嵌入式微处理器采用嵌入式微处理器采用RISC体系结构高性能嵌入式微处理器体系结构高性能嵌入式微处理器3.采用安全通道隔离技术实现两个安全区非网络方式的数据交换采用安全通道隔离技术实现两个安全区非网络方式的数据交
22、换4.采用硬件安全算法保证隔离装置内外两个处理系统不同时连通采用硬件安全算法保证隔离装置内外两个处理系统不同时连通5.高可靠性硬件设计高可靠性硬件设计6.产品电源采用进口工业级开关电源,平均无故障时间产品电源采用进口工业级开关电源,平均无故障时间(shjin)达达64233小时小时7.PCB板设计,严格按照板设计,严格按照EDA对高频电路设计的要求,设计了单独的电源层与地层,进一步保证整个嵌对高频电路设计的要求,设计了单独的电源层与地层,进一步保证整个嵌入式主板的稳定性入式主板的稳定性8.支持双电源,实现主、备电源的在线无缝切换,有效地提高电源工作的可靠性和整个系统的平均无故障支持双电源,实现
23、主、备电源的在线无缝切换,有效地提高电源工作的可靠性和整个系统的平均无故障时间时间(shjin)9.硬件优化设计硬件优化设计10.产品整体设计遵循分布均匀、布局合理的原则,风扇处增加了防尘罩,而且紧靠散热源,起过滤作用,产品整体设计遵循分布均匀、布局合理的原则,风扇处增加了防尘罩,而且紧靠散热源,起过滤作用,避免灰尘和湿气避免灰尘和湿气11.机箱散热风扇采用滚轴风扇,保证风扇的长期可靠运行机箱散热风扇采用滚轴风扇,保证风扇的长期可靠运行12.通过增加专用转接板,起到了更好的加固和抗震作用,即使在长途的运输过程中,也能充分地保障设备通过增加专用转接板,起到了更好的加固和抗震作用,即使在长途的运输
24、过程中,也能充分地保障设备内部的完整性。内部的完整性。13.严格的生产流程控制严格的生产流程控制14.遵循遵循ISO9000 2000版质量认证体系版质量认证体系 静放电、浪涌冲击抗扰度静放电、浪涌冲击抗扰度15.对每一个隔离装置的关键芯片和元器件进行产品老化试验对每一个隔离装置的关键芯片和元器件进行产品老化试验 电压突降、短时中断等电压突降、短时中断等16.所有的安全隔离装置出厂必须经过所有的安全隔离装置出厂必须经过240小时以上连续通电试验小时以上连续通电试验第二十五页,共70页。* *5.安全裁减内核,系统的安全性和抗攻击能力强安全裁减内核,系统的安全性和抗攻击能力强6.采用自主知识产权
25、的嵌入式安全操作系统采用自主知识产权的嵌入式安全操作系统7.系统无系统无TCP/IP协议栈,设备没有协议栈,设备没有IP地址,隐藏地址,隐藏MAC地址地址8.对内核进行安全加固和最小化服务,整个嵌入式操作系统内核大小为对内核进行安全加固和最小化服务,整个嵌入式操作系统内核大小为380K9.基本安全功能丰富,实现在网络中的快速部署基本安全功能丰富,实现在网络中的快速部署10.综合过滤技术,根据安全策略决定如何处理数据包综合过滤技术,根据安全策略决定如何处理数据包11.支持静态地址映射和虚拟支持静态地址映射和虚拟IP技术技术12.基于数字证书的签名与解签名功能基于数字证书的签名与解签名功能13.编
26、码转换和纯文本识别技术编码转换和纯文本识别技术14.支持应用层特殊标记识别支持应用层特殊标记识别15.支持报警功能支持报警功能16.网络数据通信流畅网络数据通信流畅17.采用采用motorola高性能高性能CPU和高速传输芯片和高速传输芯片FIFO,内核使用高效的过滤算法,百兆状,内核使用高效的过滤算法,百兆状态下的网络通吐率可达态下的网络通吐率可达6080Mbps,密文数据包吞吐量,密文数据包吞吐量20Mbps,数字签名速率,数字签名速率150次次/秒。秒。18.丰富的通信工具软件和丰富的通信工具软件和API函数接口函数接口19.提供反向配套文件传输软件,方便提供反向配套文件传输软件,方便(
27、fngbin)用户改造用户改造20.提供数字签名和加密提供数字签名和加密API函数,方便函数,方便(fngbin)系统改造厂家进行系统改造系统改造厂家进行系统改造SysKeeper-2000安全安全(nqun)隔离系列产品特性隔离系列产品特性第二十六页,共70页。* *丰富的电力二次系统丰富的电力二次系统(xtng)改造经验改造经验南瑞南瑞SysKeeper2000网络安全隔离设备与南瑞所有网络安全隔离设备与南瑞所有的监控系统(包括网、省调、地调、县调和变电站的监控系统(包括网、省调、地调、县调和变电站SCADA系统以及系统以及(yj)水电、火电监控系统)进水电、火电监控系统)进行了安全改造工
28、作和现场的实际运行;行了安全改造工作和现场的实际运行;同时与国内外主流的监控系统厂商进行了广泛、深同时与国内外主流的监控系统厂商进行了广泛、深入的合作(国内:包括东方电子、鲁能积成、上海入的合作(国内:包括东方电子、鲁能积成、上海申贝等;国外:阿尔斯通监控系统、原申贝等;国外:阿尔斯通监控系统、原CAE公司监公司监控系统、控系统、PI实时数据库、实时数据库、Valmet SCADA系统等),系统等),保证电力二次系统安全防护工程的顺利实施。保证电力二次系统安全防护工程的顺利实施。第二十七页,共70页。* *第三章第三章 SysKeeper-2000网络安全网络安全隔离系列产品功能隔离系列产品功
29、能(gngnng)原理原理第二十八页,共70页。* *隔离装置隔离装置(zhungzh)硬件结构图硬件结构图(正向型正向型)第二十九页,共70页。* *正向正向(zhn xin)隔离装置业务交互隔离装置业务交互FIFO数据数据(shj)(shj)信息信息G1G1G2G2Computer1Computer1信源信源C1C1Computer2Computer2信源信源C2C2内网内网外网外网TCP connectionTCP connection(G2G2,C2C2)IPIP报文报文TCP connectionTCP connection(C1C1,G1G1)IPIP报文报文CPU1CPU2(G1
30、G1,G2G2)CPLD链路状态链路状态(zhungti)(zhungti)信信息息第三十页,共70页。* *隔离隔离(gl)(gl)单元单元正向隔离正向隔离(gl)(gl)装置软件结构图装置软件结构图G1G1G2G2I/II区业务(yw)主机FifoFifo驱动驱动数据链路处理数据链路处理(虚拟地址)(虚拟地址)网卡驱动网卡驱动安全策略过滤安全策略过滤报文处理报文处理割断割断TCPTCP连接连接应用层应用层解析数据内容解析数据内容从组报文从组报文FifoFifo驱动驱动数据链路处理数据链路处理(虚拟地址)(虚拟地址)网卡驱动网卡驱动安全策略过滤安全策略过滤报文处理报文处理割断割断TCPTCP
31、连接连接应用层应用层解析数据内容解析数据内容从组报文从组报文业务数据内容业务数据内容控制信息控制信息1bit1bitIII/IV区业务主机第三十一页,共70页。* *灵活灵活(ln hu)的访问控制的访问控制控制策略数据包数据包数据包数据包查找(ch zho)对应的控制策略根据策略决定(judng)如何处理该数据包截获数据包进行分析基于源地址的访问控制基于目标地址的访问控制基于端口的访问控制基于协议的访问控制可以灵活地可以灵活地制定控制策略制定控制策略第三十二页,共70页。* *应用应用(yngyng)数据处理应用数据处理应用(yngyng)层标记识别层标记识别IP报头TCP报头数据分组过滤(
32、gul)判断信息查找(ch zho)对应的控制策略根据策略决定如何处理该数据包数据包数据包数据包数据包控制策略应用过滤判断信息截获数据包第三十三页,共70页。*双机热备工作双机热备工作(gngzu)原理原理内网外网正常情况下由主隔离(gl)装置工作主隔离(gl)装置出故障后接管它的工作检测主隔离装置的状态发现故障,立即接管工作第三十四页,共70页。*受保护(boh)网络将根据用户(yngh)策略采取措施执行(zhxng)用户自定义的策略同一台主机对受保护网络内的主机频繁扫描同一台主机对受保护网络的主机建立多个连接其他对网内主机的攻击行为InternetHostAHostAHostBHostBH
33、ostCHostCHostDHostD支持报警功能支持报警功能综合告警平台综合告警平台第三十五页,共70页。*身份验证身份验证管理员管理员安全本地安全本地(bnd)管理管理第三十六页,共70页。* *升级升级(shng j)注意事项注意事项目前单目前单bit正向隔离装置改造完毕,如果在现场正向隔离装置改造完毕,如果在现场实施或者升级以前老的设备的时候,要先和用户实施或者升级以前老的设备的时候,要先和用户(yngh)沟通,确定隔离装置两侧的应用业务是沟通,确定隔离装置两侧的应用业务是否已经改造完毕,返回的控制信息为否已经改造完毕,返回的控制信息为1个字节,即个字节,即0或或255两种状态。两种状
34、态。第三十七页,共70页。* *第四章第四章 反向反向(fn xin)型隔离装置型隔离装置技术原理介绍技术原理介绍第三十八页,共70页。改造改造(gizo)要求要求2007年年初,国家调度中心鉴于电力网络的安全状年年初,国家调度中心鉴于电力网络的安全状况,提出对反向隔离装置的改造方案,以加强各个况,提出对反向隔离装置的改造方案,以加强各个(gg)安全区之间的隔离效果,提高安全性。安全区之间的隔离效果,提高安全性。在传输内容上要求传输的文件为在传输内容上要求传输的文件为E语言(电力系统语言(电力系统数据标记语言)格式,并且文件带签名。数据标记语言)格式,并且文件带签名。* *第三十九页,共70页
35、。什么什么(shn me)是是E语言语言E语言是一种标记语言,具有标记语言的基本特点语言是一种标记语言,具有标记语言的基本特点(tdin)和优点,其所形成的实例数据是一种标记化的纯文和优点,其所形成的实例数据是一种标记化的纯文本数据。本数据。E语言通过少量的几个标记符号和描述语法,就可语言通过少量的几个标记符号和描述语法,就可以简洁高效地描述电力系统各种简单和复杂数据模型,数据以简洁高效地描述电力系统各种简单和复杂数据模型,数据量越大,则效率越高,而且量越大,则效率越高,而且E语言更符合人们使用的自然习语言更符合人们使用的自然习惯,计算机处理也更简单。惯,计算机处理也更简单。* *第四十页,共
36、70页。* *反向反向(fn xin)单单bit隔离装置业务流程隔离装置业务流程第四十一页,共70页。* *目前支持目前支持(zhch)的三种业务流程图的三种业务流程图第四十二页,共70页。* *反向隔离装置反向隔离装置(zhungzh)(zhungzh)软件结构图软件结构图第四十三页,共70页。* *第五章第五章 典型使用典型使用(shyng)情况介绍情况介绍第四十四页,共70页。* *安全安全(nqun)隔离装置典型接入方式隔离装置典型接入方式I(双网隔离)(双网隔离)第四十五页,共70页。* *安全隔离装置典型安全隔离装置典型(dinxng)接入方式接入方式II(双机隔离)(双机隔离)第
37、四十六页,共70页。* *安全隔离装置典型安全隔离装置典型(dinxng)接入方式接入方式III(双进双出)(双进双出)第四十七页,共70页。* *典型典型(dinxng)使用情况介绍使用情况介绍I (网调网调)第四十八页,共70页。* *典型使用典型使用(shyng)情况介绍情况介绍II (省局省局)第四十九页,共70页。* *典型典型(dinxng)使用情况介绍使用情况介绍III (地调地调)第五十页,共70页。* *典型使用情况典型使用情况(qngkung)介绍介绍IV (三峡左岸电厂监控系统三峡左岸电厂监控系统)目前三峡监控系统与电厂ePMS的接口采用两种方式,对于实时数据(实时画面(
38、humin)),存储在监控系统的信息查询服务器上(INQSV),实时画面(humin)采用的是国外一家软件公司的专用软件(Webfactory),实时画面(humin)可以通过网页的方式发布。实时画面(humin)、报表等的访问可以通过IMS的人机界面(GUI)访问。在防火墙外的ePMS用户通过网页的方式访问实时画面(humin)和报表等。 没有安装隔离装置之前,web在内网测,内外网通过防火墙做访问控制,外网的用户也可以通过防火墙来访问内网的web,存在很大的安全隐患。使用SysKeeper-2000网络安全隔离装置后,内网的web保留,供监控系统内部的用户访问。在外网重新开发web,供外网
39、的用户访问。内外网的web通过SysKeeper-2000正向网络安全隔离装置文件传输软件进行实时的同步更新。目前已经投入实际使用,极大的提高了三峡监控系统的安全强度。第五十一页,共70页。* *第六章第六章 网络安全隔离装置典型接入网络安全隔离装置典型接入环境环境(hunjng)配置配置第五十二页,共70页。隔离装置隔离装置(zhungzh)主机主机-主机环境配置主机环境配置* *网络环境描述:内网主机为客户端,IP地址为192.168.0.1,虚拟IP为10.144.0.2,MAC地址为00:E0:4C:E3:97:92;外网主机为服务端,IP地址为10.144.0.1, 虚拟IP为192
40、.168.0.2,MAC地址为00:E0:4C:5F:92:93,假设Server程序数据接收端口为1111,隔离装置内外网卡都使用eth0。由于二层交换机不会修改经它转发出去的数据报文的源MAC地址,故配置规则时可以(ky)选择绑定内外网主机MAC地址或不绑定。第五十三页,共70页。规则规则(guz)配置配置* *第五十四页,共70页。隔离隔离(gl)装置路由环境配置装置路由环境配置* *由于隔离装置两端三层交换机路由功能的存在会修改经它转发出去的数据报文的源MAC地址,修改为三层交换机本身的MAC地址,同时内网三层交换机需要和外网主机的虚拟IP之间交换ARP报文,外网三层交换机需要和内网主
41、机的虚拟IP之间交换ARP报文。因此在规则设置时,需要设置三条规则:一条(y tio)规则为内网主机与外网主机实际通信的规则,绑定相应接口的交换机/路由器MAC地址。另外两条规则为与隔离装置内网口连接的交换机与外网主机的虚拟IP之间交换ARP报文的规则;第五十五页,共70页。规则规则(guz)配置配置* *实际通信通信规则(guz)配置:配置:ARP报文文规则(guz)1配置:配置:第五十六页,共70页。规则规则(guz)配置配置* *ARP报文文规则(guz)2配置:配置:第五十七页,共70页。* *第七章第七章 常见问题分析常见问题分析(fnx)诊断诊断第五十八页,共70页。常见常见问题问
42、题* *用户在配置隔离装置的时候,如果出现串口连接反复失败的情况,可能是由于以下原因造成,请按照以下步骤对串口进行诊断:1、串口的COM端口选择不正确。查看串口配置线与计算机的哪一个串口连接。一般来说计算机自带的串口A为COM1,串口B为COM2。如果是使用串口卡或USB转串口线额外增加的串口,需要(xyo)打开“设备管理器”,在端口选项下具体查看串口使用的COM端口,确认COM端口选择正确。2、隔离装置配置串口故障。将超级终端的速率设置为115200,数据流控制设置为无。重新启动隔离装置,在超级终端窗口观察隔离装置的启动信息。如果能够观察到启动信息并且没有反复重启现象,说明配置计算机串口与隔
43、离装置串口连接正确;如果内外网有一个不能观察到启动信息,说明此配置串口故障;如果内外网都不能观察到启动信息,请确定计算机串口能够正常使用。第五十九页,共70页。常见常见问题问题* *3、配置计算机串口兼容性不好。如果能够观察到启动信息并且没有(mi yu)反复重启现象,但是使用配置软件始终无法连接到隔离装置,请在配置计算机的“设备管理器”的端口选项下将相应的COM端口速率设置为115200,数据流控制设置为无后再次重试。4、隔离装置负荷较重。隔离装置负荷较重时,CPU使用率过高,串口通讯进程可能无法及时得到CPU响应。建议选择隔离装置负荷较轻时重试。5、隔离装置反复重启。在超级终端窗口观察隔离
44、装置的启动信息,确认隔离装置反复重启。第六十页,共70页。* *第八章第八章 网络安全隔离网络安全隔离(gl)装置装置认证资质认证资质第六十一页,共70页。* *设备认证设备认证(rnzhng)证书证书1-专利证书专利证书第六十二页,共70页。* *设备认证证书设备认证证书1-公安部检验公安部检验(jinyn)报告报告第六十三页,共70页。* *设备设备(shbi)认证证书认证证书1-公安部检验报告公安部检验报告第六十四页,共70页。* *认证证书认证证书3-EMC3-EMC检验检验(jinyn)(jinyn)报告报告第六十五页,共70页。* *认证证书认证证书4-4-型式试验检验型式试验检验(jinyn)(jinyn)报告报告第六十六页,共70页。* *认证认证(rnzhng)(rnzhng)证书证书5-5-解放军信息安全评测报告解放军信息安全评测报告第六十七页,共70页。* *认证证书认证证书6-6-国家国家(guji)(guji)电力调度通信中心检测证明电力调度通信中心检测证明I I第六十八页,共70页。* *认证证书认证证书7-7-国家电力调度通信中心国家电力调度通信中心(zhngxn)(zhngxn)检测证明(反向型)检测证明(反向型)第六十九页,共70页。* * 谢谢 谢谢 大大 家家 第七十页,共70页。
