1、南瑞网络安全隔离 技术与产品,国网电力科学研究院 刘金锁 liujinsuonari- 手机:13675110225 2008年7月,第一章 物理隔离技术,1.1 研发背景,国网电力二次系统安全防护规定要求:安全分区,网络专用,横向隔离,纵向认证。其中横向隔离是电力二次安全防护体系的横向防线,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。电力专用横向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施,是横向防护的关键设备。,10:49,2000年10月13日二滩电厂由于控制系统死机造成甩出电力89万千瓦
2、,造成川渝电网大范围停电,通过专家调查认为控制系统与办公自动化系统网络的直接互联是事故的一个可能因素。国家电力公司科技环保部2000年设立了科技攻关项目,研究电力二次系统安全防护技术,并申请了国家863项目。南瑞集团公司于2001年开始研究电力专用安全隔离技术。南瑞集团公司多名专家参加国家“863”科技项目国家电网调度中心及网络安全防护策略研究,并在其中发挥重要作用。2003年6月,SysKeeper-2000网络安全隔离产品通过公安部计算机信息系统安全产品质量监督检验中心检测,并获得产品销售许可证,销售许可证号XKC30412。2003年7月,成为全国唯一一家通过国家电网公司电磁兼容试验和常
3、规型式试验检测认证的网络安全隔离产品。,1.1 研发背景,2003年7月,通过解放军信息安全测评认证中心的攻防测试。2003年8月,获得国家电力调度通信中心关于电力专用安全防护设备的检测证明(正向型)2003年11月,获得国家电力调度通信中心关于电力专用安全防护设备的检测证明(反向型)。2004年5月,南瑞单向通道隔离技术获得国家知识产权局专利,专利号:ZL2004 2 0025888.62007年年初,国家调度中心鉴于电力网络的安全状况,提出对正反向隔离装置的改造方案,以加强各个安全区之间的隔离效果,提高安全性。改造方案要求隔离装置在物理上进行严格隔离,在传输内容上进行强制过滤。,10:49
4、,1.1 研发背景,1.2 隔离技术概述,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指既不涉及国家秘密也不涉及工作秘密,是一个向因特网络完全开放的公共信息交换空间。,1.1.1 隔离的概念,1、安全域,电子政务的内网和外网要实行严格的物理隔离。政务的外网和因特网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,因特网就是公共服务域。,1.2 隔离技术概述,网络隔离(Network Isolation),主要是指把两个或两个以上可路由的网络
5、(如TCP/IP)通过不可路由的协议(如IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。,2、网络隔离,第一代隔离技术完全的隔离 第二代隔离技术硬件卡隔离 第三代隔离技术数据转播隔离 第四代隔离技术空气开关隔离 第五代隔离技术安全通道隔离,1.1.1 隔离的概念,1.1.2 网络隔离的技术原理,下图表示没有连接时内外网的应用状况,从连接特征可以看出这样的结构从物理上完全分离。,1.2 隔离技术概述,当外网需要有数据到达内网的时候,以电子邮件为例,外部的服务器立即发起对隔离设备的非TCP
6、/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。,1.2 隔离技术概述,1.1.2 网络隔离的技术原理,1.2 隔离技术概述,一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。,在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接,1.1.2 网络隔离的技术原理,1.2 隔离技术概述,内网有电子邮件要发出,隔离设备收到内网建立连接的请求之后,建立与内网之间的非TCP/IP协议的
7、数据连接。隔离设备剥离所有的TCP/IP协议和应用协议,得到原始的数据,将数据写入隔离设备的存储介质。,1.1.2 网络隔离的技术原理,1.2 隔离技术概述,一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向外网。外网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给系统,1.1.2 网络隔离的技术原理,1.2 隔离技术概述,每一次数据交换,隔离设备经历了数据的接受、存储和转发三个过程。由于这些规则都是在内存和内核中完成的,因此速度上有保证,可以达到100%的总线处理能力。物理隔离的一个特征
8、,就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。物理隔离的好处是明显的,即使外网在处在最坏的情况下,内网也不会有任何破坏,修复外网系统也非常容易。,1.1.2 网络隔离的技术原理,1.2 隔离技术概述,1.1.3 网络隔离技术分类,1基于代码、内容等隔离的反病毒和内容过滤技术,2基于网络层隔离的防火墙技术,3基于物理链路层的物理隔离技术,1.2 隔离技术概述,1.1.4 网络隔离技术要点与发展方向,1网络隔离技术需要具有的安全要点,2网络隔离的关键点,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够
9、透明支持,以适应复杂和高带宽需求的网间数据交换。,要具有高度的自身安全性 要确保网络之间是隔离的 要保证网间交换的只是应用数据 要对网间的访问进行严格的控制和检查 要在坚持隔离的前提下保证网络畅通和应用透明,1.2 隔离技术概述,3隔离技术的未来发展方向,通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。,第二章 Sys
10、Keeper-2000网络安全 隔离产品概述,* 实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通; * 透明工作方式:虚拟主机IP地址、隐藏MAC地址; * 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制; * 支持NAT;,安全隔离装置的基本要求(正向型),* 防止穿透性TCP联接:禁止两个应用网关之间直接建立TCP联接,应将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输。 * 具有可定制的应用层解析
11、功能,支持应用层特殊标记识别; * 安全、方便的维护管理方式:基于证书的管理人员认证,图形化的管理界面。,安全隔离装置的基本要求(正向型),隔离设备前面板图(正向型),隔离设备后面板图(正向型),* 具有应用网关功能,实现应用数据的接收与转发; * 具有应用数据内容有效性检查功能; * 具有基于数字证书的数据签名/解签名功能; * 实现两个安全区之间非网络方式的安全数据传递; * 支持透明工作方式:虚拟主机IP地址、隐藏MAC地址 * 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;,安全隔离装置的基本要求(反向型),10:49,隔离设备前面板图(反向型),智能IC卡
12、接口,10:49,隔离设备后面板图(反向型),10:49,SysKeeper-2000安全隔离系列产品特性,具有安全隔离能力的硬件结构嵌入式微处理器采用RISC体系结构高性能嵌入式微处理器 采用安全通道隔离技术实现两个安全区非网络方式的数据交换 采用硬件安全算法保证隔离装置内外两个处理系统不同时连通高可靠性硬件设计产品电源采用进口工业级开关电源,平均无故障时间达64233小时 PCB板设计,严格按照EDA对高频电路设计的要求,设计了单独的电源层与地层,进一步保证整个嵌入式主板的稳定性 支持双电源,实现主、备电源的在线无缝切换,有效地提高电源工作的可靠性和整个系统的平均无故障时间 硬件优化设计
13、产品整体设计遵循分布均匀、布局合理的原则,风扇处增加了防尘罩,而且紧靠散热源,起过滤作用,避免灰尘和湿气 机箱散热风扇采用滚轴风扇,保证风扇的长期可靠运行 通过增加专用转接板,起到了更好的加固和抗震作用,即使在长途的运输过程中,也能充分地保障设备内部的完整性。 严格的生产流程控制遵循ISO9000 2000版质量认证体系 静放电、浪涌冲击抗扰度 对每一个隔离装置的关键芯片和元器件进行产品老化试验 电压突降、短时中断等 所有的安全隔离装置出厂必须经过240小时以上连续通电试验,10:49,安全裁减内核,系统的安全性和抗攻击能力强采用自主知识产权的嵌入式安全操作系统 系统无TCP/IP协议栈,设备
14、没有IP地址,隐藏MAC地址 对内核进行安全加固和最小化服务,整个嵌入式操作系统内核大小为380K基本安全功能丰富,实现在网络中的快速部署综合过滤技术,根据安全策略决定如何处理数据包 支持静态地址映射和虚拟IP技术 基于数字证书的签名与解签名功能 编码转换和纯文本识别技术 支持应用层特殊标记识别 支持报警功能网络数据通信流畅采用motorola高性能CPU和高速传输芯片FIFO,内核使用高效的过滤算法,百兆状态下的网络通吐率可达6080Mbps,密文数据包吞吐量20Mbps,数字签名速率150次/秒。丰富的通信工具软件和API函数接口提供反向配套文件传输软件,方便用户改造 提供数字签名和加密A
15、PI函数,方便系统改造厂家进行系统改造,SysKeeper-2000安全隔离系列产品特性,10:49,丰富的电力二次系统改造经验,南瑞SysKeeper2000网络安全隔离设备与南瑞所有的监控系统(包括网、省调、地调、县调和变电站SCADA系统以及水电、火电监控系统)进行了安全改造工作和现场的实际运行;同时与国内外主流的监控系统厂商进行了广泛、深入的合作(国内:包括东方电子、鲁能积成、上海申贝等;国外:阿尔斯通监控系统、原CAE公司监控系统、PI实时数据库、Valmet SCADA系统等),保证电力二次系统安全防护工程的顺利实施。,10:49,第三章 SysKeeper-2000网络安全 隔离
16、系列产品功能原理,10:49,隔离装置硬件结构图(正向型),10:49,正向隔离装置业务交互,FIFO,数据信息,G1,G2,Computer1 信源C1,Computer2 信源C2,内网,外网,TCP connection,(G2,C2),IP报文,TCP connection,(C1,G1),IP报文,CPU1,CPU2,(G1,G2),CPLD,链路状态信息,10:49,隔离 单元,正向隔离装置软件结构图,G1,G2,I/II区业务主机,业务数据内容,控制信息1bit,III/IV区业务主机,10:49,灵活的访问控制,控制策略,查找对应的 控制策略,根据策略决定如 何处理该数据包,截
17、获数据包 进行分析,基于源地址的访问控制,基于目标地址的访问控制,基于端口的访问控制,基于协议的访问控制,可以灵活地 制定控制策略,10:49,应用数据处理应用层标记识别,分组过滤判断信息,查找对应的 控制策略,根据策略决定如 何处理该数据包,控制策略,应用过滤判断信息,截获数据包,10:49,双机热备工作原理,内网,外网,正常情况下由 主隔离装置工作,主隔离装置出故障 后接管它的工作,检测主隔离装置的状态,发现故障,立即接管工作,10:49,受保护网络,将根据用户策略 采取措施,执行用户 自定义的策略,同一台主机对受保护网络内的主机频繁扫描 同一台主机对受保护网络的主机建立多个连接 其他对网
18、内主机的攻击行为,Internet,HostA,HostB,HostC,HostD,支持报警功能,综合告警平台,10:49,身份验证,管理员,安全本地管理,10:49,升级注意事项,目前单bit正向隔离装置改造完毕,如果在现场实施或者升级以前老的设备的时候,要先和用户沟通,确定隔离装置两侧的应用业务是否已经改造完毕,返回的控制信息为1个字节,即0或255两种状态。,10:49,第四章 反向型隔离装置技术原理介绍,改造要求,2007年年初,国家调度中心鉴于电力网络的安全状况,提出对反向隔离装置的改造方案,以加强各个安全区之间的隔离效果,提高安全性。 在传输内容上要求传输的文件为E语言(电力系统数
19、据标记语言)格式,并且文件带签名。,10:49,什么是E语言,E语言是一种标记语言,具有标记语言的基本特点和优点,其所形成的实例数据是一种标记化的纯文本数据。E语言通过少量的几个标记符号和描述语法,就可以简洁高效地描述电力系统各种简单和复杂数据模型,数据量越大,则效率越高,而且E语言更符合人们使用的自然习惯,计算机处理也更简单。,10:49,10:49,反向单bit隔离装置业务流程,10:49,目前支持的三种业务流程图,10:49,反向隔离装置软件结构图,10:49,第五章 典型使用情况介绍,10:49,安全隔离装置典型接入方式I(双网隔离),10:49,安全隔离装置典型接入方式II(双机隔离
20、),10:49,安全隔离装置典型接入方式III(双进双出),10:49,典型使用情况介绍I (网调),10:49,典型使用情况介绍II (省局),10:49,典型使用情况介绍III (地调),10:49,典型使用情况介绍IV (三峡左岸电厂监控系统),目前三峡监控系统与电厂ePMS的接口采用两种方式,对于实时数据(实时画面),存储在监控系统的信息查询服务器上(INQSV),实时画面采用的是国外一家软件公司的专用软件(Webfactory),实时画面可以通过网页的方式发布。实时画面、报表等的访问可以通过IMS的人机界面(GUI)访问。在防火墙外的ePMS用户通过网页的方式访问实时画面和报表等。
21、没有安装隔离装置之前,web在内网测,内外网通过防火墙做访问控制,外网的用户也可以通过防火墙来访问内网的web,存在很大的安全隐患。使用SysKeeper-2000网络安全隔离装置后,内网的web保留,供监控系统内部的用户访问。在外网重新开发web,供外网的用户访问。内外网的web通过SysKeeper-2000正向网络安全隔离装置文件传输软件进行实时的同步更新。目前已经投入实际使用,极大的提高了三峡监控系统的安全强度。,10:49,第六章 网络安全隔离装置典型接入环境配置,隔离装置主机-主机环境配置,10:49,网络环境描述: 内网主机为客户端,IP地址为192.168.0.1,虚拟IP为1
22、0.144.0.2,MAC地址为00:E0:4C:E3:97:92;外网主机为服务端,IP地址为10.144.0.1, 虚拟IP为192.168.0.2,MAC地址为00:E0:4C:5F:92:93,假设Server程序数据接收端口为1111,隔离装置内外网卡都使用eth0。由于二层交换机不会修改经它转发出去的数据报文的源MAC地址,故配置规则时可以选择绑定内外网主机MAC地址或不绑定。,规则配置,10:49,隔离装置路由环境配置,10:49,由于隔离装置两端三层交换机路由功能的存在会修改经它转发出去的数据报文的源MAC地址,修改为三层交换机本身的MAC地址,同时内网三层交换机需要和外网主机
23、的虚拟IP之间交换ARP报文,外网三层交换机需要和内网主机的虚拟IP之间交换ARP报文。因此在规则设置时,需要设置三条规则:一条规则为内网主机与外网主机实际通信的规则,绑定相应接口的交换机/路由器MAC地址。另外两条规则为与隔离装置内网口连接的交换机与外网主机的虚拟IP之间交换ARP报文的规则;,规则配置,10:49,实际通信规则配置:,ARP报文规则1配置:,规则配置,10:49,ARP报文规则2配置:,10:49,第七章 常见问题分析诊断,常见问题,10:49,用户在配置隔离装置的时候,如果出现串口连接反复失败的情况,可能是由于以下原因造成,请按照以下步骤对串口进行诊断: 1、串口的COM
24、端口选择不正确。查看串口配置线与计算机的哪一个串口连接。一般来说计算机自带的串口A为COM1,串口B为COM2。如果是使用串口卡或USB转串口线额外增加的串口,需要打开“设备管理器”,在端口选项下具体查看串口使用的COM端口,确认COM端口选择正确。 2、隔离装置配置串口故障。将超级终端的速率设置为115200,数据流控制设置为无。重新启动隔离装置,在超级终端窗口观察隔离装置的启动信息。如果能够观察到启动信息并且没有反复重启现象,说明配置计算机串口与隔离装置串口连接正确;如果内外网有一个不能观察到启动信息,说明此配置串口故障;如果内外网都不能观察到启动信息,请确定计算机串口能够正常使用。,常见
25、问题,10:49,3、配置计算机串口兼容性不好。如果能够观察到启动信息并且没有反复重启现象,但是使用配置软件始终无法连接到隔离装置,请在配置计算机的“设备管理器”的端口选项下将相应的COM端口速率设置为115200,数据流控制设置为无后再次重试。 4、隔离装置负荷较重。隔离装置负荷较重时,CPU使用率过高,串口通讯进程可能无法及时得到CPU响应。建议选择隔离装置负荷较轻时重试。 5、隔离装置反复重启。在超级终端窗口观察隔离装置的启动信息,确认隔离装置反复重启。,10:49,第八章 网络安全隔离装置认证资质,10:49,设备认证证书1-专利证书,10:49,设备认证证书1-公安部检验报告,10:49,设备认证证书1-公安部检验报告,10:49,认证证书3-EMC检验报告,10:49,认证证书4-型式试验检验报告,10:49,认证证书5-解放军信息安全评测报告,10:49,认证证书6-国家电力调度通信中心检测证明I,10:49,认证证书7-国家电力调度通信中心检测证明(反向型),10:49,谢 谢 大 家,
