StoneWall-2000系列产品介绍ww

StoneWall-2000系列网络安全产品技术交流王文博士副总经理Wangwen@epri.ac.cn中国电力科学研究院电网自动化研究所（公司）北京科东电力控制系统有限责任公司中国电力科学研究院简介北京科东电力控制系统有限责任公司（电网所）简介中国电力科学研究院简介•中国电力建立最早、专业最齐全的研究院，迄今已有50年历史；•从这里走出了多位科学院院士、工程院院士及许多电力系统著名专家；•院内设有研究生部、博士点及博士后流动站；•电科院拥有许多品牌产品：如我公司的CC-2000调度自动化系统在中国网、省调度自动化系统占有率居全国第一，并荣获2000年国家科技进步一等奖；•院领导非常重视质量管理，电科院先后通过ISO9001（94版）质量认证及ISO9001（2000版）质量认证的外审。北京科东电力控制系统有限责任公司简介•北京科东电力控制系统有限责任公司隶属于中国电力科学研究院，电科院内部称电网所。•是一家专门从事电力系统自动化方面的技术开发、服务、咨询、培训及工程承包等工作的高新技术软件企业。注册资金1000万元。公司体系结构•科东公司实行董事会领导下的总经理负责制。由总经理、副总经理全面负责公司运营、技术工作，下设电网调度自动化、配电自动化、应用仿真、电力市场、技术开发几大部门。公司的技术开发部是一支稳定的富有经验的开发队伍，为了更好地为用户服务，降低运营成本，设有东北分公司、南方分公司等部门开展各项业务。技术力量雄厚•公司现有中高级以上职称技术人员180多人，其中既有作为博士、硕士研究生导师的著名老专家学者，也有具有博士、硕士学位并具有丰富实践经验的中青年专家。•从成立至今，科东公司已完成大小共几十项电网调度自动化系统工程。•电网所与国家电力公司科技环保部、调度中心一起完成了电力调度专用数据网络及安全防护的规划，并成功地申请了国家863计划。•电网所是国家电力二次系统安全防护专家组成员和工作组成员单位，具体人员包括我们的王文博士、杨秋恒教授、高昆仑博士。公司理念•以领先的技术、高科技产品保证持续发展•以高质量产品、周到的服务满足顾客期望为您提供的服务•产品：–开放式、面向对象的CC-2000调度自动化系统–基于GIS的配电自动化系统–基于电子商务的电力市场支持系统–调度员/变电站仿真培训–变电站综合自动化系统–电能量计费系统–电力调度自动化网络安全产品•研发：基于国际标准研究调度自动化系统、配电自动化系统、变电站自动化系统、电力企业的信息系统集成中间件、电力企业ERP等。StoneWall-2000系列产品•StoneWall-2000网络安全逻辑隔离设备•StoneWall-2000正向型网络安全隔离设备•StoneWall-2000反向型网络安全隔离设备•StoneWall-2000IP加密认证装置StoneWall-2000系列产品主要业绩•1、试点单位：国家电网调度通信中心、天津电网调度中心。•2、网调：国家电网调度通信中心、东北电网调度中心、华北电网调度中心、华东电网调度中心、华中电网调度中心、西北电网调度中心、南方电网调度中心。•3、省调：辽宁、吉林、黑龙江、陕西、安徽、江苏、湖南、山东、四川、重庆、江西、浙江、内蒙、甘肃、贵州等一半以上。•4、地调：北京、上海、天津、湖南长沙、怀化、龙江所有地调。•5、县调：辽宁省庄河县、甘肃省古浪县、临夏县、江苏省六个县调等。•6、电厂：福州华能、安砂水电等。•目前，在全国范围内总计销售近百台，运行状态良好。StoneWall-2000系列产品介绍马骁硕士首席工程师maxiao@hotmail.com中国电力科学研究院电网自动化研究所（公司）北京科东电力控制系统有限责任公司StoneWall-2000系列产品的开发背景•随着网络在调度自动化系统中不断深入的应用，许多地区存在调度自动化等系统与当地的MIS系统或因特网之间直接互联（或无缝连接），对电网安全运行构成严重隐患；•2000-10-13二滩电厂由于控制系统死机造成川渝电网大范围的停电事故，通过调查认为控制系统网络与办公自动化系统网络的直接互联是事故的一个可能因素；•国家电力公司科技环保部2000年设立了科技攻关项目，研究电力二次系统安全防护技术，并成功地申请了国家863项目;•研究实时系统与MIS系统的隔离技术是实施二次系统安全防护的关键技术；•中国电科院于2000年开始研究电力系统专用网络安全隔离设备；•2002年7月通过公安部检验，并获得“网络安全隔离设备”的销售许可；•2002年9月底，国调、科技环保部组织了安全技术评审；•2003年6月11日全国第一个获得国家电力调度通信中心《关于电力专用安全防护设备的检测证明》什么是物理隔离？为什么要隔离？什么是物理隔离？–“物理隔离”是指内部网不直接或间接地连接公共网。–目的是保护路由器、工作站、网络服务器等设备和通信链路免受自然灾害、人为破坏和搭线窃听，保证内部信息网络不受来自互联网的黑客攻击。–物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。为什么需要物理隔离？–在物理隔离技术出现之前，对网络的信息安全采取了许多措施，如在网络中增加防火墙、防病毒系统，对网络进行入侵检测、漏洞扫描等。–由于这些技术极端复杂，安全控制又十分有限性，无法满足涉密机构（如军事、政府、电力等）对信息安全提出的高度要求。–物理隔离使得内、外网界限分明，能很好地满足涉密单位的安全需求。物理隔离技术•物理隔离技术分两类：–客户端物理隔离技术，使一台主机可跨越两个不同安全等级的网络上，同时使用两个网络上的服务；–网络隔离技术，隔离两个不同安全等级的网络，同时，能进行安全的信息交换。客户端物理隔离技术•第一代隔离产品：采用双机双网的技术，在一个桌面上配置两台电脑、分别联接内外两个网络。这种方式导致投资成本的增加、占用较大办公空间等。另外，双机的使用会带来很多不便，网络设置复杂、维护难度也较高。•第二代隔离产品：双硬盘隔离卡，需要在原有机器上增加一块硬盘和一个隔离卡来实现物理隔离，两块硬盘分别对应内外网，用户启动外网时关闭内网硬盘，启动内网时关闭外网硬盘。同样存在着成本浪费的缺点，而且频繁地加电和断电容易对原有硬盘造成损坏。所以说这种技术并不成熟，它只能作为物理隔离技术发展过程中的替代产品存在。•第三代隔离产品：单硬盘隔离卡，是目前国内最先进的客户端物理隔离产品，也是国外普遍采取的隔离技术。其实现原理是将原计算机的单个硬盘从物理层上分割为公共和安全两个分区，安装两套操作系统，实现内外网的安全隔离。网络物理隔离技术•第一代：不同安全等级的网络之间网络物理隔断，互不相连，不进行数据交换，或通过人工进行数据交换。•第二代：不同安全等级的网络之间通过非网络设备连接，采用非通用协议完成数据交换。•第三代：不同安全等级的网络之间通过具有数据安全岛的隔离设备相连，在网络隔断的同时，提供数据交换手段。网络隔离技术—安全岛技术•安全岛技术–安全岛创建一个这样的环境:内、外网物理断开，但逻辑地相连。这意味着网络数据包不能从一个网络流向另外一个网络，并且可信网络上的计算机和不可信网络上的计算机不会有实际的连接。因为有连接的主机，黑客可以使用各种方法，通过网络连接来对它进行控制，从而操纵内网的计算机。然而物理隔离却能杜绝这种情况发生。–数据的安全交换：安全岛作为代理从外网的访问包中抽取出数据，然后通过数据缓冲设施转入内网，完成数据中转。在中转过程中，安全岛会对抽取的数据做应用层的协议检查、内容检测，也会对IP包地址实施过滤控制;在进行检查时网络实际上处于断开状态，只有通过严格检查的数据才有可能进入内网，即使黑客强行攻击了外网，由于攻击发生时内外网始终处于物理断开状态，黑客也无法进入内网。–安全策略位于可信网络端计算机上，安全岛阻止任何来自外部网络的攻击。在不可信网络端计算机（它暴露于Internet）和可信网络端计算机之间的所有数据传输通过一个专门设计的硬件设备来实现，它不会被任何黑客改变和旁路。关于物理隔离认识上的几个误区•认为物理隔离技术是中国特有的，国外没有该方面的技术–其实，美国和以色列等西方国家中早就有此方面技术的应用以及相应的法规。美国早在1999年底就强制规定军方涉密网络必须与因特网断开。之所以在国外报道比较少，是因为它涉及到保密及国家安全问题，背景材料和媒体途径都受到了限制。•物理隔离技术就是一个简单的软件或者硬件，而不是一个整体解决方案–这个问题不仅存在于网络安全领域，也是中国IT界一直存在的问题。信息安全与其他系统工程一样，包括许多方面的问题，包括安全策略、安全制度、安全管理、安全技术等，一台或几台设备就能解决所有安全问题的想法是不切实际的。•很多人顾名思义，觉得物理隔离就是将网络完全隔开–这是与互联网信息互联互通的宗旨是违背的。实施物理隔离的目的是让使用者在确保安全的前提下，充分享受互联网所带来的一切优点。在物理隔离系统中可以包含对外网内容进行采集转发的系统，使安全的信息迅捷地在内外网之间流转，完全实现互联网互联互通。StoneWall-2000网络安全逻辑隔离设备介绍StoneWall-2000网络安全逻辑隔离设备•StoneWall-2000网络安全逻辑隔离设备是具有隔离能力的网络安全隔离设备，可应用于计算机网络与网络之间、主机与网络之间、主机与主机之间实施安全隔离。•StoneWall-2000网络安全逻辑隔离设备采用了安全岛技术，既能隔离网络，又可以实现安全的双向信息交换。•StoneWall-2000网络安全逻辑隔离设备可用于安全区I与安全区II之间的隔离。设计参照标准•中华人民共和国国家标准GB/T18020-1999《信息技术应用级防火墙安全技术要求》•中华人民共和国国家标准GB/T17900-1999《网络代理服务器的安全技术要求》•中华人民共和国国家标准GB/T18019-1999《信息技术包过滤防火墙安全技术要求》•中华人民共和国公共安全行业标准《网络隔离设备的安全技术要求》逻辑隔离设备硬件结构及特点网络安全隔离设备接口机A接口机B实时网络非实时网络以太网以太网隔离设备的硬件结构及网络连接安全岛由两个半岛组成，完成两个接口机之间的数据交换，可通过硬件控制安全半岛的读写，从而通过硬件控制数据的单方向传输。由两个嵌入式计算机及安全岛装置实现网络的物理隔离，并由安全半岛调度引擎实现安全轮渡，完成数据交换。系统内置硬件Watchdog，保证系统软件的可靠运行。安全岛半岛安全岛半岛通断开关安全岛工作原理1)数据到达接口机A,这时接口机A与安全半岛间，安全半岛与接口机B间均处于断开状态。2)接口机A确认数据可以通过后，与安全半岛连通，将数据送上安全半岛。然后断开与安全半岛的连接。3)接口机A通知接口机B，安全半岛上有待收数据。4)接口机B与安全半岛连通，取走数据，然后断开与安全半岛的连接5)接口机B根据收到的数据，组织报文，将数据发出。6)上面介绍了单个方向上的数据传递，这是一个安全半岛的工作原理，整个安全岛由两个安全半岛组成，完成两个方向上的数据传递。接口机A安全半岛接口机B断开接口机A安全半岛接口机B断开接口机A安全半岛接口机B断开断开接口机A安全半岛接口机B断开断开逻辑隔离设备操作系统的安全最大化•StoneWall-2000网络安全逻辑隔离设备采用精心裁剪、具有自主版权的Linux内核，删除了TCP/IP协议栈，取消所有的网络服务，只提供最基本的系统服务，并固化在嵌入式计算机中。多任务管理多线程管理多用户管理提供SOCKET编程接口•具有良好的扩展性。•实现了操作系统的安全最大化。逻辑隔离设备软件结构网络安全隔离设备安全岛实时网络非实时网络隔离设备的软件结构内网侧外网侧MAC地址过滤MAC地址过滤IP地址过滤IP地址过滤端口过滤端口过滤以太网以太网连接方向过滤连接方向过滤数据流方向过滤数据流方向过滤安全策略特殊值过滤特殊值过滤安全策略驻留在网络安全隔离设备的可信一端上（连接内网的一端），从外部网络无法攻击和改变安全策略。多级过滤形成了立体的全面