南瑞反向型安全隔离产品技术白皮书(20081218)

安全隔离装置技术白皮书2007年4月一、序言电力监控系统及调度数据网作为电力系统的重要基础设施，是电力控制系统安全的重要组成部分。随着通信技术和网络技术的发展，接入电力调度数据网的电力控制系统越来越多,数据交换也越来越频繁。这对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的挑战。由于在规划、设计、建设控制系统和数据网络时，对网络安全问题认识不足，现有的系统中存在着一些安全隐患，对电力调度系统构成了潜在威胁。为此，电力行业制定了全国电力二次系统安全防护总体框架，该框架依据中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》（以下简称《规定》）的要求，并根据我国电力调度系统的具体情况编制的，目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。电力系统二次安全防护总体框架其核心思想是提出了分层分区的总体防护体系，并将开发与部署实时数据传输专用安全隔离设备作为落实30号令的一项关键技术。其中，安全隔离装置（正向）用于安全区I/II到安全区III的单向数据传递；安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递。并分别提出了安全隔离设备应满足的具体要求。正向安全隔离装置具有下述特点：硬件装置采用非Intel（及兼容）的双微处理器；软件系统基于特别配置的Linux内核；实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；取消所有网络功能，并且采取无IP地址的透明监听方式，支持网络地址转换，内设综合报文过滤，防止穿透性TCP连接；应用层解析，支持身份认证，单向数据通信控制，单向连接控制，维护管理界面灵活方便。反向安全隔离装置除具有下述特点：应用网关功能，实现应用数据的接收与转发；具有应用数据内容有效性检查功能；具有基于数字证书的数据签名/解签名功能；实现两个安全区之间的非网络方式的安全的数据传递；支持透明工作方式：虚拟主机IP地址、隐藏MAC地址；支持NAT；基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；防止穿透性TCP联接。电力网络专用安全隔离设备是位于调度数据网络与公用信息网络之间的一个安全防护装置，它可以识别非法请求并阻止超越权限的数据访问和操作，从而有效地抵御病毒、黑客等通过各种形式发起的对电力网络系统的恶意破坏和攻击活动，保护实时闭环监控系统和调度数据网络的安全；同时它采用非网络传输方式实现这两个网络的信息和资源共享，保障电力系统的安全稳定运行。因此，该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性，促进各部门的生产和新应用的开发与运用，并为建立全国电网二次系统安全防护体系提供有力保障。二、体系结构2.1反向型硬件结构SysKeeper-2000网络安全隔离系列产品（反向型）的硬件结构如图2所示。本产品硬件采用RISC体系结构高性能嵌入式计算机芯片，双机之间通过四片高速FIFO芯片进行物理连接，内嵌智能IC卡接口（IA3）用于装置的身份认证，底板上各有两个10M/100M以太网接口（IA1/IA2、IB1/IB2）用来连接要隔离的两个网络。双机接口（IB3）采用网络方式实现隔离装置的双机热备份，内外网的告警接口（IA4、IB4）采用标准串口进行告警信息输出，同时能上报到后台监控主机。内网串口可以用来连接配置终端，方便管理人员对网络安全隔离设备的控制。外网采用对称加密算法实现数据加、解密处理，保证反向传输数据的安全性。硬件看门狗时刻监视系统状态，保证隔离装置的稳定、可靠运行。图2反向型网络安全隔离装置硬件结构图2.2反向型软件结构SysKeeper-2000网络安全隔离装置(反向型)位于实时监控系统网络与生产管理信息网络之间的唯一一条通路上。软件系统考虑到二者在安全等级上的非对称性，与之相连的两个子系统被设计为非对称结构，如图3所示。它们协同完成对报文的综合过滤、应用数据的检查、设备认证、数字签名、E语言检查、纯文本的编码转换和识别等安全功能。所有报文处理模块在嵌入式操作系统内核态运行，设计专用密钥存储区，保证物理隔离环境下数据的安全交换。图3反向型网络安全隔离装置软件结构图三、产品特点为满足电力系统二次安全防护的需要，南瑞集团公司依托在网络安全产品中的广泛技术积累和应用实践经验，以性能好﹑功能全﹑使用简便﹑运行稳定为网络安全隔离产品的设计原则，自主研制并推出SysKeeper-2000网络安全隔离系列产品。通过长时间的测试，网络安全隔离设备具有很高的可靠性、稳定性和可以满足用户需要的执行效率。图4A南瑞网络安全隔离装置(反向型)前面板图图4B南瑞网络安全隔离装置（反向型）后面板图3.1硬件特色高安全隔离能力的硬件结构SysKeeper-2000网络安全隔离系列产品由两个高性能嵌入式微机及辅助装置形成安全隔离系统，嵌入式微处理器采用RISC体系结构，减少受攻击的概率；实现两个安全区之间的非网络方式的数据交换，并且采用安全算法保证安全隔离装置内外两个处理系统不同时连通,在保证安全隔离的前提下，实现数据的高速交换。高可靠性硬件设计SysKeeper-2000网络安全隔离系列产品硬件供电采用的是国外进口开关电源，符合EN55022classB,IEC801-2,3,4,5,EN60555-2,3EMC标准，平均无故障时间达64223小时。在PCB板的设计中，加有线性稳压及滤波装置，并严格按照EDA对高频电路设计的要求，设计了单独的电源层与地层，进一步保证了整个板上电源的稳定性。硬件优化设计充分考虑电厂和变电站的特殊运行环境，SysKeeper－2000网络安全隔离系列产品装置设计遵循分布均匀、布局合理的原则，风扇处增加了防尘罩，而且紧靠散热源，起过滤作用，避免灰尘和湿气；机箱散热风扇也采用滚轴风扇，保证了风扇的长期可靠运行；通过增加专用转接板，起到了更好的加固和抗震作用；即使在长途的运输过程中，也能充分地保障设备内部的完整性和可用性能严格的生产流程控制南瑞网络安全隔离系列产品严格遵循ISO90002000版质量认证体系，对每一台隔离产品的关键芯片和元器件进行产品老化试验，所有的隔离产品在出厂前必须经过240小时以上的连续通电测试，确保每一台网络安全隔离产品运行的稳定性和硬件的高可靠性。支持双电源实践经验及理论都证明，一个产品最易出故障的部位在电源部分。在南瑞安全隔离系列产品中，设计有双电源。在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份，实现了主备电源的在线无缝切换，有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。南瑞安全隔离系列产品为国内第一家采用双电源设计的物理隔离产品。支持双机热备在实际应用中，可以设置有双机备份，一台工作在主机位置，一台工作于备用位置，两台机器时刻进行通信并进行信息备份，一旦当主用设备出现故障（包括掉电、连接的网络线路至少有一根出现故障）时，或者处于看门狗复位阶段，备机可以以承担起主机的工作，以避免重要数据的丢失。支持系统告警南瑞网络安全隔离系列产品支持完备的安全事件告警机制，当发生非法入侵、装置异常、通信中断或丢失应用数据时，可通过隔离装置专用的告警接口输出报警信息。3.2反向型产品特点安全裁剪内核，系统的安全性和抗攻击能力强为了保证系统安全的最大化，SysKeeper-2000网络安全隔离产品（反向型）已经将嵌入式内核进行了裁剪和优化。目前，内核中只包括用户管理﹑进程管理，裁剪掉TCP/IP协议栈和其它不需要的系统功能，进一步提高了系统安全性和抗攻击能力，免于黑客对操作系统的攻击，并有效抵御Dos/DDos攻击。基于数字证书的签名验证和内容检查机制采用基于数字证书的数字签名技术，在数据的发送端对需要发送的数据进行签名，然后发给专用反向隔离装置；隔离装置收到数据后进行签名验证，并根据用户对数据的定义检查数据文件的格式和内容，支持通用的数据类型和记录分割符，反向隔离装置将处理过的数据发送给内网的数据接收程序。基于电力描述语言的内容强过滤通过反向隔离装置传输的软件都是从低安全区向高安全区进行传输，为了严格保障内网安全，禁止非法文件、病毒文件传输到内网，要对传输的文件内容进行过滤。为此国家调度中心制定了《电力系统数据描述语言》，提出了电力行业专用的数据描述语言E语言。按照国调要求，反向隔离装置支持对E语言文件的格式检查，来对传输的文件进行内容强过滤基于纯文本的编码转换和识别根据全国电力二次安全防护的要求，可以对传输的E语言文件进行模式检查，来判断文件的合法性，也可以将纯文本文件中单字符的ASCII码（非控制字符）转换为对应的双字节码，并能正常显示。南瑞SysKeeper－2000反向隔离装置提供了专用发送软件在发送文本文件数据时，自动将半角字符转换为全角字符。SysKeeper-2000反向隔离装置对收到的数据进行纯文本的识别，如果数据包中数据为合法的纯文本，反向隔离装置都会按照编码范围正确的识别，保证进入内网的数据为纯文本数据。完善的密钥管理机制SysKeeper-2000反向型网络安全隔离设备提供基于RSA公私密钥对的数字签名和采用专用加密算法进行数字加密的功能。进行RSA运算时，为了保证密钥的安全性，提供已密钥的ID号使用密钥的功能，密钥仅存在与反向型网络安全隔离设备的安全存储区中，与应用系统隔离，不能通过任何非法手段进行访问，极大的提高了数据交换的安全性。割断穿透性的TCP连接SysKeeper-2000反向型网络安全隔离设备采用截断TCP连接的方法，剥离数据包中的TCP/IP头，将外网的纯数据通过反向安全通道发送到内网，同时只允许应用层不带任何数据的TCP包的控制信息传输到外网，保护内网监控系统的安全性。基本安全功能丰富，可实现在网络中的快速部署采用综合过滤技术，在链路层截获数据包，然后根据用户的安全策略决定如何处理该数据包；实现了MAC与IP地址绑定，防止IP地址欺骗；支持静态地址映射(NAT)以及虚拟IP技术；具有可定制的应用层解析功能，支持应用层特殊标记识别，为用户提供一个全透明﹑安全﹑高效的隔离装置。虚拟IP、隐藏MAC地址南瑞网络安全隔离系列产品采用独特的自适应技术，隔离设备没有IP地址，隐藏MAC地址，非法用户无法对隔离设备进行网络攻击，有效的提高了系统的安全性能。采用专用加密算法进行数据加密和数字签名南瑞SysKeeper-2000反向型网络隔离设备采用motorola高性能RISC体系结构CPU，采用对称加密算法、RSA公私密钥算法实现数据加、解密、数字签名、身份认证等功能，保证数据的安全传输。在1024位模长下，RSA数字签名速度为180次/秒，密文数据包通吐量30Mbps（50条安全策略，1024字节报文长度）。提供专用配套反向文件传输软件为了使隔离设备达到预期的安全效果，经过反向型隔离设备进行数据传输的软件必须按照《全国电力二次系统安全防护总体方案》的规定进行开发。针对III区到I/II区通信内容规定，南瑞SysKeeper-2000网络安全隔离设备（反向型）提供专用文件传输软件（实现数字签名、编码转换、E语言检查和数字签名功能），方便用户进行二次系统安全隔离改造。完善的日志审计功能日志在南瑞SysKeeper-2000反向隔离设备每天的运行中起着很重要的作用,由于许多攻击﹑系统漏洞不具备机器可分析的特征，或者新的攻击的特征还不为人所知，因此，日志是发现攻击﹑发现系统漏洞和记录攻击证据的重要手段。隔离设备内、外网各板载安全存储区用于系统日志的记载，循环更新保持最新的系统日志。基于数字证书的图形化用户界面南瑞SysKeeper-2000网络安全隔离设备（反向型）提供了基于数字证书的的图形化用户界面，通过反向隔离设备的专用智能IC卡读写器进行身份认证，保证配置管理的安全