详细说明: 电力监控系统及调度数据网作为电力系统的重要基础设施,不仅与电力生产、经营和服务相关,而且与电网调度和控制系统的安全运行紧密关联,是电力系统安全的重要组成部分。
按照国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求,国家电力二次系统安全防护专家组针对我国电网调度系统的具体情况,制定了相关的安全防护总体方案,以便规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管,以防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障我国电力系统的安全、稳定、经济运行,保护国家重要基础设施的安全。
物理隔离的必要性
物理隔离指内部网不直接或间接地连接公共网。物理隔离的目的是保护网络设备及计算机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。同时,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
在物理隔离技术出现之前,对网络的信息安全采取了许多措施,如在网络中增加防火墙、防病毒系统,对网络进行入侵检测、漏洞扫描等。由于这些技术的极端复杂性,安全控制十分有限性,这些在线分析技术无法提供涉密机构提出的高度数据安全要求。而且,此类软件的保护是一种逻辑机制,对于逻辑实体而言极易被操纵。因此,必须有一道绝对安全的大门,保证涉密网的信息不被泄露和破坏,这就是物理隔离所起的作用。
安全工作区方案
电力二次系统划分为不同的安全工作区,反映了各区中业务系统的重要性的差别。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。
根据电力二次系统的特点、目前状况和安全要求,整个二次系统分为四个安全工作区:实时控制区、非控制生产区、生产管理区、管理信息区。
安全区Ⅰ是实时控制区,安全保护的重点与核心;
安全区Ⅱ是非控制生产区;
安全区Ⅲ是生产管理区;
安全区IV 是管理信息区。
1、隔离装置接入点
电力专用安全隔离装置作为安全区I/II与安全区III 的必备边界,具有最高的安全防护强度,是安全区I/II横向防护的要点。
其中,安全隔离装置(正向)用于安全区I/II到安全区III 的单向数据传递;安全隔离装置(反向)用于安全区III 到安全区I/II的单向数据传递。
2、正向隔离装置功能
安全隔离装置(正向)具有如下功能:
(1)现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;
(2)表示层与应用层数据完全单向传输,即从安全区III 到安全区I/II的TCP 应答禁止携带应用数据;
(3)透明工作方式:虚拟主机IP 地址、隐藏MAC 地址;
(4)基于MAC 、IP 、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
(5)支持NA T ;
(6)防止穿透性TCP 联接:禁止两个应用网关之间直接建立TCP 联接,将内外两个应用网关之间的TCP 联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP 虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输;
(7)具有可定制的应用层解析功能,支持应用层特殊标记识别;
安全、方便的维护管理方式:基于证书的管理人员认证,使用图形化的管理界面。
3、反向隔离装置功能
专用安全隔离装置(反向)用于从安全区III 到安全区I/II传递数据,是安全区III 到安全区I/II的唯一一个数据传递途径。专用安全隔离装置(反向)集中接收安全区III 发向安全区I/II的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给安全区I/II内部的接收程序具体过程如下:
(1)全区III 内的数据发送端首先对需要发送的数据签名,然后发给专用安全隔离装置(反向);
(2)专用安全隔离装置(反向)接收数据后,进行签名验证,并对数据进行内容过滤、有效性检查等处理。
4、接收程序
将处理过的数据转发给安全区I/II内部的接收程序,其功能如下:
(1)有应用网关功能,实现应用数据的接收与转发;
(2)具有应用数据内容有效性检查功能;
(3)具有基于数字证书的数据签名/解签名功能;
(4)实现两个安全区之间的非网络方式的安全的数据传递;
(5)支持透明工作方式:虚拟主机IP 地址、隐藏MAC 地址;
(6)支持NA T ;
(7)基于MAC 、IP 、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
(8)防止穿透性TCP 联接。
5、装置安全保障要点
专用安全隔离装置本身应该具有较高的安全防护能力,其安全性要求主要包括:
(1)用非INTEL 指令系统的(及兼容)微处理器;(2)安全、固化的操作系统;(3)不存在设计与实现上的安全漏洞,抵御除Dos 以外的已知的网络攻击。
网络隔离装置要点
1、一个网络隔离装置(作为阻塞点、控制点)能极大地提高一个监控系统的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过网络隔离装置,所以网络环境变得更安全。如网络隔离装置可以禁止不安全的NFS 协议进出保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击监控系统。网络隔离装置同时可以保护网络免受基于路由的攻击,如IP 选项中的源路由攻击和ICMP 重定向中的重定向路径。网络隔离装置应该可以拒绝所有以上类型攻击的报文并通知网络隔离装置管理员。
2、通过以网络隔离装置为中心的安全方案配置,能将所有安全策略配置在网络隔离装置上。与将网络安全问题分散到各个主机上相比,网络隔离装置的集中安全管理更方便可靠。例如在网络访问时,监控系统通过加密口令/身份认证方式与其它信息系统通信,在电力监控系统基本上不可行,它意味监控系统要重新测试,因此用网络隔离装置集中控制,无需修改双端应用程序是最佳的选择。
3、如果所有的访问都经过网络隔离装置,那么,网络隔离装置就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,网络隔离装置能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
4、通过网络隔离装置对监控系统及其它信息系统的划分,实现监控系统重点网段的隔离,一个监控系统中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了监控系统的某些安全漏洞。使用网络隔离装置就可以隐蔽那些透漏内部细节,例如网络隔离装置可以进行网络地址转换(NA T ),这样一台主机IP 地址就不会被外界所了解, 不会为外部攻击创造条件。
以上是本人对电力系统专用网络隔离装置的一点粗浅认识,请专家指正。
南瑞SysKeeper-2000网络安全隔离设备完全针对上述需求开发研制,可以很好的解决电力系统网络信息安全存在的问题。 南瑞SysKeeper-2000网络安全隔离设备(正向型)。正向型采用获得国家知识产权专利的安全通道隔离技术(专利号:
ZL2004 2 0025888.6)和高性能RISC 体系结构CPU ,在实现安全隔离的基础上保证极高的数据交换能力。南瑞SysKeeper-2000系列隔离装置为全国唯一一家通过国家密码管理局技术鉴
详细说明: 电力监控系统及调度数据网作为电力系统的重要基础设施,不仅与电力生产、经营和服务相关,而且与电网调度和控制系统的安全运行紧密关联,是电力系统安全的重要组成部分。
按照国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求,国家电力二次系统安全防护专家组针对我国电网调度系统的具体情况,制定了相关的安全防护总体方案,以便规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管,以防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障我国电力系统的安全、稳定、经济运行,保护国家重要基础设施的安全。
物理隔离的必要性
物理隔离指内部网不直接或间接地连接公共网。物理隔离的目的是保护网络设备及计算机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。同时,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
在物理隔离技术出现之前,对网络的信息安全采取了许多措施,如在网络中增加防火墙、防病毒系统,对网络进行入侵检测、漏洞扫描等。由于这些技术的极端复杂性,安全控制十分有限性,这些在线分析技术无法提供涉密机构提出的高度数据安全要求。而且,此类软件的保护是一种逻辑机制,对于逻辑实体而言极易被操纵。因此,必须有一道绝对安全的大门,保证涉密网的信息不被泄露和破坏,这就是物理隔离所起的作用。
安全工作区方案
电力二次系统划分为不同的安全工作区,反映了各区中业务系统的重要性的差别。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。
根据电力二次系统的特点、目前状况和安全要求,整个二次系统分为四个安全工作区:实时控制区、非控制生产区、生产管理区、管理信息区。
安全区Ⅰ是实时控制区,安全保护的重点与核心;
安全区Ⅱ是非控制生产区;
安全区Ⅲ是生产管理区;
安全区IV 是管理信息区。
1、隔离装置接入点
电力专用安全隔离装置作为安全区I/II与安全区III 的必备边界,具有最高的安全防护强度,是安全区I/II横向防护的要点。
其中,安全隔离装置(正向)用于安全区I/II到安全区III 的单向数据传递;安全隔离装置(反向)用于安全区III 到安全区I/II的单向数据传递。
2、正向隔离装置功能
安全隔离装置(正向)具有如下功能:
(1)现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;
(2)表示层与应用层数据完全单向传输,即从安全区III 到安全区I/II的TCP 应答禁止携带应用数据;
(3)透明工作方式:虚拟主机IP 地址、隐藏MAC 地址;
(4)基于MAC 、IP 、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
(5)支持NA T ;
(6)防止穿透性TCP 联接:禁止两个应用网关之间直接建立TCP 联接,将内外两个应用网关之间的TCP 联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP 虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输;
(7)具有可定制的应用层解析功能,支持应用层特殊标记识别;
安全、方便的维护管理方式:基于证书的管理人员认证,使用图形化的管理界面。
3、反向隔离装置功能
专用安全隔离装置(反向)用于从安全区III 到安全区I/II传递数据,是安全区III 到安全区I/II的唯一一个数据传递途径。专用安全隔离装置(反向)集中接收安全区III 发向安全区I/II的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给安全区I/II内部的接收程序具体过程如下:
(1)全区III 内的数据发送端首先对需要发送的数据签名,然后发给专用安全隔离装置(反向);
(2)专用安全隔离装置(反向)接收数据后,进行签名验证,并对数据进行内容过滤、有效性检查等处理。
4、接收程序
将处理过的数据转发给安全区I/II内部的接收程序,其功能如下:
(1)有应用网关功能,实现应用数据的接收与转发;
(2)具有应用数据内容有效性检查功能;
(3)具有基于数字证书的数据签名/解签名功能;
(4)实现两个安全区之间的非网络方式的安全的数据传递;
(5)支持透明工作方式:虚拟主机IP 地址、隐藏MAC 地址;
(6)支持NA T ;
(7)基于MAC 、IP 、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
(8)防止穿透性TCP 联接。
5、装置安全保障要点
专用安全隔离装置本身应该具有较高的安全防护能力,其安全性要求主要包括:
(1)用非INTEL 指令系统的(及兼容)微处理器;(2)安全、固化的操作系统;(3)不存在设计与实现上的安全漏洞,抵御除Dos 以外的已知的网络攻击。
网络隔离装置要点
1、一个网络隔离装置(作为阻塞点、控制点)能极大地提高一个监控系统的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过网络隔离装置,所以网络环境变得更安全。如网络隔离装置可以禁止不安全的NFS 协议进出保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击监控系统。网络隔离装置同时可以保护网络免受基于路由的攻击,如IP 选项中的源路由攻击和ICMP 重定向中的重定向路径。网络隔离装置应该可以拒绝所有以上类型攻击的报文并通知网络隔离装置管理员。
2、通过以网络隔离装置为中心的安全方案配置,能将所有安全策略配置在网络隔离装置上。与将网络安全问题分散到各个主机上相比,网络隔离装置的集中安全管理更方便可靠。例如在网络访问时,监控系统通过加密口令/身份认证方式与其它信息系统通信,在电力监控系统基本上不可行,它意味监控系统要重新测试,因此用网络隔离装置集中控制,无需修改双端应用程序是最佳的选择。
3、如果所有的访问都经过网络隔离装置,那么,网络隔离装置就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,网络隔离装置能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
4、通过网络隔离装置对监控系统及其它信息系统的划分,实现监控系统重点网段的隔离,一个监控系统中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了监控系统的某些安全漏洞。使用网络隔离装置就可以隐蔽那些透漏内部细节,例如网络隔离装置可以进行网络地址转换(NA T ),这样一台主机IP 地址就不会被外界所了解, 不会为外部攻击创造条件。
以上是本人对电力系统专用网络隔离装置的一点粗浅认识,请专家指正。
南瑞SysKeeper-2000网络安全隔离设备完全针对上述需求开发研制,可以很好的解决电力系统网络信息安全存在的问题。 南瑞SysKeeper-2000网络安全隔离设备(正向型)。正向型采用获得国家知识产权专利的安全通道隔离技术(专利号:
ZL2004 2 0025888.6)和高性能RISC 体系结构CPU ,在实现安全隔离的基础上保证极高的数据交换能力。南瑞SysKeeper-2000系列隔离装置为全国唯一一家通过国家密码管理局技术鉴