電力網(wǎng)絡(luò)正反向隔離裝置(網(wǎng)閘)

一、安全區(qū)定義

根據(jù)電力二次系統(tǒng)的特點，劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)分為控制區(qū)（安全區(qū)Ⅰ）和非控制區(qū)（安全區(qū)Ⅱ）。信息管理大區(qū)分為生產(chǎn)管理區(qū)（安全區(qū)Ⅲ）和管理信息區(qū)（安全區(qū)Ⅳ）。不同安全區(qū)確定不同安全防護要求，其中安全區(qū)Ⅰ安全等級最高，安全區(qū)Ⅱ次之，其余依次類推。

安全區(qū)Ⅰ典型系統(tǒng):調(diào)度自動化系統(tǒng)、變電站自動化系統(tǒng)、繼電保護、安全自動控制系統(tǒng)等。

安全區(qū)Ⅱ典型系統(tǒng):水庫調(diào)度自動化系統(tǒng)、電能量計量系統(tǒng)、繼保及故障錄波信息管理系統(tǒng)等。

安全區(qū)Ⅲ典型系統(tǒng):調(diào)度生產(chǎn)管理系統(tǒng)（DMIS）、雷電監(jiān)測系統(tǒng)、統(tǒng)計報表系統(tǒng)等。

安全區(qū)Ⅳ典型系統(tǒng):管理信息系統(tǒng)（MIS）、辦公自動化系統(tǒng)（OA）、客戶服務(wù)系統(tǒng)等。

二、物理隔離

物理隔離指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。物理隔離的目的是保護網(wǎng)絡(luò)設(shè)備及計算機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。只有使內(nèi)部網(wǎng)和公共網(wǎng)物理隔離，才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。同時，物理隔離也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強，便于內(nèi)部管理。

在物理隔離技術(shù)出現(xiàn)之前，對網(wǎng)絡(luò)的信息安全采取了許多措施，如在網(wǎng)絡(luò)中增加防火墻、防病毒系統(tǒng)，對網(wǎng)絡(luò)進行入侵檢測、漏洞掃描等。由于這些技術(shù)的極端復(fù)雜性，安全控制十分有限性，這些在線分析技術(shù)無法提供涉密機構(gòu)提出的高度數(shù)據(jù)安全要求。而且，此類軟件的保護是一種邏輯機制，對于邏輯實體而言極易被操縱。因此，必須有一道絕對安全的大門，保證涉密網(wǎng)的信息不被泄露和破壞，這就是物理隔離所起的作用。

三、正反向隔離

電力系統(tǒng)按照安全等級的要求把計算機系統(tǒng)分為了I、II、III等。I和II之間要有防火墻，I/II區(qū)與III區(qū)之間則要在物理上做隔離。即I/II發(fā)到III區(qū)的數(shù)據(jù)要經(jīng)過正向隔離裝置，III區(qū)發(fā)到I/II區(qū)的數(shù)據(jù)要經(jīng)過反向隔離裝置。

正向隔離裝置不接受III區(qū)的數(shù)據(jù)(最多只能過一個字節(jié)的數(shù)據(jù))，反向隔離裝置只能容許III區(qū)的文件穿透到I區(qū)。

A.正向安全隔離裝置

1.兩個安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換，并且保證安全隔離裝置內(nèi)外兩個處理系統(tǒng)不同時連通;

2.表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸，即從安全區(qū)III到安全區(qū)I/II的TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù);

3.透明工作方式:虛擬主機IP地址、隱藏MAC地址

4.基于MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報文過濾與訪問控制;

5.支持NAT;

6.防止穿透性TCP聯(lián)接:禁止兩個應(yīng)用網(wǎng)關(guān)之間直接建立TCP聯(lián)接，將內(nèi)外兩個應(yīng)用網(wǎng)關(guān)之間的TCP聯(lián)接分解成內(nèi)外兩個應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外兩個網(wǎng)卡的兩個TCP虛擬聯(lián)接。隔離裝置內(nèi)外兩個網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接，且只允許數(shù)據(jù)單向傳輸;

7.具有可定制的應(yīng)用層解析功能，支持應(yīng)用層特殊標記識別;

8.安全、方便的維護管理方式:基于證書的管理人員認證，使用圖形化的管理界面。

B.反向隔離裝置

反向隔離裝置用于從安全區(qū)III到安全區(qū)I/II傳遞數(shù)據(jù)，是安全區(qū)III到安全區(qū)I/II的唯一一個數(shù)據(jù)傳遞途徑。反向隔離裝置集中接收安全區(qū)III發(fā)向安全區(qū)I/II的數(shù)據(jù)，進行簽名驗證、內(nèi)容過濾、有效性檢查等處理后，轉(zhuǎn)發(fā)給安全區(qū)I/II內(nèi)部的接收程序具體過程如下：

1.全區(qū)III內(nèi)的數(shù)據(jù)發(fā)送端首先對需要發(fā)送的數(shù)據(jù)簽名，然后發(fā)給反向隔離裝置；

2.反向隔離裝置接收數(shù)據(jù)后，進行簽名驗證，并對數(shù)據(jù)進行內(nèi)容過濾、有效性檢查等處理。

C.安全區(qū)I/II內(nèi)部接收程序

將處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給安全區(qū)I/II內(nèi)部的接收程序，其功能如下:

1.有應(yīng)用網(wǎng)關(guān)功能，實現(xiàn)應(yīng)用數(shù)據(jù)的接收與轉(zhuǎn)發(fā);

2.具有應(yīng)用數(shù)據(jù)內(nèi)容有效性檢查功能;

3.具有基于數(shù)字證書的數(shù)據(jù)簽名/解簽名功能;

4.實現(xiàn)兩個安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)傳遞;

5.支持透明工作方式：虛擬主機IP地址、隱藏MAC地址;

6.支持NAT;

7.基于MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報文過濾與訪問控制;

8.防止穿透性TCP聯(lián)接。

D.裝置安全保障要點

隔離裝置本身應(yīng)該具有較高的安全防護能力，其安全性要求主要包括：

1.用非INTEL指令系統(tǒng)的(及兼容)微處理器；

2.安全、固化的操作系統(tǒng)；

3.不存在設(shè)計與實現(xiàn)上的安全漏洞，抵御除Dos以外的已知的網(wǎng)絡(luò)攻擊。

四.網(wǎng)絡(luò)隔離裝置要點

1.一個網(wǎng)絡(luò)隔離裝置(作為阻塞點、控制點)能極大地提高一個監(jiān)控系統(tǒng)的安全性，并通過過濾不安全的服務(wù)而降低風險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過網(wǎng)絡(luò)隔離裝置，所以網(wǎng)絡(luò)環(huán)境變得更安全。如網(wǎng)絡(luò)隔離裝置可以禁止不安全的NFS協(xié)議進出保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊監(jiān)控系統(tǒng)。網(wǎng)絡(luò)隔離裝置同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。網(wǎng)絡(luò)隔離裝置應(yīng)該可以拒絕所有以上類型攻擊的報文并通知網(wǎng)絡(luò)隔離裝置管理員。

2.通過以網(wǎng)絡(luò)隔離裝置為中心的安全方案配置，能將所有安全策略配置在網(wǎng)絡(luò)隔離裝置上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，網(wǎng)絡(luò)隔離裝置的集中安全管理更方便可靠。例如在網(wǎng)絡(luò)訪問時，監(jiān)控系統(tǒng)通過加密口令/身份認證方式與其它信息系統(tǒng)通信，在電力監(jiān)控系統(tǒng)基本上不可行，它意味監(jiān)控系統(tǒng)要重新測試，因此用網(wǎng)絡(luò)隔離裝置集中控制，無需修改雙端應(yīng)用程序是最佳的選擇。

3.如果所有的訪問都經(jīng)過網(wǎng)絡(luò)隔離裝置，那么，網(wǎng)絡(luò)隔離裝置就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，網(wǎng)絡(luò)隔離裝置能進行適當?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。

4.通過網(wǎng)絡(luò)隔離裝置對監(jiān)控系統(tǒng)及其它信息系統(tǒng)的劃分，實現(xiàn)監(jiān)控系統(tǒng)重點網(wǎng)段的隔離，一個監(jiān)控系統(tǒng)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了監(jiān)控系統(tǒng)的某些安全漏洞。使用網(wǎng)絡(luò)隔離裝置就可以隱蔽那些透漏內(nèi)部細節(jié)，例如網(wǎng)絡(luò)隔離裝置可以進行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，這樣一臺主機IP地址就不會被外界所了解, 不會為外部攻擊創(chuàng)造條件。

審核編輯：湯梓紅