反向隔离装置

网络安全隔离装置（反向型）应用于安全区间的单向数据传输，控制方向与正向隔离装置相反。装置采用电力专用隔离卡，以非网络传输的方式实现两网络之间的资源和信息共享，仅支持传输纯文本文件或E语言格式的文件，并进行数据加密及合法性检查，以保障电力系统的安全稳定运行。经过长期测试，该设备具有很好的稳定性和可靠性，同时可以满足客户需要的执行性能。



2、主要技术参数
（1）百兆型
功耗：30W
数据包吞吐量：≥100Mbps
数字签名速率：≥186次/秒

满负荷丢包率：0
（2）千兆型
功耗：45W
数据包吞吐量：≥400Mbps
数字签名速率：≥235次/秒

满负荷丢包率：0

智能变电站网络遵循“安全分区、网络专用、横向隔离”的安全防护基本原则。其中,安全分区可分为生产控制大区与管理信息大区[3]。生产控制大区的控制区(安全I区)与非控制区(安全II区)之间的通信采用硬件防火墙实现逻辑隔离;而生产控制大区与管理信息大区的通信采用正向隔离装置进行隔离,仅允许数据单向传输。过虚拟IP技术,隔离装置将两端的网络进行隔离。内、外网主机之间的通信被映射为两个部分:内网对内网通信,外网对外网通信。对于两端为同一网段网络,装置真实IP和虚拟IP地址相同。对于图3,其网络地址转换图如图4所示。其中,内网即安全I区,外网即安全III区,数据传输方向限制为安全I区单向传输给安全III区。在数据传输过程中,在网络层运用网络地址转换技术将数据包的IP地址转换为另一个IP地址的过程[5]。数据传输时,隔离装置的内、外网真实IP与虚拟IP各自通信,内网真实IP与虚拟IP通信,外网真实IP与虚拟IP通信,通过网络地址转换技术进行互相转化。由于此模型的内、外网网段相同,因此真实IP与虚拟IP相同。当电能质量装置传输数据给主站服务器时,源IP地址为电能质量装置真实IP:7.143.59.58,目的IP地址为主站服务器虚拟IP:7.143.57.3,经隔离装置网络地址转换,到达隔离装置外网后,源IP地址为电能质量装置的虚拟IP7.143.59.58,目的IP地址为主站服务器的真实IP:7.143.57.3。运用虚拟IP和网络地址转换技术后,装置数据传输得以正向隔离。

在隔离装置的IP配置过程时,需提前准备装置IP,主站服务器IP,装置、主站的虚拟IP。虚拟IP技术就是在隔离装置中针对内、外网的两台主机,虚拟出两个IP地址[4]。内网主机虚拟出一个外网的IP地址,外网的主机虚拟出一个内网的IP地址,这样内网主机就可通过访问外网主机的虚拟IP达到访问外网主机的目的,同时外网主机也可通过访问内网主机的虚拟IP达到访问内网主机的目的。


3、产品特点
为了保证系统安全的最大化，本产品已经将嵌入式内核进行了裁剪和优化。目前，内核中只包括用户管理﹑进程管理，裁剪掉TCP/IP 协议栈和其它不需要的系统功能，进一步提高了系统安全性和抗攻击能力，免于黑客对操作系统的攻击，并有效抵御Dos/DDos 攻击。
采用基于数字证书的数字签名技术，在数据的发送端对需要发送的数据进行签名，然后发给专用反向隔离装置；隔离装置收到数据后进行签名验证，并根据用户对数据的定义检查数据文件的格式和内容，支持通用的数据类型和记录分割符，反向隔离装置将处理过的数据发送给内网的数据接收程序。
通过反向隔离装置传输的软件都是从低安全区向高安全区进行传输，为了严格保障内网安全，禁止非法文件、病毒文件传输到内网，要对传输的文件内容进行过滤。为此国家调度中心制定了《电力系统数据描述语言》，提出了电力行业专用的数据描述语言E语言。按照国调要求，反向隔离装置支持对E语言文件的格式检查，来对传输的文件进行内容强过滤。
本产品在链路层截获数据包，然后根据用户的安全策略决定如何处理该数据包；实现了MAC 与IP 地址绑定，防止IP 地址欺骗；支持应用层特殊标记识别；为了实现处于不同网段的主机之间相互访问，隔离装置采用了虚拟IP 技术，且支持静态地址映射,为用户提供一个全透明﹑安全﹑高效的安全隔离装置。
本产品提供基于RSA公私密钥对的数字签名和采用专用加密算法进行数字加密的功能。进行RSA运算时，为了保证密钥的安全性，提供已密钥的ID号使用密钥的功能，密钥仅存在与反向型网络安全隔离设备的安全存储区中，与应用系统隔离，不能通过任何非法手段进行访问，极大的提高了数据交换的安全性。
本产品支持设置不同的用户类别：系统管理员、管理员、和普通用户等。通过身份认证机制，控制不同用户对安全隔离设备的操作权限。如系统管理员可以增加、删除、修改隔离装置的配置规则，可以增加或删除隔离装置的普通用户，可以查询隔离装置的日志等；普通用户只可以查看隔离装置的配置规则和日志等。
本产品采用截断TCP 连接的方法，剥离数据包中的TCP/IP 头，将外网的纯数据通过反向安全通道发送到内网，同时只允许应用层不带任何数据的TCP 包的控制信息传输到外网，保护内网监控系统的安全性。
本产品采用综合过滤技术，在链路层截获数据包，然后根据用户的安全策略决定如何处理该数据包；实现了MAC 与IP 地址绑定，防止IP 地址欺骗；支持静态地址映射(NAT)以及虚拟IP 技术；具有可定制的应用层解析功能，支持应用层特殊标记识别，为用户提供一个全透明﹑安全﹑高效的隔离装置。
日志在本产品每天的运行中起着很重要的作用,由于许多攻击﹑系统漏洞不具备机器可分析的特征，或者新的攻击的特征还不为人所知，因此，日志是发现攻击﹑发现系统漏洞和记录攻击证据的重要手段。隔离设备内、外网各板载安全存储区用于系统日志的记载，循环更新保持最新的系统日志。日志规范符合《电力二次系统安全告警日志格式规范》,可以接入电力二次系统内网安全监视功能模块集中监视。
本产品提供了基于数字证书的的图形化用户界面，通过反向隔离设备的专用智能IC 卡读写器进行身份认证，保证配置管理的安全性。整个界面使用全中文化的设计，通过友好的图形化界面，网络管理员可以很容易地定制安全策略和对系统进行维护管理，用户只需进行简单的培训就可以完成对隔离设备的管理与配置。