技术文章

正向隔离装置运行原理及在电力信息网络中的部署

时间:2020-07-19 22:56:47 分享到:
    1物理隔离的必要性及依据
    1.1物理隔离的必要性
    在物理隔离技术出现之前,有许多相关的网络信息安全措施,如在网络中增加防火墙和防病毒系统,对网络进行入侵检测和漏洞扫描等。由于这些技术的极端复杂性和有限的安全控制,这些在线分析技术不能满足秘密机构提出的高数据安全性要求。此外,这种软件的保护是一种逻辑机制,易于对逻辑实体进行操作。因此,必须有一个绝对的安全门,以确保机密网络的信息不会被泄露和破坏,这是物理隔离的功能。
    1.2物理隔离的原理依据
    物理隔离意味着内部网不直接或间接与互联网连接。为了保护电力系统网络的设备、计算机和其他硬件实体和通信链路免受自然灾害、人为破坏和恶意攻击。同时,内部信息网络不受来自互联网的黑客攻击,电力系统内部网络与互联网物理隔离。同时,物理隔离还为内部网定义了一个清晰的安全边界,这增强了网络的可控性并便于内部管理。根据《全国电力二次系统安全防护总体方案》电力二次系统被划分为不同的安全工作区域,这反映了每个区域中业务系统重要性的差异。不同的安全区决定了不同的安全防护要求,从而决定了不同的安全等级和防护等级。根据电力二次系统的特点、目前状况和安全要求,整个二次系统分为4个安全工作区:实时控制区、非控制生产区、生产管理区、管理信息区。其中实时控制区是安全区I,是安全保护的重点与核心;非控制生产区.是安全区I;生产管理区是安全区I;管理信息区是安全区IV。在安全区I/II与安全区III之间进行物理隔离,具有最高的安全防护强度,是安全区I/II横向防护的要点。
    2正向隔离装置运行原理
    正向隔离装置作为安全一、二区和安全三区之间的必要边界,主要用于安全一、二区到安全三区的单向数据传输。本文中的正向隔离装置采用了南瑞SysKeeper-2000正向隔离装置,它由服务端、客户端和前向隔离装置三部分组成。正向传输操作的下一页如图1所示。服务端安装在外部网络上。传输文件时,您需要指定接收文件的根目录。接收到的文件被放在这个根目录下,并保持原来的目录结构;服务器接收客户端的文本,并可以同时接收多个客户端的连接;服务器提供了文件传输协议文件转发功能,可以将接收到的文件发送到内部网中其他具有文件传输协议服务的主机。客户端安装在内部网中,可以定制多个任务。一个任务对应一个待发送的目录,该目录可以发送到外联网上相应安装服务器的主机上,并且可以定期或实时发送;能够识别更新的文件,达到只传输更新文件的目的;设置实时或定时发送功能后,即使在文件传输过程中链路异常断开,当链路及时恢复正常时,也会自动重新连接并继续发送文件。正向隔离装置采用了综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映射(NAT)以及虚拟IP技术;具有可定制的应用层解析功能。在安全隔离设备中配置相应规则,将内网和外网服务器通过MAC、IP地址和端口进行了绑定。3部署和应用出于电力信息发布的安全考虑,在电力信息外网的部署结构中,将网站内容管理程序与网站web服务以相互独立的方式部署,实现了网站信息发布与网站web服务的分离,最大限度的保证了网站系统的安全性可稳定性。将网站内容管理系统部署于信息内网的安全区1/II中,保证了网站信息的发布操作的安全性。同时将提供外网web服务的两台web服务器部署于信息外网的安全区III中,保证了网站的正常访问服务。网络结构如图2所示。
    3.1网站信息发布用户在部署于内网的网站内容管理系统上发布外网信息,信息发布之后,由部署与内网网站内容管理服务器上的正向隔离装置的客户端将生成的网站文件通过安全隔离设备发送到外网的WEB服务器上服务端指定的对应目录下,实现了网站信息发布与网站服务的分离。
    3.2客户端的部署.在本应用方案中,首先需要将安装有服务端软件的外网web服务器的IP地址做NAT转换,为其分配对应的内网虚拟IP地址,并指定TCP端口,以便在客户端中配置正向文件发送任务时,能够指向外网web.服务器地址(目的主机地址)。在确定外网web服务器的内网虛拟IP地址(目的主机地址)和端口之后,还需要在客户端配置内网内容管理服务器上的待发送目录的地址,此目录用于存放网站内容管理系统生成的网站文件
    3.3服务端的部署正向隔离装置服务端部署于外网web服务器上,在服务端配置本机的IP地址与端口将其与服务端绑.定,并同时指定网站文件接受后所要存放的目录地址,配置好之后启动服务进行与客户端的通信。
    3.4正向隔离装置策略的配置正向隔离装置采用综合过滤技术,数据综合过滤功能能够为隔离装置提供基本的安全保障,装置根据系统管理员预先设定的规则检查数据包以决定哪些数据容许通过,哪些数据不能通过,保护内部安全网络免受外部攻击。
    数据过滤依据主要包括:①数据包的传输协议类型,容许TCP和UDP。②数据包的源端地址,目的端地址。③数据包的源端口号,目的端口号。④IP地址和MAC地址是否绑定。综合过滤规则提.供网络安全隔离装置允许还是拒绝IP包的依据,隔离装置对收到的每一个数据包进行检查,从它们的包头中提取出所需要的信息,如源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口.号、协议类型等,再与已建立的规则逐条进行比较,并执行所匹配规则的策略。
版权所有:正向型网络安全隔离装置 转载请注明出处