電力網絡正反向隔離裝置(網閘)

一、安全區定義

根據電力二次系統的特點，劃分為生產控制大區和管理信息大區。生產控制大區分為控制區（安全區Ⅰ）和非控制區（安全區Ⅱ）。信息管理大區分為生產管理區（安全區Ⅲ）和管理信息區（安全區Ⅳ）。不同安全區確定不同安全防護要求，其中安全區Ⅰ安全等級最高，安全區Ⅱ次之，其余依次類推。

安全區Ⅰ典型系統:調度自動化系統、變電站自動化系統、繼電保護、安全自動控制系統等。

安全區Ⅱ典型系統:水庫調度自動化系統、電能量計量系統、繼保及故障錄波信息管理系統等。

安全區Ⅲ典型系統:調度生產管理系統（DMIS）、雷電監測系統、統計報表系統等。

安全區Ⅳ典型系統:管理信息系統（MIS）、辦公自動化系統（OA）、客戶服務系統等。

二、物理隔離

物理隔離指內部網不直接或間接地連接公共網。物理隔離的目的是保護網絡設備及計算機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離，才能真正保證內部信息網絡不受來自互聯網的黑客攻擊。同時，物理隔離也為內部網劃定了明確的安全邊界，使得網絡的可控性增強，便于內部管理。

在物理隔離技術出現之前，對網絡的信息安全采取了許多措施，如在網絡中增加防火墻、防病毒系統，對網絡進行入侵檢測、漏洞掃描等。由于這些技術的極端復雜性，安全控制十分有限性，這些在線分析技術無法提供涉密機構提出的高度數據安全要求。而且，此類軟件的保護是一種邏輯機制，對于邏輯實體而言極易被操縱。因此，必須有一道絕對安全的大門，保證涉密網的信息不被泄露和破壞，這就是物理隔離所起的作用。

三、正反向隔離

電力系統按照安全等級的要求把計算機系統分為了I、II、III等。I和II之間要有防火墻，I/II區與III區之間則要在物理上做隔離。即I/II發到III區的數據要經過正向隔離裝置，III區發到I/II區的數據要經過反向隔離裝置。

正向隔離裝置不接受III區的數據(最多只能過一個字節的數據)，反向隔離裝置只能容許III區的文件穿透到I區。

A.正向安全隔離裝置

1.兩個安全區之間的非網絡方式的安全的數據交換，并且保證安全隔離裝置內外兩個處理系統不同時連通;

2.表示層與應用層數據完全單向傳輸，即從安全區III到安全區I/II的TCP應答禁止攜帶應用數據;

3.透明工作方式:虛擬主機IP地址、隱藏MAC地址

4.基于MAC、IP、傳輸協議、傳輸端口以及通信方向的綜合報文過濾與訪問控制;

5.支持NAT;

6.防止穿透性TCP聯接:禁止兩個應用網關之間直接建立TCP聯接，將內外兩個應用網關之間的TCP聯接分解成內外兩個應用網關分別到隔離裝置內外兩個網卡的兩個TCP虛擬聯接。隔離裝置內外兩個網卡在裝置內部是非網絡連接，且只允許數據單向傳輸;

7.具有可定制的應用層解析功能，支持應用層特殊標記識別;

8.安全、方便的維護管理方式:基于證書的管理人員認證，使用圖形化的管理界面。

B.反向隔離裝置

反向隔離裝置用于從安全區III到安全區I/II傳遞數據，是安全區III到安全區I/II的唯一一個數據傳遞途徑。反向隔離裝置集中接收安全區III發向安全區I/II的數據，進行簽名驗證、內容過濾、有效性檢查等處理后，轉發給安全區I/II內部的接收程序具體過程如下：

1.全區III內的數據發送端首先對需要發送的數據簽名，然后發給反向隔離裝置；

2.反向隔離裝置接收數據后，進行簽名驗證，并對數據進行內容過濾、有效性檢查等處理。

C.安全區I/II內部接收程序

將處理過的數據轉發給安全區I/II內部的接收程序，其功能如下:

1.有應用網關功能，實現應用數據的接收與轉發;

2.具有應用數據內容有效性檢查功能;

3.具有基于數字證書的數據簽名/解簽名功能;

4.實現兩個安全區之間的非網絡方式的安全的數據傳遞;

5.支持透明工作方式：虛擬主機IP地址、隱藏MAC地址;

6.支持NAT;

7.基于MAC、IP、傳輸協議、傳輸端口以及通信方向的綜合報文過濾與訪問控制;

8.防止穿透性TCP聯接。

D.裝置安全保障要點

隔離裝置本身應該具有較高的安全防護能力，其安全性要求主要包括：

1.用非INTEL指令系統的(及兼容)微處理器；

2.安全、固化的操作系統；

3.不存在設計與實現上的安全漏洞，抵御除Dos以外的已知的網絡攻擊。

四.網絡隔離裝置要點

1.一個網絡隔離裝置(作為阻塞點、控制點)能極大地提高一個監控系統的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過網絡隔離裝置，所以網絡環境變得更安全。如網絡隔離裝置可以禁止不安全的NFS協議進出保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊監控系統。網絡隔離裝置同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。網絡隔離裝置應該可以拒絕所有以上類型攻擊的報文并通知網絡隔離裝置管理員。

2.通過以網絡隔離裝置為中心的安全方案配置，能將所有安全策略配置在網絡隔離裝置上。與將網絡安全問題分散到各個主機上相比，網絡隔離裝置的集中安全管理更方便可靠。例如在網絡訪問時，監控系統通過加密口令/身份認證方式與其它信息系統通信，在電力監控系統基本上不可行，它意味監控系統要重新測試，因此用網絡隔離裝置集中控制，無需修改雙端應用程序是最佳的選擇。

3.如果所有的訪問都經過網絡隔離裝置，那么，網絡隔離裝置就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，網絡隔離裝置能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。

4.通過網絡隔離裝置對監控系統及其它信息系統的劃分，實現監控系統重點網段的隔離，一個監控系統中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了監控系統的某些安全漏洞。使用網絡隔離裝置就可以隱蔽那些透漏內部細節，例如網絡隔離裝置可以進行網絡地址轉換(NAT)，這樣一臺主機IP地址就不會被外界所了解, 不會為外部攻擊創造條件。

審核編輯：湯梓紅