网络安全物理隔离百兆正向

网络安全隔离设备（正向型）是由中国电力科学研究院下属电网所/北京科东电力控制系统有限责任公司自主开发研制，具有物理隔离能力的网络安全设备，具有操作简便、高性能、高可靠性等特点。

网络安全隔离设备（正向型）采用软、硬结合的安全措施，在硬件上使用双嵌入式计算机结构，通过安全岛装置通信来实现物理上的隔离；在软件上，采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时，实现了对非法信息的隔离。

网络安全隔离设备（正向型）已经通过国调中心的测试，并获得了**部计算机信息系统安全产品质量监督检验中心的检验报告和**部颁发的销售许可证，销售许可证号：XKC30259。

基本功能

1) 完全满足《全国电力二次系统安全防护总体方案》标准要求，并通过**部、**电力调度通信中心、**信息安全评测中心的检测；

2) 实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；

3) 应用层返回确认字节数为1bit；

4) 支持多种工作模式：无IP地址透明工作方式（虚拟主机IP地址、隐藏MAC地址）、支持网络地址转换（NAT）、混杂工作模式，保证标准应用的透明接入；

5)支持基于状态检测的MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；

6)防止穿透性TCP联接：禁止内网、外网的两个应用网关之间直接建立TCP联接，应将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输；

7)提供完备的日志审计功能，如时间、IP、MAC、PORT等日志信息。对通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的纪录，已备事后审计。

8)具有报警功能，当发生非法入侵、装置异常、通信中断或丢失应用数据时，可输出报警信息；

9)安全、方便的维护管理方式：图形化的管理界面。方便地对装置进行设置，监视和控制系统运行；

10)支持地址绑定功能，可以有效阻止非法用户盗用合法用户的IP地址；

11)支持双向地址转换功能，可以在保障自身网络安全的前提下向外提供服务；

12)具有可定制的应用层解析功能，支持应用层特殊标记识别；

13)提供基于硬件WatchDog的系统监视功能，保证系统连续稳定可靠运行；

14)提供数据传输软件和API函数接口，方便用户进行二次系统安全隔离的改造；

设备特点

安全可靠

建立在具有自主知识产权的硬件结构和安全操作系统基础上。通过对操作系统内核的大规模裁减，剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力，而且操作系统固化在隔离设备中，避免了因操作系统故障而导致设备工作异常。

网络安全隔离设备（正向型）功能比较全面，具有单向数据传输、状态检测功能、地址绑定功能、双向地址转换功能、双机热备功能、日志审计功能等，而且由于网络安全隔离设备（正向型）使用透明接入方式，是一般用户在正常操作时感觉不到设备的存在，这样既不影响网络的工作效率，又保证了更高的安全性。

硬件控制的单向数据传输

正向型网络安全隔离设备的数据流向控制通过特定硬件设备实现，每次由外网到内网传递的数据不能超过1个bit，由内网到外网不限制，极大地保证了内网的安全。

支持双网结构

设备内外网两侧均提供两个网络接口、可以支持单进/单出、双进/双出或双进单出等多种接线模式，能够适应各种需求，部署灵活方便，能够程度节省用户投资。

支持双机热备

不用心跳线，通过在线检测即可将两套独立的隔离设备整合为一套高可用的物理隔离系统，互为备用的两台设备中任何一台出现故障，另一台设备自动接替其工作，保证提供不间断的网络服务；

支持双电源

设备带有两个电源转换器，在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份，实现了主备电源的故障自动无缝切换，切换时声音报警，有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。

高强度的抗攻击能力

处于内网和外网通信通路上的网络安全隔离设备（正向型）无形中成为黑客攻击的首要目标，要保护内网的安全，首先要保证网络安全隔离设备（正向型）具有较强的抗攻击能力，网络安全隔离设备（正向型）采用非INTEL（及兼容）双微处理器，减少被病毒攻击的概率，采用自主版权的操作系统内核，取消所有网络功能，而且设备本身没有IP地址，使得黑客攻击无从下手。

高速稳定

网络安全隔离设备（正向型）采用高速处理器，保证了硬件平台的高速运转，操作系统经过科学裁减和安全加固，保证了软件平台的稳定运行，再加上百兆以太网模块，这些条件保证了高速稳定的网络传输。

防止穿透性连接，连接方向控制

禁止内网、外网的两个应用网关之间直接建立TCP联接，将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输。

网络安全隔离设备对连接进行严格的方向控制，保证TCP连接只能由内网主机（高安全区主机）建立连接，保证内网主机不提供网络服务，使内网主机无懈可击；做到了禁止通过穿越安全区的穿透性访问，同时也禁止穿越安全区的E-MAIL、WEB。

真正支持透明接入

网络安全隔离设备（正向型）真正做到了透明接入，即无论使用任何功能，对正常使用网络的合法用户来设备是不可感知的。网络隔离设备通过使用虚拟主机IP地址和隐藏MAC地址的方式保证了对网络隔离设备对用户的完全透明的工作方式，用户无需更改原有的网络拓扑结构，只需把网络隔离设备置于需要保护的网络或主机的网络即可。

具有内外网络接口通信状态指示灯

正向型网络安全隔离设备在前面板上提供电源指示灯、10M/100M自适应网卡连接状态，传输速率指示灯，便于用户监控及故障诊断。

l 国内**家采用双主机结构安全岛技术，获得**专利，**个取得国调检测证明

l 采用非intel（及兼容）双微处理器，内置硬件watchdog

l 使用经过裁剪的安全操作系统，设备本身没有ip地址，使得黑客攻击无从下手

l 通过特有的硬件实现数据流向控制

l 支持双机热备结构，不用心跳线通过在线检测即可将两套独立的隔离设备整合为一套高可用的物理隔离系统

l 支持单进/单出、双进/双出或双进单出等多种接线模式，部署灵活方便

l 数字签名验证技术，签名采用非对称加密算法，考虑加密强度的要求，采用rsa加密算法

1.电力信息网络的安全隐患 

1.1 结构复杂 

电力信息网络的工作十分繁杂，为此涉及到大量的数据信息，而每一个数据信息的运算背后后关系到电力信息系统的业务工作，如果这些数据受到外界的攻击，发生了丝毫差错的话，就会危及影响到整个电力系统的发展。 

1.2 缺少防护 

电力信息网络安全问题直接关系到我国电力企业的发展前景，可以说在电力系统中占有着举足轻重的地位，然而，与其重要性十分不相匹配的是，我国电力信息网络缺少足够的防护措施，始终处于一种暴露状态，一旦有不法分子侵入信息网，将会控制到电力系统的数据，给电力系统工作带来损害。 

1.3 认知不足 

我国电力系统的很多业务人员工作年限都非常长，不缺乏实际工作的经验，但是由于年龄增加，对于新事物的接受能力越来越弱，对于先进科学技术与科学设备的应用能力较差，且缺乏对其重要性的认知，因此其技术水平仍然止步不前。在工作上难以得心应手，而且没有良好的、积极的工作态度。 

2. 网络安全隔离技术的概述 

网络隔离技术所利用的原理是，将两个，或者两个以上的计算机或网络，处于一种断开连接的状态，即使如此，仍然能够实现信息交换与资源共享。那就意味着，一旦将安全隔离技术应用在电力信息网络时，就对电力信息网络实行了物理隔离，让其既能在安全的环境下继续工作，又能保障不受网络稳定性的影响，提高信息交换与资源共享的效率。保证了数据的准确性，也就保障了电力系统服务工作的质量。目前我国网络安全防护工作主要还是采用病毒软件、防火墙等工具方式进行，防病毒软件的应用是安全防护的*常用措施，针对性很强，但是需要不断更新。相比而言，安全隔离技术是具有很大优势的，如何将安全隔离技术优势发挥到*大，就要在实际应用中保证技术的合理与达标。 

3. 安全隔离技术在电力信息网络安全防护工作中的应用分析 

3.1 通用网闸类技术 

通用网闸类技术指的是利用两个完全独立的计算机来处理系统两端连接的不同安全等级的网络，这样的话，在两套完全不一样的系统中，进行数据的交换往来，就能够确保内网、外网都做到同步隔离。通过对http协议进行数据分析，来实现数据访问安全的控制。 

3.2 双网隔离技术 

“网闸类技术的安全强度能够满足信息网隔离要求，但这种技术适合于各个业务系统分别布置在不同的分级区域中，而且这种装置还无法对数据库专用通信协议进行解析和强过滤，不能满足现有电力信息内外双网隔离的架构与需求。”[1]与网闸类技术相比，双网隔离技术在应用强度上要更胜一筹，将电力信息系统中不同业务信息进行分类处理，采取内外双网方式进行隔离，信息外网与因特网采用防火墙相连，安全防御的等级较低，容易受到病毒等因素的危害，但是外网与内网之间不存在网络关系，所以内网的安全防护等级非常高，适宜存储电力系统中各业务的重要数据。 

3.3 其它常见安全隔离技术 

除了上述两种隔离技术，数据库审计类技术和隔离类技术也较为常见，审计类技术主要是指对一般数据库服务器上的代理作出监测，采用基于协议解析的技术路线对数据库日志进行旁路分析与记录。 

结论 

“目前我国电力企业信息系统安全事故频发”[2]，这充分说明我国在电力信息网络化的工作中做的仍不到位，电力事业直接影响着我国经济水平的提升发展，关系到人民日常生活的用电安全，因此“电力企业需要高度重视信息网络安全”[3]工作，针对目前出现的问题，做好切实有效的防护，利用安全隔离技术让信息化系统变得更加高校安全，为用户提供放心满意的供电服务。