StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
7) 支持系统告警,支持完备的安全事件告警机制,当发生非法入侵、装置异常、通信中断或丢失应用数据时,可通过隔离装置专用的告警串口或网络输出报警信息,日志格式遵循Syslog标准,方便招标人管理;
8) 反向隔离设备必须提供配套的文件传输程序,方便招标人进行二次系统安全物理隔离改造;
9)具有方便的设备配置文件导入与导出功能;
10)提供完备的日志审计功能,如时间、IP、MAC、PORT等日志信息。对通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的记录,以便事后审计;此外,也应具有对隔离设备的操作维护日志信息。
2)产品特色
国内第一家采用双主机结构安全岛技术,获得国家专利,第一个取得国调检测证明。唯一获得国网公司科技进步奖。
通过了华中网调《电力专用横向单向安全隔离装置日志标准》测试,是目前唯一通过此标准测试的专用安全隔离装置。
采用国内最高速、最稳定的硬件平台POWER PC 8245 400MHZ,内置硬件WatchDog。
支持双机热备结构,不用心跳线通过在线检测即可将两套独立的隔离设备整合为一套高可用的物理隔离系统。
设备内外网两侧均提供两个网络接口、可以支持单进/单出或双进/双出等多种接线模式,能够适应各种需求,部署灵活方便,节省用户投资。
提供双电源冗余,故障自动切换,声音报警,保证设备稳定可靠运行。 支持图形界面和命令行两种管理模式、用户只需在内网侧进行配置,新配置在隔离设备两侧均能生效。
提供实时报警接口,通过专用串口实时输出报警信息,格式遵循SYSLOG规范,便于用户收集、分析及综合利用。
配套软件齐全,提供功能完善的跨平台的文件及数据传输软件,便于用户部署隔离设备。
北京科东电力控制系统有限责任公司 3
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
1.1 设备特点 1.1.1 支持集中监视
华中电力调度(交易)中心在北京科东电力控制系统有限责任公司的协助下起草了《电力专用横向单向安全隔离装置日志标准》,基于此标准,网络安全产品集中监视管理系统可以集中展现各网络安全隔离设备运行工况、配置信息、日志信息、报警信息等并综合利用,以便于系统维护,保证系统安全稳定运行。
通过测试验证,北京科东电力控制系统有限责任公司的StoneWall-2000网络安全隔离设备均支持此标准的各项接口,符合《电力专用横向单向安全隔离装置日志标准》要求。
该标准的技术原则为:遵从二次系统安全防护方案、不引入安全隐患、不增加设备成本、不增加应用难度。
该标准的技术方案如下:
? 采用一种标准格式日志信息实现设备状态监视,格式由三方共同商定。 ? 隔离设备不定期或定期主动以UDP报文形式发送其日志信息。 ? 在直接连接隔离设备的II区或III区网关机上部署并运行日志信息收集代理程序,接收日志信息并转发到监视管理系统。
? 内网监视管理系统收集各代理节点发送来的信息并通过正向型隔离设备主动送到外网监视管理系统。
日志发送方式:
隔离装置采用UDP协议向外发送日志,不接收任何返回。日志接收服务器的IP和端口、隔离装置用的虚拟IP由等配制信息由隔离装置管理工具本地进行配置。
北京科东电力控制系统有限责任公司 4
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
II区 物理隔离装置 III区
网关兼信息收集代网关兼信息收集代内网监视管理系统 外网监视管理系统 SPDNet 网关兼信息收集代网关兼信息收集代设备运行信息 代理发布信息 监视管理系统信直管单位物理隔离装置
通信模式建立:
在安全隔离装置与日志采集网关的日志通信中,可以采用串口与网络方式进行日志传送。建议采用网络方式,出于安全考虑,通过单向UDP方式将日志报文发送到日志采集网关,支持定时、周期和触发发送方式。如下图所示。
如果全网需要建立集中的日志管理审计系统,可以在每一个采集点设置一台日志采集网关,收集当地安全隔离装置的日志信息。然后通过日志采集网关定
北京科东电力控制系统有限责任公司 5
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
时将当地的日志信息发送到全网的日志管理审计系统的日志采集网关,然后再对日志信息进行分析审计。
具体传送的方式如下:
隔离装置定时主动的将日志文件通过UDP的方式发送规定格式的数据包到采集主机A,采集主机A预先启动一个守候进程程序,随时等待隔离装置发送过来的ASCII码信息,一旦接受到相应的信息,即将其保存到文件。
益处:
提高了产品的易用性,使用户自己可以清楚的了解隔离装置的工作状况,在隔离装置发生问题的时候可以通过日志了解到引起问题的关键。
1.1.2 安全可靠
StoneWall-2000建立在具有自主知识产权的硬件结构和安全操作系统基础上。通过对操作系统内核的大规模裁减,剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力,而且操作系统固化在隔离设备中,避免了因操作系统故障而导致设备工作异常。
StoneWall-2000网络安全隔离设备(反向型)功能比较全面,具有单向数据传输、状态检测功能、地址绑定功能、双向地址转换功能、双机热备功能、日志审计功能等,而且由于StoneWall-2000网络安全隔离设备(反向型)使用透明接入方式,是一般用户在正常操作时感觉不到设备的存在,这样既不影响网络的工作效率,又保证了更高的安全性。
1.1.3 嵌入式病毒查杀
在发送文件时,发送端软件调用本地安装的杀毒软件的杀毒引擎对文件进行扫描并查杀病毒。通过病毒检查后的文件,才会由发送端软件发送到内网,保证内网的安全。通过升级本地杀毒软件,保证病毒检查查杀病毒的能力。
北京科东电力控制系统有限责任公司 6
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
1.1.4 数字签名验证技术
反向型隔离设备保留了正向隔离设备综合过滤功能,确保内网的安全。在此基础上,通过综合过滤的报文,需要通过StoneWall-2000反向型网络安全隔离设备的数字签名验证,才可以通过反向隔离设备进入内网,这种数字签名采用非对称数字加密技术(1024bit RSA算法),可以防止非法用户假冒合法用户向内网发送文件。
配套软件在发送数据时自动添加数字签名。
1.1.5 数据加密封装技术
外网主机在向内网发送数据前,首先通过基于RSA非对称加密技术的密码信封与反向型隔离设备协商对称加密秘钥,协商完成后,在发送数据时,采用对称密钥对数据进行加密,再采用RSA私钥对数据进行签名。加密并签名后的数据在到达StoneWall-2000网络安全隔离设备(反向型)后,首先,隔离设备验证发送端的签名,验证通过后,根据对称密钥解密数据,并将解密后的数据摆渡到内网。
在这个过程中采用的非对称加密算法是1024位的RSA算法,对称加密算法是电力专用加密算法。
1.1.6 双字节转换及检查技术
通过数字签名验证的文本报文,需要通过StoneWall-2000网络安全隔离设备(反向型)的双字节检查,才能最终进入内网,通过双字节检查,可以保证进入内网的数据为纯文本数据,而且这种文本数据中的脚本数据也是不能运行的全角数据,可以防止病毒进入内网。
1.1.7 病毒粉碎技术
发送端软件在发送二进制文件数据时,自动在数据报的特定位置依据专门的算法插入破坏字节以破坏病毒的结构。在StoneWall-2000反向网络安全隔离设备
北京科东电力控制系统有限责任公司 7