天御6000网络物理隔离装置
XX电厂DCS系统网络物理隔离解决方案
北京和信网安科技发展有限公司
二OO五年二月
一、概述
随着Internet的迅速发展,信息安全问题面临新的挑战。电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行,影响着“数字电力系统”的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。
尤其是在二次系统安全防护工作中,安全区隔离最为突出,具体措施如下,采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将数据调度系统与综合业务系统、综合业务系统与互联网等实行有效安全隔离,隔离强度应接近或达到安全隔离。
北京和信网安科技有限公司,注册在北京市高新技术产业开发区科技创业园内。公司以信息安全系统和软件应用开发为核心,主要面向网络安全、通信等相关的IT领域,进行项目投资和产品开发。公司确立以网络安全隔离器、防火墙、网络电子钥匙、VPN路由器和防病毒网关等信息安全技术为公司的研究和发展方向。目前,这些安全产品都已广泛应用于电力、金融、电信、教育等行业。并赢得用户的广泛赞誉。
天御6000系列网络安全隔离装置是北京和信网安科技有限公司自主研发的专门针对电力行业的需求,专门为电力系统开发的网络安全产品。单向隔离装置可以把I区/II区的数据高速、实时、安全、单向地传到III区/IV区;再把III区/IV区的数据高速、实时、安全、单向地传到I区/II区;双向隔离装置可以满足III区/IV区的用户安全、实时、高速的上网要求。
二、XX电厂网络现状
XX电厂网络拓扑图如下:
Mis接口机 DPU OPR 实时数据库 COM ENG HSR 电厂DCS系统 电厂MIS系统 三、XX电厂网络系统的安全性分析
XX电厂dcs网络系统目前是由一个com机通过usb线与一台mis接口机线连,com机把dcs系统的数据发送到mis系统的实时服务器上,由于dcs系统是通过usb线与mis系统相连,并不能在原理上保证数据传输的单向性,一旦mis系统中感染有病毒或恶意代码,就有通过usb线进dcs系统的可能。我们经过分析认为目前电厂的网络系统中有许多的安全隐患,具体表现在以下几个方面:
? 旁路控制, 入侵者发送非法控制命令,导致电力系统事故,甚至系统瓦解。
? 完整性破坏: 非授权修改电力控制系统配置或程序;非授权修改电力交易中的敏感数
据。
? 违反授权: 电力控制系统工作人员利用授权身份或设备,执行非授权的操作。 ? 工作人员的随意行为: 电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎
地配置访问控制规则等。
? 非法使用: 非授权使用计算机或网络资源 ? 信息泄漏: 口令、证书等敏感信息泄密。
? 拒绝服务: 向电力调度数据网络或通信网关发送大量雪崩数据,造成拒绝服务。
四. 和信安全隔离解决方案
基于对XX电厂网络系统现状与风险的分析和理解,我们认为网络系统应实现的总体安全目标是:对dcs网络系统与MIS系统实施合理的隔离防范措施,使DCS系统网络系统与MIS系统具有明确的安全边界。天御6000隔离装置不仅解决了DCS系统网络安全的要求,还解决了可以安全、高速、实时和单向地的向mis系统发送数据的要求。
实时数据DPU OPR
COM 天御6000 ENG HSR 电厂DCS系统 电厂MIS系统
方案实施:
把原来网络系统中的usb线和mis接口机去掉,用com机通过网线直接与天御6000网络物理隔离装置相连,隔离设备使得任何mis区的数据都不能进入dcs系统,但是dcs中的数据可以单向地发送到mis系统的实时数据库中。
五. 天御6000系列产品介绍
5.1 单向安全隔离装置
天御6000单向安全隔离装置
5.1.1 单向安全隔离装置
1)
系统组成
天御6000单向网络隔离装置由三个部分组成,内网关、外网关和中间安全隔离三部分组成,中间隔离部件通过RAM对数据进行存储转发,通过电子开关对链路接通和断开来实现安全隔离;同时具有对外网数据包的过滤和阻断功能。内、外网关采用摩托罗拉的PowerPC CPU,中间安全隔离控制器的主要由DSP、PLD和DM9000等芯片部件构成。 物理隔离控制器
外网 内网
内网关 外网关
天御6000网络物理隔离装置
2) 技术特点
? 采用非INTEL指令系统的(及兼容)双微处理器;
? 中间隔离部件通过电子开关实现安全隔离,同时具有对外网数据包的过滤和阻断功
能;
? 特别配置嵌入式LINUX操作内核,内、外网关取消所有网络功能,安全、固化的操
作系统。抵御所有已知和未知的网络攻击;
? TCP/IP协议栈被裁剪掉,内外网关之间采用私有通讯协议;
? 固化的专用应用网关程序,具有应用网关功能,实现应用数据的接收与转发。非网
络方式的内部通信,保证装置内外两个处理系统不同时连通;
? 单向联接控制。应用层数据完全单向传输,TCP应答禁止携带应用数据;