南瑞反向型安全隔离产品技术白皮书(20081218).doc

《南瑞反向型安全隔离产品技术白皮书(20081218).doc》由会员分享，可在线阅读，更多相关《南瑞反向型安全隔离产品技术白皮书(20081218).doc（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、如有侵权，请联系网站删除，仅供学习与交流南瑞反向型安全隔离产品技术白皮书(20081218)【精品文档】第 20 页安全隔离装置技术白皮书2007年4月一、序言电力监控系统及调度数据网作为电力系统的重要基础设施，是电力控制系统安全的重要组成部分。随着通信技术和网络技术的发展，接入电力调度数据网的电力控制系统越来越多,数据交换也越来越频繁。这对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的挑战。由于在规划、设计、建设控制系统和数据网络时，对网络安全问题认识不足，现有的系统中存在着一些安全隐患，对电力调度系统构成了潜在威胁。为此，电力行业制定了全国电力二次系统安全防护总体框架，该框架依据

2、中华人民共和国国家经济贸易委员会第30号令电网和电厂计算机监控系统及调度数据网络安全防护的规定（以下简称规定）的要求，并根据我国电力调度系统的具体情况编制的，目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。电力系统二次安全防护总体框架其核心思想是提出了分层分区的总体防护体系，并将开发与部署实时数据传输专用安全隔离设备作为落实30号令的一项关键技术。其中，安全隔离装置（正向）用于安全区I/II到安全区III的单

3、向数据传递；安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递。并分别提出了安全隔离设备应满足的具体要求。正向安全隔离装置具有下述特点：硬件装置采用非Intel（及兼容）的双微处理器；软件系统基于特别配置的Linux内核；实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；取消所有网络功能，并且采取无IP地址的透明监听方式，支持网络地址转换，内设综合报文过滤，防止穿透性TCP连接；应用层解析，支持身份认证，单向数据通信控制，单向连接控制，维护管理界面灵活方便。反向安全隔离装置除具有下述特点：应用网关功能，实现应用数据的接收与转发；具有

4、应用数据内容有效性检查功能；具有基于数字证书的数据签名/解签名功能；实现两个安全区之间的非网络方式的安全的数据传递；支持透明工作方式：虚拟主机IP地址、隐藏MAC地址；支持NAT；基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；防止穿透性TCP联接。电力网络专用安全隔离设备是位于调度数据网络与公用信息网络之间的一个安全防护装置，它可以识别非法请求并阻止超越权限的数据访问和操作，从而有效地抵御病毒、黑客等通过各种形式发起的对电力网络系统的恶意破坏和攻击活动，保护实时闭环监控系统和调度数据网络的安全；同时它采用非网络传输方式实现这两个网络的信息和资源共享，保障电力系统的安

5、全稳定运行。因此，该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性，促进各部门的生产和新应用的开发与运用，并为建立全国电网二次系统安全防护体系提供有力保障。二、体系结构2.1 反向型硬件结构SysKeeper-2000网络安全隔离系列产品（反向型）的硬件结构如图2所示。本产品硬件采用RISC体系结构高性能嵌入式计算机芯片，双机之间通过四片高速FIFO芯片进行物理连接，内嵌智能IC卡接口（IA3）用于装置的身份认证，底板上各有两个10M/100M以太网接口（IA1/IA2、IB1/IB2）用来连接要隔离的两个网络。双机接口（IB3）采用网络方式实现隔离装置的双机热备份，内外网的告警

6、接口（IA4、IB4）采用标准串口进行告警信息输出，同时能上报到后台监控主机。内网串口可以用来连接配置终端，方便管理人员对网络安全隔离设备的控制。外网采用对称加密算法实现数据加、解密处理，保证反向传输数据的安全性。硬件看门狗时刻监视系统状态，保证隔离装置的稳定、可靠运行。图2 反向型网络安全隔离装置硬件结构图2.2 反向型软件结构SysKeeper-2000网络安全隔离装置(反向型)位于实时监控系统网络与生产管理信息网络之间的唯一一条通路上。软件系统考虑到二者在安全等级上的非对称性，与之相连的两个子系统被设计为非对称结构，如图3所示。它们协同完成对报文的综合过滤、应用数据的检查、设备认证、数字

7、签名、E语言检查、纯文本的编码转换和识别等安全功能。所有报文处理模块在嵌入式操作系统内核态运行，设计专用密钥存储区，保证物理隔离环境下数据的安全交换。图3 反向型网络安全隔离装置软件结构图三、产品特点为满足电力系统二次安全防护的需要，南瑞集团公司依托在网络安全产品中的广泛技术积累和应用实践经验，以性能好功能全使用简便运行稳定为网络安全隔离产品的设计原则，自主研制并推出SysKeeper-2000网络安全隔离系列产品。通过长时间的测试，网络安全隔离设备具有很高的可靠性、稳定性和可以满足用户需要的执行效率。图4 A南瑞网络安全隔离装置(反向型)前面板图图4 B南瑞网络安全隔离装置（反向型）后面板图

8、3.1硬件特色 高安全隔离能力的硬件结构SysKeeper-2000网络安全隔离系列产品由两个高性能嵌入式微机及辅助装置形成安全隔离系统，嵌入式微处理器采用RISC体系结构，减少受攻击的概率；实现两个安全区之间的非网络方式的数据交换，并且采用安全算法保证安全隔离装置内外两个处理系统不同时连通,在保证安全隔离的前提下，实现数据的高速交换。 高可靠性硬件设计SysKeeper-2000网络安全隔离系列产品硬件供电采用的是国外进口开关电源，符合EN55022 class B,IEC801-2,3,4,5, EN60555-2,3 EMC标准，平均无故障时间达64223小时。在PCB板的设计中，加有线

9、性稳压及滤波装置，并严格按照EDA对高频电路设计的要求，设计了单独的电源层与地层，进一步保证了整个板上电源的稳定性。 硬件优化设计充分考虑电厂和变电站的特殊运行环境，SysKeeper2000网络安全隔离系列产品装置设计遵循分布均匀、布局合理的原则，风扇处增加了防尘罩，而且紧靠散热源，起过滤作用，避免灰尘和湿气；机箱散热风扇也采用滚轴风扇，保证了风扇的长期可靠运行；通过增加专用转接板，起到了更好的加固和抗震作用；即使在长途的运输过程中，也能充分地保障设备内部的完整性和可用性能 严格的生产流程控制南瑞网络安全隔离系列产品严格遵循ISO9000 2000版质量认证体系，对每一台隔离产品的关键芯片和

10、元器件进行产品老化试验，所有的隔离产品在出厂前必须经过240小时以上的连续通电测试，确保每一台网络安全隔离产品运行的稳定性和硬件的高可靠性。 支持双电源实践经验及理论都证明，一个产品最易出故障的部位在电源部分。在南瑞安全隔离系列产品中，设计有双电源。在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份，实现了主备电源的在线无缝切换，有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。南瑞安全隔离系列产品为国内第一家采用双电源设计的物理隔离产品。 支持双机热备在实际应用中，可以设置有双机备份，一台工作在主机位置，一台工作于备用位置，两台机器时刻进行通信并进行信息备份，一旦当

11、主用设备出现故障（包括掉电、连接的网络线路至少有一根出现故障）时，或者处于看门狗复位阶段，备机可以以承担起主机的工作，以避免重要数据的丢失。 支持系统告警南瑞网络安全隔离系列产品支持完备的安全事件告警机制，当发生非法入侵、装置异常、通信中断或丢失应用数据时，可通过隔离装置专用的告警接口输出报警信息。3.2 反向型产品特点 安全裁剪内核，系统的安全性和抗攻击能力强为了保证系统安全的最大化，SysKeeper-2000网络安全隔离产品（反向型）已经将嵌入式内核进行了裁剪和优化。目前，内核中只包括用户管理进程管理，裁剪掉TCP/IP协议栈和其它不需要的系统功能，进一步提高了系统安全性和抗攻击能力，免

12、于黑客对操作系统的攻击，并有效抵御Dos/DDos攻击。 基于数字证书的签名验证和内容检查机制采用基于数字证书的数字签名技术，在数据的发送端对需要发送的数据进行签名，然后发给专用反向隔离装置；隔离装置收到数据后进行签名验证，并根据用户对数据的定义检查数据文件的格式和内容，支持通用的数据类型和记录分割符，反向隔离装置将处理过的数据发送给内网的数据接收程序。 基于电力描述语言的内容强过滤通过反向隔离装置传输的软件都是从低安全区向高安全区进行传输，为了严格保障内网安全，禁止非法文件、病毒文件传输到内网，要对传输的文件内容进行过滤。为此国家调度中心制定了电力系统数据描述语言，提出了电力行业专用的数据描

13、述语言E语言。按照国调要求，反向隔离装置支持对E语言文件的格式检查，来对传输的文件进行内容强过滤 基于纯文本的编码转换和识别根据全国电力二次安全防护的要求，可以对传输的E语言文件进行模式检查，来判断文件的合法性，也可以将纯文本文件中单字符的ASCII码（非控制字符）转换为对应的双字节码，并能正常显示。南瑞SysKeeper2000反向隔离装置提供了专用发送软件在发送文本文件数据时，自动将半角字符转换为全角字符。SysKeeper-2000反向隔离装置对收到的数据进行纯文本的识别，如果数据包中数据为合法的纯文本，反向隔离装置都会按照编码范围正确的识别，保证进入内网的数据为纯文本数据。 完善的密钥

14、管理机制SysKeeper-2000反向型网络安全隔离设备提供基于RSA公私密钥对的数字签名和采用专用加密算法进行数字加密的功能。进行RSA运算时，为了保证密钥的安全性，提供已密钥的ID号使用密钥的功能，密钥仅存在与反向型网络安全隔离设备的安全存储区中，与应用系统隔离，不能通过任何非法手段进行访问，极大的提高了数据交换的安全性。 割断穿透性的TCP连接SysKeeper-2000反向型网络安全隔离设备采用截断TCP连接的方法，剥离数据包中的TCP/IP头，将外网的纯数据通过反向安全通道发送到内网，同时只允许应用层不带任何数据的TCP包的控制信息传输到外网，保护内网监控系统的安全性。 基本安全功

15、能丰富，可实现在网络中的快速部署采用综合过滤技术，在链路层截获数据包，然后根据用户的安全策略决定如何处理该数据包；实现了MAC与IP地址绑定，防止IP地址欺骗；支持静态地址映射(NAT)以及虚拟IP技术；具有可定制的应用层解析功能，支持应用层特殊标记识别，为用户提供一个全透明安全高效的隔离装置。 虚拟IP、隐藏MAC地址南瑞网络安全隔离系列产品采用独特的自适应技术，隔离设备没有IP地址，隐藏MAC地址，非法用户无法对隔离设备进行网络攻击，有效的提高了系统的安全性能。 采用专用加密算法进行数据加密和数字签名南瑞SysKeeper-2000反向型网络隔离设备采用motorola高性能RISC 体系

16、结构CPU，采用对称加密算法、RSA公私密钥算法实现数据加、解密、数字签名、身份认证等功能，保证数据的安全传输。在1024位模长下，RSA数字签名速度为180次/秒，密文数据包通吐量30Mbps（50条安全策略，1024字节报文长度）。 提供专用配套反向文件传输软件为了使隔离设备达到预期的安全效果，经过反向型隔离设备进行数据传输的软件必须按照全国电力二次系统安全防护总体方案的规定进行开发。针对III区到I/II区通信内容规定，南瑞SysKeeper-2000网络安全隔离设备（反向型）提供专用文件传输软件（实现数字签名、编码转换、E语言检查和数字签名功能），方便用户进行二次系统安全隔离改造。 完

17、善的日志审计功能日志在南瑞SysKeeper-2000反向隔离设备每天的运行中起着很重要的作用,由于许多攻击系统漏洞不具备机器可分析的特征，或者新的攻击的特征还不为人所知，因此，日志是发现攻击发现系统漏洞和记录攻击证据的重要手段。隔离设备内、外网各板载安全存储区用于系统日志的记载，循环更新保持最新的系统日志。 基于数字证书的图形化用户界面南瑞SysKeeper-2000网络安全隔离设备（反向型）提供了基于数字证书的的图形化用户界面，通过反向隔离设备的专用智能IC卡读写器进行身份认证，保证配置管理的安全性。整个界面使用全中文化的设计，通过友好的图形化界面，网络管理员可以很容易地定制安全策略和对系

18、统进行维护管理，用户只需进行简单的培训就可以完成对隔离设备的管理与配置。4、SysKeeper-2000系列安全隔离装置原理说明及技术优势南瑞SysKeeper-2000系列网络安全隔离系列产品以双RISC体系结构高性能CPU和高速传输芯片实现通道隔离及割断穿透性TCP连接的核心技术代表了新一代网络安全隔离技术的发展趋势，在行业内处于领先水平。4.1单向安全隔离技术4.1.1 安全隔离原理物理隔离的技术架构在单向安全隔离的基础上。以下的图组可以给我们一个清晰的概念，物理隔离是如何实现的。内网是安全等级很高的电力系统内部专用监控网络，外网是安全等级不高的信息网络。正常情况下，安全隔离设备和外网，

19、安全隔离设备和内网，外网和内网在物理上是完全断开的，如图A所示。图A 当内网需要有数据到达外网的时候，内网的服务器立即发起对隔离设备的数据连接，隔离设备将所有的协议剥离，将原始的纯数据写入高速数据传输通道。根据不同的应用，对数据进行完整性和安全性检查，如防病毒和恶意代码等。见图B。图B一旦数据完全写入安全隔离设备的单向安全通道，隔离设备内网侧立即中断与内网的连接，将单向安全通道内的数据推向外网侧，外网侧收到数据后发起对外网的数据连接，连接建立成功后，进行TCP/IP的封装和应用协议的封装，并交给外网应用系统，如图C所示。图C在硬件控制逻辑电路收到完整的数据交换信号之后，安全隔离设备立即切断和外

20、网的直接连接。见图D。图D当外网的应答数据需要传输到内网的时候，需要通过隔离装置的专用反向安全通道进行数据摆渡，传输原理与上述相同。硬件控制电路控制反向安全传输通道的硬件深度，要求反向回写的是一个字节的数据，并且为全0或者全1，反向安全传输通道会产生硬件溢出，因而该数据是不完整的。隔离装置的底层硬件驱动程序里面有数据性完整分析功能，也就是说，回写的数据大于一个字节，并且不是全0或者全1会丢弃。4.1.2 通道隔离技术特色（技术特色）南瑞SysKeeper-2000网络安全隔离装置为国内唯一一家采用单向通道隔离技术的专用安全隔离产品，通常的网络安全隔离技术主要采用USB、双端口RAM等实现内、外

21、网的数据交换，数据从一端流向另一端的标准做法是打开设备，然后通过写设备把数据从一端写入到另一端。如果有一非法侵入，则该侵入可以轻而易举地突破物理隔离装置把数据直接写入到内网中，因为读写设备是一种标准的操作，物理隔离并不能起到真正的隔离作用。南瑞SysKeeper-2000网络安全隔离装置采用具有自主知识产权的通道隔离技术（国家知识产权专利号：ZL2004 2 0025888.6）在安全隔离的基础上实现了数据的高速交换。通道隔离技术采用四片32bit高速FIFO芯片，与双口RAM的读写方式不一样的地方在于，双口RAM的访问需要一片连续的地址，而FIFO只需要一个口地址，我们在RISC体系结构的R

22、C2空间随机地取了一个地址加上读写控制线作为FIFO的译码线，而且每台机器的用来译码的地址线是不一样的，这样就极大的保证了数据交换的安全性。在数据交换时，两片FIFO芯片用于内网向外网数据的单向传输，另外两片用于反向数据的安全控制，实现内外网数据传输的独立性，有效的保证了数据交换的高效性。4.2 反向型产品技术原理4.2.1 基于数字证书的签名验证技术设备证书是III区的网关机与I/II区的网关机进行数据传输的身份证明，是一个经证书认证中心（调度通信中心）数字签名的包含公开密钥拥有者信息以及公开密钥的文件，用于对III区的数据信息进行签名，以保证信息的不可否认性，设备证书格式及证书内容遵循X.

23、509数字证书标准和电力数字证书规范。反向型网络安全隔离设备具有基于数字证书的签名与解签名功能，保证数据传输的不可否认性。专用安全隔离装置（反向）用于从信息管理大区到生产控制大区的单向数据传递，是信息管理大区到生产控制大区的唯一一个数据传递途径。专用安全隔离装置（反向）集中接收信息管理大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。具体过程如下：1) 信息管理大区内的数据发送端首先对需要发送的数据签名，然后发给专用安全隔离装置（反向）；2) 专用安全隔离装置（反向）接收数据后，进行签名验证，并对数据进行内容过滤（包含E语言格式的检查）、

24、有效性检查等处理；3) 将处理过的数据转发给生产控制大区内部的接收程序。图6 安全隔离装置（反向）传输原理图4.2.2 纯文本编码转换和识别技术根据全国电力系统二次安全防护的要求，III区发送的文件必需为E语言格式的纯文本文件，并且数据发送端需要将纯文本文件中单字符的ASCII码（非控制字符）转换为对应的双字节码，并能正常显示。南瑞SysKeeper2000隔离装置（反向型）提供了专用API函数，实现单字符的ASCII编码转换,最后得到转换后的双字节（对于可显示字符）编码文件。SysKeeper-2000反向隔离装置对收到的数据进行纯文本的识别，根据数据包中纯文本的各种可能封装形式进行检测，如

25、果数据包中数据为合法的纯文本，反向隔离装置都会按照编码范围正确的识别，保证进入内网的数据为纯文本数据，防止病毒进入内网。4.2.3 数据内容有效性检查（技术特色）SysKeeper-2000反向网络安全隔离装置配套传输软件支持调用本地病毒查杀引擎对已知病毒进行查杀，通过病毒检查后的文件，才会由文件发送端软件发送到内网，保证内网监控系统的安全。通过升级本地杀毒软件，保证外网发送端病毒查杀能力。在进行反向文件发送的时候，首先指定某一待学习文件（该文件为符合电力安全防护要求的纯文本E语言文件），反向传输软件发送端的学习模块通过统计其内部的特殊字符的特征值（包括电力计划文件通用的数据类型、记录分隔符等

26、），形成一个该文件格式的指纹模板，该模板保存至外网文件发送端，如下图所示。待发送某一文件时，首先计算此文件指纹，然后与已经获取的指纹模板进行匹配，如果成功则该文件合法，否则提示用户该文件不合法，写入日志。 通过数据内容有效性检查，大大提高了反向文件传输的安全性。图7 数据内容有效性检查工作原理图4.2.4 高速安全数据交换南瑞SysKeeper-2000网络安全隔离产品（反向型）采用Motorola高性能嵌入式CPU,主频高达350MHz。采用独特的通道隔离技术，保证在安全隔离的条件下实现数据高速交换。在50条安全策略，1024字节报文长度下进行压力测试，数据交换性能如图8所示。测试环境：内外

27、网网关机（P4 2.4G 512M内存 80G硬盘）数据单向加密交换流量为32Mbps,每秒处理数据包能力为2900Packets，南瑞SysKeeper-2000系列隔离装置（反向型）安全数据交换能力比其它品牌隔离装置快40以上。南瑞隔离装置高速的数据交换能力极大的提高了调度中心监控系统数据转发的实时性，可以满足现在和今后系统升级的需要。(注：采用硬件专用测试仪器SmartBit测试，SysKeeper-2000系列隔离装置数据明文交换能力平均为80Mbps，密文数据交换能力最大可达40Mbps左右。)图8 高速数据交换流量测试图4.2.5 支持电力专用对称密码算法进行数据加密在电力反向安全

28、隔离系统中，我们采用SSX06算法芯片研发电力专用密码单元，来完成数据加密、解密、签名、验证等任务，从而保证外网向内外传输数据的私密性、完整性和不可否认性。加密单元的密钥存储器对关键密钥和算法进行安全存储，私钥在物理上保证永不出卡。其主要功能为：l 数据加密/解密；l 支持单向散列；l 数字签名；l 数字验证；l 对等实体鉴别；l 用户访问权限控制。支持的密码算法主要包括：l 对称密码算法：电力专用密码算法； l 公开密钥算法： RSA公钥算法；l 散列算法：专用散列算法；l 保护算法：专用保护算法；安全强度方面：密码算法通过国家主管部门审查批准；整机安全性设计方案通过国家主管部门审查批准；完

29、善的系统保护措施；完善的密码算法保护体制；完善的密钥保护体制，密钥不以明文方式出现在密码卡外；完善的密钥管理体制；提供三层密钥管理体制；所有密码处理均在卡内由硬件实现，所有的密钥决不以明文的形式出现在卡外；随机密钥：采用物理噪声源，生成工作密钥，确保一次一密。 口令保护；屏蔽罩保护。设明文数据包为P=IP HeaderSDU；加密后的密文数据包为C= IP HeaderEDK(SDU)。加解密工作模式采用传输模式，对数据包中的上层净荷数据实施加密，不修改原数据包头。通信协议报文格式示意图如下：IP HeaderSDUP= EDK(SDU)IP HeaderC图9 密文数据报文通信格式4.2.6

30、 提供配套文件传输软件南瑞SysKeeper-2000网络安全隔离装置（反向型）提供专用文件传输软件，用于安全区III到安全区I/II的单向文件发送。反向隔离装置传输软件典型应用原理如下图所示。传输软件支持平台：外网NT 、UNIX（Solaris、Alpha） ；内网 UNIX（Solaris、Alpha）、Linux、NT。图10 反向传输软件工作原理图客户端安装在外网，根据电力调度系统特殊需求，在文件传输的功能上具备定时发送多批文件（分别放置在不同目录），实时发送多批文件（分别放置在不同目录），与手动发送一组文件的功能；采用数字签名技术传输可靠的纯文本数据，在传输中对文本进行编码转换；能

31、够辨别更新的文件，达到只传输更新文件的目的；在设置好实时与定时发送功能后，即使在文件传输中出现链路断开，仍然会及时的在链路恢复正常的时候自动的重连成功并继续发送文件。反向传输软件客户端界面如下图所示。图11 反向文件传输客户端运行界面服务端安装在内网，进行文件传输的时候需要指定传入文件的根目录，传入的文件均放置在此指定的根目录内，并维持原来的目录结构；服务端接受客户端的文件，可以接受多个客户端的连接；服务端提供了FTP转发的功能，能够将收到的文件利用FTP的方式发送到内网其它拥有FTP服务的主机。配置界面如下图所示。图12 反向文件传输服务端运行界面4.2.7 综合报文过滤与虚拟主机IP技术S

32、ysKeeper-2000系列网络安全产品（反向型）在链路层截获数据包，然后根据用户的安全策略决定如何处理该数据包；实现了MAC与IP地址绑定，防止IP地址欺骗；支持应用层特殊标记识别；为了实现处于不同网段的主机之间相互访问，隔离装置采用了虚拟IP技术。所谓虚拟IP，就是在隔离设备中针对两台主机，虚拟出两个IP, 内网的主机被设备虚拟一个外网的IP,这样外网可以通过访问这个虚拟IP达到访问内网的目的，相反外网的主机被虚拟一个内网的IP。有了以上两个虚拟IP，内外网之间的通讯被映射为两个部分:内网对内网，外网对外网的通讯。支持静态地址映射,为用户提供一个全透明安全高效的安全隔离装置。图13 立体

33、综合过滤技术4.2.8 双机热备份通过在同一网络节点使用两台配置相同的安全隔离产品实现双机冗余，从而具有故障恢复功能。双机热备时，一个隔离设备作为主用设备，另一个作为备用设备。两个设备的配置相同，而且运行相同的软件版本。故障恢复线缆将两个网络安全设备的故障恢复接口连接在一起，使两个设备能实现配置同步和链路状态信息同步，这样，当主用设备出现故障（包括掉电、连接的网络线路至少有一根出现故障）时，备用设备无需中断网络连接和破坏安全性就能接替主用设备的工作。 图14 双机热备原理图配置策略：（以TCP为例）主备机配置相同的安全策略：通信协议：TCP内网IP：192.168.0.1 外网IP：10.14

34、4.100.2内网虚拟IP：10.144.100.50 外网虚拟IP: 192.168.0.50南瑞SysKeeper-2000网络安全隔离装置采用真正的双机热备技术，主、备机同时工作，实时交换链路状态信息，达到状态信息的同步。双机切换速度小于1S，对隔离装置两端的设备完全透明，大大优于其它品牌隔离装置的切换速度。(如果连接路由器，切换速度与路由器的ARP地址表更新时间相关)。4.2.9 综合告警信息处理SysKeeper-2000网络安全隔离装置(反向型)具备完善的监控告警功能。隔离装置在受到异常攻击时，可以显示具体的攻击类型；同时设备通过标准告警接口输出告警信息，本地综合告警平台可以随时监

35、控安全隔离设备的工作状态。图15 综合告警信息部署图典型的系统的告警信息界面如下图所示：包括CPU、内存的工况、通信流量信息、数据链路建立情况等。图16 南瑞安全隔离装置日志信息浏览4.2.10 图形化管理SysKeeper-2000系列安全隔离产品提供友好的图形化用户界面，可以进行全新的可视化管理与配置。整个界面使用全中文化的设计，通过友好的图形化界面，网络管理员可以很容易地定制安全策略和对系统进行维护管理。同时通过安全隔离装置提供的专用诊断工具可以方便地对系统进行调试和链路监视。图17 配置管理界面规则配置界面如下图所示。图18 安全策略配置管理界面常用的配置管理操作说明n 添加增加新的规

36、则。当用户增加了新的规则后，点击添加按钮即可将规则添加到配置软件的规则队列中。n 修改对已有的规则进行编辑修改。选择要修改的规则，修改规则中的参数后，点击修改按钮，确认修改；否则不会保存修改过的参数。n 删除删除一条已有的规则。选择要删除的规则，点击删除按钮，则选定的规则将被删除；如果需要删除全部规则，点击删除全部按钮即可。n 复制根据一条已有的规则复制出一条新的规则。选择要复制的规则，点击复制按钮，会复制出一条与原规则相似的规则，所不同的是规则名称。在复制规则中修改相应的各项内容。修改完毕后，点击修改按钮确认修改。n 保存保存操作收集各个参数的输入数据，将规则文件保存到配置终端的内存中，还能

37、够将规则保存在本地用户指定的规则文件中。当用户对隔离装置的规则配置完成后，点击保存配置按钮，提示用户已保存的规则总数并将规则文件保存在配置终端内存中。如果需要保存在本地用户指定的规则文件中，点击保存本地按钮，将规则保存在本地的规则文件中。n 导入将规则文件导入到隔离装置。在规则配置完成后，点击保存配置按钮，保存规则文件。然后点击导入装置按钮，将规则导入到隔离装置的安全存储区中。n 导出导出存储在隔离装置内的规则配置文件。点击装置导出按钮，出现导出系统规则进度条。导出规则成功后，系统会提示成功导出规则并保存，此时规则文件保存在配置终端的内存中。n 载入载入存储在配置终端上的规则配置文件。点击本地

38、加载按钮，弹出规则配置文件选择对话框选择正确的配置规则文件。方便的系统调试隔离装置的配置管理界面中提供非常实用的系统诊断工具，用来诊断隔离装置与网络的连接是否正常。主要包括Ping诊断命令和系统状态监视。1) Ping诊断命令：“诊断命令”提供了“ping”命令。由于隔离装置没有TCP/IP协议栈，所以这个命令不是Unix/Linux下常用的调试网络的命令，而是采用专用报文构造的一个仿ping命令，用来诊断隔离装置是否与内外网络物理连接正常。图19 XPING调试界面2) 系统状态监视：SysKeeper-2000反向隔离具备完备的系统状态监视。具备专用安全日志存储单元，可以对日志进行存储备份

39、。配置管理软件支持本地导出近期日志和历史日志并分析，点击导航栏或者菜单中的”导出当前日志并分析” 或 “导出历史日志并分析”，则将从装置中载入加密日志并自动解密分析其内容，为安全审计提供基础数据源。图20 日志分析界面4.2.11 严格的身份认证SysKeeper-2000网络安全隔离装置支持设置不同的用户类别：系统管理员、管理员、和普通用户等。通过身份认证机制，控制不同用户对安全隔离设备的操作权限。如系统管理员可以增加、删除、修改隔离装置的配置规则，可以增加或删除隔离装置的普通用户，可以查询隔离装置的日志等；普通用户只可以查看隔离装置的配置规则和日志等。针对不同的应用，SysKeeper-2

40、000安全隔离装置(反向型)支持采用基于X.509标准的PKI认证机制(数字签名技术)实现对不同应用的认证，保证了数据传输机密性、完整性和不可否认性。五、安全隔离连接方式南瑞SysKeeper-2000反向型网络安全隔离产品标准配置为内网网络端口2个、外网网络端口2个，网络端口可以根据用户需求进行扩展，最大支持内网4个网络端口、外网4个网络端口，支持端口冗余。传输模式支持： 单进单出 双进单出 双进双出 双网双机网络安全隔离装置透明支持连接路由器、交换机、集线器或者直接和网关机连接。5.1 单进单出在I/II区与III区的区内交换机之间使用一台南瑞反向安全隔离产品，实现内、外网单向隔离，如下图

41、所示。此配置为标准接入方式。隔离装置的其它网络接口可以用于端口冗余备份。图21单进单出5.2 双进单出在I/II区的两个不同应用系统可以同时接入南瑞反向安全隔离装置的eth0与eth1网络接口，实现内、外网“双进单出”隔离，如下图所示。此配置也可以支持双网隔离，即内网为双网方式，与外网的通信网关机进行通信。类似，也可以实现“单进双出”隔离。采用这种接入方式，节约了用户投资，增加了接入方式的灵活性。图22 单进双出5.3双进双出在某些特殊的场合，支持用户将两套完全独立的系统同时接入南瑞反向安全隔离装置，在安全隔离装置内部，两套系统实现了物理上的通道隔离。同时我们在软件上采用数据流控技术，可以优先

42、保证实时数据的快速转发。图23 双进双出5.4 双网双机南瑞SysKeeper-2000安全隔离装置内网单元具备两个独立的10/100M自适应网络接口，外网单元具备两个独立的10/100M自适应网络接口，同时具备完全独立的双机热备接口，完全支持双网双机互联模式。通过在I/II区与III区的区内交换机之间使用两台配置相同的南瑞反向安全隔离装置实现双网双机冗余，从而具有双网故障恢复功能。双机热备时，一个隔离设备作为主用设备，另一个作为备用设备。两个设备的配置相同，而且运行相同的软件版本。故障恢复线缆将两个网络安全设备的故障恢复接口连接在一起，使两个设备能实现配置同步和链路状态信息同步，这样，当主用

43、设备出现故障（包括掉电、连接的网络线路至少有一根出现故障）时，备用设备无需中断网络连接和破坏安全性就能接替主用设备的工作。 反向隔离示意图如下：图24 反向安全隔离装置双网双机部署示意图六、认证证书1、 密码管理局技术鉴定2、 单向连接隔离专利证书3、 公安部检验报告4、 公安部销售许可证5、 型式试验检验报告6、 电磁兼容检测报告7、 解放军信息安全测评认证中心报告8、 国家电力调度通信中心检测证明（反向型）七、安全隔离装置硬件指标南瑞SysKeeper-2000反向型网络安全隔离设备关键元器件的主要技术指标和参数如下表7.1所示。设备名称反向型网络安全隔离产品序号元件名称主要技术指标和参数

44、1内外网嵌入式CPU控制单元2块Motorola Risc体系结构CPU，主频350MHz2综合隔离支撑主板1) 4个10/100M网络接口2) 1个专用告警接口3) 1个专用双机接口4) 32M Flash安全存贮单元5) 4片32bits 高速FIFO传输芯片6) 128K SRAM安全存储单元3电力专用密码处理单元1) 对称密码处理芯片SSX062) 非对称RSA运算处理芯片3) 硬件随机数发生器4电源双电源结构，40W，3输出（12V、5V、3.7V）5智能IC卡读写器单元智能IC卡读写器，带2张32K智能认证卡6机箱标准1U，尺寸(长宽高):350.143040.3毫米金属烤漆，高强

45、度钢板表7.1 反向型网络安全隔离产品主要元器件技术指标产品规格：材料：重负荷钢散热：两个35毫米的散热风扇，带空气过滤网指示器：LED电源指示灯安全隔离设备状态指示灯网络适配器状态指示灯尺寸(长宽高):350.143040.3毫米重量：5千克电源:输入电压：220V AC20%输入频率：50HZ电源功耗：25W平均无故障时间(MTBF)60000小时(100%负荷)工作环境:工作温度：-10-55存储温度：-20-80工作湿度：595%，非冷凝存储湿度：595%，非冷凝性能指标：反向型：1、 100M LAN环境下，数据包密文吞吐量40Mbps (50条安全策略，1024字节报文长度)， 1024位模长，RSA数字签名速率180次/秒。2、 数据包转发延迟：20ms （100负荷）3、 满负荷数据包丢弃率：0