【正文】 根據(jù)《電力二次系統(tǒng)安全防護(hù)規(guī)定》的要求，需要 在生產(chǎn)控制大區(qū)與管理信息大區(qū) 部署電力專用隔離裝置， 在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過(guò)國(guó) 家指定部門檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置 。同時(shí)對(duì)不同安全域之間和縱向上下級(jí)之間的訪問(wèn)進(jìn)行嚴(yán)密的監(jiān)測(cè)和控制，取消不必要的、不符合安全要求的外部接口。 我們建議首先對(duì) 水電公司梯級(jí)調(diào)度中心和下屬的直管電廠進(jìn)行安全區(qū)域規(guī)劃，將現(xiàn)有的業(yè)務(wù)系統(tǒng)按照安全要求重新部署到相應(yīng)的安全區(qū)中。下屬各個(gè)電廠的實(shí)時(shí)數(shù)據(jù)首先在本地通過(guò)電力專用安全隔離裝置單向傳輸?shù)焦芾硇畔⑾到y(tǒng)的數(shù)據(jù)鏡像系統(tǒng)中，然后在外網(wǎng)的數(shù)據(jù)鏡像系統(tǒng)與上級(jí)梯調(diào)系統(tǒng)信息管理中心采用電力專用加密認(rèn)證裝置或者硬件防火墻進(jìn)行數(shù)據(jù)的加密認(rèn)證傳輸，充分保證傳輸數(shù)據(jù)的機(jī)密性、 完整性和不開(kāi)否認(rèn)性。方案二的建議網(wǎng)絡(luò)拓?fù)淙缦聢D所示，圖 2 為下屬的一個(gè)電廠的安全防護(hù)分區(qū)拓?fù)涫疽鈭D，其他電廠可采用類似的安全防護(hù)網(wǎng)絡(luò)結(jié)構(gòu)。 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 圖 2 建議方案網(wǎng)絡(luò)拓?fù)鋱D 本方案只是從邏輯上描述出了基本的數(shù)據(jù)流向和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，具體在進(jìn)行安全防護(hù)工程時(shí)還需要配合其它的防護(hù)措施，比如在同一大區(qū)內(nèi)部的不同安全區(qū)之間需要采用國(guó)產(chǎn)硬件防火墻進(jìn)行邏輯隔離，同時(shí)待條件成熟，可以部署 IDS入侵檢測(cè)系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)視與報(bào)警。 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 三、南瑞 SysKeeper－ 2020 電力專用安全隔離裝置介紹 為滿足 電力系統(tǒng)二次安全防護(hù)的需要 ， 南瑞集團(tuán)公司依托在網(wǎng)絡(luò)安全產(chǎn)品中的廣泛技術(shù)積累和應(yīng)用實(shí)踐經(jīng)驗(yàn)，以 性能好 ﹑ 功能全 ﹑使用簡(jiǎn)便﹑運(yùn)行穩(wěn)定 為網(wǎng)絡(luò)安全隔離產(chǎn)品的設(shè)計(jì)原則，自主研制并推出 SysKeeper2020 網(wǎng)絡(luò)安全隔離系列產(chǎn)品。通過(guò)長(zhǎng)時(shí)間的測(cè)試，網(wǎng)絡(luò)安全隔離設(shè)備具有很高的可靠性、穩(wěn)定性和可以滿足用戶需要的執(zhí)行效率。 南瑞網(wǎng)絡(luò)安全隔離裝置（正向 II 型）前面板圖 圖 7 南瑞網(wǎng)絡(luò)安全隔離裝置（反向 II 型）前面板圖 硬件特色 ? 高安全隔離能力的硬件結(jié)構(gòu) SysKeeper2020 網(wǎng)絡(luò)安全隔離系列產(chǎn)品由兩個(gè)高性能嵌入式微機(jī)及輔助裝 置形成安全隔離系統(tǒng)，嵌入式微處理器采用 RISC 體系結(jié)構(gòu)， 減少受攻擊的概率； 實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的數(shù)據(jù)交換，并且采用安全算法保證安全隔離裝置內(nèi)外兩個(gè)處理系統(tǒng)不同時(shí)連通 ,在保證安全隔離的前提下，實(shí)現(xiàn)數(shù)據(jù)的高速交換。 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 ? 高可靠性硬件設(shè)計(jì) SysKeeper2020 網(wǎng)絡(luò)安全隔離系列產(chǎn)品硬件供電采用的是國(guó)外進(jìn)口開(kāi)關(guān)電源，符合 EN55022 class B,IEC8012,3,4,5, EN605552,3 EMC 標(biāo)準(zhǔn)，平均無(wú)故障時(shí)間達(dá) 64223 小時(shí)。在 PCB 板的設(shè)計(jì)中，加有線性穩(wěn)壓及濾波裝置，并嚴(yán)格 按照 EDA 對(duì)高頻電路設(shè)計(jì)的要求，設(shè)計(jì)了單獨(dú)的電源層與地層，進(jìn)一步保證了整個(gè)板上電源的穩(wěn)定性。 ? 硬件優(yōu)化設(shè)計(jì) 充分考慮電廠和變電站的特殊運(yùn)行環(huán)境， SysKeeper－ 2020 網(wǎng)絡(luò)安全隔離系列產(chǎn)品裝置設(shè)計(jì)遵循分布均勻、布局合理的原則，風(fēng)扇處增加了防塵罩，而且緊靠散熱源，起過(guò)濾作用，避免灰塵和濕氣；機(jī)箱散熱風(fēng)扇也采用滾軸風(fēng)扇，保證了風(fēng)扇的長(zhǎng)期可靠運(yùn)行；通過(guò)增加專用轉(zhuǎn)接板，起到了更好的加固和抗震作用；即使在長(zhǎng)途的運(yùn)輸過(guò)程中，也能充分地保障設(shè)備內(nèi)部的完整性和可用性能。 ? 嚴(yán)格的生產(chǎn)流程控制 南瑞網(wǎng)絡(luò)安全隔離系列產(chǎn)品嚴(yán)格 遵循 ISO9000 2020 版質(zhì)量認(rèn)證體系，對(duì)每一臺(tái)隔離產(chǎn)品的關(guān)鍵芯片和元器件進(jìn)行產(chǎn)品老化試驗(yàn)，所有的隔離產(chǎn)品在出廠前必須經(jīng)過(guò) 240 小時(shí)以上的連續(xù)通電測(cè)試，確保每一臺(tái)網(wǎng)絡(luò)安全隔離產(chǎn)品運(yùn)行的穩(wěn)定性和硬件的高可靠性。 ? 支持雙電源 實(shí)踐經(jīng)驗(yàn)及理論都證明，一個(gè)產(chǎn)品最易出故障的部位在電源部分。在南瑞安全隔離系列產(chǎn)品中，設(shè)計(jì)有雙電源。在工作的時(shí)候 ,有一個(gè)電源作為主電源供電 ,一個(gè)作為輔電源作備份，實(shí)現(xiàn)了主備電源的 在線無(wú)縫切換 ，有效地提高整個(gè)電源工作的可靠性及延長(zhǎng)整個(gè)系統(tǒng)的平均無(wú)故障工作時(shí)間 。南瑞安全 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 隔離系列產(chǎn)品為國(guó)內(nèi)第一 家采用雙電源設(shè)計(jì)的物理隔離產(chǎn)品。 ? 支持雙機(jī)熱備 在實(shí)際應(yīng)用中，可以設(shè)置有雙機(jī)備份，一臺(tái)工作在主機(jī)位置，一臺(tái)工作于備用位置，兩臺(tái)機(jī)器時(shí)刻進(jìn)行通信并進(jìn)行信息備份，一旦 當(dāng)主用設(shè)備出現(xiàn)故障 （包括掉電、連接的網(wǎng)絡(luò)線路至少有一根出現(xiàn)故障） 時(shí) ，或者處于看門狗復(fù)位階段，備機(jī)可以以承擔(dān)起主機(jī)的工作，以避免重要數(shù)據(jù)的丟失。 ? 支持系統(tǒng)告警 南瑞網(wǎng)絡(luò)安全隔離系列產(chǎn)品支持完備的安全事件告警機(jī)制， 當(dāng)發(fā)生非法入侵、裝置異常、通信中斷或丟失應(yīng)用數(shù)據(jù)時(shí)，可通過(guò)隔離裝置專用的告警串口輸出報(bào)警信息。 正向型產(chǎn)品特點(diǎn) ? 安全裁剪內(nèi)核，系統(tǒng) 的安全性和抗攻擊能力強(qiáng) 為了保證系統(tǒng)安全的最大化，南瑞網(wǎng)絡(luò)安全隔離產(chǎn)品（正向型）已經(jīng)將嵌入式內(nèi)核進(jìn)行了裁剪和優(yōu)化。目前，內(nèi)核中只包括用戶管理﹑進(jìn)程管理，裁剪掉 TCP/IP 協(xié)議棧和其它不需要的系統(tǒng)功能， 進(jìn)一步 提高了系統(tǒng)安全性和抗攻擊能力 ，免于黑客對(duì)操作系統(tǒng)的攻擊，并有效抵御 Dos/DDos 攻擊。 ? 數(shù)據(jù)單向傳輸控制 物理上控制反向傳輸芯片的深度，在硬件上保證叢低安全區(qū)到高安全區(qū)的 TCP 應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù)，大大增強(qiáng)了高安全區(qū)業(yè)務(wù)系統(tǒng)的安全性。在物理上實(shí)現(xiàn)了數(shù)據(jù)流的純單向傳輸 ，數(shù)據(jù)只能從內(nèi)網(wǎng)流向外網(wǎng) 。 ? 割斷穿透性 的 TCP 連接 南瑞網(wǎng)絡(luò)安全隔離產(chǎn)品（正向型）采用截?cái)?TCP 連接的方法， 剝離數(shù)據(jù)包中的 TCP/IP 頭 ，將內(nèi)網(wǎng)的純數(shù)據(jù)通過(guò)正向數(shù)據(jù)通道發(fā)送到外網(wǎng)，同時(shí)只 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 允許應(yīng)用層不帶任何數(shù)據(jù)的 TCP 包的控制信息傳輸?shù)絻?nèi)網(wǎng)，保護(hù)內(nèi)網(wǎng)監(jiān)控系統(tǒng)的安全性。 ? 基本安全功能豐富，可實(shí)現(xiàn)在網(wǎng)絡(luò)中的快速部署 采用綜合過(guò)濾技術(shù)，在鏈路層截獲數(shù)據(jù)包，然后根據(jù)用戶的安全策略決定如何處理該數(shù)據(jù)包；實(shí)現(xiàn)了 MAC 與 IP 地址綁定，防止 IP 地址欺騙；支持靜態(tài)地址映射 (NAT)以及虛擬 IP 技術(shù)；具有可定制的應(yīng)用層解析功能，支持應(yīng)用層特殊標(biāo)記識(shí)別，為用戶提供一個(gè) 全透明﹑安全﹑高效的隔離裝置。 ? 獨(dú)特的自適應(yīng)技術(shù) 南瑞網(wǎng)絡(luò)安全隔離系列產(chǎn)品采用獨(dú)特的自適應(yīng)技術(shù)， 隔離設(shè)備沒(méi)有 IP地址，隱藏 MAC 地址，非法用戶無(wú)法對(duì)隔離設(shè)備進(jìn)行網(wǎng)絡(luò)攻擊，有效的提高了系統(tǒng)的安全性能。 ? 網(wǎng)絡(luò)數(shù)據(jù)處理流暢，不會(huì)成為網(wǎng)絡(luò)通訊瓶頸 隔離設(shè)備采用 motorola 高性能 RISC 體系結(jié)構(gòu) CPU，內(nèi)核使用高效的過(guò)濾算法，充分發(fā)揮良好的硬件性能，采用高速傳輸芯片實(shí)現(xiàn)數(shù)據(jù)的高速安全傳輸，百兆狀態(tài)下的有效網(wǎng)絡(luò)吞吐率最高可達(dá) 60～ 80Mbps，不會(huì)造成網(wǎng)絡(luò)通訊的瓶頸。 ? 豐富的通信工具軟件和 API 函數(shù)接口 為了使隔 離設(shè)備達(dá)到預(yù)期的安全效果，經(jīng)過(guò)隔離設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)能浖仨毎凑铡度珖?guó)電力二次系統(tǒng)安全防護(hù)總體方案》的規(guī)定進(jìn)行開(kāi)發(fā)。針對(duì)I/II 區(qū)到 III 區(qū)通信內(nèi)容規(guī)定，南瑞 SysKeeper2020 網(wǎng)絡(luò)安全隔離設(shè)備提供了豐富的通信工具軟件（包括數(shù)據(jù)庫(kù)傳輸軟件和文件傳輸軟件）和 API 函數(shù)接口，方便用戶進(jìn)行二次系統(tǒng)安全隔離改造。 ? 豐富的電力二次系統(tǒng)安全改造經(jīng)驗(yàn) 南瑞 SysKeeper－ 2020 網(wǎng)絡(luò)安全隔離設(shè)備（正向型）與南瑞所有的監(jiān)控 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 系統(tǒng)（包括網(wǎng)、省調(diào)、地調(diào)、縣調(diào)和變電站 SCADA 系統(tǒng)以及水電、火電監(jiān)控系統(tǒng)）進(jìn)行了安全改造 工作和現(xiàn)場(chǎng)的實(shí)際運(yùn)行；同時(shí)與國(guó)內(nèi)外主流的監(jiān)控系統(tǒng)廠商進(jìn)行了廣泛、深入的合作（國(guó)內(nèi)：包括東方電子、魯能積成、上海申瑞等；國(guó)外： 阿爾斯通 監(jiān)控系統(tǒng)、原 CAE 公司監(jiān)控系統(tǒng)、 PI 實(shí)時(shí)數(shù)據(jù)庫(kù)、Valmet SCADA 系統(tǒng)等 ），保證電力二次系統(tǒng)安全防護(hù)工程的順利實(shí)施。 ? 操作簡(jiǎn)單的圖形化用戶界面 南瑞 SysKeeper2020 網(wǎng)絡(luò)安全隔離設(shè)備 提供了友好的圖形化用戶界面，可以進(jìn)行全新的可視化管理 與配置。整個(gè)界面使用全中文化的設(shè)計(jì)，通過(guò)友好的圖形化界面，網(wǎng)絡(luò)管理員可以很容易地定制安全策略和對(duì)系統(tǒng)進(jìn)行維護(hù)管理。用戶只需進(jìn)行簡(jiǎn) 單的培訓(xùn)就可以完成對(duì)隔離設(shè)備的管理與配置。 反向型產(chǎn)品特點(diǎn) ? 安全裁剪內(nèi)核，系統(tǒng)的安全性和抗攻擊能力強(qiáng) 為了保證系統(tǒng)安全的最大化，南瑞網(wǎng)絡(luò)安全隔離產(chǎn)品（反向型）已經(jīng)將嵌入式內(nèi)核進(jìn)行了裁剪和優(yōu)化。目前，內(nèi)核中只包括用戶管理﹑進(jìn)程管理，裁剪掉 TCP/IP 協(xié)議棧和其它不需要的系統(tǒng)功能， 進(jìn)一步 提高了系統(tǒng)安全性和抗攻擊能力 ，免于黑客對(duì)操作系統(tǒng)的攻擊，并有效抵御 Dos/DDos 攻擊。 ? 基于數(shù)字證書(shū)的簽名驗(yàn)證和內(nèi)容檢查機(jī)制 采用基于數(shù)字證書(shū)的數(shù)字簽名技術(shù)，在數(shù)據(jù)的發(fā)送端對(duì)需要發(fā)送的數(shù)據(jù)進(jìn)行簽名，然后發(fā)給專用反向隔離 裝置；隔離裝置收到數(shù)據(jù)后進(jìn)行簽名驗(yàn)證，并根據(jù)用戶對(duì)數(shù)據(jù)的定義檢查數(shù)據(jù)文件的格式和內(nèi)容，支持通用的數(shù)據(jù)類型和記錄分割符，反向隔離裝置將處理過(guò)的數(shù)據(jù)發(fā)送給內(nèi)網(wǎng)的數(shù)據(jù)接收程序。 ? 基于純文本的編碼轉(zhuǎn)換和識(shí)別 根據(jù)全國(guó)電力二次安全防護(hù)的要求，需要將純文本文件中單字符的ASCII 碼（非控制字符）轉(zhuǎn)換為對(duì)應(yīng)的雙字節(jié)碼，并能正常顯示。南瑞 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 SysKeeper－ 2020 反向隔離裝置提供了專用發(fā)送軟件在發(fā)送文本文件數(shù)據(jù)時(shí)，自動(dòng)將半角字符轉(zhuǎn)換為全角字符。 SysKeeper2020 反向隔離裝置對(duì)收到的數(shù)據(jù)進(jìn)行純文本的識(shí)別，如果數(shù)據(jù) 包中數(shù)據(jù)為合法的純文本，反向隔離裝置都會(huì)按照編碼范圍正確的識(shí)別，保證進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)為純文本數(shù)據(jù)。 ? 完善的密鑰管理機(jī)制 SysKeeper2020 反向型網(wǎng)絡(luò)安全隔離設(shè)備提供基于 RSA 公私密鑰對(duì)的數(shù)字簽名和采用專用加密算法進(jìn)行數(shù)字加密的功能。進(jìn)行 RSA 運(yùn)算時(shí)，為了保證密鑰的安全性，提供已密鑰的 ID 號(hào)使用密鑰的功能，密鑰僅存在與反向型網(wǎng)絡(luò)安全隔離設(shè)備的安全存儲(chǔ)區(qū)中，與應(yīng)用系統(tǒng)隔離，不能通過(guò)任何非法手段進(jìn)行訪問(wèn)，極大的提高了數(shù)據(jù)交換的安全性。 ? 割斷穿透性的 TCP 連接 南瑞網(wǎng)絡(luò)安全隔離產(chǎn)品 (反向型 )采用截?cái)?TCP 連 接的方法， 剝離數(shù)據(jù)包中的 TCP/IP 頭 ， 將外網(wǎng)的純數(shù)據(jù)通過(guò)反向安全通道發(fā)送到內(nèi)網(wǎng)，同時(shí)只允許應(yīng)用層不帶任何數(shù)據(jù)的 TCP 包的控制信息傳輸?shù)酵饩W(wǎng)，保護(hù)內(nèi)網(wǎng)監(jiān)控系統(tǒng)的安全性。 ? 基本安全功能豐富，可實(shí)現(xiàn)在網(wǎng)絡(luò)中的快速部署 采用綜合過(guò)濾技術(shù)，在鏈路層截獲數(shù)據(jù)包，然后根據(jù)用戶的安全策略決定如何處理該數(shù)據(jù)包；實(shí)現(xiàn)了 MAC 與 IP 地址綁定，防止 IP 地址欺騙；支持靜態(tài)地址映射 (NAT)以及虛擬 IP 技術(shù)；具有可定制的應(yīng)用層解析功能，支持應(yīng)用層特殊標(biāo)記識(shí)別，為用戶提供一個(gè)全透明﹑安全﹑高效的隔離裝置。 ? 虛擬 IP、隱藏 MAC 地址 南 瑞網(wǎng)絡(luò)安全隔離系列產(chǎn)品采用獨(dú)特的自適應(yīng)技術(shù)， 隔離設(shè)備沒(méi)有 IP地址，隱藏 MAC 地址，非法用戶無(wú)法對(duì)隔離設(shè)備進(jìn)行網(wǎng)絡(luò)攻擊，