【文章內(nèi)容簡(jiǎn)介】 查，如防病毒和惡意代碼等。見圖 B。圖 B一旦數(shù)據(jù)完全寫入安全隔離設(shè)備的單向安全通道，隔離設(shè)備內(nèi)網(wǎng)側(cè)立即中斷與內(nèi)網(wǎng)的連接，將單向安全通道內(nèi)的數(shù)據(jù)推向外網(wǎng)側(cè)，外網(wǎng)側(cè)收到數(shù)據(jù)后發(fā)起對(duì)外網(wǎng)的數(shù)據(jù)連接，連接建立成功后，進(jìn)行 TCP/IP 的封裝和應(yīng)用協(xié)議的封裝，并交給外網(wǎng)應(yīng)用系統(tǒng)，如圖 C 所示。圖 C在硬件控制邏輯電路收到完整的數(shù)據(jù)交換信號(hào)之后，安全隔離設(shè)備立即切斷和外網(wǎng)的直接連接。見圖 D。圖 D當(dāng)外網(wǎng)的應(yīng)答數(shù)據(jù)需要傳輸?shù)絻?nèi)網(wǎng)的時(shí)候，需要通過隔離裝置的專用反向安全通道進(jìn)行數(shù)據(jù)擺渡，傳輸原理與上述相同。硬件控制電路控制反向安全傳輸通道的硬件深度，要求反向回寫的是一個(gè)字節(jié)的數(shù)據(jù)，并且為全 0 或者全 1，反向安全傳輸通道會(huì)產(chǎn)生硬件溢出，因而該數(shù)據(jù)是不完整的。隔離裝置的底層硬件驅(qū)動(dòng)程序里面有數(shù)據(jù)性完整分析功能，也就是說，回寫的數(shù)據(jù)大于一個(gè)字節(jié)，并且不是全 0 或者全 1 會(huì)丟棄。 通道隔離技術(shù)特色（技術(shù)特色）南瑞 SysKeeper2022 網(wǎng)絡(luò)安全隔離裝置為國內(nèi)唯一一家采用單向通道隔離技術(shù)的專用安全隔離產(chǎn)品，通常的網(wǎng)絡(luò)安全隔離技術(shù)主要采用 USB、雙端口 RAM 等實(shí)現(xiàn)內(nèi)、外網(wǎng)的數(shù)據(jù)交換，數(shù)據(jù)從一端流向另一端的標(biāo)準(zhǔn)做法是打開設(shè)備，然后通過寫設(shè)備把數(shù)據(jù)從一端寫入到另一端。如果有一非法侵入，則該侵入可以輕而易舉地突破物理隔離裝置把數(shù)據(jù)直接寫入到內(nèi)網(wǎng)中，因?yàn)樽x寫設(shè)備是一種標(biāo)準(zhǔn)的操作，物理隔離并不能起到真正的隔離作用。南瑞 SysKeeper2022 網(wǎng)絡(luò)安全隔離裝置采用具有自主知識(shí)產(chǎn)權(quán)的通道隔離技術(shù)（國家知識(shí)產(chǎn)權(quán)專利號(hào)：）在安全隔離的基礎(chǔ)上實(shí)現(xiàn)了數(shù)據(jù)的高速交換。通道隔離技術(shù)采用四片 32bit 高速 FIFO 芯片，與雙口 RAM 的讀寫方式不一樣的地方在于，雙口 RAM 的訪問需要一片連續(xù)的地址，而 FIFO 只需要一個(gè)口地址，我們?cè)?RISC 體系結(jié)構(gòu)的 RC2 空間隨機(jī)地取了一個(gè)地址加上讀寫控制線作為 FIFO 的譯碼線，而且每臺(tái)機(jī)器的用來譯碼的地址線是不一樣的，這樣就極大的保證了數(shù)據(jù)交換的安全性。在數(shù)據(jù)交換時(shí)，兩片 FIFO 芯片用于內(nèi)網(wǎng)向外網(wǎng)數(shù)據(jù)的單向傳輸，另外兩片用于反向數(shù)據(jù)的安全控制，實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)傳輸?shù)莫?dú)立性，有效的保證了數(shù)據(jù)交換的高效性。 反 向 型 產(chǎn) 品 技 術(shù) 原 理 基于數(shù)字證書的簽名驗(yàn)證技術(shù)設(shè)備證書是 III 區(qū)的網(wǎng)關(guān)機(jī)與 I/II 區(qū)的網(wǎng)關(guān)機(jī)進(jìn)行數(shù)據(jù)傳輸?shù)纳矸葑C明，是一個(gè)經(jīng)證書認(rèn)證中心（調(diào)度通信中心）數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，用于對(duì) III 區(qū)的數(shù)據(jù)信息進(jìn)行簽名，以保證信息的不可否認(rèn)性，設(shè)備證書格式及證書內(nèi)容遵循 數(shù)字證書標(biāo)準(zhǔn)和電力數(shù)字證書規(guī)范。反向型網(wǎng)絡(luò)安全隔離設(shè)備具有基于數(shù)字證書的簽名與解簽名功能，保證數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性。專用安全隔離裝置（反向）用于從信息管理大區(qū)到生產(chǎn)控制大區(qū)的單向數(shù)據(jù)傳遞，是信息管理大區(qū)到生產(chǎn)控制大區(qū)的唯一一個(gè)數(shù)據(jù)傳遞途徑。專用安全隔離裝置（反向）集中接收信息管理大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有效性檢查等處理后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。具體過程如下：1) 信息管理大區(qū)內(nèi)的數(shù)據(jù)發(fā)送端首先對(duì)需要發(fā)送的數(shù)據(jù)簽名，然后發(fā)給專用安全隔離裝置（反向） ；2) 專用安全隔離裝置（反向）接收數(shù)據(jù)后，進(jìn)行簽名驗(yàn)證，并對(duì)數(shù)據(jù)進(jìn)行內(nèi)容過濾（包含 E 語言格式的檢查） 、有效性檢查等處理；3) 將處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。圖 6 安全隔離裝置（反向）傳輸原理圖 純文本編碼轉(zhuǎn)換和識(shí)別技術(shù)根據(jù)全國電力系統(tǒng)二次安全防護(hù)的要求，III 區(qū)發(fā)送的文件必需為 E 語言格式的純文本文件，并且數(shù)據(jù)發(fā)送端需要將純文本文件中單字符的 ASCII 碼（非控制字符）轉(zhuǎn)換為對(duì)應(yīng)的雙字節(jié)碼，并能正常顯示。南瑞 SysKeeper－2022 隔離裝置（反向型）提供了專用 API 函數(shù)，實(shí)現(xiàn)單字符的 ASCII 編碼轉(zhuǎn)換, 最后得到轉(zhuǎn)換后的雙字節(jié)（對(duì)于可顯示字符）編碼文件。SysKeeper2022 反向隔離裝置對(duì)收到的數(shù)據(jù)進(jìn)行純文本的識(shí)別，根據(jù)數(shù)據(jù)包中純文本的各種可能封裝形式進(jìn)行檢測(cè)，如果數(shù)據(jù)包中數(shù)據(jù)為合法的純文本，反向隔離裝置都會(huì)按照編碼范圍正確的識(shí)別，保證進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)為純文本數(shù)據(jù)，防止病毒進(jìn)入內(nèi)網(wǎng)。 數(shù)據(jù)內(nèi)容有效性檢查（技術(shù)特色）SysKeeper2022 反向網(wǎng)絡(luò)安全隔離裝置配套傳輸軟件支持調(diào)用本地病毒查殺引擎對(duì)已知病毒進(jìn)行查殺，通過病毒檢查后的文件，才會(huì)由文件發(fā)送端軟件發(fā)送到內(nèi)網(wǎng)，保證內(nèi)網(wǎng)監(jiān)控系統(tǒng)的安全。通過升級(jí)本地殺毒軟件，保證外網(wǎng)發(fā)送端病毒查殺能力。在進(jìn)行反向文件發(fā)送的時(shí)候，首先指定某一待學(xué)習(xí)文件（該文件為符合電力安全防護(hù)要求的純文本 E 語言文件） ，反向傳輸軟件發(fā)送端的學(xué)習(xí)模塊通過統(tǒng)計(jì)其內(nèi)部的特殊字符的特征值（包括電力計(jì)劃文件通用的數(shù)據(jù)類型、記錄分隔符等） ，形成一個(gè)該文件格式的指紋模板，該模板保存至外網(wǎng)文件發(fā)送端，如下圖所示。待發(fā)送某一文件時(shí)，首先計(jì)算此文件指紋，然后與已經(jīng)獲取的指紋模板進(jìn)行匹配，如果成功則該文件合法，否則提示用戶該文件不合法，寫入日志。通過數(shù)據(jù)內(nèi)容有效性檢查，大大提高了反向文件傳輸?shù)陌踩?。圖 7 數(shù)據(jù)內(nèi)容有效性檢查工作原理圖 高速安全數(shù)據(jù)交換南瑞 SysKeeper2022 網(wǎng)絡(luò)安全隔離產(chǎn)品（反向型）采用 Motorola 高性能嵌入式CPU,主頻高達(dá) 350MHz。采用獨(dú)特的通道隔離技術(shù)，保證在安全隔離的條件下實(shí)現(xiàn)數(shù)據(jù)高速交換。在 50 條安全策略，1024 字節(jié)報(bào)文長(zhǎng)度下進(jìn)行壓力測(cè)試，數(shù)據(jù)交換性能如圖 8 所示。測(cè)試環(huán)境：內(nèi)外網(wǎng)網(wǎng)關(guān)機(jī)（ 內(nèi)存 80G 硬盤）數(shù)據(jù)單向加密交換流量為 32Mbps,每秒處理數(shù)據(jù)包能力為 2900Packets，南瑞SysKeeper2022 系列隔離裝置（反向型）安全數(shù)據(jù)交換能力比其它品牌隔離裝置快40％以上。南瑞隔離裝置高速的數(shù)據(jù)交換能力極大的提高了調(diào)度中心監(jiān)控系統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)的實(shí)時(shí)性，可以滿足現(xiàn)在和今后系統(tǒng)升級(jí)的需要。(注：采用硬件專用測(cè)試儀器SmartBit 測(cè)試，SysKeeper2022 系列隔離裝置數(shù)據(jù)明文交換能力平均為80Mbps，密文數(shù)據(jù)交換能力最大可達(dá) 40Mbps 左右。)圖 8 高速數(shù)據(jù)交換流量測(cè)試圖 支持電力專用對(duì)稱密碼算法進(jìn)行數(shù)據(jù)加密在電力反向安全隔離系統(tǒng)中，我們采用 SSX06 算法芯片研發(fā)電力專用密碼單元，來完成數(shù)據(jù)加密、解密、簽名、驗(yàn)證等任務(wù)，從而保證外網(wǎng)向內(nèi)外傳輸數(shù)據(jù)的私密性、完整性和不可否認(rèn)性。加密單元的密鑰存儲(chǔ)器對(duì)關(guān)鍵密鑰和算法進(jìn)行安全存儲(chǔ)，私鑰在物理上保證永不出卡。其主要功能為：? 數(shù)據(jù)加密/解密；? 支持單向散列；? 數(shù)字簽名；? 數(shù)字驗(yàn)證；? 對(duì)等實(shí)體鑒別；? 用戶訪問權(quán)限控制。支持的密碼算法主要包括：? 對(duì)稱密碼算法：電力專用密碼算法；? 公開密鑰算法