StoneWall-2000网络安全隔离设备（反向型）技术白皮书中国电力科学研究院电网所北京科东电力控制系统有限责任公司StoneWall-2000系列产品文档 网络安全隔离设备（反向型）技术白皮书目 录1公司简介11.1 中国电力科学研究院11.2 科东公司11.2.1 技术力量11.2.2 组织结构11.2.3 为您提供的服务12 StoneWall-2000网络安全隔离设备（反向型）32.1 开发背景32.2 概述32.3 基本功能42.4 设备特点52.4.1 安全可靠52.4.2 嵌入式病毒查杀52.4.3 数字签名验证技术52.4.4 双字节转换及检查技术52.4.5 病毒粉碎技术52.4.6 硬件的数据流向控制62.4.7 高强度的抗攻击能力62.4.8 高速稳定62.4.9 具有内外网络接口通信状态指示灯62.4.10 配置简单62.4.11 使用方便72.5型号92.6 系统组成92.7 接口配置92.8 接口规范92.9 电气性能92.10 参考的安全规范和标准92.11 抗干扰性102.12 几何及物理特性102.14 安全机理112.14.1 具有专利的物理结构和安全岛技术112.14.2 安全的硬件及操作系统112.14.3 数据包的综合过滤技术112.14.4 数字签名验证技术122.14.5 双字节检查技术122.14.6 病毒粉碎技术122.14.7 状态检测技术122.14.8 高可用技术122.14.9 地址绑定技术132.14.10 双向网络地址转换技术132.14.11 日志审计及实时报警132.14.12 高强度的抗攻击能力132.15 典型应用142.15.1 计算机和计算机主机之间142.15.2 计算机网络和计算机主机之间142.15.3 计算机网络和计算机网络之间14北京科东电力控制系统有限责任公司 181公司简介1.1 中国电力科学研究院中国电力建立最早、专业最齐全的研究院，迄今已有50年历史；有科学院院士、工程院院士及许多电力系统著名专家；有研究生部、博士点及博士后流动站；形成许多品牌产品：如CC-2000调度自动化系统在中国网、省调度自动化系统占有率居全国第一，并荣获2000年国家科技进步一等奖；通过ISO 9001（2000版）的质量认证。1.2 科东公司北京科东电力控制系统有限责任公司(电网所)隶属于中国电力科学研究院，是一个专门从事电力系统自动化方面的技术开发、技术服务、技术咨询、技术培训及工程承包等工作的高新技术软件企业。注册资金1000万元。1.2.1 技术力量科东公司现有中高级以上职称技术人员180多人，其中既有作为博士、硕士研究生导师的著名老专家学者，也有博士硕士并具有丰富实践经验的中青年专家。从成立至今，科东公司已完成大小共几十项电网调度自动化系统工程。 电网所与国家电力公司科技环保部、调度通信中心一起完成了电力调度专用数据网络及电力二次系统安全防护的规划，并成功地申请了国家863计划；电网所是国家电力二次系统安全防护专家组成员（王文博士、杨秋恒教授、高昆仑博士），制定了全国电力二次系统安全防护的总体方案；电网所是国家电力二次系统安全防护工作组成员（王文博士、杨秋恒教授、高昆仑博士），对各地网省调度中心的二次系统安全防护方案进行评审，对各地网省调度中心的二次系统安全防护的实施情况进行了检查。1.2.2 组织结构科东公司实行董事会领导下的总经理负责制。由总经理、副总经理全面负责公司运营、技术工作，下设电网调度自动化、配电自动化、应用仿真、电力市场、技术开发、市场、销售、人事行政、质量管理、东北分公司、南方分公司等部门开展各项业务。1.2.3 为您提供的服务在电力二次系统安全防护领域竭诚为您提供以下服务：电力二次系统网络安全防护方案的设计与实施；电力专用网络安全设备系列产品，包括正向型、反向型隔离设备、纵向加密认证装置、安全网关机、调度证书系统。关于电力二次系统安全防护的咨询和培训。2 StoneWall-2000网络安全隔离设备（反向型）2.1 开发背景调度自动化系统等与当地的MIS系统或因特网之间直接互联（或无缝连接），对电网安全运行构成严重隐患；2000-10-13二滩电厂由于控制系统死机造成川渝电网大范围的停电事故，其中控制系统网络与办公自动化系统网络的直接互联就被认为是事故的一个可能因素；国家电力公司科技环保部2000年科技攻关项目，是国家863项目国家电网调度中心二次系统安全防护的子课题；2001年在国调试运行，并对设备进行多次改型、功能与性能完善；2002年6月，国家经贸委下发30号令；2002年7月通过公安部检验，并获得“网络安全隔离设备”的销售许可；2002年9月由国调、科技环保部在保密局组织了安全测试；2002年9月通过国家网络安全积极防御实验室检测2002年9月通过解放军信息安全评测中心检测2002年9月底，国调、科技环保部组织了安全技术评审，受到何德全、曲延文、吴世忠、杨有权、袁文恭等院士专家的好评。；2003年10月22日 StoneWall-2000网络安全隔离设备获得 实用新型专利 专利号ZL 02 82484.72003年11月15日 StoneWall-2000网络安全隔离设备(反向型) 全国第一个获得国家电力调度通信中心关于电力专用安全防护设备的检测证明2.2 概述 StoneWall-2000网络安全隔离设备（反向型）是由中国电力科学研究院下属电网所-北京科东电力控制系统有限责任公司自主开发研制，具有物理隔离能力的网络安全设备，具有操作简便、高性能、高可靠性等特点。网络安全隔离设备（反向型）采用软、硬结合的安全措施，在硬件上使用双机结构通过安全岛装置进行通信来实现物理上的隔离；在软件上，采用综合过滤、访问控制、应用代理、双字节检查技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时，实现了对非法信息的隔离。StoneWall-2000网络安全隔离设备（反向型）配套软件，实现可信数据根据计划自动或手动地从外网到内网的传输，传输过程中，发送端程序对外网数据进行双字节转换及数字签名，报文在通过网络安全隔离设备前，网络安全隔离设备根据规则进行综合过滤，并对签名进行验证，对验证通过的报文再进行双字节检查，这样检查通过的报文才可以进入内网，以保证内网系统的安全，并保证在网络隔离的情况下可信数据能够进入内网。2.3 基本功能1) 完全满足全国电力二次系统安全防护总体方案标准要求，并通过公安部、国家电力调度通信中心、解放军信息安全评测中心的检测；2) 实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；3) 具有基于非对称加密算法（1024位RSA）数字签名和验证功能4) 通过对文本数据进行全角检查、对二进制数据进行病毒粉碎，进一步防毒5) 通过自动调用杀毒软件查杀病毒6) 在配套软件的配合下，实现可信数据由外网到内网的自动或手动传输7) 自动传递的文件任务可定制，支持更新检查、增量发送8) 任务发送情况有日志记录，可随时查阅9) 支持多种工作模式：无IP地址透明工作方式（虚拟主机IP地址、隐藏MAC地址）、支持网络地址转换（NAT）、混杂工作模式，保证标准应用的透明接入；10) 支持基于状态检测的MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；11) 防止穿透性TCP联接：禁止内网、外网的两个应用网关之间直接建立TCP联接，应将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输；12) 提供完备的日志审计功能，如时间、IP、MAC、PORT等日志信息。对通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的纪录，已备事后审计。13) 具有报警功能，当发生非法入侵、装置异常、通信中断或丢失应用数据时，可输出报警信息；14) 安全、方便的维护管理方式：基于证书的管理人员认证，图形化的管理界面。方便地对装置进行设置，监视和控制系统运行；15) 支持地址绑定功能，可以有效阻止非法用户盗用合法用户的IP地址；16) 支持双向地址转换功能，可以在保障自身网络安全的前提下向外提供服务；17) 具有可定制的应用层解析功能，支持应用层特殊标记识别；18) 提供基于硬件WatchDog的系统监视功能，保证系统连续稳定可靠运行；19) 提供数据传输软件和API函数接口，方便用户进行二次系统安全隔离的改造；2.4 设备特点2.4.1 安全可靠StoneWall-2000建立在具有自主知识产权的安全操作系统基础上。通过对操作系统内核的大规模裁减，剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力，而且操作系统固化在隔离设备中，避免了因操作系统故障而导致设备工作异常。StoneWall-2000网络安全隔离设备（反向型）功能比较全面，具有任务定制、文件名模式匹配、状态检测功能、地址绑定功能、双向地址转换功能、双机热备功能、日志审计功能等，而且由于StoneWall-2000网络安全隔离设备（反向型）使用透明接入方式，是一般用户在正常操作时感觉不到设备的存在，这样既不影响网络的工作效率，又保证了更高的安全性。2.4.2 嵌入式病毒查杀在发送文件时，发送端软件调用本地安装的杀毒软件的杀毒引擎对文件进行扫描并查杀病毒。通过病毒检查后的文件，才会由发送端软件发送到内网，保证内网的安全。通过升级本地杀毒软件，保证病毒检查查杀病毒的能力。2.4.3 数字签名验证技术 反向型隔离设备保留了正向隔离设备综合过滤功能，确保内网的安全。在此基础上，通过综合过滤的报文，需要通过StoneWall-2000反向型网络安全隔离设备的数字签名验证，才可以通过反向隔离设备进入内网，这种数字签名采用非对称数字加密技术（1024bit RSA算法），可以防止非法用户假冒合法用户向内网发送文件。 配套软件在发送数据时自动添加数字签名。2.4.4 双字节转换及检查技术通过数字签名验证的文本报文，需要通过StoneWall-2000网络安全隔离设备（反向型）的双字节检查，才能最终进入内网，通过双字节检查，可以保证进入内网的数据为纯文本数据，而且这种文本数据中的脚本数据也是不能运行的全角数据，可以防止病毒进入内网。2.4.5 病毒粉碎技术发送端软件在发送二进制文件数据时,自动在数据报的特定位置依据专门的算法插入破坏字节以破坏病毒的结构。在StoneWall-2000反向网络安全隔离设备上，通过数字签名验证的二进制数据报文，才能进入内网络。进入内网的报文将被以二进制文件格式存放，接收端的应用程序用专用的API函数读出读取二进制文件，去掉其中的破坏字节，并直接使用该数据进行运算，通过对相应字节的校验，可以检测出文件是否在内网侧被病毒感染过。病毒粉碎技术保证病毒进入内网时已经在结构上被破坏掉，无法发作。2.4.6 硬件的数据流向控制经过网络安全隔离设