二次防護系統(tǒng)基礎(chǔ)知識

1、二次防護系統(tǒng)基礎(chǔ)知識二次防護系統(tǒng)基礎(chǔ)知識 劉劉 輝輝 一一 設(shè)備部分設(shè)備部分 1 1 防火墻防火墻 防火墻的的目的是保證網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)流的合法性，防火墻的的目的是保證網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)流的合法性， 防止外部非法數(shù)據(jù)流的侵入，同時管理內(nèi)部網(wǎng)絡(luò)防止外部非法數(shù)據(jù)流的侵入，同時管理內(nèi)部網(wǎng)絡(luò) 用戶訪問外部網(wǎng)絡(luò)的權(quán)限，并在此前提下將網(wǎng)絡(luò)用戶訪問外部網(wǎng)絡(luò)的權(quán)限，并在此前提下將網(wǎng)絡(luò) 中的數(shù)據(jù)流快速地從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路中的數(shù)據(jù)流快速地從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路 上去。上去。 作用：（作用：（1 1）過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)流；）過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)流； （2 2）管理進、出網(wǎng)絡(luò)的訪問行為；）管理進、出網(wǎng)絡(luò)的訪問行為

2、； （3 3）記錄通過防火墻的信息內(nèi)容和活動；）記錄通過防火墻的信息內(nèi)容和活動； （4 4）對網(wǎng)絡(luò)攻擊進行檢測和報警。）對網(wǎng)絡(luò)攻擊進行檢測和報警。 防火墻防火墻 分類：分類： 防火墻防火墻3 3種工作模式：透明模式；路由模式；混種工作模式：透明模式；路由模式；混 合模式。合模式。 原理：原理： 防火墻對流經(jīng)它的數(shù)據(jù)流進行安全訪問控制，只防火墻對流經(jīng)它的數(shù)據(jù)流進行安全訪問控制，只 有符合防火墻安全策略的數(shù)據(jù)才允許通過，不符有符合防火墻安全策略的數(shù)據(jù)才允許通過，不符 合安全策略的數(shù)據(jù)將被拒絕。合安全策略的數(shù)據(jù)將被拒絕。 2 2 入侵檢測系統(tǒng)入侵檢測系統(tǒng) 入侵檢測技術(shù)是一種主動發(fā)現(xiàn)網(wǎng)絡(luò)隱患的安全入侵

3、檢測技術(shù)是一種主動發(fā)現(xiàn)網(wǎng)絡(luò)隱患的安全 技術(shù)。作為防火墻的合理補充，入侵檢測技術(shù)能夠技術(shù)。作為防火墻的合理補充，入侵檢測技術(shù)能夠 幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全 管理能力（包括安全審計、監(jiān)視、攻擊識別和響管理能力（包括安全審計、監(jiān)視、攻擊識別和響 應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 入侵檢測系統(tǒng)入侵檢測系統(tǒng) 功能：功能： 1 1、識別黑客常用入侵與攻擊手段、識別黑客常用入侵與攻擊手段 2 2、監(jiān)控網(wǎng)絡(luò)異常通信、監(jiān)控網(wǎng)絡(luò)異常通信 3 3、鑒別對系統(tǒng)漏洞與后門的利用、鑒別對系統(tǒng)漏洞與后門的利用 4 4

4、、完善網(wǎng)絡(luò)安全管理、完善網(wǎng)絡(luò)安全管理 分類：分類： 基于主機的入侵檢測系統(tǒng)，基于網(wǎng)絡(luò)的入侵檢基于主機的入侵檢測系統(tǒng)，基于網(wǎng)絡(luò)的入侵檢 測系統(tǒng)。測系統(tǒng)。 3 3 防病毒系統(tǒng)防病毒系統(tǒng) 防病毒安全體系的建立防病毒安全體系的建立 1 1、全方位、多層次整體防護、全方位、多層次整體防護 2 2、防病毒系統(tǒng)兼容性及穩(wěn)定性、防病毒系統(tǒng)兼容性及穩(wěn)定性 3 3、無級擴展、無級擴展 反病毒產(chǎn)品選擇的原則反病毒產(chǎn)品選擇的原則 1 1、能查殺病毒的數(shù)量要多，安全可靠性要強、能查殺病毒的數(shù)量要多，安全可靠性要強 2 2、要有實時反病毒的、要有實時反病毒的“防火墻防火墻”技術(shù)技術(shù) 3 3、內(nèi)存占有量要低、內(nèi)存占有量要低

5、 4 4、要能夠查殺壓縮文檔中的病毒、要能夠查殺壓縮文檔中的病毒 5 5、恢復(fù)數(shù)據(jù)的能力要強、恢復(fù)數(shù)據(jù)的能力要強 4 4 縱向加密裝置縱向加密裝置 縱向加密認(rèn)證是電力二次系統(tǒng)安全防護體系的縱向加密認(rèn)證是電力二次系統(tǒng)安全防護體系的 縱向防線。采用認(rèn)證、加密、訪問控制等技術(shù)措縱向防線。采用認(rèn)證、加密、訪問控制等技術(shù)措 施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全 防護。防護。 縱向加密認(rèn)證裝置作用：縱向加密認(rèn)證裝置作用： 縱向加密認(rèn)證裝置及加密認(rèn)證網(wǎng)關(guān)用于生產(chǎn)縱向加密認(rèn)證裝置及加密認(rèn)證網(wǎng)關(guān)用于生產(chǎn) 控制大區(qū)的廣域網(wǎng)邊界防護。縱向加密認(rèn)證裝置控制大區(qū)的廣域網(wǎng)邊

6、界防護?？v向加密認(rèn)證裝置 為廣域網(wǎng)通信提供認(rèn)證與加密功能，實現(xiàn)數(shù)據(jù)傳為廣域網(wǎng)通信提供認(rèn)證與加密功能，實現(xiàn)數(shù)據(jù)傳 輸?shù)臋C密性、完整性保護，同時具有類似防火墻輸?shù)臋C密性、完整性保護，同時具有類似防火墻 的安全過濾功能。加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證的安全過濾功能。加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證 裝置的全部功能外，還應(yīng)實現(xiàn)對電力系統(tǒng)數(shù)據(jù)通裝置的全部功能外，還應(yīng)實現(xiàn)對電力系統(tǒng)數(shù)據(jù)通 信應(yīng)用層協(xié)議及報文的處理功能。信應(yīng)用層協(xié)議及報文的處理功能。 4 4 縱向加密裝置縱向加密裝置 對處于外部網(wǎng)絡(luò)邊界的其他通信網(wǎng)關(guān)的防護對處于外部網(wǎng)絡(luò)邊界的其他通信網(wǎng)關(guān)的防護 對處于外部網(wǎng)絡(luò)邊界的其他通信網(wǎng)關(guān)，應(yīng)進對處于外部網(wǎng)絡(luò)邊界

7、的其他通信網(wǎng)關(guān)，應(yīng)進 行操作系統(tǒng)的安全加固，對于新上的系統(tǒng)應(yīng)支持行操作系統(tǒng)的安全加固，對于新上的系統(tǒng)應(yīng)支持 加密認(rèn)證的功能。加密認(rèn)證的功能。 專線通道的防護專線通道的防護 傳統(tǒng)的基于專用通道的數(shù)據(jù)通信不涉及網(wǎng)絡(luò)傳統(tǒng)的基于專用通道的數(shù)據(jù)通信不涉及網(wǎng)絡(luò) 安全問題，新建系統(tǒng)可逐步采用加密等技術(shù)保護安全問題，新建系統(tǒng)可逐步采用加密等技術(shù)保護 關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。 4 4 縱向加密裝置縱向加密裝置 特點：特點： 1 1、通過密鑰與裝置證書建立加密隧道。、通過密鑰與裝置證書建立加密隧道。 2 2、支持包過濾訪問控制。、支持包過濾訪問控制。 3 3、支持、支持NATNAT轉(zhuǎn)換。轉(zhuǎn)換。 4

8、 4、有裝置管理系統(tǒng)，具備遠程配置和安全日志審、有裝置管理系統(tǒng)，具備遠程配置和安全日志審 計功能。計功能。 加密裝置正常工作需要使用哪些協(xié)議：加密裝置正常工作需要使用哪些協(xié)議： IP 253 IP 253 IP 254 IP 254 ESP 50 ESP 50 UDP 514 UDP 514 5 5 物理隔離裝置物理隔離裝置 電力專用橫向單向安全隔離裝置作為生產(chǎn)控電力專用橫向單向安全隔離裝置作為生產(chǎn)控 制大區(qū)與管理信息大區(qū)之間的必備邊界防護措施，制大區(qū)與管理信息大區(qū)之間的必備邊界防護措施， 是橫向防護的關(guān)鍵設(shè)備是橫向防護的關(guān)鍵設(shè)備。 單向安全隔離裝置分類及作用單向安全隔離裝置分類及作用 正向安

9、全隔離裝置用于生產(chǎn)控制大區(qū)到管理正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理 信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。 反向安全隔離裝置用于從管理信息大區(qū)到生反向安全隔離裝置用于從管理信息大區(qū)到生 產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生 產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。反向安全隔離產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。反向安全隔離 裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的 數(shù)據(jù)，進行簽名驗證、內(nèi)容過濾、有效性檢查等數(shù)據(jù)，進行簽名驗證、內(nèi)容過濾、有效性檢查等 處理后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的

10、接收程序。處理后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。 5 5 物理隔離裝置物理隔離裝置 專用橫向單向隔離裝置的要求：專用橫向單向隔離裝置的要求： 專用橫向單向隔離裝置應(yīng)該滿足實時性、可靠性專用橫向單向隔離裝置應(yīng)該滿足實時性、可靠性 和傳輸流量等方面的要求。嚴(yán)格禁止和傳輸流量等方面的要求。嚴(yán)格禁止E-MailE-Mail、 WEBWEB、TelnetTelnet、RloginRlogin、FTPFTP等安全風(fēng)險高的通用等安全風(fēng)險高的通用 網(wǎng)絡(luò)服務(wù)和以網(wǎng)絡(luò)服務(wù)和以B/SB/S或或C/SC/S方式的數(shù)據(jù)庫訪問穿越專方式的數(shù)據(jù)庫訪問穿越專 用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向用橫向單向安全隔離裝

11、置，僅允許純數(shù)據(jù)的單向 安全傳輸。安全傳輸。 5 5 物理隔離裝置物理隔離裝置 特點：特點： 1 1、實現(xiàn)兩個安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)、實現(xiàn)兩個安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù) 交換，并且保證安全隔離裝置內(nèi)外兩個處理系統(tǒng)交換，并且保證安全隔離裝置內(nèi)外兩個處理系統(tǒng) 不同時連通；不同時連通； 2 2、透明工作方式：虛擬主機、透明工作方式：虛擬主機IPIP地址、隱藏地址、隱藏MACMAC地址地址 3 3、支持、支持NATNAT 4 4、防止穿透性、防止穿透性TCPTCP聯(lián)接：禁止兩個應(yīng)用網(wǎng)關(guān)之間直聯(lián)接：禁止兩個應(yīng)用網(wǎng)關(guān)之間直 接建立接建立TCPTCP聯(lián)接聯(lián)接 5 5、基于、基于MACMAC、IPIP、傳輸協(xié)議、傳輸端口以及通信方、傳輸協(xié)議、傳輸端口以及通信方 向的綜合報文過濾與訪問控制向的綜合報文過濾與訪問控制 6 6、表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸、表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸 5 5 物理隔離裝置物理隔離裝置 正向隔離裝置與反向隔離裝置區(qū)別：（反向隔離正向隔離裝置與反向隔離裝置區(qū)別：（反向隔離 裝置的特殊點）裝置的特殊點） 1 1、反向隔離具有應(yīng)用網(wǎng)關(guān)功能，實現(xiàn)應(yīng)用數(shù)據(jù)的接、反向隔離具有應(yīng)用網(wǎng)關(guān)功能，實現(xiàn)應(yīng)用數(shù)據(jù)的接 收與轉(zhuǎn)發(fā)；收與轉(zhuǎn)發(fā)；