科东 物理隔离Stonewall-2000 百兆反向 产品简介

StoneWall-2000网络安全隔离设备（反向型）是由中国电力科学研究院下属电网所-北京科东电力控制系统有限责任公司自主开发研制，具有物理隔离能力的网络安全设备，具有操作简便、高性能、高可靠性等特点。

1、StoneWall-2000网络安全隔离设备（反向型）的基本功能和特性

基本功能

具有基于非对称加密算法（1024位RSA）数字签名和验证功能

通过自动调用杀毒软件查杀病毒

通过对文本数据进行全角检查、对二进制数据进行病毒粉碎，进一步防毒

在配套软件的配合下，实现可信数据由外网到内网的自动或手动传输

自动传递的文件任务可定制，支持更新检查、增量发送

任务发送情况有日志记录，可随时查阅

支持透明连接。网络安全隔离设备（反向型）接入网络，无需对网络的结构及设置做任何改动

支持状态检测功能

支持地址绑定功能，可以有效阻止非法用户盗用合法用户的IP地址

支持双向地址转换功能，可以在保障自身网络安全的前提下向外提供服务

支持双机热备功能

支持日志审计功能，方便管理员的工作，加强网络的安全性

优化、加固的系统内核

在操作简便和安全稳定之间达到了完美和平衡

2 StoneWall-2000网络安全隔离设备（反向型）特性

安全可靠

StoneWall-2000建立在具有自主知识产权的安全操作系统基础上。通过对操作系统内核的大规模裁减，剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力，而且操作系统固化在隔离设备中，避免了因操作系统故障而导致设备工作异常。

StoneWall-2000网络安全隔离设备（反向型）功能比较全面，具有任务定制、文件名模式匹配、状态检测功能、地址绑定功能、双向地址转换功能、双机热备功能、日志审计功能等，而且由于StoneWall-2000网络安全隔离设备（反向型）使用透明接入方式，是一般用户在正常操作时感觉不到设备的存在，这样既不影响网络的工作效率，又保证了更高的安全性。

高速稳定

StoneWall-2000网络安全隔离设备（反向型）采用高速处理器，保证了硬件平台的高速运转，操作系统经过适当裁减和安全加固，保证了软件平台的稳定运行，再加上百兆以太网模块，这些条件保证了高速稳定的网络传输。

硬件数据流向控制

经过网络安全隔离设备（反向型）的数据流向控制是通过特有的硬件实现的硬控制，数据只能有外网流向内网，保证内部系统的安全；

具有内外网络接口通信状态指示灯

高强度的抗攻击能力

处于内网和外网通信通路上的网络安全隔离设备（反向型）无形中成为黑客攻击的首要目标，要保护内网的安全，首先要保证网络安全隔离设备（反向型）具有较强的抗攻击能力，网络安全隔离设备（反向型）采用非INTEL（及兼容）双微处理器，减少被病毒攻击的概率，采用自主版权的操作系统内核，取消所有网络功能，而且设备本身没有IP地址，使得黑客攻击无从下手。

嵌入式病毒查杀

在发送文件时，发送端软件调用本地安装的杀毒软件的杀毒引擎对文件进行扫描并查杀病毒。通过病毒检查后的文件，才会由发送端软件发送到内网，保证内网的安全。通过升级本地杀毒软件，保证病毒检查查杀病毒的能力。

数字签名验证技术

反向型隔离设备保留了正向隔离设备综合过滤功能，确保内网的安全。在此基础上，通过综合过滤的报文，需要通过StoneWall-2000反向型网络安全隔离设备的数字签名验证，才可以通过反向隔离设备进入内网，这种数字签名采用非对称数字加密技术（1024bit RSA算法），可以防止非法用户假冒合法用户向内网发送文件。

配套软件在发送数据时自动添加数字签名。

双字节转换及检查技术

通过数字签名验证的文本报文，需要通过StoneWall-2000网络安全隔离设备（反向型）的双字节检查，才能***终进入内网，通过双字节检查，可以保证进入内网的数据为纯文本数据，而且这种文本数据中的脚本数据也是不能运行的全角数据，可以防止病毒进入内网。

病毒粉碎技术

发送端软件在发送二进制文件数据时,自动在数据报的特定位置依据专门的算法插入破坏字节以破坏病毒的结构。在StoneWall-2000反向网络安全隔离设备上，通过数字签名验证的二进制数据报文，才能进入内网络。进入内网的报文将被以二进制文件格式存放，接收端的应用程序用专用的API函数读出读取二进制文件，去掉其中的破坏字节，并直接使用该数据进行运算，通过对相应字节的校验，可以检测出文件是否在内网侧被病毒感染过。病毒粉碎技术保证病毒进入内网时已经在结构上被破坏掉，无法工作。

随着国家大力发展清洁能源，风（光伏）电场建设日新月异。随着计算机技术、通信技术和网络技术的发展，电场电力系统结构也日益复杂，电场生产控制及管理已经完全依赖于计算机监控系统和数据通信网络系统。尤其随着现在电场跨地域建设和管理，相对封闭的电场生产控制系统与外界的联系越来越紧密，电场生产控制系统遭遇人为破坏的风险大大增加，加上为了提高电场管理效率，电场大量采用跨地域远程控制。这些都对电场生产控制系统和数据通信网络系统的安全性、可靠性、实时性提出了新的挑战。 
2 设计应用 
没有安装隔离网闸的电场内部生产控制系统与数据通信网络系统直接互联，而数据通信网络为满足远程监控的需要通过Internet网为上级提供数据。这样的网络框架很容易使得电场生产控制系统遭受到黑客或者恶意代码对电力二次系统的侵害，从而引发电力系统故障。如图1所示。 
为解决以上安全问题，在电场安装配置正向物理隔离网闸，从物理上隔断电场内部生产控制系统与数据通信网络的直接互联（如图2所示）。具体部署如下： 
（1）在对外数据服务器与生产数据服务器之间架设数据采集服务器，数据采集服务器接入电场内部生产控制系统并完成数据采集工作； 
（2）在数据采集服务器与对外数据服务器之间架设物理隔离网闸以实现数据通信网络系统与电场内部生产控制系统在物理上的隔离。 
具体工作方式如下： 
（1）根据电场内部生产控制系统采用的不同数据协议（风电场一般为OPC协议，光伏电场一般采用104规约）制定数据采集软件，并部署在数据库采集服务器上，将采集到的数据放到制定的文件夹下面。在数据采集服务器上安装物理隔离网闸配套的客户端软件，通过客户端软件找到数据采集服务器，并找到制定文件夹下的文档； 
（2）对物理隔离网闸、数据采集服务器、对外数据服务器配置网络环境； 
（3）在对外数据服务器上安装部署物理隔离网闸配套的服务端软件，监听客户端软件，接收传输过来的文档；在对外数据服务器上安装部署数据解析程序，对接收到的文档进行数据解析并插入到相应的数据库中，为远程提供数据支持。 
3 测试结果 
在新疆某个电场进行了长达一年的测试，试运行过程中无数据丢失、保证了内外网的安全可靠。具体测试结果如下： 
（1）数据采集程序采集到数据并按照规定的格式生成了txt文檔，且放到了指定文件夹txtFile下面；通过物理隔离网闸客户端软件传输txt文档，结果如图3所示。 
（2）对外服务器通过数据解析程序将指定文件夹下的txt文档解析并把数据插入到数据库中。通过隔离网闸服务端软件监听客户端软件并接收txt文档，结果如图4所示。