物理隔离在电力系统中的实现.pdf

物理隔离在电力系统中的实现 物理隔离在电力系统中的实现 雷云，凌玉华，廖力清 （中南大学信息科学与工程学院 长沙410083） 摘 要： 物理隔离技术的出现是为了解决传统防火墙不能解决的网络安全问题。 本文提出了物理隔离的一种实现 方案，它适合于电力系统子网中保护电网监控系统，并针对已经存在的网络攻击技术分析了它的安全性。 关键词：物理隔离、嵌入式系统、隔离装置 A realization of physical insulation for electric power system LEI Yun ,LING Yu-hua，LIAO Li-qing (College of Information Science and Engineering，Central and South University，Changsha 410083) Abstract：The technology of the physical insulation is to solve the problem of network security that traditional routers cant deal with. This thesis offers a method to implement the physical insulation, which adapts to protect the supervisory control system of electronic power, and analyzes its characters about network security against present network assault. Keywords: physical insulation, embedded system, insulation device 1 引言 随着计算机应用的普及和网络技术的发展， 网络带给人们更多便利的同时， 也带来了很多前所未有的问题， 网络的安全性就是其中之一。 这主要是因为TCP/IP是冷战时期的产物，目标是要保证通达，保证传输的粗旷 性。通过来回确认来保证数据的完整性，不确认则要重传。而TCP/IP没有内在的控制机制，来支持源地址的鉴 别，证实IP从哪儿来。这就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的这个漏洞，致使他们能够通过监听或 窜改网络上传送的数据、破解密码或者发送蓄意制造的数据来获得机密信息或伤害他人，大多数安全问题都是 这个原因1。 网络安全的主要内容是如何保护网络数据的安全和维持系统的正常运行，人们为了保证网络安全，基本上 是使用防火墙。但是传统的防火墙只能在一定程序上保护网络安全，也很难解决内部网的安全问题，而据权威 部门统计结果表明，网络上的安全攻击事件有70%左右来自网络内部的攻击 2。另外，防火墙难于管理和配置， 容易造成安全漏洞，防火墙管理员必须对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。根据 美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下 2。 由于防火墙不能保证网络安全，国家保密局2000年1月1日起颁布实施的计算机信息系统国际联网保密管 理规定 第二章保密制度第六条规定， “涉及国家秘密的计算机信息系统， 不得直接或间接地与国际互联网或其 它公共信息网络相连接，必须实行物理隔离” 。于是，相关的物理隔离安全技术产品应运而生。物理隔离技术的 主要特点是：内网和外网（内网和外网的概念见第2节）永不连接，内网和外网在同一时间最多只有一个同隔离 设备建立非TCP/IP协议的数据连接。物理隔离产品相对于传统防火墙来说有更高的安全性，它主要用于一个子 网中隔离数据特别机密或系统运行不能被破坏的部分，例如在电力系统子网中保护电网监控系统。为了与传统 的防火墙相区别，本文将我们设计完成的物理隔离产品叫做隔离装置。 2 电力监控系统及信息系统 2.1 电力监控系统 监控系统是指电网运行控制系统，它采集各发电厂和变电站设备的运行状态和运行参数，如电压、电 流、有功和无功功率、有功和无功电量、频率、断路器分合信号、继电保护动作等，送到主计算机进行信 息加工和处理，调度员根据计算机的处理结果决定对电力系统的监控和调节。从安全性看，它与电网安全 直接相关，安全性要求极高。 2.2 电力信息系统 信息系统即调度MIS系统，它是以电力信息主干网络为中心，辐射各发、供电、施工、修造等单位的 计算机信息管理网络系统。对信息系统的要求主要是使用方便，对安全性也有一定的要求。 2.3 监控系统与信息系统互联情况 近年来，监控系统的内涵有了较大的延伸，信息系统的发展也很快。系统互联是生产管理的必然需要。 当前的监控系统与信息系统大多是分不同网段通过网关联接。但是，如果信息系统上安全性不够，对实时 监控系统会带来一些安全隐患(如攻击、病毒、泄密等)，导致电网安全事故。监控系统与信息系统的数据传 输有它的特殊性，它包含如下两部分： 1） 实时数据(按某种规约交换实时信息) 2） 历史数据(数据库、画面、其它文件数据) 3 物理隔离 现在有很多网络攻击都是发生在有防火墙的情况下，所以“防火墙之父”马尔科斯都宣称，他再也不 相信防火墙。于是物理隔离技术应运而生，它的出现就是为了解决网络安全问题。尤其是在那些需要绝对 保证安全的保密网、专网或特种网络与互联网进行连接时，为了防止来自互联网的攻击和保证这些高安全 性网络的保密性、安全性、完整性、防抵赖和高可用性，几乎全部要求采用物理隔离技术。 但是到目前为止，并没有完整的关于物理隔离技术的定义和标准。对物理隔离的理解主要表现为以下几个 方面： 1) 阻断网络的直接连接，即没有两个网络同时连在隔离设备上； 2) 阻断网络的互联网逻辑连接，即TCP/IP的协议必需被剥离，将原始数据通过P2P的非TCP/IP连接协议 透过隔离设备传递； 3) 隔离设备的传输机制具有不可编程的特性，因此不具有感染的特性； 4) 隔离设备传输的原始数据，不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样，也 不会执行命令等； 5) 强大的管理和控制功能。 3 隔离装置 3.1 有关定义 首先将本文中要用到的定义说明如下： 1） 子网 由能够相互通信的二台或二台以上的计算机组成的集合。如果与Internet相连，子网中所有计算机都必 须支持TCP/IP协议。 2） 外网 直接或经过普通防火墙与Internet相连的子网。外网对网络安全的要求相对比较低。 3） 内网 用隔离装置保护起来的子网，即它与外界的通信必须经过隔离装置。内网对网络安全的要求很高，如 果出了问题，会造成严重的后果。 3.2 实现原理 隔离装置分别与外网服务器相连和内网服务器相连，如图1所示。当外网需要有数据到达内网的时候，外 部的服务器立即发起对系统A的TCP/IP协议的数据连接， 系统A将所有的协议剥离， 将原始的数据写入存储介质。 根据不同的应用，还要对数据进行完整性和安全性检查，如防病毒和恶意代码等。如图1中的实线所示。 一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP 协议的数据连接。隔离设备将存储介质内的数据推向内网。如图1中的虚线所示。 内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统，而控制台也随即切断与内 网的连接。 图1 隔离装置的实现原理 3.3 硬件实现 隔离装置的硬件组成如图2所示，它由两套独立的嵌入式系统和一个中间存储器组成。 嵌入式系统采用专用的经过大幅整改的Linux操作系统，具有很好的抗攻击能力。 中间存储器不是采用文件系统方式，而是采用块方式（Block） ，外部主机可以向它发起读和写的请求，内 部主机也可以向它发起读和写的请求，但固态存储介质每次只受理一个。固态存储介质本身不可以向主机发起 连接请求。因此，外部主机和内部主机不会发生连接，只能通过中间存储器进行通信。 隔离装置在接入之前， 要能过串行口进行必要的设置， 并且只能在本地设置， 不支持远程设置和网络设置， 以减少网络设备被远程控制、远程破坏的可能。 规定通道开关打开能通过数据， 关闭则不通。 现在如果外网要向内网发送数据， 数据是按如下方式流动的： 1) 外网向网卡A发送数据； 2) 打开开关A1，接受数据到存储器A，接受完毕后，关闭开关A1； 3) 剥离协议，还原应用数据，如果需要可对应用数据进行检查，如检查是否有病毒； 4) 打开开关A2，数据送到中间存储器，关闭开关A2； 5) 打开开关B2，数据送到存储器B，关闭开关B2； 6) 对数据进行检查是否符合文件格式，如果符合则恢复数据包，否则丢弃； 7) 打开B1，数据经由网卡B发送数据给内网。 从内网到外网的数据传送过程是一个逆向过程。 以上7个步骤， 保证了内网与外网永不连接， 内网和外网在同一时间最多只有一个同隔离装置建立非TCP/IP 协议的数据连接。 外网 内网 网卡A 网卡B 通道开关A1 通道开关B1 通道开关A2 通道开关B2 数据存储器A 中间存储器 数据存储器B 嵌入式计算机A 嵌入式计算机B 串行口 串行口 图2 隔离装置的硬件实现 3.4 将隔离装置用于电力系统 Internet为电力系统的数据交换提供了方便快捷的途径3 ，但与此同时，各类日益严重的网络安全问题也 给这些数据带来了安全威胁，隔离装置就是针对这种需要而设计的。 隔离装置是一种物理隔离产品，所以它对协议是不透明的，对每一种协议都有一种具体的实现，这种实现 是在操作系统的内核中完成的。在电力系统中主要是文件的传送，用隔离装置实现文件的传送不采用FTP方式， 而是将文件看成是字节流，这样只要内网和外网服务器建立TCP连接就可以传送任意类型的文件，隔离装置也 只要剥离TCP层及以下层的协议，就可以提取出原始应用数据，这样可极大的提高传送的效率，这对于实时数 据是非常必要的。 监控系统传送给信息系统的有两种数据：实时数据和历史数据。实时数据是按电力系统的规约生成的字节 流，历吏数据是数据库格式、BMP格式或其他格式的文件，也可以看成是字节流，所以都将它们放在TCP包中 传送。 4 隔离装置的安全性分析 4.1 应用平台 隔离装置本身涉及到不可信网络的一部分还是会受到来自不可信网络的攻击。 隔离装置可以保护别人， 却无法避免自己被攻击。 就像防火墙一样，可以保护别人，无法保护防火墙本身。所以隔离装置本身的安 全非常重要，而保护隔离装置就是要有一个能抗攻击的操作系统。 通用操作系统由于其开放性或本身包含有安全漏洞，所以极易受到攻击。尽管它们可能提供多种多样 的功能，但是操作系统本身的漏洞直接导致了受其保护的网络的安全危机，而且这种通用操作系统的漏洞 是不断被发现的，一经发现网上就会公布，相应的攻击办法也跟着公布，致使最终用户和制造厂商无法应 付。所以一般是采用专用的操作系统，我们采用的是经过大幅整改的Linux操作系统。 为了适应网络安全的要求，我们主要对Linux操作系统进行了如下修改： 1) 取消危险的系统调用,或者截获系统调用，对危险的系统调用进行检查和限制； 2) 采用强制访问机制，限制命令执行权限； 3) 大幅简化网络功能，去掉所有不必要的功能等。 以缓冲区攻击为例， 我们的策略是为建立一个访问控制库ACD， 为其中每一个需要限制的系统调用增加 一个记录，存储该系统可以调用的程序列表，同时在系统调用中加入一个检查函数check()。当有可执行文 件要求ACD中的系统调用时，check()就被调用以检查是否在被许可的范围内。 4.2 协议和连接 目前发现的攻击，主要四种类型：基于应用协议漏洞的攻击；基于TCP/IP协议漏洞的攻击；基于命 令的攻击；基于连接的攻击。 隔离装置是外网和内网的唯一通道，所有从外网到内网或内网到外网的数据都被剥离TCP/IP协议， 还原成原始应用数据，然后再重组数据包，这样就避免了利用TCP/IP协议的漏洞进行攻击的可能性。由于 没有用到应用协议，也就不存在利用应用协议的漏洞进行攻击的可能性。 隔离装置是物理隔离的一种实现，内网和外网是通过对中间存储器的读写操作来实现通信的，并且内 网和外网对中间存储器的操作不可能同时进行，所以内网和外网没有直接相连，这样就避免了基于通信连 接的攻击。另外，从外网到内网传送的都是数据，内网不会去执行，并且内网主机如果不能理解，则会丢 弃，所以不会有基于命令的攻击。 从理论上说，根据目前为止发现的攻击，隔离装置都能避免，对于未知的攻击，只要是基于以上四 种类型，隔离装置也能避免。 4.3 内网的安全性 虽然隔离装置有很高的安全性，但是只要与不可信网络相连，与不可信网络相连的主机，即外网主 机，就有被攻破的可能性。即使如此，基于下面的理由，内网和内网主机也是安全的。 隔离装置的外部主机和内部主机不是通过对话来进行通信的，而是不对话不通信。在最坏的可能的 情况下，黑客入侵了外部主机，黑客也可以向中间存储器写文件，内部主机拿到这些文件后，内部应用在 检查文件格式的时候，如果不能理解这些文件，只好丢掉。内部主机的决策不是由外部主机发来的文件决 定，而是根据内部的安全政策决定。因此，外部不可能控制内部。加上没有连接，没有通信，没有协议， 不可能入侵内部。这样就保证了内网主机的安全性，也就保证了内网的安全。 5 结束语 隔离装置是为了解决电力系统中电网监控系统的安全问