二次防护系统基础知识

1、二次防护系统基础知识二次防护系统基础知识 二次防护系统基础知识二次防护系统基础知识 刘刘 辉辉 一一 设备部分设备部分 1 1 防火墙防火墙 防火墙的的目的是保证网络内部数据流的合法性，防火墙的的目的是保证网络内部数据流的合法性， 防止外部非法数据流的侵入，同时管理内部网络防止外部非法数据流的侵入，同时管理内部网络 用户访问外部网络的权限，并在此前提下将网络用户访问外部网络的权限，并在此前提下将网络 中的数据流快速地从一条链路转发到另外的链路中的数据流快速地从一条链路转发到另外的链路 上去。上去。 作用：（作用：（1 1）过滤进、出网络的数据流；）过滤进、出网络的数据流； （2 2）管理进、出

2、网络的访问行为；）管理进、出网络的访问行为； （3 3）记录通过防火墙的信息内容和活动；）记录通过防火墙的信息内容和活动； （4 4）对网络攻击进行检测和报警。）对网络攻击进行检测和报警。 防火墙防火墙 分类：分类： 防火墙防火墙3 3种工作模式：透明模式；路由模式；混种工作模式：透明模式；路由模式；混 合模式。合模式。 原理：原理： 防火墙对流经它的数据流进行安全访问控制，只防火墙对流经它的数据流进行安全访问控制，只 有符合防火墙安全策略的数据才允许通过，不符有符合防火墙安全策略的数据才允许通过，不符 合安全策略的数据将被拒绝。合安全策略的数据将被拒绝。 2 2 入侵检测系统入侵检测系统 入

3、侵检测技术是一种主动发现网络隐患的安全入侵检测技术是一种主动发现网络隐患的安全 技术。作为防火墙的合理补充，入侵检测技术能够技术。作为防火墙的合理补充，入侵检测技术能够 帮助系统对付网络攻击，扩展了系统管理员的安全帮助系统对付网络攻击，扩展了系统管理员的安全 管理能力（包括安全审计、监视、攻击识别和响管理能力（包括安全审计、监视、攻击识别和响 应），提高了信息安全基础结构的完整性。应），提高了信息安全基础结构的完整性。 入侵检测系统入侵检测系统 功能：功能： 1 1、识别黑客常用入侵与攻击手段、识别黑客常用入侵与攻击手段 2 2、监控网络异常通信、监控网络异常通信 3 3、鉴别对系统漏洞与后门

4、的利用、鉴别对系统漏洞与后门的利用 4 4、完善网络安全管理、完善网络安全管理 分类：分类： 基于主机的入侵检测系统，基于网络的入侵检基于主机的入侵检测系统，基于网络的入侵检 测系统。测系统。 3 3 防病毒系统防病毒系统 防病毒安全体系的建立防病毒安全体系的建立 1 1、全方位、多层次整体防护、全方位、多层次整体防护 2 2、防病毒系统兼容性及稳定性、防病毒系统兼容性及稳定性 3 3、无级扩展、无级扩展 反病毒产品选择的原则反病毒产品选择的原则 1 1、能查杀病毒的数量要多，安全可靠性要强、能查杀病毒的数量要多，安全可靠性要强 2 2、要有实时反病毒的、要有实时反病毒的“防火墙防火墙”技术技

5、术 3 3、内存占有量要低、内存占有量要低 4 4、要能够查杀压缩文档中的病毒、要能够查杀压缩文档中的病毒 5 5、恢复数据的能力要强、恢复数据的能力要强 4 4 纵向加密装置纵向加密装置 纵向加密认证是电力二次系统安全防护体系的纵向加密认证是电力二次系统安全防护体系的 纵向防线。采用认证、加密、访问控制等技术措纵向防线。采用认证、加密、访问控制等技术措 施实现数据的远方安全传输以及纵向边界的安全施实现数据的远方安全传输以及纵向边界的安全 防护。防护。 纵向加密认证装置作用：纵向加密认证装置作用： 纵向加密认证装置及加密认证网关用于生产纵向加密认证装置及加密认证网关用于生产 控制大区的广域网边

6、界防护。纵向加密认证装置控制大区的广域网边界防护。纵向加密认证装置 为广域网通信提供认证与加密功能，实现数据传为广域网通信提供认证与加密功能，实现数据传 输的机密性、完整性保护，同时具有类似防火墙输的机密性、完整性保护，同时具有类似防火墙 的安全过滤功能。加密认证网关除具有加密认证的安全过滤功能。加密认证网关除具有加密认证 装置的全部功能外，还应实现对电力系统数据通装置的全部功能外，还应实现对电力系统数据通 信应用层协议及报文的处理功能。信应用层协议及报文的处理功能。 4 4 纵向加密装置纵向加密装置 对处于外部网络边界的其他通信网关的防护对处于外部网络边界的其他通信网关的防护 对处于外部网络

7、边界的其他通信网关，应进对处于外部网络边界的其他通信网关，应进 行操作系统的安全加固，对于新上的系统应支持行操作系统的安全加固，对于新上的系统应支持 加密认证的功能。加密认证的功能。 专线通道的防护专线通道的防护 传统的基于专用通道的数据通信不涉及网络传统的基于专用通道的数据通信不涉及网络 安全问题，新建系统可逐步采用加密等技术保护安全问题，新建系统可逐步采用加密等技术保护 关键厂站及关键业务。关键厂站及关键业务。 4 4 纵向加密装置纵向加密装置 特点：特点： 1 1、通过密钥与装置证书建立加密隧道。、通过密钥与装置证书建立加密隧道。 2 2、支持包过滤访问控制。、支持包过滤访问控制。 3

8、3、支持、支持NATNAT转换。转换。 4 4、有装置管理系统，具备远程配置和安全日志审、有装置管理系统，具备远程配置和安全日志审 计功能。计功能。 加密装置正常工作需要使用哪些协议：加密装置正常工作需要使用哪些协议： IP 253 IP 253 IP 254 IP 254 ESP 50 ESP 50 UDP 514 UDP 514 5 5 物理隔离装置物理隔离装置 电力专用横向单向安全隔离装置作为生产控电力专用横向单向安全隔离装置作为生产控 制大区与管理信息大区之间的必备边界防护措施，制大区与管理信息大区之间的必备边界防护措施， 是横向防护的关键设备是横向防护的关键设备。 单向安全隔离装置分

9、类及作用单向安全隔离装置分类及作用 正向安全隔离装置用于生产控制大区到管理正向安全隔离装置用于生产控制大区到管理 信息大区的非网络方式的单向数据传输。信息大区的非网络方式的单向数据传输。 反向安全隔离装置用于从管理信息大区到生反向安全隔离装置用于从管理信息大区到生 产控制大区单向数据传输，是管理信息大区到生产控制大区单向数据传输，是管理信息大区到生 产控制大区的唯一数据传输途径。反向安全隔离产控制大区的唯一数据传输途径。反向安全隔离 装置集中接收管理信息大区发向生产控制大区的装置集中接收管理信息大区发向生产控制大区的 数据，进行签名验证、内容过滤、有效性检查等数据，进行签名验证、内容过滤、有效

10、性检查等 处理后，转发给生产控制大区内部的接收程序。处理后，转发给生产控制大区内部的接收程序。 5 5 物理隔离装置物理隔离装置 专用横向单向隔离装置的要求：专用横向单向隔离装置的要求： 专用横向单向隔离装置应该满足实时性、可靠性专用横向单向隔离装置应该满足实时性、可靠性 和传输流量等方面的要求。严格禁止和传输流量等方面的要求。严格禁止E-MailE-Mail、 WEBWEB、TelnetTelnet、RloginRlogin、FTPFTP等安全风险高的通用等安全风险高的通用 网络服务和以网络服务和以B/SB/S或或C/SC/S方式的数据库访问穿越专方式的数据库访问穿越专 用横向单向安全隔离装

11、置，仅允许纯数据的单向用横向单向安全隔离装置，仅允许纯数据的单向 安全传输。安全传输。 5 5 物理隔离装置物理隔离装置 特点：特点： 1 1、实现两个安全区之间的非网络方式的安全的数据、实现两个安全区之间的非网络方式的安全的数据 交换，并且保证安全隔离装置内外两个处理系统交换，并且保证安全隔离装置内外两个处理系统 不同时连通；不同时连通； 2 2、透明工作方式：虚拟主机、透明工作方式：虚拟主机IPIP地址、隐藏地址、隐藏MACMAC地址地址 3 3、支持、支持NATNAT 4 4、防止穿透性、防止穿透性TCPTCP联接：禁止两个应用网关之间直联接：禁止两个应用网关之间直 接建立接建立TCPTCP联接联接 5 5、基于、基于MACMAC、IPIP、传输协议、传输端口以及通信方、传输协议、传输端口以及通信方 向的综合报文过滤与访问控制向的综合报文过滤与访问控制 6 6、表示层与应用层数据完全单向传输、表示层与应用层数据完全单向传输 5 5 物理隔离装置物理隔离装置 正向隔离装置与反向隔离装置区别：（反向隔离正向隔离装置与反向隔离装置区别：（反向隔离 装置的特殊点）装置的特殊点） 1 1、反向隔离具有应用网关功能，实现应用数据的接、反向隔离具有应用网关功能，实现应用数据的接 收与转发；收与转发