<4D F736F F D D B0B2C8ABB8F4C0EBCDF8B9D8BCBCCAF5CBB5C3F7>

DF-ISG(DataFactory - Isolate Security Gateway) 安全隔离网关 ( 网络单向隔离器 ) 1 产品概述 DF ISG 网络单向隔离器主要由内网模块外网模块和专用单向硬件三部分构成内网模块与内网相连, 外网模块与外网相连, 内外网模块分别负责内外网信息的获取和协议分析, 内部模块主程序根据安全策略完成信息的安全检测, 内外网络隔离和安全交换 DF ISG 网络单向隔离器严格遵照国家有关主管部门的设计规范要求进行开发设计采用多主机隔离体系结构, 通过专有硬件完成信息单向传输, 从而实现网络的安全隔离国家保密局对安全隔离与信息交换类产品的应用做了规定, 规定安全隔离与信息交换系统在以下四种网络环境下应用 :1 不同的涉密网络之间 ;2 同一涉密网络的不同安全域之间 ;3 与 Internet 物理隔离的网络与秘密级涉密网络之间 ;4 未与涉密网络连接的网络与 Internet 之间 DF ISG 网络单向隔离器主要应用于流程企业 ( 如发电企业 ) 信息系统建设中, 避免安全等级较低的外部网络对安全等级较高的内部网络的攻击和破坏主要应用定位包括 : 1 企业纵向网上各级节点对外提供的各项业务服务的接口 2 企业纵向网内部上下级不同安全域之间进行数据交换的接口 3 各行业与本行业业务相关的其他政务部门之间进行数据交换的接口 DF ISG 网络单向隔离器严格控制数据流向和返回字节数, 能够提供两个网络之间两台主机之间及主机和网络之间数据交换的最高级别安全保护 2 典型应用 DF-ISG 网络单向隔离器主要面向信息网络层次安全域较多的流程工业生产过程中产生的海量运行数据是流程企业的最宝贵的资源之一, 从前为了实现生产全过程的控制和管理, 企业必须安排大量的人员频繁深入现场完成现场抄表等工作以获取这些数据, 结果是采集数据量有限, 安全隐患增加, 同时造成了人员的浪费信息网络的迅速发展, 将生产网络的数据汇总到企业信息管理网, 大大减轻了企业的人力资源负担同时也给生产带来了极大的便利这也为生产网络与企业信息网之间的安全隔离提出了新的要求例如, 发电企业普遍采用 DCS SIS MIS 三级网络结构,DCS 直接与现场设备相连, 我们称之为生产控制网在 DCS 和 SIS 之间, 以及 SIS 和 MIS 之间都需要采用物理基于单向传输原理的 DF-ISG 网络单向隔离器能很好的满足这种新的要求北京东方鼎晨科技有限公司 010 51659507 1

应用 DF-ISG 网络单向隔离器整体隔离的典型 SIS 网络结构如上图, 发电厂分散控制系统 DCS 远程终端控制系统 RTU 脱硫除灰化水辅控等控制系统根据其与 SIS 机房的远近关系, 分别铺设一根电缆或光缆连接到一个 DF-ISG 网络单向隔离器上 SIS 内网两台冗余数据库服务器分别连接到核心交换机, 并通过磁盘阵列相连, 并通过另一个 DF-ISG 网络单向隔离器与电厂管理信息系统 MIS 的镜像服务器相连, 从而实现分散控制系统 DCS 与厂级信息监控系统 SIS 之间及厂级信息监控系统 SIS 与电厂信息管理系统 MIS 之间数据的单向传输和安全隔离北京东方鼎晨科技有限公司 010 51659507 2

3 产品技术描述 DF ISG 网络单向隔离器是新一代网络安全隔离产品, 可广泛应用于电力冶金等需要严格安全控制的单位 3.1 系统架构 3.1.1 产品外观 DF-ISG 网络单向隔离器前面板如下图所示, 前面板提供了标志系统数据网络电源五组信号灯, 帮助用户判断单向隔离器的运行状态单向隔离器后面板示意图如下输入输出端以太网口分别与内外网络相连, 用于数据通讯 ; 输入输出端串口分别完成单向隔离器内外网侧配置信息的维护和管理随机附带有一根串口连接线和两根电源线 3.1.2 产品规格工业标准的 1U 标准机箱, 可以方便地放在标准机架上尺寸 44 430 357mm( 高宽深 ) 功率小于 30W 工作环境 10~60 电源双电源模块, 支持 220V 电源输入控制器端口 EIA RS 232C 网络接口 100 Base T, ( RJ45 ) 北京东方鼎晨科技有限公司 010 51659507 3

3.1.3 硬件架构 DF-ISG 网络单向隔离器采用 2+1 模型结构设计即内网主机模块外网主机模块加上单向隔离模块内外主机模块采用两个 RISC 架构的嵌入式计算机, 裁减的嵌入式 Linux 系统, 性能稳定, 质量可靠单向隔离模块采用专用的单向传输器件, 严格保证数据单向传输利用单向器件的一根返回信号线将外网主机模块的通讯连接情况告知内网主机模块, 由此触发内网主机模块进行相应的处理下图为专用单向传输器件工作原理示意图该器件有两个端口, 写端口和读端口与其他数据存储器件不一样的地方在于, 其读写端口均不需要地址线, 而只需要数据线与读写控制线, 因为他只有一个口地址在写端口写入的数据按照先进先出的顺序依次被推入到读端口读端口可以依次读出写端口写入的数据读端口没有写控制线, 写端口没有读控制线, 因此, 该器件是一个纯物理单向数据流器件 DF ISG 网络单向隔离器就是利用该器件的这种工作特性, 实现数据单向传输的系统硬件架构如下所示 : DF-ISG 网络单向隔离器采用单板双 ARM 系统芯片, 嵌入式 LINUX 操作系统内网模块负责接收内网数据, 经过处理后, 通过单向硬件传送给外网模块, 由外网模模块对数据打包并发送到外网由单向硬件确保数据只能从内网向外网传送, 割断了外网向内网传送的可能性提供两个以太网口, 供内外网连接使用提供一个串口, 设置上传内外网通讯规则 3.1.4 软件架构 DF-ISG 网络单向隔离器是一个数据单向传输设备, 即严格限制数据流向的传输设备我们定义 DF-ISG 网络单向隔离器与安全等级较高的网络或主机连接的单元为内网侧, 与安全等级相对较低的网络或主机连接的单元为外网侧, 二者通过专用的单向传输硬件进行数据单向传送下面, 以发电企业 DCS 与 SIS 之间应用 DF-ISG 网络单向隔离器前后数据通信情北京东方鼎晨科技有限公司 010 51659507 4

况为例进行分析并定义 DCS 侧的某个进程与 SIS 侧某个进程进行一次具体应用的通信链路为一个连接采用 DF-ISG 网络单向隔离器之前,DCS 与 SIS 两个系统之间通过通用的网络通讯协议或特定的通讯规则进行数据通讯,DCS 网络安全得不到保障加入 DF-ISG 网络单向隔离器后, 截断了原来数据传输的通道, 采用特定的方法实现 DCS 至 SIS 数据单向传输为保证不影响有效数据的传输,DF-ISG 网络单向隔离器将原来的一个客户机 / 服务器的通信过程分解成两个客户机 / 服务器的通信过程来完成, 从而在两个通信过程中实现网络的隔离由于网络通讯的功能一般都是建立在 TCP/IP 协议的第三层 (TCP) 之上的因此,DF-ISG 网络单向隔离器应用软件并不需要预先知道用户数据的任何格式及通信规约, 只需要知道为完成数据传输而需要的通信设备的 IP 地址及端口号即可完成网络层的通讯连接及数据传输整个通信过程的建立至少需要以下信息 : a) 数据源设备的 IP 地址 b) 数据源应用的通讯端口号 c) 数据源采用的网络通讯协议 d) 目的设备的 IP 地址 e) 目的设备应用的端口号 f) 目的设备采用的网络通讯协议此外,DF-ISG 网络单向隔离器提供基于 Windows 系统的 GUI 图形化管理工具及日志审计功能, 有效的帮助用户使用管理和维护单向隔离器系统软件功能框图如下图所示 : 单向隔离器应用软件内外网两侧分别设计三个功能模块, 分别为 : 通讯功能串口配置日志功能两个系统之间利用自主开发的硬件驱动, 实现写读, 由单向传输硬件保证数据的单向流动状态回报单向隔离器内网 ARM( 内网 ) ARM( 外网 ) 外网通讯主机 TCP UDP 通讯功能串口配置 Write 单向传输硬件 Read 通讯功能串口配置 TCP UDP 通讯主机日志功能日志功能北京东方鼎晨科技有限公司 010 51659507 5

3.2 产品特点安全操作系统 DF ISG 网络单向隔离器采用专门定制的 RISC 架构的双微处理器, 嵌入式 LINUX 操作系统, 所有不需要的网络功能全部裁减掉, 具有极高的安全性和稳定性纯单向数据传输 DF ISG 网络单向隔离器采用专用的隔离器件, 实现了应用层数据完全单向传输, 将外部通讯连接转化为内部协议, 实现了协议落地, 内外网之间 TCP 回应字节数为 0 支持地址绑定 DF ISG 网络单向隔离器支持 IP 和 MAC 地址绑定, 加强了过滤识别, 有效保证了传输数据的安全性双工作模式 DF ISG 网络单向隔离器具有网络地址转换功能, 因此可以同时支持同一网段或不同网段数据的单向传输 GUI 管理 DF ISG 网络单向隔离器提供了可以运行于 Windows XP/Windows Server 2003 环境下的 GUI 图形化管理工具, 可实现安全规则配置用户管理日志查询等操作, 使得管理和维护更加便捷直观冗余电源设计 DF ISG 网络单向隔离器采用双电源设计, 充分提高了产品的可用性和稳定性体积小 DF ISG 网络单向隔离器采用工业标准的 1U 标准机箱, 尺寸为 44 430 357mm( 高宽深 ), 可以方便地放在标准机架上, 便于安装携带 3.3 产品功能 DF ISG 网络单向隔离器具有以下功能 : 支持同一网段数据的单向传输支持不同网段数据的单向传输支持多端口监听支持 IP 地址和 MAC 地址绑定支持 TCP 和 UDP 通讯协议北京东方鼎晨科技有限公司 010 51659507 6

GUI 图形管理两个配置串口完成内外网两侧通讯设置支持日志审计 3.4 安全策略 DF ISG 网络单向隔离器采用默认禁止的访问控制策略, 即规则配置中没有明确定义的, 都禁止访问用户必须根据实际系统的情况设置通讯规则, 一条完整的通讯规则必须包括以下几个方面 : 通讯协议, 支持 TCP 和 UDP 协议通讯 ; 通讯的源 IP 地址 MAC 地址 ; 通讯的目的 IP 地址 MAC 地址 ; 通讯端口号 ; 用户还可以选择绑定 IP 地址和 MAC 地址, 启用地址转换单向隔离器根据系统管理员或有权限的用户预先设定的这些规则检查数据包综合过滤, 决定哪些数据容许通过, 哪些数据不能通过, 保护内部安全网络免受外部攻击, 从软件方面保证单向隔离器的安全性 3.5 管理工具简介 DF-ISG 网络单向隔离器管理工具支持多帐户管理, 定义了三个不同权限的用户组, 管理员普通用户匿名帐户只有具有相应权限的用户才能执行相应的操作管理员具有设备维护和管理的最高权限, 管理员可以通过专用的 GUI 图形管理和超级终端两种方式对单向隔离器进行维护普通用户具有通讯规则配置和日志浏览的权限, 来宾帐户仅拥有日志浏览的权限普通用户及来宾帐户可以通过单向隔离器管理工具完成操作各用户组的权限说明见下表 : 序用户组号 1 Administrator 2 User 3 Guest 描述管理员普通用户来宾许可帐户名密码用户管理规则设置日志浏览设置最大登录失败次数 1 Administrator 自定义 3 自定义自定义无无 1 Guest 无无无无北京东方鼎晨科技有限公司 010 51659507 7

帐户管理员拥有最高的权限, 可以设置普通用户最大允许的登录失败次数系统默认的管理员帐户为 Administrator, 密码为 000000 单向隔离器的配置包括输入端口和输出端口配置两个部分在使用管理工具进行管理时, 需要首先将串口配置线的一头连接到调试终端设备串口, 另一头连接到单向隔离器的输入端口或者输出端口北京东方鼎晨科技有限公司 010 51659507 8

<4D6963726F736F667420576F7264202D2044462D53494720B0B2C8ABB8F4C0EBCDF8B9D8BCBCCAF5CBB5C3F7>