近期培训：

（线上）

电力网络正反向隔离装置(网闸)

一、安全区定义

根据电力二次系统的特点，划分为生产控制大区和管理信息大区。

生产控制大区分为控制区（安全区Ⅰ）和非控制区（安全区Ⅱ）。

信息管理区域主要划分为生产管理区域，即安全区Ⅲ，以及管理信息区域，即安全区Ⅳ。

各个安全区域设定了各异的安全防护标准，在安全区Ⅰ中，防护等级达到最高，紧接着是安全区Ⅱ，其防护等级略低，后续区域的安全防护要求则依次递减。

安全区Ⅰ内，我们常见的系统包括调度自动化系统、变电站自动化系统、继电保护系统以及安全自动控制系统等。

安全区Ⅱ中的典型系统包括：水库调度自动化设施、电能量计量装置、继电保护及故障波形记录信息管理平台等。

安全区Ⅲ的典型系统包括调度生产管理系统（DMIS）、雷电监测系统以及统计报表系统等。

安全区Ⅳ所采用的典型系统包括：管理信息系统、办公自动化系统以及客户服务系统等。

二、物理隔离

物理隔离是指内部网络与公共网络之间不进行直接或间接的连接。其核心目的是为了确保网络设备、计算机等硬件实体以及通信链路不受自然灾害、人为破坏以及搭线窃听等攻击的侵害。唯有实现内部网络与公共网络的物理隔离，才能有效保障内部信息网络免受互联网黑客的攻击。此外，物理隔离还明确划定了内部网络的安全边界，增强了网络的可控性，便于进行内部管理。

在物理隔离技术问世之前，我们针对网络安全问题实施了一系列防护手段，包括部署防火墙、安装防病毒软件，以及进行网络入侵检测和漏洞扫描等。然而，这些技术因其复杂性极高，导致安全控制能力受限。因此，这些在线分析技术难以满足涉密机构对高度数据安全的需求。此外，这类软件提供的保护主要依赖逻辑机制，而逻辑实体很容易受到操控。因此，务必设置一道极为严密的安全之门，以确保涉密网络中的信息不会遭受泄露或损害，这正是物理隔离所发挥的关键作用。

三、正反向隔离

电力系统依据安全等级的标准，将计算机系统划分为I、II、III三个等级。在I级与II级之间，必须设置防火墙。而I/II级区域与III级区域之间，则需进行物理隔离。也就是说，从I/II级区域发送至III级区域的数据，必须通过正向隔离设备，反之，从III级区域发送至I/II级区域的数据，则需经过反向隔离设备。

正向隔离设备无法接收III区域的信息，其接收量最多仅限于一个字节；而反向隔离设备则允许III区域的文件穿越至I区。

A.正向安全隔离装置

在两个安全区域之间，采用非网络途径进行数据的安全交换，同时确保安全隔离设备内部与外部的两个处理系统不会在同一时间建立连接。

表示层与应用层之间的数据传输是单向的，具体来说，就是从安全区III流向安全区I或II的TCP响应不得包含任何应用数据。

3.透明工作方式:虚拟主机IP地址、隐藏MAC地址

针对MAC地址、IP地址、传输协议、传输端口和通信方向，实施全面的报文筛选及访问权限管理。

5.支持NAT;

为阻止TCP连接穿透：应阻止两个应用网关直接构建TCP连接，并将内外两个应用网关间的TCP连接拆分为内外两个应用网关各自与隔离装置内外两个网卡形成的两个TCP虚拟连接。在隔离装置内部，内外两个网卡不构成网络连接，并且仅允许数据单向流动。

7.具有可定制的应用层解析功能，支持应用层特殊标记识别;

确保安全便捷的维护与管理：采用证书验证的行政人员身份，并配备直观的图形化操作界面。

B.反向隔离装置

反向隔离设备主要负责在安全区III与安全区I/II之间传输信息，它是这一数据交换过程中的独一通道。该设备负责收集从安全区III流向安全区I/II的数据，随后对这些数据进行签名认证、内容筛选以及有效性核实等处理，最终将这些信息转发至安全区I/II内部的指定接收程序。具体操作步骤包括：

全区III的数据发送方首先对拟传输的数据进行数字签名处理，随后将签名的数据传递至反向隔离设备。

反向隔离设备在接收到数据信息后，将执行签名核实操作，同时会对数据内容进行筛选，并对其有效性进行核查。

C.安全区I/II内部接收程序

将经过处理的数据传递至安全区域I或II中的指定接收软件，该软件具备以下功能：

1.有应用网关功能，实现应用数据的接收与转发;

2.具有应用数据内容有效性检查功能;

3.具有基于数字证书的数据签名/解签名功能;

4.实现两个安全区之间的非网络方式的安全的数据传递;

5.支持透明工作方式：虚拟主机IP地址、隐藏MAC地址;

6.支持NAT;

综合运用MAC地址、IP地址、传输层协议、端口号和通信方向等因素，对报文进行过滤和访问权限管理。

8.防止穿透性TCP联接。

D.装置安全保障要点

隔离设备本身理应具备较强的安全保障功能，其安全性能的需求数值涵盖：

1.用非指令系统的(及兼容)微处理器；

2.安全、固化的操作系统；

该系统在设计和实施层面均未发现安全隐患，能够有效防范除DoS攻击以外的所有已知网络攻击手段。

四.网络隔离装置要点

网络隔离设备（充当障碍、调控中心）显著增强了监控系统的安全防护，同时通过筛选掉不安全的服务来减少潜在风险。鉴于只有经过严格挑选的应用协议才能穿越该隔离设备，网络环境因而变得更加稳固。例如，隔离设备能够阻止不安全的NFS协议进入或离开受保护的网络，从而防止外部攻击者利用这些易受攻击的协议对监控系统发起攻击。网络隔离设备不仅能防御针对路由的攻击，例如IP选项中的源路由入侵和ICMP重定向中的路径重定向，还能确保网络安全。它需有能力拦截所有此类攻击的报文，并向网络隔离设备的管理员发出警报。

以网络隔离装置为核心的安全方案设置，使得所有安全策略得以在网络隔离装置上进行配置。相较之下，将网络安全问题分散至各个主机，网络隔离装置所实施的集中式安全管理显得更为便捷且值得信赖。在网络访问情境中，监控系统若采用加密密码或身份验证进行与其他信息系统的交流，这在电力监控系统中几乎不可行。这意味着监控系统需要重新进行测试。因此，采用网络隔离设备进行集中管理，且无需对双端应用程序进行任何修改，无疑是最佳方案。

若所有访问均需通过网络隔离设备，则该设备可对访问进行记录并生成日志，同时还能提供网络使用数据的统计。遇有异常行为，网络隔离设备将发出警报，并详述网络是否受到监控与攻击的情况。

利用网络隔离设备对监控系统及其他信息系统进行分域管理，以此达到对监控系统关键网络区域的独立防护。在监控系统内部，那些看似微不足道的细节或许蕴含着与安全相关的信息，从而吸引外部攻击者的关注。更有甚者，这些细节可能无意中暴露了监控系统的一些安全缺陷。通过部署网络隔离设备，可以有效地隐藏内部信息的泄露，比如，这些设备能够执行网络地址转换（NAT）操作，从而确保一台主机的IP地址不会被外部所知晓，进而防止外部攻击者利用这一信息发起攻击。

横向隔离（横向边界防护）

1.1安全Ⅰ区与安全Ⅱ区之间的边界防护

安全Ⅰ区与安全Ⅱ区之间的业务涵盖多个方面，如通过网络组网对信息子站进行保护、提供功率预测的理论值数据、以及安全Ⅰ区内对时系统的对时报文信息等。在这些业务中，根据实际需求，应当部署一台或多台具备高安全性的硬件防火墙或功能相当的设备。

信息子站采用串口和总线通讯手段收集数据时，可直接连接至相关保护设备，无需额外安装防火墙。

安全Ⅰ区与安全Ⅱ区间的防火墙策略需遵循最小化原则，需对跨越边界的业务涉及的所有IP地址、MAC地址、端口号以及协议类型等实施严格的限制措施。

华为防火墙

1.2生产控制大区与管理信息大区的边界防护

气象预报及相关数据需经由信息管理区域传输至生产指挥区域，该传输通道的边缘需安装电力专用、单向（逆向）的隔离设备。

新能源场站在管理信息大区需查阅生产控制大区的监控数据，或需将数据经由公共网络传输至远端监控中心时，生产控制大区与管理信息大区间的分界线上，必须安装电力专用的横向单向（正向型）隔离设备。

反向隔离装置

1.3安全Ⅲ区与安全Ⅳ区之间的边界防护

安全Ⅳ区的网络接入需与安全Ⅲ区传输信息，故在互联网入口处应安装硬件防火墙或具备类似功能的设备。该防火墙的安全策略宜采用白名单模式，严格禁止启动与业务无关的服务、地址和端口。同时，策略需对源目的地址（或连续的网段）及源目的端口进行限制，避免包含过多的非业务需求地址段和端口。对于端口随机变动的情况，可设定端口范围进行限定。

安全Ⅲ区域内严禁接入未通过认证、缺乏加密等必要安全措施的无线设备及其连接。对于与生产管理无直接关联的办公事务或生活用网络，应将其归类至安全Ⅳ区。