信息安全网络隔离装置培训v1.3

信息安全网络隔离装置用户培训2008年10月热烈欢迎电力信息网络专家前来交流！主要内容一、隔离装置总体介绍二、隔离装置相关知识及典型应用三、隔离装置实施的要求四、隔离装置的配置使用五、演示与交流2隔离装置总体介绍目标实现总体情况隔离装置的功能、特点隔离装置的设计、组成双网隔离的背景、架构3信息网双网隔离背景根据安全现状提出信息内网划分•将内部员工的办公终端与仅仅用于内部办公的应用系统全部划归在信息内网信息外网划分•将纯粹用于对外提供公众服务、不含涉密信息的应用系统全部放在信息外网装置研制背景•存在部分应用既要对外面向公众服务，同时含有一些内部信息或是内部办公需要使用4双网隔离总体结构互联网接入区生产控制大区信息内网调度生产外网交互内网应用内网办公终端外网上网终端管理信息大区信息外网电力市场交易(内)招投标(内)电力营销(内)其他业务（内）电力市场交易(外)招投标(外)电力营销(外)其他业务（外）正向隔离装置反向隔离装置公司互联网出口外部网站调度数据网内部门户逻辑强隔离设备互联网防火墙单向隔离5安全防护效果综述外网内网外网内网部署前部署后攻击类型病毒、恶意代码、人为人为攻击层次链路、网络、应用应用攻击来源整个外网特定应用服务器攻击目标整个外网特定数据库服务器攻击效果窃密－完全控制数据库内容非法访问目标实现总体情况7装置定位及目标安全隔离装置部署在信息内外网之间实现双网逻辑强隔离阻断外网对内网的攻击在满足外网应用对内网数据库正常合法访问的同时，对数据库服务器进行保护。总体情况可靠性安全性设计目标实现情况8设计目标具体要求实现网络层访问控制基于MAC/IP/TCP/PORT的安全访问控制√数据库访问控制对Oracle数据库进行协议解析√应用层SQL访问控制通过策略，对系统表、应用表恶意操作进行防护，对SQL攻击进行防护√安全审计网络层，传输层，应用层安全审计√设计目标实现情况总体情况可靠性安全性设计目标实现情况9设计目标具体要求实现自身安全性采用国产安全linux操作系统，有效抵御从网络发起对装置的攻击行为，具备完善的安全审计功能√双机热备透明工作模式下双机的快速切换；√硬件体系研祥工控机√电磁兼容性电科院、南自院、武高院EMC三级√设计目标实现情况总体情况可靠性安全性设计目标实现情况10研发历程总体情况可靠性安全性评审、测试、运行验证、奥运保障时间点事件2007年10月研发项目启动2007年12月原型实现2008年3月国网总部应用系统上线试运行奥运城市开始推广部署2008年4月通过国网组织的专家评审2008年5月V3版本开始定型，进一步增强安全性、可靠性。组织测试组开始进行大量测试2008年9月通过国网信通公司组织的业务应用适应性测试通过总参安全性测试，V3.0版本正式定型功能安全性分析项目隔离装置防火墙操作系统级安全性1.无TCP/IP协议栈2.无root用户，采用四权分立3.国产安全加固Linux操作系统4.多级专用安全机制控制1.有TCP/IP协议栈2.有root用户3.内部裁剪Linux网络层访问控制基于MAC/IP/协议/端口的安全访问控制基于MAC/IP/协议/端口的安全访问控制数据库TNS访问控制TNS协议解析SQL语句还原X对比目前防火墙产品总体情况可靠性安全性功能安全性分析对比目前防火墙产品项目隔离装置防火墙应用层SQL访问控制对系统表的保护；对应用表恶意操作的防护；对SQL注入等攻击的防护；X安全审计网络层，传输层，应用层网络层，传输层功能实现网络及传输层的报文过滤，以及数据库访问的应用层协议解析，对应用层数据内容－SQL语句进行分析、检测与过滤，阻断恶意SQL访问，保护数据库及数据内容的安全。实现网络及传输层的报文过滤，无法实现数据库访问的应用层协议解析；总体情况可靠性安全性操作系统安全性分析操作系统安全性安全隔离装置OS通用防火墙OS通过总参测评中心测试的安全级别达到B1级的国产安全Linux系统通用Linux已稳定运行在调度中心、军队等场合裁剪掉TCP/IP协议栈，无IP地址具有IP地址无ROOT用户，四权分立，无法提升权限有ROOT用户具备强制运行控制，强制能力控制，访问控制列表等专有特性X总体情况可靠性安全性硬件可靠性分析14通过对选定的研祥工控机分别到电科院、南自院、武高所作EMC测试，选定安全隔离装置的硬件达到EMC的三级要求;硬件平均无故障时间（MTBF）达到行业最高级3级30000小时；四个千兆网络接口;支持watchdog;采用冗余电源支持热插拔;电源故障蜂鸣报警;BIOS可编程控制，保证网络资源优先；加装风扇，增强散热。总体情况可靠性安全性硬件可靠性操作系统可靠性分析15在国调中心稳定应用。在军队及政府稳定应用。软关机功能，确保系统能长期稳定运行；支持软件watchdog功能。总体情况可靠性安全性操作系统可靠性设备整体可靠性分析16总体情况可靠性安全性容错程序不可用硬件看门狗操作系统不可用双机单台装置不可用整体可靠性装置介绍装置名称：SGI-NDS100信息安全网络隔离装置装置外观和布置位置：17隔离装置外观、接口面板指示灯LCD显示屏背板（网口、电源）装置外观介绍隔离装置的特点双机热备安全软硬件结构安全综合防护应用层协议解析SQL过滤功能采用经过安全部门认证的国产安全操作系统和国产工业级千兆硬件，系统整体的安全性和处理性能强。日志审计系统支持对数据报文的源、目的地址、协议及相应的源、目的端口、MAC地址等属性进行组合隔离装置支持双机热备功能，一旦当主用设备出现故障时，备机可以以承担起主机的工作，以避免重要业务数据的中断。对常用的Oralce数据库协议进行解析与数据流还原，只容许特定的TNS协议报文穿透装置，进一步从应用协议保证内网数据库安全对SQL语言的操作指令进行细粒度控制，阻断所有注入、攻击等非法行为，保护关键的库和数据表等隔离装置能依据系统要求记录敏感通信事件和管理事件。支持采用网络方式将日志发送到综合告警平台。信息安全隔离装置19装置其他特点20•采用IntelP4CPU,主频2.8G,能够满足大流量下的高性能的需求;•采用CF卡固化的操作系统和文件系统,增加系统的物理可靠性;•整个系统硬件结构满足电磁兼容特性三级要求;硬件配置特点•安全操作系统剔除不可靠的通用TCP/IP协议栈；•安全隔离装置本身无需网络地址即可工作；•本身能在一定程度上防御常见的网络攻击行为，因此设备本身能对来自外部网络的攻击有一定免疫能力。高安全性的操作系统配置•安全隔离装置核心程序直接对网卡进行操作,系统无协议栈,无须配置任何地址,对用户完全透明,无须对用户网络拓扑做任何改动透明接入方式装置防护设计思想综合数据防护体系链路层IP层TCP层TNS/TDS应用层SQL语法SQL语义SQL行为21程序功能模块22装置内主要文件介绍类型文件名说明程序文件/sg186/dbkeeper隔离装置主程序/sg186/config配置文件接收端/sg186/rule_checkSQL安全策略检查工具/sg186/msgSender消息发送程序/sg186/statPumper主程序状态查看/sg186/daemonDbkeeper主程序的监控程序/sg186/daemonConfig配置程序的监控程序配置文件/etc/policy.conf通信策略配置文件/etc/default.polSQL安全策略/etc/dbkeeper.ini功能配置文件23主要内容一、隔离装置总体介绍二、隔离装置相关知识及典型应用三、隔离装置实施的要求四、隔离装置的配置使用五、演示与交流24装置相关知识和典型应用信息内外网数据交互的原则和方法单向隔离装置的配合使用数据库版本、驱动、协议25典型业务系统的改造方案常见数据库的网络传输协议26常见数据库及其协议•Oracle：TNS•Sybase、SQLServer：TDS•DB2：DADR目前国家电网各级部门主要采用•Oracle10g•Oracle9iOracle数据库相关本装置支持的版本号：9i、10g支持的连接驱动Thin数据库的维护工具软件一般用OCI，这些软件无法通过装置维护内网数据库。常用工具（采用的是Thin驱动）：SquirreLSQLV2.6.1SQLdeveloperV1.2.127Oracle数据库的两种驱动对比28OCI1、通过客户端的Net8驱动连接数据库，采用平台独立二进制代码；2、安全上，Net8协议Oracle公司自己掌握，不公开；3、性能上，Oracle公司对其进行优化，效率较高。OCI和Thin驱动对比THIN1、socket直接连接数据库，便于解析；2、安全上，Thin驱动可解析，对其传输的数据内容可以掌握，可保证其传输数据的安全；3、在营销、招投标等高流量和高压力环境下测试能够完成需求。SQL基本语句创建表格：createtabletablename(column1datatype,column2datatype,column3datatype);数据查询：selectcolumn1[,column2,etc]fromtablename[wherecondition];添加、更新、删除记录：insertintotablename(first_column,...last_column)values(first_value,...last_value);◦updatetablenamesetcolumnname=newvalue[,nextcolumn=newvalue2...]wherecolumnnameOPERATORvalue[and|orcolumnOPERATORvalue];◦deletefromtablenamewherecolumnnameOPERATORvalue[and|orcolumnOPERATORvalue];删除表格：droptabletablename;29内外网数据交互原则和方法由外向内（反向）传输数据信息安全网络隔离装置手工拷贝专用存储介质采用反向隔离装置国网公司要求所有电力公司的信息网内外网要隔离，若要数据交互必须采用隔离装置（正反向、信息安全隔离装置）内外网数据交互原则和方法由内向外（正向）传输数据信息安全网络隔离装置手工拷贝专用存储介质采用正向隔离装置国网公司要求所有电力公司的信息网内外网要隔离，若要数据交互必须采用隔离装置（正反向、信息安全隔离装置）单向隔离装置的配合使用32•数据库仅限Oracle的9i和10g•驱动仅支持JDBC连接•应用层仅能通过TNS协议，不能传输文件信息网络安全隔离装置的限制•招投标的技术规范书文件传输•电力交易系统文件传输•自有系统的文件传输SG186业务系统的需求配合使用原因单向隔离装置的配合使用33•部署位置在信息内外网的边界•正向文件传输需要配合传输软件•通过隔离装置进行数据库同步需要相应业务改造单向隔离装置的部署方式•正、反向传输只能返回1bit的应答•反向传输只能采用电力“e语言”格式单向隔离装置的传输要求配合使用说明某网省招投标改造方案简图Internet信息内网安全区项目申报服务器专家管理服务器数据库服务器办公终端信息外网DMZ招投标服务器视频/短信服务器上网终端标书服务器FTP服务器信息网隔离设备时间戳服务防火墙正向二极管34网省与总部改造后总体框图项目申报专家管理隔离设备信息内网信息外网办公终端互联网上网终端网上招投标信息外网上网终端纵向贯通防火墙防火墙国网总部网省公司项目申报网上招投标项目申报专家管理信息内网办公终端数据库服务器数据库服务器正向二极管隔离设备正向二极管视频短信标书服务短信/视频时间戳服务35某网省电力交易改造方案简图Internet信息内网安全区办公终端信息外网DMZWEB服务器上网终端信息网隔离设备防火墙数据库服务器VPN应用服务器报表服务器磁盘阵列维护、大厅等设备正向二极管36电力交易系统的业务改造37将数据申报和信息发布服务迁移到Web服务器中；外网中