二次防护系统基础知识概要.pptVIP

二次防护系统基础知识 刘 辉 一 设备部分 1 防火墙 防火墙的的目的是保证网络内部数据流的合法性，防止外部非法数据流的侵入，同时管理内部网络用户访问外部网络的权限，并在此前提下将网络中的数据流快速地从一条链路转发到另外的链路上去。 作用：（1）过滤进、出网络的数据流； （2）管理进、出网络的访问行为； （3）记录通过防火墙的信息内容和活动； （4）对网络攻击进行检测和报警。 防火墙 分类： 防火墙3种工作模式：透明模式；路由模式；混合模式。 原理： 防火墙对流经它的数据流进行安全访问控制，只有符合防火墙安全策略的数据才允许通过，不符合安全策略的数据将被拒绝。 2 入侵检测系统 入侵检测技术是一种主动发现网络隐患的安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 入侵检测系统 功能： 1、识别黑客常用入侵与攻击手段 2、监控网络异常通信 3、鉴别对系统漏洞与后门的利用 4、完善网络安全管理 分类： 基于主机的入侵检测系统，基于网络的入侵检测系统。 3 防病毒系统 防病毒安全体系的建立 1、全方位、多层次整体防护 2、防病毒系统兼容性及稳定性 3、无级扩展 反病毒产品选择的原则 1、能查杀病毒的数量要多，安全可靠性要强 2、要有实时反病毒的“防火墙”技术 3、内存占有量要低 4、要能够查杀压缩文档中的病毒 5、恢复数据的能力要强 4 纵向加密装置 纵向加密认证是电力二次系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。 纵向加密认证装置作用： 纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密功能，实现数据传输的机密性、完整性保护，同时具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的全部功能外，还应实现对电力系统数据通信应用层协议及报文的处理功能。 4 纵向加密装置 对处于外部网络边界的其他通信网关的防护 对处于外部网络边界的其他通信网关，应进行操作系统的安全加固，对于新上的系统应支持加密认证的功能。 专线通道的防护 传统的基于专用通道的数据通信不涉及网络安全问题，新建系统可逐步采用加密等技术保护关键厂站及关键业务。 4 纵向加密装置 特点： 1、通过密钥与装置证书建立加密隧道。 2、支持包过滤访问控制。 3、支持NAT转换。 4、有装置管理系统，具备远程配置和安全日志审计功能。 加密装置正常工作需要使用哪些协议： IP 253 IP 254 ESP 50 UDP 514 5 物理隔离装置 电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施，是横向防护的关键设备。 单向安全隔离装置分类及作用 正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。 反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。 5 物理隔离装置 专用横向单向隔离装置的要求： 专用横向单向隔离装置应该满足实时性、可靠性和传输流量等方面的要求。严格禁止E-Mail、WEB、Telnet、Rlogin、FTP等安全风险高的通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据的单向安全传输。 5 物理隔离装置 特点： 1、实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通； 2、透明工作方式：虚拟主机IP地址、隐藏MAC地址 3、支持NAT 4、防止穿透性TCP联接：禁止两个应用网关之间直接建立TCP联接 5、基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制 6、表示层与应用层数据完全单向传输 5 物理隔离装置 正向隔离装置与反向隔离装置区别：（反向隔离装置的特殊点） 1、反向隔离具有应用网关功能，实现应用数据的接收与转发； 2、反向隔离具有应用数据内容有效性检查功能；