本文以南瑞的电力专用网络隔离装置为例介绍隔离装置的数据采集与传输原理。
南瑞SysKeeper-2000系列网络安全隔离系列产品以双RISC体系结构高性能CPU和高速传输芯片实现单向连接隔离及割断穿透性TCP连接的核心技术代表了新一代网络安全隔离技术的发展趋势,在行业内处于领先水平。 3.1单向安全隔离原理
物理隔离的技术架构在单向安全隔离的基础上。以下的图组可以给我们一个清晰的概念,物理隔离是如何实现的。内网是安全等级很高的电力系统内部专用监控网络,外网是安全等级不高的信息网络。正常情况下,安全隔离设备和外网,安全隔离设备和内网,外网和内网在物理上是完全断开的,如图A所示。 此主题相关图片如下:a.gif
图A
当内网需要有数据到达外网的时候,内网的服务器立即发起对隔离设备的数据连接,隔离设备将所有的协议剥离,将原始的纯数据写入高速数据传输通道。根据不同的应用,对数据进行完整性和安全性检查,如防病毒和恶意代码等。见图B。
此主题相关图片如下:b.gif
图B
wifi智能开关
一旦数据完全写入安全隔离设备的单向安全通道,隔离设备内网侧立即中断与内网的连接,将单向安全通道内的数据推向外网侧,外网侧收到数据后发起对外网的数据连接,连接建立成功后,进行TCP/IP的封装和应用协议的封装,并交给外网应用系统,如图C表贴式永磁同步电机所示。
此主题相关图片如下:c.gif
圆形出风口
图C
在硬件控制逻辑电路收到完整的数据交换信号之后,安全隔离设备立即切断和外网的直接连接。见图D。
比例电磁铁当外网的应答数据需要传输到内网的时候,需要通过隔离装置的专用反向安全通道进行数据摆渡,传输原理与上述相同。硬件控制电路控制反向安全传输通道的硬件深度,当应答字节数超过设定字节数(目前为1-4个字节),反向安全传输通道会产生硬件溢出,因而该数据是不完整的。隔离装置的底层硬件驱动程序里面有数据性完整分析功能,也就是说,传进来的前1-4个字节数据最后也被驱动程序所丢弃。
此主题相关图片如下:d.gif
图D 制作交通工具
手持式按摩器3.2 南瑞单向连接隔离技术特
通常的网络安全隔离技术主要采用USB、双端口RAM等实现内、外网的数据交换,数据从一端流向另一端的标准做法是打开设备,然后通过写设备把数据从一端写入到另一端。如果有一非法侵入,则该侵入可以轻而易举地突破物理隔离装置把数据直接写入到内网中,因为读写设备是一种标准的操作,物理隔离并不能起到真正的隔离作用。
南瑞SysKeeper-2000网络安全隔离装置采用具有自主知识产权的单向连接隔离技术(国家知识产权专利号:ZL2004 2 0025888.6)在安全隔离的基础上实现了数据的高速交换。单向连接隔离技术采用四片32bit高速FIFO芯片,与双口RAM的读写方式不一样的地方在于,双口RAM的访问需要一片连续的地址,而FIFO只需要一个口地址,我们在RISC体系结构的RC2空间随机地取了一个地址加上读写控制线作为FIFO的译码线,而且每台机器的用来译码的地址线是不一样的,这样就极大的保证了数据交换的安全性。在数据交换时,两片FIFO芯片用于内网向外网数据的单向传输,另外两片用于反向数据的安全控制,实现内外网数据传输的独立性,有效的保证了数据交换的高效性。
