大数据金库的保险门——RK-EMSG安全隔离网关服务国家信息安全
2014-10-28 15:39:45 - 公司新闻

2014年是中国接入国际互联网20周年。据中国互联网网络信息中心发布的报告,截止2013年底,中国网民规模突破6亿,其中通过手机上网的网民占80%,为信息安全带来了更多的挑战。到2014年,已有40多个国家颁布了网络空间国家安全战略,仅美国就颁布了40多份与网络安全有关的文件;2月17日,我国成立了网络安全与信息化领导小组。就某种程度而言,2014年可以说是真正的信息安全元年。

此外,随着信息爆炸产生的大数据,是一个巨大的金库:如果说过去的几千年,在商业、经济及其他领域中,决策基于经验和直觉,那么今后的日子,决策将基于大规模数据和分析而作出。这也向信息安全提出了更高的要求。大数据时代,需要更加专业、更加方便的信息安全手段,需要下一代的防火墙。

这其中,安全隔离网关扮演着至关重要的角色。它就如同人类的免疫系统,不但要对外来的大量信息进行数据传输,还要对不良信息、病毒进行筛选和隔离,保证数据安全,地位至关重要。

为此,佳华科技推出了RK-EMSG系列安全隔离网关,专为数据交换系统之间进行安全物理隔离开发,并正式通过了公安部的检测,被认定为计算机信息系统安全专用产品,并获颁销售许可证书,服务于国家信息安全。

下一代防火墙

在2009年,Gartner第一次提出了下一代防火墙的概念,将应用识别、IPS防护与传统防火墙功能融合到了一起,几个环节还可以智能联动。如果说智能手机是互联网宽带化、移动化、社交化的趋势下用户对内容访问终端的要求。下一代防火墙的出现则是这些趋势对网络安全带来新挑战的结果。

首先,Web2.0技术的发展和社交化的趋势使基于Web开发的应用数量大大增加,仅靠传统的防火墙无法区分运行在相同80端口上的不同业务应用,必须准确识别应用以达到访问控制和业务加速的目的。其次,宽带化和移动化的趋势使信息资产的重要性达到了前所未有的高度,以自我证明为目的的黑客行为逐渐形成庞大的产业。各自为战的传统安全网关难以抵御变换无穷的新威胁,下一代防火墙必须集成多种防护功能并进行智能的联动。再次,越来越多的应用层流量保护使UTM力不从心,性能不足以支撑。因此需要下一代防火墙在开启多项应用层防护功能后仍能正常使用。

可以看出,不是谁去选择、创造了下一代防火墙,而是ICT技术发展的大势逼迫企业将这样一种设备应用在新一代的网络防护上。

下一代防火墙的概念是五年前提出的,到了今天已经由“过去将来式”变为“现在进行式”。经过多年的实践,下一代防火墙产品已进入成熟期,在海内外各个行业已经有很多成功的应用。

RK-EMSG:服务国家信息安全

下一代防火墙中,安全隔离网关是至关重要的一环。

传统网络中,网络安全是由众多分离设备来共同保障的。设备间的信息同步是一个严重的管理问题。例如:当网络中的某台设备IP需要变更时,管理人员可能需要同步修改防火墙、IPS、AV、Anti-DDoS、DLP等众多设备上的配置,这将是非常可怕的工作量。一旦配置修改不完全,出现设备间信息不一致的情况,整个网络的安全防护效率就会大打折扣。当网络中增加了新安全防护需求,又要增加新的独立设备,网络会变得更加复杂,管理成本和操作成本滚雪球般地增加。

此外,随着现今工业企业系统对于信息化建设的要求越来越高,企业生产数据的深度利用和挖掘需求也越来越强,尤其是在企业的精细化生产和管理中,很多重要决策都是基于企业的生产数据分析。这就需要将企业的DCS、SCADA生产控制系统和企业的信息系统连接,或者将企业的信息系统和公共服务网络连接。目前企业一般采取购买普通通信网关或者防火墙之类的产品实现系统之间的互联,这些方式都没有实现物理隔离,存在较大的网络安全隐患,并且采用这些方式时用户还需要自己开发或购买配套的协议数据采集及转发软件,增加了方案实施的难度及成本。

为此,佳华科技于2013年11月推出RK-EMSG系列安全隔离网关,通过构建基本模块,以连接传统系统与新系统,提供通用接口,实现设备和云之间的无缝通信。

该产品通过了公安部的检测,被认定为计算机信息系统安全专用产品,并获颁销售许可证书。该检测由公安部计算机信息系统安全产品质量监督检验中心进行,检测项目主要为产品的安全功能,标准极其严格,包括产品检测、技术说明、厂家承诺等多个环节。目前,同类型产品中仅有极少部分能够通过该项检测。

安全产品通过中国公安部认证,是佳华科技承担国家信息安全领域工作的重要标志。标志着国家认可佳华科技的技术和产品服务于国家信息安全。

RK-EMSG不仅集成了传统安全隔离网关所具备的全部安全功能,并且在访问控制的精细程度上做得更好:从6个维度感知网络业务环境并进行访问控制,识别6000+以上的应用,为业界最多;能够区分应用的不同功能,满足用户更精准的控制需求(例如:区分微信的文字和语音,区分网盘类应用的上传和下载);依托目前已经形成规模的大数据中心,在云端采用沙箱技术,监控可疑样本的运行,高效发现未知威胁,抵御APT攻击。

在管理能力方面,RK-EMSG支持基于Web的集中式管理和硬件虚拟防火墙,配合大数据分析技术进行安全的智能联动和协同。

与市面上其他安全隔离网关相比,RK-EMSG是专为数据交换系统之间进行安全物理隔离开发的网关,获得了计算机信息系统安全专用产品销售许可证,主要应用于电力、钢铁、石化等行业。其首款产品基于英特尔凌动处理器D525平台,借助该平台强大的运算处理能力和高速、丰富的外围总线接口,可让协议数据以更可靠的方式接入信息网络。

RK-EMSG采用 “2+1”系统架构,内部为双独立主机系统,分别接入两个网络,双主机之间通过专用硬件隔离装置连接,完成特定应用数据的交换。由于没有网络连接,攻击也就没有了载体,从物理层上断开了网络之间的直接连接。而且双主机之间的数据交换是单向的,数据只从前端流到后端,这种数据的单向传输又进一步加强了系统整体的抗攻击性和安全性。

RK-EMSG在保证网络安全隔离的前提下,内置了协议数据采集及转发功能,支持常用数据接入协议,例如OPC、Modbus、关系数据库等,协议支持丰富,扩展方便,最大限度的满足用户需求、降低实施难度。

资质认证

GB/T 20279-2006信息安全技术网络和终端设备隔离部件技术要求

GB/T 20277-2006信息安全技术网络和终端设备隔离部件测试评价方法

GB/T 17626.2-2006静电放电抗扰度试验

GB/T 17626.3-1998射频电磁场辐射抗扰度试验

GB/T 17626.4-1998电快速瞬变脉冲群抗扰度试验

GB/T 17626.5-1998浪涌(冲击)抗扰度试验

GB 6587.4-1986电子测量仪器振动试验

GB/T 17214.1-1998工业过程测量和控制装置环境试验

应用案例分享

对于工业企业网络来说,一般都会同时存在管理信息系统(与企业信息网络相连)、生产控制系统(与企业控制网络相连)和现场数据采集仪表,如果采集数据需要上传到管理平台,则还需要和广域互联网相连,如何解决工业企业在广域互联网、企业信息网、企业控制网互联互通过程中的信息安全隔离,保证企业信息网不受外界攻击、企业控制网设备长期不间断安全运行,是工业企业在系统建设过程中必须要考虑和解决的问题。

随着企业信息化建设的不断发展,MES(制造执行管理系统)逐渐成了企业信息系统的标配。MES是企业CIMS信息集成的纽带,是实施企业敏捷制造战略和实现敏捷生产化的基本技术手段。在构建MES系统的过程中,需要获得企业的各种实时生产数据,这就需要将企业的DCS、SCADA等生产控制系统和MES系统相连。生产控制系统直接关系到企业的生产状况及生产安全,因此必须保证其安全性。通过RK-EMSG的使用,既保证了企业的实时生产数据能够安全准确传输至MES系统,又能保证MES系统不会对企业的生产控制系统造成影响。

RK-EMSG在MES系统中的典型应用如图所示:

安全隔离网关为独立双主机架构,分为控制端和信息端。控制端的网口和企业生产控制网络中的各种设备或系统连接,网关内嵌有各种生产控制现场的总线协议,可直接从现场设备中采集到各种实时生产数据。

安全隔离网关的信息端和MES系统所在的信息网络连接,网关利用内部的隔离机制,将控制端获得的数据安全摆渡到信息端,信息端利用内嵌的通信协议,将数据发送到MES系统的实时数据库中。这样,既实现了数据在两个网络中的传输,又保证了两个网络的安全隔离。

系统只使用了安全隔离网关一种设备即实现了功能需求,简化了系统结构,方便了现场实施。

能耗在线监测系统是政府对各企业的用能情况进行集中监控、管理、决策的系统。通过能耗在线监测系统的实施,可向各级节能管理部门、各行业及各企业用户,提供不同层次的服务,创造良好的社会效应。同时,被监测企业也能够了解企业用能情况的分析结果及用能改进建议,为企业带来直接或间接的经济效益。

在能耗在线监测系统中,各企业的主要工作是为能耗监测系统提供数据源,即需要将企业的各种能耗数据信息发送至能耗监测系统的数据中心服务器上。因为企业的能耗数据信息属于重要数据,一般位于企业安全等级比较高的网络中,而数据中心服务器一般处于互联网公网中,所以必须慎重的考虑网络安全的问题,在保证数据正常传送的情况下不能够使企业内部网络受到攻击或影响。

RK-EMSG在能耗在线监测系统中的典型应用如图所示:

安全隔离网关为独立双主机架构,分为控制端和信息端。控制端的网口与企业内部网络相连,企业能耗数据一般存储在企业的各类关系数据库、实时数据库、MES等系统中,网关内嵌的协议支持各类数据库及信息系统,可直接从企业内部网络中采集到各种能耗数据。

安全隔离网关的信息端和能耗在线监测系统数据中心所在的公共网络连接,网关利用内部的隔离机制,将控制端获得的数据安全摆渡到信息端,信息端利用内嵌的专业能耗数据通信协议,将数据发送到能耗在线监测系统的数据中心,既实现了数据在两个网络中的传输,又保证了两个网络的安全隔离。

安全隔离网关具有多个独立的物理网口,如果企业内部的数据服务器都在一个网络中,则使用一台安全隔离网关即能完成系统搭建,极大的方便了现场实施。