上下位机网络通讯怎么保密运行

Posted 2023-04-21

上下位机网络通讯保密运行需要很多计算机技术，具体如下：
（一）安全隔离网闸技术
互联网在为人们工作带来便利的同时，其安全问题也逐渐凸显出来。当一个内部网络既需要保证其数据的安全，又需要与外部网络进行数据交换时，可以采用以网闸技术为核心技术的网络安全隔离系统来保证内网与外网的物理隔离，同时又能够根据业务需求实现内外网之间多种形式的信息和数据交换。

网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有读和写两种命令。

网闸技术的工作流程可分为以下几个步骤：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获得所需数据。这样就在安全隔离两个网络的基础上实现了安全的信息交换和资源共享。

（二）防火墙技术

“防火墙”原指汽车上防止引擎发生爆炸而用来隔离引擎和乘客的装置。在被引入计算机安全领域之后，指用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置，其核心思想是在不安全的网间环境中构造一个相对安全的子网环境。“防火墙”种类很多，大致可分为两大类。一类是包过滤型（packet filter），通常直接转发报文，对用户完全透明，速度较快；另一类是代理服务（proxy service），通过代理服务器（proxy service）建立网络连接，具有较强的身份验证和日志功能。但不论哪一类“防火墙”，都不能做到无隙可击。目前，防火墙主要技术有如下几种。

1、包过滤（packet filter）技术

包过滤技术，是指在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，即访问控制表（access control table），检查数据流中每个数据包后，根据数据包的的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等字段来确定是否允许数据包通过，其核心是安全策略，即过滤算法的设计。例如，基于特定服务的服务器使用特定的端口号（TCP端口23用于telnet连接），包过滤器可以通过简单地规定适当的端口号来达到阻止或允许一定类型的连接的目的，并可进一步组成一套数据包过滤规则。包过滤器的应用非常广泛，因为CPU用来处理报文过滤的时间可以忽略不计。此外，这种防护措施对用户透明，合法用户的数据在进出网络时，根本感觉不到它的存在。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容。正是由于这种工作机制，包过滤防火墙存在以下缺陷：（1）数据包的源IP地址、目的IP地址以及IP的端口号都在数据包的头部，很有可能被伪造；（2）通信和应用状态信息：由于包过滤防火墙是无状态的，不能根据通讯的上下文或应用的上下文来进行过滤；（3）信息处理：难于配置，不具备监视和审计能力，信息处理能力极弱。

2. 应用网关技术

该技术又称为双主机技术（dual homed host），采用主机取代路由器执行控管功能。主机是内外网络连接的桥梁，起着网关的作用，也被称为堡垒主机（bastion host）。应用层网关（application level gateways）是建立在网络应用层上的基于主机的协议转发器，它的原理是建立一个子网-----内部网络和外部网络之间的一个单独区域，一个路由器或更复杂的网关位于内部网络和该区域之间，其他的位于该区域和外部网络之间。在该子网上有一个代理主机，进出用户必须在应用层和该代理主机连接。代理主机可以进行预先的鉴别，针对特定的网络应用服务协议指定数据过滤逻辑，限制进出的通信，并在进行应用协议所指定的数据过滤逻辑的同时，对数据包分析的结果及采取的措施做登记和统计，形成报告，提供审计的功能。

应用层网关不使用通用目标机制来服务不同种类的通信，而是针对每个应用使用专用的代码。它在网络应用层上建立协议过滤和转发功能，针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计。通过采用这种专用的程序代码，应用层网关可以提供高可靠性的安全机制。为了使用应用层网关，用户需要在应用层网关上登录请求，或者在本地机器上使用一个为该服务特别编制的程序代码。每当一个新的需要保护的应用程序加入网络中时，必须为其编写专门的程序代码。正因如此，许多应用层网关只能提供有限的应用和服务功能，同时必须为每一项应用编写专用程序。但从安全角度上看，这也是一个优点，因为除非明确地提供了应用层网关，否则就不可能通过防火墙。这也是在实践“拒绝访问除明确许可以外的任何一种服务”的原则。

应用层网关的优点是容易记录和控制所有进出的通信，应用层网关可以去掉内部设备的名字，隐藏可能有价值的数据，通信分析、内容分析和记录都可以用来寻找信息漏洞，不必担心不同过滤规则集之间的相互影响，也不必担心对外提供安全服务的主机中的漏洞。应用层网关的缺点是对提供的大部分服务都需要专业化的用户程序或不同用户接口，这意味着只能支持最重要的服务，而且一旦特定的网络数据满足逻辑，则会导致防火墙内外的计算机系统建立直接联系，这一点也给网络带来安全隐患。

3. 代理服务器技术

代理服务器也称链路级网关或TCP通道，它作用在应用层，提供对应用层服务的控制，起到内部网络向外部网络申请服务时中间转接的作用。内部网络只接受代理提出的服务请求，拒绝外部网络其他结点的直接请求。

具体地说，代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序。防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问互联网并被内部主机访问的堡垒主机。这些程序接受用户对互联网服务的请求（诸如FTP、Telent），并按照一定的安全策略转发它们到实际的服务器。

代理服务应用于特定的互联网服务，如超文本传输（HTTP）、远程文件传输（FTP）等。代理服务器通常运行在两个网络之间，对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户端一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储有用户经常访问站点的内容，在下一个用户要访问同样的站点时，服务器就不用重复查找同样的内容，既节约时间，也节约网络资源。

代理服务器像一堵墙一样挡在内部用户和外界之间，从外面只能看到代理服务器而看不到任何内部资源，诸如用户的IP等。代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。通过代理访问internet可以解决合法的IP地址不够用的问题，因为internet所见到的只是代理服务器的地址，内部不合法的IP通过代理可以访问internet。然而代理服务器也有明显的缺点，主要包括它的有限连接性、性能低下等。

目前，随着互联网的环境不断动态变化，新的协议、服务和应用不断出现，代理服务器不能再处理互联网上各种类型的传输，不能满足新的商业需求，不能胜任对网络高带宽和安全性的需要。

4. 网络地址转换技术（NAT）

当受保护网连到internet上时，受保护网用户必须使用一个合法的IP地址。但由于合法internet IP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP），这就需要网络地址转换器。网络地址转换器就是在防火墙上装载一个合法IP地址集，当内部某一用户要访问internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址，外部网络的用户就可以通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。

网络地址转换分为静态地址和动态地址两种转换模式，静态地址转换是一对一的永久地址映射，而动态地址转换则是根据内部用户的需要临时分配公网地址，其地址映射是暂时的。网络地址转换可以对外隐藏内部的网络结构，外部攻击者无法确定内部计算机的连接状态。在不同时候，内部计算机对外连接使用的地址都是不同的，给外部攻击造成了困难。同样，NAT也能通过定义各种映射规则，屏蔽外部的连接请求，并可以将链接请求映射到不同的计算机中。网络地址转换都和IP数据包过滤一起使用，就构成了一种更复杂的包过滤型的防火墙。仅仅具备包过滤能力的路由器，其防火墙能力还是比较弱，抵抗外部入侵的能力也较差，而和网络地址翻译技术相结合，就能起到更好的安全保障作用。

5. 规则检查技术

规则检查技术既能在网络层上通过IP地址和端口号，过滤进出的数据包，也可以在OSI应用层上检查数据包的内容，查看这些内容是否符合网络的安全规则。目前，动态规则检查技术是防火墙技术的一个重大改进。最初，静态检查规则是管理员事先定好的，由于事先很难精准地判断防火墙应开多少端口才能满足正常通信的需求，所以，只能打开较多的端口满足需求，其中必然有大部分端口是不必打开的，这样就给黑客的行动带来极大的便利。动态规则的引入弥补了静态规则的不足。动态规则是由应用程序直接加入的，因此所有在应用中才能知道是否打开的端口都由应用程序通过动态规则在适当时刻打开，当应用结束时，动态规则由应用程序删除，相应的端口被关闭，而静态规则只需要打开极少数必须打开的端口。这样在最大限度上降低了黑客进攻的成功率。

6. 主动监测技术

主动监测技术监测网络情况，当出现网络攻击时就立即发出警告或切断相关连接。它维护一个记录各种攻击模式的数据库，并使用监测程序时刻运行在网络中进行监控，一旦发现网络中存在与数据库中的某个模式相匹配的攻击模式时，就能推断可能出现网络攻击。主动监测程序要监控整个网络的数据，因此需要运行在路由器上或路由器旁能获得所有网络流量的位置。这种技术主要用于对网络安全要求非常高的网络系统中，常用的网络并不需要使用这种方式。

7. 多级过滤技术

多级过滤防火墙采用了分组、应用网关和电路网关的三级过滤措施。在分组过滤一级，过滤掉所有的源路由分组和假冒的IP源地址；在应用网关一级，利用FTP、SMTP等各种网关，控制和监测internet提供的所用通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务执行严格的控制。

8. INTERNET网关技术

由于是直接串联在网络之中，防火墙必须支持用户在internet互联的所有服务，同时还要防止与internet服务有关的安全漏洞。因此，它要能以多种安全的应用服务器（包括FTP、Finger、Mail、Ident、News、WWW等）来实现网关功能。同时为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用（chroot）”做物理上的隔离。而单纯使用该技术，抵抗外部进入的能力较差，当和网络地址转换技术相结合时，就能实现更好的安全保证。

（三）入侵监测技术

入侵检测技术最早是由多萝西丹宁（Dorothy Denning）于1986年提出的，近年来由于黑客盛行而受到极大重视。从具体的检测方法上看，可将检测系统分为基于行为的和基于知识的两种；从检测系统所分析的原始数据上看，可分为来自系统日志和网络数据包两种。入侵检测技术的基本原理是，首先收集系统的脆弱性指标建立检测库，再以此检测库检测其他系统中是否有已知的类似脆弱性；若发现新的脆弱性，又反过来更新原有检测库。如此往复，不断丰富检测库，及时发现系统脆弱性。入侵检测包括通过破译口令或使用软件非授权侵入系统、合法用户的信息外泄、冒充他人账户的闯入等多种内容。入侵检测技术已从早期的审计跟踪数据分析，发展到目前应用于大型网络和分 参考技术A 上下位机网络通讯怎么保密运行？
以 PLC 控制系统为例 ， ， 对 PLC 控制系统的上下位机的系统结 构 、 通信安全隐患等方面进行分析 ； ； 从通信协议选择 、 安全连接建立 、 传输数据加密方式 、通过双向身份认证。用户身份鉴别与授权。达到保密运行的要求。 参考技术B 以下可做参考
可以利用网段隔离、交换网络、WLAN等技术实现，具体应用有安全隔离网闸技术；网络边界保护技术

私有云计算保密技术谁家靠谱？云宏CNware?虚拟化平台安全体系设计

10月31日，2018年保密技术交流大会暨产品博览会在青岛隆重开幕。本次信息安全保密科技行业盛会，较往届专业性更强、规模更大，云集了国家有关主管部门领导、专家学者、优秀企业代表共襄盛会。云宏携高安全虚拟化平台CNware?参加本次大会，获得观展领导及专家的一致好评。

CNware?高安全虚拟化平台体系

CNware?安全防护体系从物理机安全、虚拟机系统安全、数据安全、网络安全、管理安全等多模块进行安全性设计，搭载的安全核心技术包括虚拟化层防DDoS防御、虚拟防火墙、数据加密、完整性校验、三员管理、双因子认证、国产加密芯片支持、国产密码口令卡支持等，其中虚拟化层防DDoS防御技术填补了国际空白。

多重技术让CNware?有效构建安全防护体系，达到高安全的标准。目前，云宏CNware?虚拟化平台已成功通过国家保密科技测评中心检测，并与多种架构的国产芯片服务器完成了互认证工作。

云宏CNware?虚拟化平台安全体系设计

在本次大会云宏专属展位上，来自信息安全保密相关部门的领导、计算机与信息安全研究机构的专家，以及IT系统面临转型升级同时对信息安全有高要求的企业代表，纷纷对云宏CNware?虚拟化平台表示高度赞赏。

参会领导、专家、企业代表到访云宏展位了解云宏高安全虚拟化平台

创新驱动保密产业生态发展

本届大会由中国保密协会主办，以“坚持创新驱动，携手打造保密产业良好生态”为主题，全面展示最新信息安全保密技术和科研成果。

在云计算产业高速发展、推动各行业信息化转型之际，云计算的信息安全保密问题应当同样得到重视。云宏钻研云计算虚拟化关键技术，坚持走国产自主的产品化道路，成功研发国内第一个拥有自主核心技术的云操作系统，在云计算关键技术领域建立了先发优势和技术优势，现拥有300余项云计算大数据相关专利及知识产权，承担20余项国家级省级攻关课题项目研究。

云宏作为国内领先的云计算关键技术及服务提供商，以“创新进取、开放共享”为核心价值观，在保密技术领域不断取得突破性发展。高安全云计算关键技术将让保密产业生态得到极大的丰富发展，为我国信息安全保驾护航。

更多关于云宏虚拟化软件CNware的相关信息，敬请关注云宏信息