大數據金庫的保險門_數據分析師

2014年是中國接入國際互聯網20周年。據中國互聯網網絡信息中心發布的報告，截止2013年底，中國網民規模突破6億，其中通過手機上網的網民占80%，為信息安全帶來了更多的挑戰。到2014年，已有40多個國家頒布了網絡空間國家安全戰略，僅美國就頒布了40多份與網絡安全有關的文件；2月17日，我國成立了網絡安全與信息化領導小組。就某種程度而言，2014年可以說是真正的信息安全元年。
此外，隨著信息爆炸產生的大數據，是一個巨大的金庫：如果說過去的幾千年，在商業、經濟及其他領域中，決策基于經驗和直覺，那么今后的日子，決策將基于大規模數據和分析而作出。這也向信息安全提出了更高的要求。大數據時代，需要更加專業、更加方便的信息安全手段，需要下一代的防火墻。
這其中，安全隔離網關扮演著至關重要的角色。它就如同人類的免疫系統，不但要對外來的大量信息進行數據傳輸，還要對不良信息、病毒進行篩選和隔離，保證數據安全，地位至關重要。
為此，羅克佳華推出了RK-EMSG系列安全隔離網關，專為數據交換系統之間進行安全物理隔離開發，并正式通過了公安部的檢測，被認定為計算機信息系統安全專用產品，并獲頒銷售許可證書，服務于國家信息安全。
下一代防火墻
在2009年，Gartner第一次提出了下一代防火墻的概念，將應用識別、IPS防護與傳統防火墻功能融合到了一起，幾個環節還可以智能聯動。如果說智能手機是互聯網寬帶化、移動化、社交化的趨勢下用戶對內容訪問終端的要求。下一代防火墻的出現則是這些趨勢對網絡安全帶來新挑戰的結果。
首先，Web2.0技術的發展和社交化的趨勢使基于Web開發的應用數量大大增加，僅靠傳統的防火墻無法區分運行在相同80端口上的不同業務應用，必須準確識別應用以達到訪問控制和業務加速的目的。其次，寬帶化和移動化的趨勢使信息資產的重要性達到了前所未有的高度，以自我證明為目的的黑客行為逐漸形成龐大的產業。各自為戰的傳統安全網關難以抵御變換無窮的新威脅，下一代防火墻必須集成多種防護功能并進行智能的聯動。再次，越來越多的應用層流量保護使UTM力不從心，性能不足以支撐。因此需要下一代防火墻在開啟多項應用層防護功能后仍能正常使用。
可以看出，不是誰去選擇、創造了下一代防火墻，而是ICT技術發展的大勢逼迫企業將這樣一種設備應用在新一代的網絡防護上。
下一代防火墻的概念是五年前提出的，到了今天已經由“過去將來式”變為“現在進行式”。經過多年的實踐，下一代防火墻產品已進入成熟期，在海內外各個行業已經有很多成功的應用。
RK-EMSG：服務國家信息安全
下一代防火墻中，安全隔離網關是至關重要的一環。
傳統網絡中，網絡安全是由眾多分離設備來共同保障的。設備間的信息同步是一個嚴重的管理問題。例如：當網絡中的某臺設備IP需要變更時，管理人員可能需要同步修改防火墻、IPS、AV、Anti-DDoS、DLP等眾多設備上的配置，這將是非?？膳碌墓ぷ髁?。一旦配置修改不完全，出現設備間信息不一致的情況，整個網絡的安全防護效率就會大打折扣。當網絡中增加了新安全防護需求，又要增加新的獨立設備，網絡會變得更加復雜，管理成本和操作成本滾雪球般地增加。
此外，隨著現今工業企業系統對于信息化建設的要求越來越高，企業生產數據的深度利用和挖掘需求也越來越強，尤其是在企業的精細化生產和管理中，很多重要決策都是基于企業的生產數據分析。這就需要將企業的DCS、SCADA生產控制系統和企業的信息系統連接，或者將企業的信息系統和公共服務網絡連接。目前企業一般采取購買普通通信網關或者防火墻之類的產品實現系統之間的互聯，這些方式都沒有實現物理隔離，存在較大的網絡安全隱患，并且采用這些方式時用戶還需要自己開發或購買配套的協議數據采集及轉發軟件，增加了方案實施的難度及成本。
為此，羅克佳華于2013年11月推出RK-EMSG系列安全隔離網關，通過構建基本模塊，以連接傳統系統與新系統，提供通用接口，實現設備和云之間的無縫通信。
該產品通過了公安部的檢測，被認定為計算機信息系統安全專用產品，并獲頒銷售許可證書。該檢測由公安部計算機信息系統安全產品質量監督檢驗中心進行，檢測項目主要為產品的安全功能，標準極其嚴格，包括產品檢測、技術說明、廠家承諾等多個環節。目前，同類型產品中僅有極少部分能夠通過該項檢測。
安全產品通過中國公安部認證，是羅克佳華承擔國家信息安全領域工作的重要標志。標志著國家認可羅克佳華的技術和產品服務于國家信息安全。

RK-EMSG不僅集成了傳統安全隔離網關所具備的全部安全功能，并且在訪問控制的精細程度上做得更好：從6個維度感知網絡業務環境并進行訪問控制，識別6000+以上的應用，為業界最多;能夠區分應用的不同功能，滿足用戶更精準的控制需求(例如：區分微信的文字和語音，區分網盤類應用的上傳和下載)；依托目前已經形成規模的大數據中心，在云端采用沙箱技術，監控可疑樣本的運行，高效發現未知威脅，抵御APT攻擊。
在管理能力方面，RK-EMSG支持基于Web的集中式管理和硬件虛擬防火墻，配合大數據分析技術進行安全的智能聯動和協同。
與市面上其他安全隔離網關相比，RK-EMSG是專為數據交換系統之間進行安全物理隔離開發的網關，獲得了計算機信息系統安全專用產品銷售許可證，主要應用于電力、鋼鐵、石化等行業。其首款產品基于英特爾凌動處理器D525平臺，借助該平臺強大的運算處理能力和高速、豐富的外圍總線接口，可讓協議數據以更可靠的方式接入信息網絡。
RK-EMSG采用 “2+1”系統架構，內部為雙獨立主機系統，分別接入兩個網絡，雙主機之間通過專用硬件隔離裝置連接，完成特定應用數據的交換。由于沒有網絡連接，攻擊也就沒有了載體，從物理層上斷開了網絡之間的直接連接。而且雙主機之間的數據交換是單向的，數據只從前端流到后端，這種數據的單向傳輸又進一步加強了系統整體的抗攻擊性和安全性。
RK-EMSG在保證網絡安全隔離的前提下，內置了協議數據采集及轉發功能，支持常用數據接入協議，例如OPC、Modbus、關系數據庫等，協議支持豐富，擴展方便，最大限度的滿足用戶需求、降低實施難度。
選型列表
指標    RK-EMSG-P18A
硬件規格    系統架構    雙主機，“2+1”架構
    CPU    Intel Atom × 2
    RAM    2GB × 2
    控制端網口    10/100M RJ45 × 4
    信息端網口    10/100M RJ45 × 4
    Console口    有，位于控制端
電源參數    輸入    AC 100V~240V，50-60Hz
    功耗    <120W
    備份    有，冗余熱備電源
產品安裝    方式    2U，標準19英寸上架式
    尺寸    650 x 430 x 88mm（L x W x H）
性能參數    額定點數    10000
    系統延時    <1ms
    并發連接數    >10000
    配置工具    有
    監視工具    有
使用環境    工作溫度    -20℃～+50℃
    存儲溫度    -40℃～+80℃
    相對濕度    10%~95%，無凝結
    MTBF    30000小時
資質認證
GB/T 20279-2006信息安全技術網絡和終端設備隔離部件技術要求
GB/T 20277-2006信息安全技術網絡和終端設備隔離部件測試評價方法
GB/T 17626.2-2006靜電放電抗擾度試驗
GB/T 17626.3-1998射頻電磁場輻射抗擾度試驗
GB/T 17626.4-1998電快速瞬變脈沖群抗擾度試驗
GB/T 17626.5-1998浪涌（沖擊）抗擾度試驗
GB 6587.4-1986電子測量儀器振動試驗
GB/T 17214.1-1998工業過程測量和控制裝置環境試驗
應用案例分享
對于工業企業網絡來說，一般都會同時存在管理信息系統（與企業信息網絡相連）、生產控制系統（與企業控制網絡相連）和現場數據采集儀表，如果采集數據需要上傳到管理平臺，則還需要和廣域互聯網相連，如何解決工業企業在廣域互聯網、企業信息網、企業控制網互聯互通過程中的信息安全隔離，保證企業信息網不受外界攻擊、企業控制網設備長期不間斷安全運行，是工業企業在系統建設過程中必須要考慮和解決的問題。
隨著企業信息化建設的不斷發展，MES（制造執行管理系統）逐漸成了企業信息系統的標配。MES是企業CIMS信息集成的紐帶，是實施企業敏捷制造戰略和實現敏捷生產化的基本技術手段。在構建MES系統的過程中，需要獲得企業的各種實時生產數據，這就需要將企業的DCS、SCADA等生產控制系統和MES系統相連。生產控制系統直接關系到企業的生產狀況及生產安全，因此必須保證其安全性。通過RK-EMSG的使用，既保證了企業的實時生產數據能夠安全準確傳輸至MES系統，又能保證MES系統不會對企業的生產控制系統造成影響。
RK-EMSG在MES系統中的典型應用如圖所示：

安全隔離網關為獨立雙主機架構，分為控制端和信息端?？刂贫说木W口和企業生產控制網絡中的各種設備或系統連接，網關內嵌有各種生產控制現場的總線協議，可直接從現場設備中采集到各種實時生產數據。
安全隔離網關的信息端和MES系統所在的信息網絡連接，網關利用內部的隔離機制，將控制端獲得的數據安全擺渡到信息端，信息端利用內嵌的通信協議，將數據發送到MES系統的實時數據庫中。這樣，既實現了數據在兩個網絡中的傳輸，又保證了兩個網絡的安全隔離。
系統只使用了安全隔離網關一種設備即實現了功能需求，簡化了系統結構，方便了現場實施。
能耗在線監測系統是政府對各企業的用能情況進行集中監控、管理、決策的系統。通過能耗在線監測系統的實施，可向各級節能管理部門、各行業及各企業用戶，提供不同層次的服務，創造良好的社會效應。同時，被監測企業也能夠了解企業用能情況的分析結果及用能改進建議，為企業帶來直接或間接的經濟效益。
在能耗在線監測系統中，各企業的主要工作是為能耗監測系統提供數據源，即需要將企業的各種能耗數據信息發送至能耗監測系統的數據中心服務器上。因為企業的能耗數據信息屬于重要數據，一般位于企業安全等級比較高的網絡中，而數據中心服務器一般處于互聯網公網中，所以必須慎重的考慮網絡安全的問題，在保證數據正常傳送的情況下不能夠使企業內部網絡受到攻擊或影響。
RK-EMSG在能耗在線監測系統中的典型應用如圖所示：

安全隔離網關為獨立雙主機架構，分為控制端和信息端?？刂贫说木W口與企業內部網絡相連，企業能耗數據一般存儲在企業的各類關系數據庫、實時數據庫、MES等系統中，網關內嵌的協議支持各類數據庫及信息系統，可直接從企業內部網絡中采集到各種能耗數據。
安全隔離網關的信息端和能耗在線監測系統數據中心所在的公共網絡連接，網關利用內部的隔離機制，將控制端獲得的數據安全擺渡到信息端，信息端利用內嵌的專業能耗數據通信協議，將數據發送到能耗在線監測系統的數據中心，既實現了數據在兩個網絡中的傳輸，又保證了兩個網絡的安全隔離。
安全隔離網關具有多個獨立的物理網口，如果企業內部的數據服務器都在一個網絡中，則使用一臺安全隔離網關即能完成系統搭建，極大的方便了現場實施。