大數(shù)據(jù)金庫的保險門_數(shù)據(jù)分析師

2014年是中國接入國際互聯(lián)網(wǎng)20周年。據(jù)中國互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心發(fā)布的報告，截止2013年底，中國網(wǎng)民規(guī)模突破6億，其中通過手機上網(wǎng)的網(wǎng)民占80%，為信息安全帶來了更多的挑戰(zhàn)。到2014年，已有40多個國家頒布了網(wǎng)絡(luò)空間國家安全戰(zhàn)略，僅美國就頒布了40多份與網(wǎng)絡(luò)安全有關(guān)的文件；2月17日，我國成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導小組。就某種程度而言，2014年可以說是真正的信息安全元年。
此外，隨著信息爆炸產(chǎn)生的大數(shù)據(jù)，是一個巨大的金庫：如果說過去的幾千年，在商業(yè)、經(jīng)濟及其他領(lǐng)域中，決策基于經(jīng)驗和直覺，那么今后的日子，決策將基于大規(guī)模數(shù)據(jù)和分析而作出。這也向信息安全提出了更高的要求。大數(shù)據(jù)時代，需要更加專業(yè)、更加方便的信息安全手段，需要下一代的防火墻。
這其中，安全隔離網(wǎng)關(guān)扮演著至關(guān)重要的角色。它就如同人類的免疫系統(tǒng)，不但要對外來的大量信息進行數(shù)據(jù)傳輸，還要對不良信息、病毒進行篩選和隔離，保證數(shù)據(jù)安全，地位至關(guān)重要。
為此，羅克佳華推出了RK-EMSG系列安全隔離網(wǎng)關(guān)，專為數(shù)據(jù)交換系統(tǒng)之間進行安全物理隔離開發(fā)，并正式通過了公安部的檢測，被認定為計算機信息系統(tǒng)安全專用產(chǎn)品，并獲頒銷售許可證書，服務(wù)于國家信息安全。
下一代防火墻
在2009年，Gartner第一次提出了下一代防火墻的概念，將應(yīng)用識別、IPS防護與傳統(tǒng)防火墻功能融合到了一起，幾個環(huán)節(jié)還可以智能聯(lián)動。如果說智能手機是互聯(lián)網(wǎng)寬帶化、移動化、社交化的趨勢下用戶對內(nèi)容訪問終端的要求。下一代防火墻的出現(xiàn)則是這些趨勢對網(wǎng)絡(luò)安全帶來新挑戰(zhàn)的結(jié)果。
首先，Web2.0技術(shù)的發(fā)展和社交化的趨勢使基于Web開發(fā)的應(yīng)用數(shù)量大大增加，僅靠傳統(tǒng)的防火墻無法區(qū)分運行在相同80端口上的不同業(yè)務(wù)應(yīng)用，必須準確識別應(yīng)用以達到訪問控制和業(yè)務(wù)加速的目的。其次，寬帶化和移動化的趨勢使信息資產(chǎn)的重要性達到了前所未有的高度，以自我證明為目的的黑客行為逐漸形成龐大的產(chǎn)業(yè)。各自為戰(zhàn)的傳統(tǒng)安全網(wǎng)關(guān)難以抵御變換無窮的新威脅，下一代防火墻必須集成多種防護功能并進行智能的聯(lián)動。再次，越來越多的應(yīng)用層流量保護使UTM力不從心，性能不足以支撐。因此需要下一代防火墻在開啟多項應(yīng)用層防護功能后仍能正常使用。
可以看出，不是誰去選擇、創(chuàng)造了下一代防火墻，而是ICT技術(shù)發(fā)展的大勢逼迫企業(yè)將這樣一種設(shè)備應(yīng)用在新一代的網(wǎng)絡(luò)防護上。
下一代防火墻的概念是五年前提出的，到了今天已經(jīng)由“過去將來式”變?yōu)椤艾F(xiàn)在進行式”。經(jīng)過多年的實踐，下一代防火墻產(chǎn)品已進入成熟期，在海內(nèi)外各個行業(yè)已經(jīng)有很多成功的應(yīng)用。
RK-EMSG：服務(wù)國家信息安全
下一代防火墻中，安全隔離網(wǎng)關(guān)是至關(guān)重要的一環(huán)。
傳統(tǒng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全是由眾多分離設(shè)備來共同保障的。設(shè)備間的信息同步是一個嚴重的管理問題。例如：當網(wǎng)絡(luò)中的某臺設(shè)備IP需要變更時，管理人員可能需要同步修改防火墻、IPS、AV、Anti-DDoS、DLP等眾多設(shè)備上的配置，這將是非常可怕的工作量。一旦配置修改不完全，出現(xiàn)設(shè)備間信息不一致的情況，整個網(wǎng)絡(luò)的安全防護效率就會大打折扣。當網(wǎng)絡(luò)中增加了新安全防護需求，又要增加新的獨立設(shè)備，網(wǎng)絡(luò)會變得更加復(fù)雜，管理成本和操作成本滾雪球般地增加。
此外，隨著現(xiàn)今工業(yè)企業(yè)系統(tǒng)對于信息化建設(shè)的要求越來越高，企業(yè)生產(chǎn)數(shù)據(jù)的深度利用和挖掘需求也越來越強，尤其是在企業(yè)的精細化生產(chǎn)和管理中，很多重要決策都是基于企業(yè)的生產(chǎn)數(shù)據(jù)分析。這就需要將企業(yè)的DCS、SCADA生產(chǎn)控制系統(tǒng)和企業(yè)的信息系統(tǒng)連接，或者將企業(yè)的信息系統(tǒng)和公共服務(wù)網(wǎng)絡(luò)連接。目前企業(yè)一般采取購買普通通信網(wǎng)關(guān)或者防火墻之類的產(chǎn)品實現(xiàn)系統(tǒng)之間的互聯(lián)，這些方式都沒有實現(xiàn)物理隔離，存在較大的網(wǎng)絡(luò)安全隱患，并且采用這些方式時用戶還需要自己開發(fā)或購買配套的協(xié)議數(shù)據(jù)采集及轉(zhuǎn)發(fā)軟件，增加了方案實施的難度及成本。
為此，羅克佳華于2013年11月推出RK-EMSG系列安全隔離網(wǎng)關(guān)，通過構(gòu)建基本模塊，以連接傳統(tǒng)系統(tǒng)與新系統(tǒng)，提供通用接口，實現(xiàn)設(shè)備和云之間的無縫通信。
該產(chǎn)品通過了公安部的檢測，被認定為計算機信息系統(tǒng)安全專用產(chǎn)品，并獲頒銷售許可證書。該檢測由公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心進行，檢測項目主要為產(chǎn)品的安全功能，標準極其嚴格，包括產(chǎn)品檢測、技術(shù)說明、廠家承諾等多個環(huán)節(jié)。目前，同類型產(chǎn)品中僅有極少部分能夠通過該項檢測。
安全產(chǎn)品通過中國公安部認證，是羅克佳華承擔國家信息安全領(lǐng)域工作的重要標志。標志著國家認可羅克佳華的技術(shù)和產(chǎn)品服務(wù)于國家信息安全。

RK-EMSG不僅集成了傳統(tǒng)安全隔離網(wǎng)關(guān)所具備的全部安全功能，并且在訪問控制的精細程度上做得更好：從6個維度感知網(wǎng)絡(luò)業(yè)務(wù)環(huán)境并進行訪問控制，識別6000+以上的應(yīng)用，為業(yè)界最多;能夠區(qū)分應(yīng)用的不同功能，滿足用戶更精準的控制需求(例如：區(qū)分微信的文字和語音，區(qū)分網(wǎng)盤類應(yīng)用的上傳和下載)；依托目前已經(jīng)形成規(guī)模的大數(shù)據(jù)中心，在云端采用沙箱技術(shù)，監(jiān)控可疑樣本的運行，高效發(fā)現(xiàn)未知威脅，抵御APT攻擊。
在管理能力方面，RK-EMSG支持基于Web的集中式管理和硬件虛擬防火墻，配合大數(shù)據(jù)分析技術(shù)進行安全的智能聯(lián)動和協(xié)同。
與市面上其他安全隔離網(wǎng)關(guān)相比，RK-EMSG是專為數(shù)據(jù)交換系統(tǒng)之間進行安全物理隔離開發(fā)的網(wǎng)關(guān)，獲得了計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證，主要應(yīng)用于電力、鋼鐵、石化等行業(yè)。其首款產(chǎn)品基于英特爾凌動處理器D525平臺，借助該平臺強大的運算處理能力和高速、豐富的外圍總線接口，可讓協(xié)議數(shù)據(jù)以更可靠的方式接入信息網(wǎng)絡(luò)。
RK-EMSG采用 “2+1”系統(tǒng)架構(gòu)，內(nèi)部為雙獨立主機系統(tǒng)，分別接入兩個網(wǎng)絡(luò)，雙主機之間通過專用硬件隔離裝置連接，完成特定應(yīng)用數(shù)據(jù)的交換。由于沒有網(wǎng)絡(luò)連接，攻擊也就沒有了載體，從物理層上斷開了網(wǎng)絡(luò)之間的直接連接。而且雙主機之間的數(shù)據(jù)交換是單向的，數(shù)據(jù)只從前端流到后端，這種數(shù)據(jù)的單向傳輸又進一步加強了系統(tǒng)整體的抗攻擊性和安全性。
RK-EMSG在保證網(wǎng)絡(luò)安全隔離的前提下，內(nèi)置了協(xié)議數(shù)據(jù)采集及轉(zhuǎn)發(fā)功能，支持常用數(shù)據(jù)接入?yún)f(xié)議，例如OPC、Modbus、關(guān)系數(shù)據(jù)庫等，協(xié)議支持豐富，擴展方便，最大限度的滿足用戶需求、降低實施難度。
選型列表
指標    RK-EMSG-P18A
硬件規(guī)格    系統(tǒng)架構(gòu)    雙主機，“2+1”架構(gòu)
    CPU    Intel Atom × 2
    RAM    2GB × 2
    控制端網(wǎng)口    10/100M RJ45 × 4
    信息端網(wǎng)口    10/100M RJ45 × 4
    Console口    有，位于控制端
電源參數(shù)    輸入    AC 100V~240V，50-60Hz
    功耗    <120W
    備份    有，冗余熱備電源
產(chǎn)品安裝    方式    2U，標準19英寸上架式
    尺寸    650 x 430 x 88mm（L x W x H）
性能參數(shù)    額定點數(shù)    10000
    系統(tǒng)延時    <1ms
    并發(fā)連接數(shù)    >10000
    配置工具    有
    監(jiān)視工具    有
使用環(huán)境    工作溫度    -20℃～+50℃
    存儲溫度    -40℃～+80℃
    相對濕度    10%~95%，無凝結(jié)
    MTBF    30000小時
資質(zhì)認證
GB/T 20279-2006信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求
GB/T 20277-2006信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法
GB/T 17626.2-2006靜電放電抗擾度試驗
GB/T 17626.3-1998射頻電磁場輻射抗擾度試驗
GB/T 17626.4-1998電快速瞬變脈沖群抗擾度試驗
GB/T 17626.5-1998浪涌（沖擊）抗擾度試驗
GB 6587.4-1986電子測量儀器振動試驗
GB/T 17214.1-1998工業(yè)過程測量和控制裝置環(huán)境試驗
應(yīng)用案例分享
對于工業(yè)企業(yè)網(wǎng)絡(luò)來說，一般都會同時存在管理信息系統(tǒng)（與企業(yè)信息網(wǎng)絡(luò)相連）、生產(chǎn)控制系統(tǒng)（與企業(yè)控制網(wǎng)絡(luò)相連）和現(xiàn)場數(shù)據(jù)采集儀表，如果采集數(shù)據(jù)需要上傳到管理平臺，則還需要和廣域互聯(lián)網(wǎng)相連，如何解決工業(yè)企業(yè)在廣域互聯(lián)網(wǎng)、企業(yè)信息網(wǎng)、企業(yè)控制網(wǎng)互聯(lián)互通過程中的信息安全隔離，保證企業(yè)信息網(wǎng)不受外界攻擊、企業(yè)控制網(wǎng)設(shè)備長期不間斷安全運行，是工業(yè)企業(yè)在系統(tǒng)建設(shè)過程中必須要考慮和解決的問題。
隨著企業(yè)信息化建設(shè)的不斷發(fā)展，MES（制造執(zhí)行管理系統(tǒng)）逐漸成了企業(yè)信息系統(tǒng)的標配。MES是企業(yè)CIMS信息集成的紐帶，是實施企業(yè)敏捷制造戰(zhàn)略和實現(xiàn)敏捷生產(chǎn)化的基本技術(shù)手段。在構(gòu)建MES系統(tǒng)的過程中，需要獲得企業(yè)的各種實時生產(chǎn)數(shù)據(jù)，這就需要將企業(yè)的DCS、SCADA等生產(chǎn)控制系統(tǒng)和MES系統(tǒng)相連。生產(chǎn)控制系統(tǒng)直接關(guān)系到企業(yè)的生產(chǎn)狀況及生產(chǎn)安全，因此必須保證其安全性。通過RK-EMSG的使用，既保證了企業(yè)的實時生產(chǎn)數(shù)據(jù)能夠安全準確傳輸至MES系統(tǒng)，又能保證MES系統(tǒng)不會對企業(yè)的生產(chǎn)控制系統(tǒng)造成影響。
RK-EMSG在MES系統(tǒng)中的典型應(yīng)用如圖所示：

安全隔離網(wǎng)關(guān)為獨立雙主機架構(gòu)，分為控制端和信息端。控制端的網(wǎng)口和企業(yè)生產(chǎn)控制網(wǎng)絡(luò)中的各種設(shè)備或系統(tǒng)連接，網(wǎng)關(guān)內(nèi)嵌有各種生產(chǎn)控制現(xiàn)場的總線協(xié)議，可直接從現(xiàn)場設(shè)備中采集到各種實時生產(chǎn)數(shù)據(jù)。
安全隔離網(wǎng)關(guān)的信息端和MES系統(tǒng)所在的信息網(wǎng)絡(luò)連接，網(wǎng)關(guān)利用內(nèi)部的隔離機制，將控制端獲得的數(shù)據(jù)安全擺渡到信息端，信息端利用內(nèi)嵌的通信協(xié)議，將數(shù)據(jù)發(fā)送到MES系統(tǒng)的實時數(shù)據(jù)庫中。這樣，既實現(xiàn)了數(shù)據(jù)在兩個網(wǎng)絡(luò)中的傳輸，又保證了兩個網(wǎng)絡(luò)的安全隔離。
系統(tǒng)只使用了安全隔離網(wǎng)關(guān)一種設(shè)備即實現(xiàn)了功能需求，簡化了系統(tǒng)結(jié)構(gòu)，方便了現(xiàn)場實施。
能耗在線監(jiān)測系統(tǒng)是政府對各企業(yè)的用能情況進行集中監(jiān)控、管理、決策的系統(tǒng)。通過能耗在線監(jiān)測系統(tǒng)的實施，可向各級節(jié)能管理部門、各行業(yè)及各企業(yè)用戶，提供不同層次的服務(wù)，創(chuàng)造良好的社會效應(yīng)。同時，被監(jiān)測企業(yè)也能夠了解企業(yè)用能情況的分析結(jié)果及用能改進建議，為企業(yè)帶來直接或間接的經(jīng)濟效益。
在能耗在線監(jiān)測系統(tǒng)中，各企業(yè)的主要工作是為能耗監(jiān)測系統(tǒng)提供數(shù)據(jù)源，即需要將企業(yè)的各種能耗數(shù)據(jù)信息發(fā)送至能耗監(jiān)測系統(tǒng)的數(shù)據(jù)中心服務(wù)器上。因為企業(yè)的能耗數(shù)據(jù)信息屬于重要數(shù)據(jù)，一般位于企業(yè)安全等級比較高的網(wǎng)絡(luò)中，而數(shù)據(jù)中心服務(wù)器一般處于互聯(lián)網(wǎng)公網(wǎng)中，所以必須慎重的考慮網(wǎng)絡(luò)安全的問題，在保證數(shù)據(jù)正常傳送的情況下不能夠使企業(yè)內(nèi)部網(wǎng)絡(luò)受到攻擊或影響。
RK-EMSG在能耗在線監(jiān)測系統(tǒng)中的典型應(yīng)用如圖所示：

安全隔離網(wǎng)關(guān)為獨立雙主機架構(gòu)，分為控制端和信息端?？刂贫说木W(wǎng)口與企業(yè)內(nèi)部網(wǎng)絡(luò)相連，企業(yè)能耗數(shù)據(jù)一般存儲在企業(yè)的各類關(guān)系數(shù)據(jù)庫、實時數(shù)據(jù)庫、MES等系統(tǒng)中，網(wǎng)關(guān)內(nèi)嵌的協(xié)議支持各類數(shù)據(jù)庫及信息系統(tǒng)，可直接從企業(yè)內(nèi)部網(wǎng)絡(luò)中采集到各種能耗數(shù)據(jù)。
安全隔離網(wǎng)關(guān)的信息端和能耗在線監(jiān)測系統(tǒng)數(shù)據(jù)中心所在的公共網(wǎng)絡(luò)連接，網(wǎng)關(guān)利用內(nèi)部的隔離機制，將控制端獲得的數(shù)據(jù)安全擺渡到信息端，信息端利用內(nèi)嵌的專業(yè)能耗數(shù)據(jù)通信協(xié)議，將數(shù)據(jù)發(fā)送到能耗在線監(jiān)測系統(tǒng)的數(shù)據(jù)中心，既實現(xiàn)了數(shù)據(jù)在兩個網(wǎng)絡(luò)中的傳輸，又保證了兩個網(wǎng)絡(luò)的安全隔離。
安全隔離網(wǎng)關(guān)具有多個獨立的物理網(wǎng)口，如果企業(yè)內(nèi)部的數(shù)據(jù)服務(wù)器都在一個網(wǎng)絡(luò)中，則使用一臺安全隔離網(wǎng)關(guān)即能完成系統(tǒng)搭建，極大的方便了現(xiàn)場實施。