博思特

公司简介企业理念合作伙伴成功案例公司新闻行业动态十兆型-纵向加密认证装置南瑞NetKeeper-2000FE纵向千兆型加密认证网关南瑞NetKeeper-2000纵向加密认证网关III型南瑞NetKeeper-2000百兆低端纵向加密认证网关IV型科东 Pstunnel-2000L电力纵向加密认证百兆低端科东 PSTunnel-2000 电力专用纵向加密认证装置(百兆增强型)科东 PSTunnel-2000G 电力专用纵向加密认证装置 千兆型兴唐 SJJ1636-A 增强型纵向加密(老款型号SJW07-A)兴唐 SJJ1636-B 百兆纵向加密(老款型号为SJW07-B)卫士通 SJJ1632-B (百兆纵向加密)卫士通 SJJ1632-A (千兆纵向加密)南瑞配网安全装置(子站)南瑞配网安全装置(主站)加密网关装置管理机南瑞、科东安全加密认证网关南瑞Syskeeper-2000E正向千兆型网络专用安全隔离装置 南瑞Syskeeper-2000正向百兆型网络安全隔离装置南瑞Syskeeper-2000反向千兆型网络安全隔离装置 南瑞Syskeeper-2000反向百兆型网络安全隔离装置 科东Stonewall-2000 网络安全物理隔离百兆正向科东Stonewall-2000 网络安全物理隔离百兆反向科东Stonewall-2000G 网络安全物理隔离千兆反向南瑞、科东安全隔离装置科东PSSEM-2000S网络安全监测装置南瑞ISG-3000网络安全监测装置Ⅱ型网络安全监测装置南瑞安全芯片SEC-3000南瑞安全TF卡南瑞安全芯片、安全TF卡南瑞网络安全摄像机(NR-VSC-NH118PS)南瑞网络安全录像机(NR-VPU4016S)安全视频监控设备华为路由器华为交换机H3C路由器H3C交换机技术服务电力二次系统安全防护调度数据网工程信息安全服务服务说明资料下载技术支持联系方式在线留言人才招聘
产品详情
南瑞Syskeeper-2000反向千兆型网络安全隔离装置
南瑞Syskeeper-2000反向千兆型网络安全隔离装置
产品详情

南瑞 NARI 电力物理隔离 物理隔离装置SysKeeper-2000 反向 千兆 产品简介

5.jpg

SysKeeper-2000网络安全隔离装置(反向型)

产品简介

SysKeeper-2000电力专用网络专用安全隔离装置(反向型)是位于调度数据网络与公用信息网络之间的一个安全防护装置,用于安全区III到安全区I/II的单向数据传递。反向型隔离装置内嵌智能IC卡读写器,在实现安全隔离的基础上,采用数字签名技术和数据加密算法保证反向应用数据传输的安全性。因此,该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性,并为建立全国电网二次系统安全防护体系提供有力保障。

为满足电力系统二次安全防护的需要,南瑞信息技术研究所依托在网络安全产品中的广泛技术积累和应用实践经验,以性能好﹑安全第一﹑使用简便﹑运行稳定为网络安全隔离产品的设计原则,自主研制并推出SysKeeper-2000网络安全隔离装置( 反向型),如图1所示。通过长时间的测试,网络安全隔离设备具有很高的可靠性、稳定性和可以满足用户需要的执行效率。

获得认证

GA部销售许可证:编号XKC30412

国家电网公司EMC检测认证

JFJ信息安全测评认证中心攻防测试认证

国家电网公司电力调度通信中心关于电力专用安全防护设备的检测证明(反向型)检测证明

性能特点:

具有安全隔离能力的硬件结构

由两个高性能嵌入式微机及辅助装置形成安全隔离系统,嵌入式微处理器采用RISC体系结构,减少受攻击的概率;实现两个安全区之间的非网络方式的数据交换,并且采用安全算法保证安全隔离装置内外两个处理系统不同时连通。

高可靠性硬件设计

安全隔离产品硬件供电采用的是国外进口开关电源,符合EN55022 class B,IEC801-2,3,4,5, EN60555-2,3 EMC标准,平均无故障时间达64223小时。在PCB板的设计中,加有线性稳压及滤波装置,并严格按照EDA对高频电路设计的要求,设计了单独的电源层与地层,进一步保证了整个板上电源的稳定性。

支持双电源

实践经验及理论都证明,一个产品***易出故障的部位在电源部分。在安全隔离设备中,设计有双电源。在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。

支持双机热备

在实际应用中,可以设置有双机备份,一台工作在主机位置,一台工作于备用位置,两台机器时刻进行通信并进行信息备份,一旦一台隔离设备出现故障时,或者处于看门狗复位阶段,备机可以承担起主机的工作,以避免重要数据的丢失。

安全裁剪内核,系统的安全性和抗攻击能力强

为了保证系统安全的化,已经将嵌入式Linux内核进行了裁剪。目前,内核中只包括用户管理﹑进程管理﹑和Socket编程接口,裁剪掉TCP/IP协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力。

割断穿透性的TCP连接

安全隔离装置采用截断TCP连接的方法,剥离数据包中的TCP/IP头,将外网的纯数据通过单向数据通道FIFO发送到内网,同时只允许应用层不带任何数据的TCP包的控制信息传输到外网,极大的提高了调度通信监控系统的安全性。

基于数字证书的签名验证和内容检查机制

采用基于数字证书的数字签名技术,在数据的发送端对需要发送的数据进行签名,然后发给专用反向隔离装置;隔离装置收到数据后进行签名验证,并根据用户对数据的定义检查数据文件的格式和内容,支持通用的数据类型和记录分割符,反向隔离装置将处理过的数据发送给内网的数据接收程序。

基于纯文本的编码转换和识别

根据全国电力二次安全防护的要求,需要将纯文本文件中单字符的ASCII码(非控制字符)转换为对应的双字节码,并能正常显示。南瑞SysKeeper-2000反向隔离装置提供了专用发送软件在发送文本文件数据时,自动将半角字符转换为全角字符。SysKeeper-2000反向隔离装置对收到的数据进行纯文本的识别,如果数据包中数据为合法的纯文本,反向隔离装置都会按照编码范围正确的识别,保证进入内网的数据为纯文本数据。

基本安全功能丰富,可实现在网络中的快速部署

采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映射(NAT)以及虚拟IP技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。

采用专用加密算法进行数据加密和数字签名

南瑞SysKeeper-2000反向型隔离设备采用motorola高性能RISC 体系结构CPU,采用电力专用加密算法、RSA公私密钥算法实现数据加、解密、数字签名、身份认证等功能,保证数据的安全传输。在1024位模长下,RSA数字签名速度为150次/秒,密文数据包吞吐量20Mbps(50条安全策略,1024字节报文长度)。

支持第三方病毒查杀引擎

南瑞SysKeeper-2000反向型网络安全隔离装置的配套文件传输软件支持调用本地杀毒软件的防毒引擎,在发送非文本文件时,对数据内容进行防病毒检查,防止带有病毒的文件进入内网。

基于数字证书的图形化用户界面

南瑞SysKeeper-2000网络安全隔离设备(反向型)提供了基于数字证书的的图形化用户界面,通过反向隔离设备的专用智能IC卡读写器进行身份认证,保证配置管理的安全性。整个界面使用全中文化的设计,通过友好的图形化界面,网络管理员可以很容易地定制安全策略和对系统进行维护管理,用户只需进行简单的培训就可以完成对隔离设备的管理与配置。

系统硬件指标

外形:标准1U

网络接口:2个百兆网卡接口、双机热备接口

外设接口:2个终端接口(RS232)、告警接口

智能IC卡读写器接口:配套两片32K智能IC卡片

材料:重负荷钢

指示器:LED电源指示灯﹑安全隔离设备状态指示灯﹑网络适配器状态指示灯

尺寸(长×宽×高):350.1×430×40.3 mm

重量:5 kg

工作温度:-5℃~50℃

输出功率:20W

平均无故障时间(MTBF)>60000小时(100%负荷)

反向隔离装置是放置在安全区I/ II与安全区III间的隔离设备, 它可以识别并屏蔽非
法请求 , 有效防止跨越权限的数据访问, 提高监控系统对有可能导致电网安全事故的攻击 、
病毒、 泄密等的防御水平, 消除绝大部分的安全隐患, 保证电力系统安全运行。
图1 隔离装置原理示意图
如图 1, 正向隔离装置主要用于安全区 I/ II 到安全区 II1 的单 向数据传递 , 并针对两
端服务器配置相应的正向虚拟 IP 地址 ; 而反向隔离装置主要用于安全区 III 到安全区 I /
II 的单向数据传递 , 并针对两端服务器配置相应的反 向虚拟 IP 地址 。
2. 正反向隔离装置在综合网管中的应用
2.1 南瑞 SysKeeper一 2000 正反 向隔离装置
本文所介绍的应用方案采用南瑞 SysKeeper一 2000 正反向隔离装置 。
SysKeeper-2000 网络安全隔离产品(正向型单 比特版) 用于安全区 I/ II 到安全区 III 的
单向数据传递 。 数据综合过滤功能能够为隔离装置提供基本的安全保障, 装置根据系统管理
员预先设定的规则检查数据包以决定哪些数据容许通过 , 哪些数据不能通过 , 保护 内部安全
网络免受外部攻击。 数据过滤依据: 数据包的传输协议类型 , 容许 TCP 和 UDP; 数据包 的源
端地址, 目的端地址; 数据包的源端 口号, 目的端 口号; IP 地址和 MAC 地址是否绑定。
SysKeeper-2000 网络安全隔离装置 (反向型单比特版) 用于安全区 III 到安全区 I/ II 的
单 向数据传递 。 软件系统基于特别裁剪的嵌入式 Linux 内核 , 实现两个安全区之间的非网络
方式的安全的数据交换; 采取无 IP 地址的透明监听方式, 支持网络地址转换, 报文综合过
滤 , 割断穿透性的 TCP 连接 ; 单向数据通信控制, 反向隔离装置采用带签名的 E 语言进行传
输 , 最大限度保障安全区 I/ II 的安全, 在更深层次上保证数据传输的机密型和完整性。
2.2 在电力通信综合网管的应用
万方数据2011 信息技术与应用学术会议优秀论文 Telecom m arket
电力通信综合网管的典型应用 中, 前置采集服务器需要与通信专业厂家网管互连, 位于
安全II区, 而后台应用服务器 、 数据库服务器、 防病毒服务器及客户端等位于安全III区。
图 2 正反 向隔离装置在 电力通信综 合网管的应用
如图 2 所示为某电力公司电力通信综合网管系统的网络拓扑图, 正反向隔离装置位于
II 区和 III 区之 间, 为两个安全区之间唯一的物理连接通道 。 采集服务器从通信专业网管
获取所需要的配置、 告警和性能数据, 并通过正向隔离装置将这些数据传输给位于安全 III
区的应用服务器; 另一方面, 应用服务器通过反 向安全隔离装置向采集服务器下发主动采集
等控制命令, 从而实现综合网管系统的主动采集功能等高级功能。
2.3 正向数据传输的实现
如图 3 所示, 正向数据传输通过建立单向 TCP 的方式来实现, 对于该 TCP 连接, 反向只
能进行单比特应答 , 而无法进行数据传输 。
图 3 正反向数据传输 的实现
2.4 反 向数据传输 的实现
如图 3 所示, 由于反向安全隔离装置的特点, 反向无法建立 TCP 连接 , 只能通过专用的
反向传输软件来进行数据传输。
SysKeeper一 2000 反向文件传输软件 (单比特版) , 由服务端与客户端组成。 服务端安装
在位于安全 II 区的综合网管采集服务器上, 并在图 4 所示界面进行配置, 进行文件传输的
时候需要指定接收文件的根目录,接收的文件均放置在此根目录内,并维持原来的目录结构;
服务端接收客户端 的文件。
客户端安装在位于安全 III 区的综合 网管应用服务器上, 并在图 5 所示界面进行配置,
可 以定制多个任务, 一个任务对应所要发送的一个 目录, 该 目录的内容可 以发送到安全 II
区相应的采集服务器 目录 , 并可 以定时发送或实时发送; 能够辨别更新的文件 , 达到只传输
通信市场 ·2011 年 11— 12 月
第 3 15 页
万方数据2011 信息技术与应用学术会议优秀论文 Teleco m m arket
更新文件的 目的; 在设置好实时或定时发送功能后, 即使在文件传输中出现链路异常断开,
仍然会及时的在链路恢复正常的时候 自动 的重连并继续发送文件。
图 4 反 向传输软件服务端软件配置 界面 图 5 反向传 输软件客 户端软件配置 界面
3. 测试情况
3.1 正向数据传输测试
在应用服务器启动 TCP 监听程序, 在采集服务器启动 TCP 客户端测试工具 , 进行定期的
数据发送, 测试结果显示数据传输准确无误 , 有效网络吞吐率 ~ 60Mbps, 数据包转发延迟<
10ms (100 负荷 ) , 满负荷数据包丢弃率为 0。
3.2 反 向数据传输测试
在采集服务器启动反向传输软件的服务端, 在应用服务器启动反向传输软件客户端 , 进
行定期的数据发送 , 测试结果显示数据传输准确无误, 没有丢包发生, 但是网络吞吐率稍低
于正 向数据传输,考虑到反向传输主要用于应用服务器向采集服务器发送主动采集等控制命
令, 数据量较小, 传输速率也是可以满足要求的。
4. 结语
综上, 正反向隔离装置的应用大大提高了电力通信网络的安全性和可靠性, 可 以有效防
止黑客、 病毒、 人为恶意操纵等威胁, 同时在合理配置使用正反向隔离装置的情况下, 可以
保证正常的正反向数据传输需要



咨询热线:仲经理15852924296(同微信)

                 QQ:891705066(仲经理)

     邮箱njbosite@aliyun.com

                 





在线客服
 
 
 
 
 工作时间
周一至周五 :8:30-17:30
周六至周日 :9:00-17:00
 联系方式
购买咨询:仲经理15852924296
购买咨询:平经理15805185575