SysKeeper-2000网络安全隔离装置(反向型)

产品简介

SysKeeper-2000电力专用网络专用安全隔离装置(反向型)是位于调度数据网络与公用信息网络之间的一个安全防护装置,用于安全区III到安全区I/II的单向数据传递。反向型隔离装置内嵌智能IC卡读写器,在实现安全隔离的基础上,采用数字签名技术和数据加密算法保证反向应用数据传输的安全性。因此,该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性,并为建立全国电网二次系统安全防护体系提供有力保障。

为满足电力系统二次安全防护的需要,南瑞信息技术研究所依托在网络安全产品中的广泛技术积累和应用实践经验,以性能好﹑安全第一﹑使用简便﹑运行稳定为网络安全隔离产品的设计原则,自主研制并推出SysKeeper-2000网络安全隔离装置( 反向型),如图1所示。通过长时间的测试,网络安全隔离设备具有很高的可靠性、稳定性和可以满足用户需要的执行效率。

获得认证

GA部销售许可证:编号XKC30412

国家电网公司EMC检测认证

JFJ信息安全测评认证中心攻防测试认证

国家电网公司电力调度通信中心关于电力专用安全防护设备的检测证明(反向型)检测证明

性能特点:

具有安全隔离能力的硬件结构

由两个高性能嵌入式微机及辅助装置形成安全隔离系统,嵌入式微处理器采用RISC体系结构,减少受攻击的概率;实现两个安全区之间的非网络方式的数据交换,并且采用安全算法保证安全隔离装置内外两个处理系统不同时连通。

高可靠性硬件设计

安全隔离产品硬件供电采用的是国外进口开关电源,符合EN55022 class B,IEC801-2,3,4,5, EN60555-2,3 EMC标准,平均无故障时间达64223小时。在PCB板的设计中,加有线性稳压及滤波装置,并严格按照EDA对高频电路设计的要求,设计了单独的电源层与地层,进一步保证了整个板上电源的稳定性。

支持双电源

实践经验及理论都证明,一个产品***易出故障的部位在电源部分。在安全隔离设备中,设计有双电源。在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。

支持双机热备

在实际应用中,可以设置有双机备份,一台工作在主机位置,一台工作于备用位置,两台机器时刻进行通信并进行信息备份,一旦一台隔离设备出现故障时,或者处于看门狗复位阶段,备机可以承担起主机的工作,以避免重要数据的丢失。

安全裁剪内核,系统的安全性和抗攻击能力强

为了保证系统安全的化,已经将嵌入式Linux内核进行了裁剪。目前,内核中只包括用户管理﹑进程管理﹑和Socket编程接口,裁剪掉TCP/IP协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力。

割断穿透性的TCP连接

安全隔离装置采用截断TCP连接的方法,剥离数据包中的TCP/IP头,将外网的纯数据通过单向数据通道FIFO发送到内网,同时只允许应用层不带任何数据的TCP包的控制信息传输到外网,极大的提高了调度通信监控系统的安全性。

基于数字证书的签名验证和内容检查机制

采用基于数字证书的数字签名技术,在数据的发送端对需要发送的数据进行签名,然后发给专用反向隔离装置;隔离装置收到数据后进行签名验证,并根据用户对数据的定义检查数据文件的格式和内容,支持通用的数据类型和记录分割符,反向隔离装置将处理过的数据发送给内网的数据接收程序。

基于纯文本的编码转换和识别

根据全国电力二次安全防护的要求,需要将纯文本文件中单字符的ASCII码(非控制字符)转换为对应的双字节码,并能正常显示。南瑞SysKeeper-2000反向隔离装置提供了专用发送软件在发送文本文件数据时,自动将半角字符转换为全角字符。SysKeeper-2000反向隔离装置对收到的数据进行纯文本的识别,如果数据包中数据为合法的纯文本,反向隔离装置都会按照编码范围正确的识别,保证进入内网的数据为纯文本数据。

基本安全功能丰富,可实现在网络中的快速部署

采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映射(NAT)以及虚拟IP技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。

采用专用加密算法进行数据加密和数字签名

南瑞SysKeeper-2000反向型隔离设备采用motorola高性能RISC 体系结构CPU,采用电力专用加密算法、RSA公私密钥算法实现数据加、解密、数字签名、身份认证等功能,保证数据的安全传输。在1024位模长下,RSA数字签名速度为150次/秒,密文数据包吞吐量20Mbps(50条安全策略,1024字节报文长度)。

支持第三方病毒查杀引擎

南瑞SysKeeper-2000反向型网络安全隔离装置的配套文件传输软件支持调用本地杀毒软件的防毒引擎,在发送非文本文件时,对数据内容进行防病毒检查,防止带有病毒的文件进入内网。

基于数字证书的图形化用户界面

南瑞SysKeeper-2000网络安全隔离设备(反向型)提供了基于数字证书的的图形化用户界面,通过反向隔离设备的专用智能IC卡读写器进行身份认证,保证配置管理的安全性。整个界面使用全中文化的设计,通过友好的图形化界面,网络管理员可以很容易地定制安全策略和对系统进行维护管理,用户只需进行简单的培训就可以完成对隔离设备的管理与配置。

系统硬件指标