調度數據網屏及電力係統二次安防設備

        全國谘詢熱線:

        18963614580

        熱門搜索: 調度數據網屏接入設備及二次安防設備_電力係統二次安防設備
        反向隔離裝置

        反向隔離裝置

        介紹關於反向隔離裝置相關信息。

        谘詢熱線:18963614580

        產品詳情

        網絡安全隔離裝置(反向型)應用於安全區間的單向數據傳輸,控製方向與正向隔離裝置相反。裝置采用電力專用隔離卡,以非網絡傳輸的方式實現兩網絡之間的資源和信息共享,僅支持傳輸純文本文件或E語言格式的文件,並進行數據加密及合法性檢查,以保障電力係統的安全穩定運行。經過長期測試,該設備具有很好的穩定性和可靠性,同時可以滿足客戶需要的執行性能。



        2、主要技術參數
        (1)百兆型
        功耗:30W
        數據包吞吐量:≥100Mbps
        數字簽名速率:≥186次/秒

        滿負荷丟包率:0
        (2)千兆型
        功耗:45W
        數據包吞吐量:≥400Mbps
        數字簽名速率:≥235次/秒

        滿負荷丟包率:0

        智能變電站網絡遵循“安全分區、網絡專用、橫向隔離”的安全防護基本原則。其中,安全分區可分為生產控製大區與管理信息大區[3]。生產控製大區的控製區(安全I區)與非控製區(安全II區)之間的通信采用硬件防火牆實現邏輯隔離;而生產控製大區與管理信息大區的通信采用正向隔離裝置進行隔離,僅允許數據單向傳輸。過虛擬IP技術,隔離裝置將兩端的網絡進行隔離。內、外網主機之間的通信被映射為兩個部分:內網對內網通信,外網對外網通信。對於兩端為同一網段網絡,裝置真實IP和虛擬IP地址相同。對於圖3,其網絡地址轉換圖如圖4所示。其中,內網即安全I區,外網即安全III區,數據傳輸方向限製為安全I區單向傳輸給安全III區。在數據傳輸過程中,在網絡層運用網絡地址轉換技術將數據包的IP地址轉換為另一個IP地址的過程[5]。數據傳輸時,隔離裝置的內、外網真實IP與虛擬IP各自通信,內網真實IP與虛擬IP通信,外網真實IP與虛擬IP通信,通過網絡地址轉換技術進行互相轉化。由於此模型的內、外網網段相同,因此真實IP與虛擬IP相同。當電能質量裝置傳輸數據給主站服務器時,源IP地址為電能質量裝置真實IP:7.143.59.58,目的IP地址為主站服務器虛擬IP:7.143.57.3,經隔離裝置網絡地址轉換,到達隔離裝置外網後,源IP地址為電能質量裝置的虛擬IP7.143.59.58,目的IP地址為主站服務器的真實IP:7.143.57.3。運用虛擬IP和網絡地址轉換技術後,裝置數據傳輸得以正向隔離。

        在隔離裝置的IP配置過程時,需提前準備裝置IP,主站服務器IP,裝置、主站的虛擬IP。虛擬IP技術就是在隔離裝置中針對內、外網的兩台主機,虛擬出兩個IP地址[4]。內網主機虛擬出一個外網的IP地址,外網的主機虛擬出一個內網的IP地址,這樣內網主機就可通過訪問外網主機的虛擬IP達到訪問外網主機的目的,同時外網主機也可通過訪問內網主機的虛擬IP達到訪問內網主機的目的。


        3、產品特點
        為了保證係統安全的最大化,本產品已經將嵌入式內核進行了裁剪和優化。目前,內核中隻包括用戶管理﹑進程管理,裁剪掉TCP/IP 協議棧和其它不需要的係統功能,進一步提高了係統安全性和抗攻擊能力,免於黑客對操作係統的攻擊,並有效抵禦Dos/DDos 攻擊。
        采用基於數字證書的數字簽名技術,在數據的發送端對需要發送的數據進行簽名,然後發給專用反向隔離裝置;隔離裝置收到數據後進行簽名驗證,並根據用戶對數據的定義檢查數據文件的格式和內容,支持通用的數據類型和記錄分割符,反向隔離裝置將處理過的數據發送給內網的數據接收程序。
        通過反向隔離裝置傳輸的軟件都是從低安全區向高安全區進行傳輸,為了嚴格保障內網安全,禁止非法文件、病毒文件傳輸到內網,要對傳輸的文件內容進行過濾。為此國家調度中心製定了《電力係統數據描述語言》,提出了電力行業專用的數據描述語言E語言。按照國調要求,反向隔離裝置支持對E語言文件的格式檢查,來對傳輸的文件進行內容強過濾。
        本產品在鏈路層截獲數據包,然後根據用戶的安全策略決定如何處理該數據包;實現了MAC 與IP 地址綁定,防止IP 地址欺騙;支持應用層特殊標記識別;為了實現處於不同網段的主機之間相互訪問,隔離裝置采用了虛擬IP 技術,且支持靜態地址映射,為用戶提供一個全透明﹑安全﹑高效的安全隔離裝置。
        本產品提供基於RSA公私密鑰對的數字簽名和采用專用加密算法進行數字加密的功能。進行RSA運算時,為了保證密鑰的安全性,提供已密鑰的ID號使用密鑰的功能,密鑰僅存在與反向型網絡安全隔離設備的安全存儲區中,與應用係統隔離,不能通過任何非法手段進行訪問,極大的提高了數據交換的安全性。
        本產品支持設置不同的用戶類別:係統管理員、管理員、和普通用戶等。通過身份認證機製,控製不同用戶對安全隔離設備的操作權限。如係統管理員可以增加、刪除、修改隔離裝置的配置規則,可以增加或刪除隔離裝置的普通用戶,可以查詢隔離裝置的日誌等;普通用戶隻可以查看隔離裝置的配置規則和日誌等。
        本產品采用截斷TCP 連接的方法,剝離數據包中的TCP/IP 頭,將外網的純數據通過反向安全通道發送到內網,同時隻允許應用層不帶任何數據的TCP 包的控製信息傳輸到外網,保護內網監控係統的安全性。
        本產品采用綜合過濾技術,在鏈路層截獲數據包,然後根據用戶的安全策略決定如何處理該數據包;實現了MAC 與IP 地址綁定,防止IP 地址欺騙;支持靜態地址映射(NAT)以及虛擬IP 技術;具有可定製的應用層解析功能,支持應用層特殊標記識別,為用戶提供一個全透明﹑安全﹑高效的隔離裝置。
        日誌在本產品每天的運行中起著很重要的作用,由於許多攻擊﹑係統漏洞不具備機器可分析的特征,或者新的攻擊的特征還不為人所知,因此,日誌是發現攻擊﹑發現係統漏洞和記錄攻擊證據的重要手段。隔離設備內、外網各板載安全存儲區用於係統日誌的記載,循環更新保持最新的係統日誌。日誌規範符合《電力二次係統安全告警日誌格式規範》,可以接入電力二次係統內網安全監視功能模塊集中監視。
        本產品提供了基於數字證書的的圖形化用戶界麵,通過反向隔離設備的專用智能IC 卡讀寫器進行身份認證,保證配置管理的安全性。整個界麵使用全中文化的設計,通過友好的圖形化界麵,網絡管理員可以很容易地定製安全策略和對係統進行維護管理,用戶隻需進行簡單的培訓就可以完成對隔離設備的管理與配置。
        上一篇:正向隔離裝置
        下一篇:返回列表

        留言列表

        發表留言

        真誠期待與您的合作

        獲取報價·了解更多業務·7*24小時專業服務

        聯係我們