SysKeeper-2000网络安全隔离装置(正向型)
研制:南瑞信息系统分公司
-------------------------------------------------------------------------------- 产品简介
SysKeeper-2000电力专用网络专用安全隔离装置(正向型)是位于调度数据网络与公用信息网络之间的一个安全防护装置,用于安全区I/II到安全区III的单向数据传递。它可以识别非法请求并阻止超越权限的数据访问和操作,从而有效地抵御病毒、黑客等通过各种形式发起的对电力网络系统的恶意破坏和攻击活动,保护实时闭环监控系统和调度数据网络的安全;同时它采用非网络传输方式实现这两个网络的信息和资源共享,保障电力系统的安全稳定运行。因此,该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性,促进各部门的生产和新应用的开发与运用,并为建立全国电网二次系统安全防护体系提供有力保障。
为满足电力系统二次安全防护的需要,南瑞信息技术研究所依托在网络安全产品中的广泛技术积累和应用实践经验,以性能好﹑功能全﹑使用简便﹑运行稳定为网络安全隔离产品的设计原则,自主研制并推出SysKeeper-2000网络安全隔离装置(正向型),如图1所示。通过长时间的测试,网络安全隔离设备具有很高的可靠性、稳定性和可以满足用户需要的执行效率。
图1 SysKeeper-2000网络安全隔离装置(正向型)
获得认证
公安部销售许可证:编号XKC30412
国家电网公司EMC检测认证
解放军信息安全测评认证中心攻防测试认证
国家电网公司电力调度通信中心关于电力专用安全防护设备的检测证明(正向型)检测证明
性能特点
具有安全隔离能力的硬件结构
由两个高性能嵌入式微机及辅助装置形成安全隔离系统,嵌入式微处理器采用RISC体系结构,减少受攻击的概率;实现两个安全区之间的非网络方式的数据交换,并且采用安全算法保证安全隔离装置内外两个处理系统不同时连通。
高可靠性硬件设计
安全隔离产品硬件供电采用的是国外进口开关电源,符合EN55022 class B,IEC801-2,3,4,5, EN60555-2,3 EMC标准,平均无故障时间达64223小时。在PCB板的设
计中,加有线性稳压及滤波装置,并严格按照EDA对高频电路设计的要求,设计了单独的电源层与地层,进一步保证了整个板上电源的稳定性。
支持双电源
实践经验及理论都证明,一个产品最易出故障的部位在电源部分。在安全隔离设备中,设计有双电源。在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。
支持双机热备
在实际应用中,可以设置有双机备份,一台工作在主机位置,一台工作于备用位置,两台机器时刻进行通信并进行信息备份,一旦一台隔离设备出现故障时,或者处于看门狗复位阶段,备机可以承担起主机的工作,以避免重要数据的丢失。
单向传输控制
物理上控制反向传输芯片的深度为4个字节,保证丛低安全区到高安全区的TCP应答禁止携带应用数据,大大增强了高安全区业务系统的安全性。在物理上实现了数据流的纯单向传输,数据只能从内网流向外网。
安全裁剪内核,系统的安全性和抗攻击能力强
为了保证系统安全的最大化,已经将嵌入式Linux内核进行了裁剪。目前,内核中只包括用户管理﹑进程管理和Socket编程接口,裁剪掉TCP/IP协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力。
割断穿透性的TCP连接
安全隔离装置采用截断TCP连接的方法,剥离数据包中的TCP/IP头,将内网的纯数据通过单向数据通道FIFO发送到外网,同时只允许应用层不带任何数据的TCP包的控制信息传输到内网,极大的提高了调度通信监控系统的安全性。
基本安全功能丰富,可以实现在网络中的快速部署
采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映射(NAT)以及虚拟IP 技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。
网络通信流畅,不会成为网络通信瓶颈
隔离设备采用motorola高性能CPU,主频达350MHz,内核使用高效的过滤算法,充分发挥良好的硬件性能,百兆状态下的网络吞吐率达到60~80Mbps,不会造成网络通讯的瓶颈。
丰富的通信工具软件和API函数接口
为了使隔离设备达到预期的安全效果,经过隔离设备进行数据传输的软件必须按照《全国电力二次系统安全防护总体方案》的规定进行开发。针对I/II区到III区通信内容规定,SysKeeper-2000网络安全隔离设备提供了丰富的通信工具软件和API函数接口,方便用户进行二次系统隔离改造。
操作简单的图形化用户界面
隔离设备提供了友好的图形化用户界面,可以进行全新的可视化管理与配置。整个界面使用全中文化的设计,通过友好的图形化界面,网络管理员可以很容易地定制安全策略和对系统进行维护管理。用户只需进行简单的培训就可以完成对隔离设备的管理与配置。
系统硬件指标
外形:标准1U
网络接口:2个百兆网卡接口、双机热备接口
外设接口:2个终端接口(RS232)、告警接口
材料:重负荷钢
指示器:LED电源指示灯﹑安全隔离设备状态指示灯﹑网络适配器状态指示灯
尺寸(长×宽×高):350.1×430×40.3 mm
重量:5 kg
工作温度:-5℃~50℃
输出功率:20 W
平均无故障时间(MTBF)>60000小时(100%负荷)
典型应用
自2003年至2006年7月底止,我公司SysKeeper-2000网络安全隔离设备在全国投运九百余套,产品遍布全国大部分地区的电网和电厂,其中各级电网部署了600余套,各地电厂部署了近300套,其分布为:
一、国家级
1、国家电力调度中心
2、南方电力调度中心
二、网省级,包括所有网调和大部分省调,详细如下:
1、华东电力调度中心
2、华北电力调度中心
3、西北电力调度中心
4、东北电力调度中心
5、华中电力调度中心
6、江苏电力调度中心
7、浙江电力调度中心
8、安徽电力调度中心
9、福建电力调度中心
10、上海电力调度中心
11、江西电力调度中心
12、湖南电力调度中心
13、湖北电力调度中心
14、重庆电力调度中心
15、四川电力调度中心
16、陕西电力调度中心
17、宁夏电力调度中心
18、甘肃电力调度中心
19、新疆电力调度中心
20、广东电力调度中心
21、广西电力调度中心
22、云南电力调度中心
23、河北电力调度中心
24、北京电力调度中心
25、吉林电力调度中心
三、地区级:共部署了全国各省区170多个地调,计隔离装置330余套,其主要分别如下:
1、江苏13个地区电力调度中心
2、浙江11个地区电力调度中心
3、福建9个地区电力调度中心
4、安徽10个地区电力调度中心
5、上海7个地区电力调度中心
6、江西4个地区电力调度中心
7、湖北9个地区电力调度中心
8、湖南7个地区电力调度中心
9、重庆6个地区电力调度中心
10、四川7个地区电力调度中心
11、广东14个地区电力调度中心
12、广西7个地区电力调度中心
13、贵州6个地区电力调度中心
14、云南5个地区电力调度中心
15、河北7个地区电力调度中心
16、陕西9个地区电力调度中心
17、宁夏4个地区电力调度中心
18、甘肃4个地区电力调度中心
19、北京11个地区电力调度中心
20、山东4个地区电力调度中心
四、县级:共部署了全国各省区240多个县调,计隔离装置250余台,大部分为正向隔离装置,其中部分县调分布如下:
1、江苏22个县调
2、浙江31个县调
3、福建16个县调
4、陕西22个县调
5、广东12个县调
6、广西11个县调
7、贵州6个县调
8、云南8个县调
9、河南15个县调
10、山西9个县调
11、四川11个县调
12、湖南13个县调
13、湖北17个县调
五、电厂:共部署了140多个电厂,计隔离装置近300套,其中部分电厂如下:
1、三峡左岸电厂
2、三峡梯调
3、黄河梯调
4、浙江长兴电厂
5、浙江萧山电厂
6、浙江镇海电厂
7、浙江温州电厂
8、杭州半山电厂
9、浙江嘉兴电厂
10、浙江嘉华电厂
11、浙江兰溪电厂
12、二滩电厂
13、福建水口电厂
14、福建九龙江水电公司
15、江西全省水电
16、广东惠州天然气发电有限公司
17、广东珠江电厂
18、广东汕头电厂
19、湖南湘潭电厂
20、湖南拓溪电厂
21、河南鸭河口电厂
22、河南豫源电厂
23、贵州乌江水电公司
24、贵州大龙电厂
25、云南澜沧江水电公司
26、四川龟都府电厂
27、四川白水江电厂
28、青海龙羊峡电厂
29、温州燃机电厂
30、浙江国华余姚电厂
31、浙江国华宁海电厂
32、北仑港电厂
33、天荒坪电站
34、吉林浑江电厂
35、长春第二热电厂
36、吉林二道江电厂
37、浙江上虞电厂