调度数据网屏及电力系统二次安防设备

全国咨询热线:

18963614580

热门搜索: 10KV二次安防屏、35KV二次安防屏、二次安防屏
反向隔离装置

反向隔离装置

介绍关于反向隔离装置相关信息。

咨询热线:18963614580

立即咨询

产品详情

网络安全隔离装置(反向型)应用于安全区间的单向数据传输,控制方向与正向隔离装置相反。装置采用电力专用隔离卡,以非网络传输的方式实现两网络之间的资源和信息共享,仅支持传输纯文本文件或E语言格式的文件,并进行数据加密及合法性检查,以保障电力系统的安全稳定运行。经过长期测试,该设备具有很好的稳定性和可靠性,同时可以满足客户需要的执行性能。



2、主要技术参数
(1)百兆型
功耗:30W
数据包吞吐量:≥100Mbps
数字签名速率:≥186次/秒

满负荷丢包率:0
(2)千兆型
功耗:45W
数据包吞吐量:≥400Mbps
数字签名速率:≥235次/秒

满负荷丢包率:0

智能变电站网络遵循“安全分区、网络专用、横向隔离”的安全防护基本原则。其中,安全分区可分为生产控制大区与管理信息大区[3]。生产控制大区的控制区(安全I区)与非控制区(安全II区)之间的通信采用硬件防火墙实现逻辑隔离;而生产控制大区与管理信息大区的通信采用正向隔离装置进行隔离,仅允许数据单向传输。过虚拟IP技术,隔离装置将两端的网络进行隔离。内、外网主机之间的通信被映射为两个部分:内网对内网通信,外网对外网通信。对于两端为同一网段网络,装置真实IP和虚拟IP地址相同。对于图3,其网络地址转换图如图4所示。其中,内网即安全I区,外网即安全III区,数据传输方向限制为安全I区单向传输给安全III区。在数据传输过程中,在网络层运用网络地址转换技术将数据包的IP地址转换为另一个IP地址的过程[5]。数据传输时,隔离装置的内、外网真实IP与虚拟IP各自通信,内网真实IP与虚拟IP通信,外网真实IP与虚拟IP通信,通过网络地址转换技术进行互相转化。由于此模型的内、外网网段相同,因此真实IP与虚拟IP相同。当电能质量装置传输数据给主站服务器时,源IP地址为电能质量装置真实IP:7.143.59.58,目的IP地址为主站服务器虚拟IP:7.143.57.3,经隔离装置网络地址转换,到达隔离装置外网后,源IP地址为电能质量装置的虚拟IP7.143.59.58,目的IP地址为主站服务器的真实IP:7.143.57.3。运用虚拟IP和网络地址转换技术后,装置数据传输得以正向隔离。

在隔离装置的IP配置过程时,需提前准备装置IP,主站服务器IP,装置、主站的虚拟IP。虚拟IP技术就是在隔离装置中针对内、外网的两台主机,虚拟出两个IP地址[4]。内网主机虚拟出一个外网的IP地址,外网的主机虚拟出一个内网的IP地址,这样内网主机就可通过访问外网主机的虚拟IP达到访问外网主机的目的,同时外网主机也可通过访问内网主机的虚拟IP达到访问内网主机的目的。


3、产品特点
为了保证系统安全的最大化,本产品已经将嵌入式内核进行了裁剪和优化。目前,内核中只包括用户管理﹑进程管理,裁剪掉TCP/IP 协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力,免于黑客对操作系统的攻击,并有效抵御Dos/DDos 攻击。
采用基于数字证书的数字签名技术,在数据的发送端对需要发送的数据进行签名,然后发给专用反向隔离装置;隔离装置收到数据后进行签名验证,并根据用户对数据的定义检查数据文件的格式和内容,支持通用的数据类型和记录分割符,反向隔离装置将处理过的数据发送给内网的数据接收程序。
通过反向隔离装置传输的软件都是从低安全区向高安全区进行传输,为了严格保障内网安全,禁止非法文件、病毒文件传输到内网,要对传输的文件内容进行过滤。为此国家调度中心制定了《电力系统数据描述语言》,提出了电力行业专用的数据描述语言E语言。按照国调要求,反向隔离装置支持对E语言文件的格式检查,来对传输的文件进行内容强过滤。
本产品在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC 与IP 地址绑定,防止IP 地址欺骗;支持应用层特殊标记识别;为了实现处于不同网段的主机之间相互访问,隔离装置采用了虚拟IP 技术,且支持静态地址映射,为用户提供一个全透明﹑安全﹑高效的安全隔离装置。
本产品提供基于RSA公私密钥对的数字签名和采用专用加密算法进行数字加密的功能。进行RSA运算时,为了保证密钥的安全性,提供已密钥的ID号使用密钥的功能,密钥仅存在与反向型网络安全隔离设备的安全存储区中,与应用系统隔离,不能通过任何非法手段进行访问,极大的提高了数据交换的安全性。
本产品支持设置不同的用户类别:系统管理员、管理员、和普通用户等。通过身份认证机制,控制不同用户对安全隔离设备的操作权限。如系统管理员可以增加、删除、修改隔离装置的配置规则,可以增加或删除隔离装置的普通用户,可以查询隔离装置的日志等;普通用户只可以查看隔离装置的配置规则和日志等。
本产品采用截断TCP 连接的方法,剥离数据包中的TCP/IP 头,将外网的纯数据通过反向安全通道发送到内网,同时只允许应用层不带任何数据的TCP 包的控制信息传输到外网,保护内网监控系统的安全性。
本产品采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC 与IP 地址绑定,防止IP 地址欺骗;支持静态地址映射(NAT)以及虚拟IP 技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。
日志在本产品每天的运行中起着很重要的作用,由于许多攻击﹑系统漏洞不具备机器可分析的特征,或者新的攻击的特征还不为人所知,因此,日志是发现攻击﹑发现系统漏洞和记录攻击证据的重要手段。隔离设备内、外网各板载安全存储区用于系统日志的记载,循环更新保持最新的系统日志。日志规范符合《电力二次系统安全告警日志格式规范》,可以接入电力二次系统内网安全监视功能模块集中监视。
本产品提供了基于数字证书的的图形化用户界面,通过反向隔离设备的专用智能IC 卡读写器进行身份认证,保证配置管理的安全性。整个界面使用全中文化的设计,通过友好的图形化界面,网络管理员可以很容易地定制安全策略和对系统进行维护管理,用户只需进行简单的培训就可以完成对隔离设备的管理与配置。

留言列表

发表留言

真诚期待与您的合作

获取报价·了解更多业务·7*24小时专业服务

联系我们