電子發(fā)燒友App
1 StoneWall-2000G反向(百兆/千兆)型網(wǎng)絡安全隔離設備功能
具有基于非對稱加密算法(1024位RSA)數(shù)字簽名和驗證功能
通過自動調用殺毒軟件查殺病毒
通過對文本數(shù)據(jù)進行全角檢查、對二進制數(shù)據(jù)進行病毒粉碎,進一步防毒
在配套軟件的配合下,實現(xiàn)可信數(shù)據(jù)由外網(wǎng)到內網(wǎng)的自動或手動傳輸
自動傳遞的文件任務可定制,支持更新檢查、增量發(fā)送
任務發(fā)送情況有日志記錄,可隨時查閱
支持透明連接。網(wǎng)絡安全隔離設備(反向型)接入網(wǎng)絡,無需對網(wǎng)絡的結構及設置做任何改動
支持狀態(tài)檢測功能
支持地址綁定功能,可以有效阻止非法用戶盜用合法用戶的IP地址
支持雙向地址轉換功能,可以在保障自身網(wǎng)絡安全的前提下向外提供服務
支持雙機熱備功能
支持日志審計功能,方便管理員的工作,加強網(wǎng)絡的安全性
優(yōu)化、加固的系統(tǒng)內核
在操作簡便和安全穩(wěn)定之間達到了完美和平衡
2 StoneWall-2000G反向千兆型網(wǎng)絡安全隔離設備特性
安全可靠
StoneWall-2000G反向千兆型建立在具有自主知識產(chǎn)權的安全操作系統(tǒng)基礎上。通過對操作系統(tǒng)內核的大規(guī)模裁減,剔除不安全模塊,大大加強了系統(tǒng)內核的安全性和抗攻擊能力,而且操作系統(tǒng)固化在隔離設備中,避免了因操作系統(tǒng)故障而導致設備工作異常。
StoneWall-2000G反向千兆型網(wǎng)絡安全隔離設備功能比較全面,具有任務定制、文件名模式匹配、狀態(tài)檢測功能、地址綁定功能、雙向地址轉換功能、雙機熱備功能、日志審計功能等,而且由于StoneWall-2000網(wǎng)絡安全隔離設備(反向型)使用透明接入方式,是一般用戶在正常操作時感覺不到設備的存在,這樣既不影響網(wǎng)絡的工作效率,又保證了更高的安全性。
高速穩(wěn)定
StoneWall-2000G反向千兆型網(wǎng)絡安全隔離設備采用高速處理器,保證了硬件平臺的高速運轉,操作系統(tǒng)經(jīng)過適當裁減和安全加固,保證了軟件平臺的穩(wěn)定運行,再加上百兆以太網(wǎng)模塊,這些條件保證了高速穩(wěn)定的網(wǎng)絡傳輸。
硬件數(shù)據(jù)流向控制
經(jīng)過網(wǎng)絡安全隔離設備(反向型)的數(shù)據(jù)流向控制是通過特有的硬件實現(xiàn)的硬控制,數(shù)據(jù)只能有外網(wǎng)流向內網(wǎng),保證內部系統(tǒng)的安全;
高強度的抗攻擊能力
處于內網(wǎng)和外網(wǎng)通信通路上的網(wǎng)絡安全隔離設備(反向型)無形中成為黑客攻擊的首要目標,要保護內網(wǎng)的安全,首先要保證網(wǎng)絡安全隔離設備(反向型)具有較強的抗攻擊能力,網(wǎng)絡安全隔離設備(反向型)采用非INTEL(及兼容)雙微處理器,減少被病毒攻擊的概率,采用自主版權的操作系統(tǒng)內核,取消所有網(wǎng)絡功能,而且設備本身沒有IP地址,使得黑客攻擊無從下手。
嵌入式病毒查殺
在發(fā)送文件時,發(fā)送端軟件調用本地安裝的殺毒軟件的殺毒引擎對文件進行掃描并查殺病毒。通過病毒檢查后的文件,才會由發(fā)送端軟件發(fā)送到內網(wǎng),保證內網(wǎng)的安全。通過升級本地殺毒軟件,保證病毒檢查查殺病毒的能力。
數(shù)字簽名驗證技術
反向型隔離設備保留了正向隔離設備綜合過濾功能,確保內網(wǎng)的安全。在此基礎上,通過綜合過濾的報文,需要通過StoneWall-2000反向型網(wǎng)絡安全隔離設備的數(shù)字簽名驗證,才可以通過反向隔離設備進入內網(wǎng),這種數(shù)字簽名采用非對稱數(shù)字加密技術(1024bitRSA算法),可以防止非法用戶假冒合法用戶向內網(wǎng)發(fā)送文件。
配套軟件在發(fā)送數(shù)據(jù)時自動添加數(shù)字簽名。
雙字節(jié)轉換及檢查技術
通過數(shù)字簽名驗證的文本報文,需要通過StoneWall-2000網(wǎng)絡安全隔離設備(反向型)的雙字節(jié)檢查,才能***終進入內網(wǎng),通過雙字節(jié)檢查,可以保證進入內網(wǎng)的數(shù)據(jù)為純文本數(shù)據(jù),而且這種文本數(shù)據(jù)中的腳本數(shù)據(jù)也是不能運行的全角數(shù)據(jù),可以防止病毒進入內網(wǎng)。
病毒粉碎技術
發(fā)送端軟件在發(fā)送二進制文件數(shù)據(jù)時,自動在數(shù)據(jù)報的特定位置依據(jù)專門的算法插入破壞字節(jié)以破壞病毒的結構。在StoneWall-2000反向網(wǎng)絡安全隔離設備上,通過數(shù)字簽名驗證的二進制數(shù)據(jù)報文,才能進入內網(wǎng)絡。進入內網(wǎng)的報文將被以二進制文件格式存放,接收端的應用程序用專用的API函數(shù)讀出讀取二進制文件,去掉其中的破壞字節(jié),并直接使用該數(shù)據(jù)進行運算,通過對相應字節(jié)的校驗,可以檢測出文件是否在內網(wǎng)側被病毒感染過。病毒粉碎技術保證病毒進入內網(wǎng)時已經(jīng)在結構上被破壞掉,無法工作。
隨著國家大力發(fā)展清潔能源,風(光伏)電場建設日新月異。隨著計算機技術、通信技術和網(wǎng)絡技術的發(fā)展,電場電力系統(tǒng)結構也日益復雜,電場生產(chǎn)控制及管理已經(jīng)完全依賴于計算機監(jiān)控系統(tǒng)和數(shù)據(jù)通信網(wǎng)絡系統(tǒng)。尤其隨著現(xiàn)在電場跨地域建設和管理,相對封閉的電場生產(chǎn)控制系統(tǒng)與外界的聯(lián)系越來越緊密,電場生產(chǎn)控制系統(tǒng)遭遇人為破壞的風險大大增加,加上為了提高電場管理效率,電場大量采用跨地域遠程控制。這些都對電場生產(chǎn)控制系統(tǒng)和數(shù)據(jù)通信網(wǎng)絡系統(tǒng)的安全性、可靠性、實時性提出了新的挑戰(zhàn)。
3 設計應用
沒有安裝隔離網(wǎng)閘的電場內部生產(chǎn)控制系統(tǒng)與數(shù)據(jù)通信網(wǎng)絡系統(tǒng)直接互聯(lián),而數(shù)據(jù)通信網(wǎng)絡為滿足遠程監(jiān)控的需要通過Internet網(wǎng)為上級提供數(shù)據(jù)。這樣的網(wǎng)絡框架很容易使得電場生產(chǎn)控制系統(tǒng)遭受到黑客或者惡意代碼對電力二次系統(tǒng)的侵害,從而引發(fā)電力系統(tǒng)故障。為解決以上安全問題,在電場安裝配置正向物理隔離網(wǎng)閘,從物理上隔斷電場內部生產(chǎn)控制系統(tǒng)與數(shù)據(jù)通信網(wǎng)絡的直接互聯(lián)(如圖2所示)。具體部署如下:
(1)在對外數(shù)據(jù)服務器與生產(chǎn)數(shù)據(jù)服務器之間架設數(shù)據(jù)采集服務器,數(shù)據(jù)采集服務器接入電場內部生產(chǎn)控制系統(tǒng)并完成數(shù)據(jù)采集工作;
(2)在數(shù)據(jù)采集服務器與對外數(shù)據(jù)服務器之間架設物理隔離網(wǎng)閘以實現(xiàn)數(shù)據(jù)通信網(wǎng)絡系統(tǒng)與電場內部生產(chǎn)控制系統(tǒng)在物理上的隔離。
千兆型反向隔離裝置標準技術參數(shù)表
?
| 序號 | 參數(shù)名稱 | 單位 | 技術參數(shù) |
| 1 | 網(wǎng)絡接口 | 個 |
100/1000M接口2(內網(wǎng)); ? ?100/1000M接口2(外網(wǎng)); ? ?100/1000M雙機熱備接口1(或與通信接口復用) |
| 2 | 外設接口 | 個 | 終端管理接口(RS232)2 |
| 3 | 設備厚度 | U | 2 |
| 4 | 數(shù)據(jù)包有效網(wǎng)絡吞吐率 | Mbit/s | ≥120(100條安全策略,1024字節(jié)報文長度) |
| 5 | 數(shù)據(jù)轉發(fā)延時 | ms | ≤30 |
| 6 | 數(shù)字簽名速率 | 次/s | >100 |
| 7 | 滿負荷數(shù)據(jù)包丟棄率 | % | 0 |
| 8 | 平均無故障時間(MTBF) | H | >50000(100%負荷) |
| 9 | 返回確認報文長度 | bit | ≤1 |
| 10 | 日志規(guī)范 | ? | 滿足《電力二次系統(tǒng)安全告警日志格式規(guī)范》要求 |
?
科東?物理隔離Stonewall-2000?百兆反向?產(chǎn)品簡介
StoneWall-2000網(wǎng)絡安全隔離設備(反向型)是由中國電力科學研究院下屬電網(wǎng)所-北京科東電力控制系統(tǒng)有限責任公司自主開發(fā)研制,具有物理隔離能力的網(wǎng)絡安全設備,具有操作簡便、高性能、高可靠性等特點。
1、硬件部分:??
CPUPowerPC8245400MHz2個??
雙端口安全島1個??
內網(wǎng)網(wǎng)口2個??
外網(wǎng)網(wǎng)口2個??
管理串口2個??
報警擴展串口2個??
2、配套軟件部分:??
反向文件傳輸軟件:實現(xiàn)跨隔離設備的反向文件傳輸。??
配置管理工具:GUI和CLI兩種軟件配置工具,用于對隔離設備的配置和管理。??
專用API函數(shù):反向型數(shù)據(jù)發(fā)送API。??
3、性能指標??
StoneWall-2000網(wǎng)絡安全隔離設備(反向型)各項技術指標如下:??
100M網(wǎng)絡狀態(tài)下密文有效數(shù)據(jù)吞吐率:≥60Mbps ?
100M網(wǎng)絡狀態(tài)下網(wǎng)卡數(shù)據(jù)包吞吐率:≥1800pps ?
數(shù)字簽名速率:≥100次/秒??
數(shù)據(jù)包轉發(fā)延遲:<30ms ?
滿負荷狀態(tài)下數(shù)據(jù)包丟棄率為:0??
滿負荷狀態(tài)下平均無故障時間(MTBF):≥50000小時?
4、StoneWall-2000網(wǎng)絡安全隔離設備(反向型)的基本功能和特性
基本功能
具有基于非對稱加密算法(1024位RSA)數(shù)字簽名和驗證功能
通過自動調用殺毒軟件查殺病毒
通過對文本數(shù)據(jù)進行全角檢查、對二進制數(shù)據(jù)進行病毒粉碎,進一步防毒
在配套軟件的配合下,實現(xiàn)可信數(shù)據(jù)由外網(wǎng)到內網(wǎng)的自動或手動傳輸
自動傳遞的文件任務可定制,支持更新檢查、增量發(fā)送
任務發(fā)送情況有日志記錄,可隨時查閱
支持透明連接。網(wǎng)絡安全隔離設備(反向型)接入網(wǎng)絡,無需對網(wǎng)絡的結構及設置做任何改動
支持狀態(tài)檢測功能
支持地址綁定功能,可以有效阻止非法用戶盜用合法用戶的IP地址
支持雙向地址轉換功能,可以在保障自身網(wǎng)絡安全的前提下向外提供服務
支持雙機熱備功能
支持日志審計功能,方便管理員的工作,加強網(wǎng)絡的安全性
優(yōu)化、加固的系統(tǒng)內核
在操作簡便和安全穩(wěn)定之間達到了完美和平衡
審核編輯:黃飛
?
工商網(wǎng)監(jiān)
評論