StoneWall-2000G反向千兆型網(wǎng)絡(luò )安全隔離設備特性

1　StoneWall-2000G反向（百兆/千兆）型網(wǎng)絡(luò )安全隔離設備功能

具有基于非對稱(chēng)加密算法（1024位RSA）數字簽名和驗證功能

通過(guò)自動(dòng)調用殺毒軟件查殺病毒

通過(guò)對文本數據進(jìn)行全角檢查、對二進(jìn)制數據進(jìn)行病毒粉碎，進(jìn)一步防毒

在配套軟件的配合下，實(shí)現可信數據由外網(wǎng)到內網(wǎng)的自動(dòng)或手動(dòng)傳輸

自動(dòng)傳遞的文件任務(wù)可定制，支持更新檢查、增量發(fā)送

任務(wù)發(fā)送情況有日志記錄，可隨時(shí)查閱

支持透明連接。網(wǎng)絡(luò )安全隔離設備（反向型）接入網(wǎng)絡(luò )，無(wú)需對網(wǎng)絡(luò )的結構及設置做任何改動(dòng)

支持狀態(tài)檢測功能

支持地址綁定功能，可以有效阻止非法用戶(hù)盜用合法用戶(hù)的IP地址

支持雙向地址轉換功能，可以在保障自身網(wǎng)絡(luò )安全的前提下向外提供服務(wù)

支持雙機熱備功能

支持日志審計功能，方便管理員的工作，加強網(wǎng)絡(luò )的安全性

優(yōu)化、加固的系統內核

在操作簡(jiǎn)便和安全穩定之間達到了完美和平衡

2 StoneWall-2000G反向千兆型網(wǎng)絡(luò )安全隔離設備特性

安全可靠

StoneWall-2000G反向千兆型建立在具有自主知識產(chǎn)權的安全操作系統基礎上。通過(guò)對操作系統內核的大規模裁減，剔除不安全模塊,大大加強了系統內核的安全性和抗攻擊能力，而且操作系統固化在隔離設備中，避免了因操作系統故障而導致設備工作異常。

StoneWall-2000G反向千兆型網(wǎng)絡(luò )安全隔離設備功能比較全面，具有任務(wù)定制、文件名模式匹配、狀態(tài)檢測功能、地址綁定功能、雙向地址轉換功能、雙機熱備功能、日志審計功能等，而且由于StoneWall-2000網(wǎng)絡(luò )安全隔離設備（反向型）使用透明接入方式，是一般用戶(hù)在正常操作時(shí)感覺(jué)不到設備的存在，這樣既不影響網(wǎng)絡(luò )的工作效率，又保證了更高的安全性。

高速穩定

StoneWall-2000G反向千兆型網(wǎng)絡(luò )安全隔離設備采用高速處理器，保證了硬件平臺的高速運轉，操作系統經(jīng)過(guò)適當裁減和安全加固，保證了軟件平臺的穩定運行，再加上百兆以太網(wǎng)模塊，這些條件保證了高速穩定的網(wǎng)絡(luò )傳輸。

硬件數據流向控制

經(jīng)過(guò)網(wǎng)絡(luò )安全隔離設備（反向型）的數據流向控制是通過(guò)特有的硬件實(shí)現的硬控制，數據只能有外網(wǎng)流向內網(wǎng)，保證內部系統的安全；

具有內外網(wǎng)絡(luò )接口通信狀態(tài)指示燈

高強度的抗攻擊能力

處于內網(wǎng)和外網(wǎng)通信通路上的網(wǎng)絡(luò )安全隔離設備（反向型）無(wú)形中成為黑客攻擊的首要目標，要保護內網(wǎng)的安全，首先要保證網(wǎng)絡(luò )安全隔離設備（反向型）具有較強的抗攻擊能力，網(wǎng)絡(luò )安全隔離設備（反向型）采用非INTEL（及兼容）雙微處理器，減少被病毒攻擊的概率，采用自主版權的操作系統內核，取消所有網(wǎng)絡(luò )功能，而且設備本身沒(méi)有IP地址，使得黑客攻擊無(wú)從下手。

嵌入式病毒查殺

在發(fā)送文件時(shí)，發(fā)送端軟件調用本地安裝的殺毒軟件的殺毒引擎對文件進(jìn)行掃描并查殺病毒。通過(guò)病毒檢查后的文件，才會(huì )由發(fā)送端軟件發(fā)送到內網(wǎng)，保證內網(wǎng)的安全。通過(guò)升級本地殺毒軟件，保證病毒檢查查殺病毒的能力。

數字簽名驗證技術(shù)

反向型隔離設備保留了正向隔離設備綜合過(guò)濾功能，確保內網(wǎng)的安全。在此基礎上，通過(guò)綜合過(guò)濾的報文，需要通過(guò)StoneWall-2000反向型網(wǎng)絡(luò )安全隔離設備的數字簽名驗證，才可以通過(guò)反向隔離設備進(jìn)入內網(wǎng)，這種數字簽名采用非對稱(chēng)數字加密技術(shù)（1024bitRSA算法），可以防止非法用戶(hù)假冒合法用戶(hù)向內網(wǎng)發(fā)送文件。

配套軟件在發(fā)送數據時(shí)自動(dòng)添加數字簽名。

雙字節轉換及檢查技術(shù)

通過(guò)數字簽名驗證的文本報文，需要通過(guò)StoneWall-2000網(wǎng)絡(luò )安全隔離設備（反向型）的雙字節檢查，才能***終進(jìn)入內網(wǎng)，通過(guò)雙字節檢查，可以保證進(jìn)入內網(wǎng)的數據為純文本數據，而且這種文本數據中的腳本數據也是不能運行的全角數據，可以防止病毒進(jìn)入內網(wǎng)。

病毒粉碎技術(shù)

發(fā)送端軟件在發(fā)送二進(jìn)制文件數據時(shí),自動(dòng)在數據報的特定位置依據專(zhuān)門(mén)的算法插入破壞字節以破壞病毒的結構。在StoneWall-2000反向網(wǎng)絡(luò )安全隔離設備上，通過(guò)數字簽名驗證的二進(jìn)制數據報文，才能進(jìn)入內網(wǎng)絡(luò )。進(jìn)入內網(wǎng)的報文將被以二進(jìn)制文件格式存放，接收端的應用程序用專(zhuān)用的API函數讀出讀取二進(jìn)制文件，去掉其中的破壞字節，并直接使用該數據進(jìn)行運算，通過(guò)對相應字節的校驗，可以檢測出文件是否在內網(wǎng)側被病毒感染過(guò)。病毒粉碎技術(shù)保證病毒進(jìn)入內網(wǎng)時(shí)已經(jīng)在結構上被破壞掉，無(wú)法工作。

隨著(zhù)國家大力發(fā)展清潔能源，風(fēng)（光伏）電場(chǎng)建設日新月異。隨著(zhù)計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò )技術(shù)的發(fā)展，電場(chǎng)電力系統結構也日益復雜，電場(chǎng)生產(chǎn)控制及管理已經(jīng)完全依賴(lài)于計算機監控系統和數據通信網(wǎng)絡(luò )系統。尤其隨著(zhù)現在電場(chǎng)跨地域建設和管理，相對封閉的電場(chǎng)生產(chǎn)控制系統與外界的聯(lián)系越來(lái)越緊密，電場(chǎng)生產(chǎn)控制系統遭遇人為破壞的風(fēng)險大大增加，加上為了提高電場(chǎng)管理效率，電場(chǎng)大量采用跨地域遠程控制。這些都對電場(chǎng)生產(chǎn)控制系統和數據通信網(wǎng)絡(luò )系統的安全性、可靠性、實(shí)時(shí)性提出了新的挑戰。

3 設計應用

沒(méi)有安裝隔離網(wǎng)閘的電場(chǎng)內部生產(chǎn)控制系統與數據通信網(wǎng)絡(luò )系統直接互聯(lián)，而數據通信網(wǎng)絡(luò )為滿(mǎn)足遠程監控的需要通過(guò)Internet網(wǎng)為上級提供數據。這樣的網(wǎng)絡(luò )框架很容易使得電場(chǎng)生產(chǎn)控制系統遭受到黑客或者惡意代碼對電力二次系統的侵害，從而引發(fā)電力系統故障。為解決以上安全問(wèn)題，在電場(chǎng)安裝配置正向物理隔離網(wǎng)閘，從物理上隔斷電場(chǎng)內部生產(chǎn)控制系統與數據通信網(wǎng)絡(luò )的直接互聯(lián)（如圖2所示）。具體部署如下：

（1）在對外數據服務(wù)器與生產(chǎn)數據服務(wù)器之間架設數據采集服務(wù)器，數據采集服務(wù)器接入電場(chǎng)內部生產(chǎn)控制系統并完成數據采集工作；

（2）在數據采集服務(wù)器與對外數據服務(wù)器之間架設物理隔離網(wǎng)閘以實(shí)現數據通信網(wǎng)絡(luò )系統與電場(chǎng)內部生產(chǎn)控制系統在物理上的隔離。

千兆型反向隔離裝置標準技術(shù)參數表

?

?

科東?物理隔離Stonewall-2000?百兆反向?產(chǎn)品簡(jiǎn)介

StoneWall-2000網(wǎng)絡(luò )安全隔離設備（反向型）是由中國電力科學(xué)研究院下屬電網(wǎng)所-北京科東電力控制系統有限責任公司自主開(kāi)發(fā)研制，具有物理隔離能力的網(wǎng)絡(luò )安全設備，具有操作簡(jiǎn)便、高性能、高可靠性等特點(diǎn)。

1、硬件部分：??
CPUPowerPC8245400MHz2個(gè)??
雙端口安全島1個(gè)??
內網(wǎng)網(wǎng)口2個(gè)??
外網(wǎng)網(wǎng)口2個(gè)??
管理串口2個(gè)??
報警擴展串口2個(gè)??
2、配套軟件部分：??
反向文件傳輸軟件：實(shí)現跨隔離設備的反向文件傳輸。??
配置管理工具：GUI和CLI兩種軟件配置工具，用于對隔離設備的配置和管理。??
專(zhuān)用API函數：反向型數據發(fā)送API。??
3、性能指標??
StoneWall-2000網(wǎng)絡(luò )安全隔離設備（反向型）各項技術(shù)指標如下：??
100M網(wǎng)絡(luò )狀態(tài)下密文有效數據吞吐率：≥60Mbps ?
100M網(wǎng)絡(luò )狀態(tài)下網(wǎng)卡數據包吞吐率：≥1800pps ?
數字簽名速率：≥100次/秒??
數據包轉發(fā)延遲：<30ms ?
滿(mǎn)負荷狀態(tài)下數據包丟棄率為：0??
滿(mǎn)負荷狀態(tài)下平均無(wú)故障時(shí)間(MTBF)：≥50000小時(shí)?

4、StoneWall-2000網(wǎng)絡(luò )安全隔離設備（反向型）的基本功能和特性

基本功能

具有基于非對稱(chēng)加密算法（1024位RSA）數字簽名和驗證功能

通過(guò)自動(dòng)調用殺毒軟件查殺病毒

通過(guò)對文本數據進(jìn)行全角檢查、對二進(jìn)制數據進(jìn)行病毒粉碎，進(jìn)一步防毒

在配套軟件的配合下，實(shí)現可信數據由外網(wǎng)到內網(wǎng)的自動(dòng)或手動(dòng)傳輸

自動(dòng)傳遞的文件任務(wù)可定制，支持更新檢查、增量發(fā)送

任務(wù)發(fā)送情況有日志記錄，可隨時(shí)查閱

支持透明連接。網(wǎng)絡(luò )安全隔離設備（反向型）接入網(wǎng)絡(luò )，無(wú)需對網(wǎng)絡(luò )的結構及設置做任何改動(dòng)

支持狀態(tài)檢測功能

支持地址綁定功能，可以有效阻止非法用戶(hù)盜用合法用戶(hù)的IP地址

支持雙向地址轉換功能，可以在保障自身網(wǎng)絡(luò )安全的前提下向外提供服務(wù)

支持雙機熱備功能

支持日志審計功能，方便管理員的工作，加強網(wǎng)絡(luò )的安全性

優(yōu)化、加固的系統內核

在操作簡(jiǎn)便和安全穩定之間達到了完美和平衡

審核編輯：黃飛

?