1 StoneWall-2000G反向(百兆/千兆)型網(wǎng)絡(luò )安全隔離設備功能
具有基于非對稱(chēng)加密算法(1024位RSA)數字簽名和驗證功能
通過(guò)自動(dòng)調用殺毒軟件查殺病毒
通過(guò)對文本數據進(jìn)行全角檢查、對二進(jìn)制數據進(jìn)行病毒粉碎,進(jìn)一步防毒
在配套軟件的配合下,實(shí)現可信數據由外網(wǎng)到內網(wǎng)的自動(dòng)或手動(dòng)傳輸
自動(dòng)傳遞的文件任務(wù)可定制,支持更新檢查、增量發(fā)送
任務(wù)發(fā)送情況有日志記錄,可隨時(shí)查閱
支持透明連接。網(wǎng)絡(luò )安全隔離設備(反向型)接入網(wǎng)絡(luò ),無(wú)需對網(wǎng)絡(luò )的結構及設置做任何改動(dòng)
支持狀態(tài)檢測功能
支持地址綁定功能,可以有效阻止非法用戶(hù)盜用合法用戶(hù)的IP地址
支持雙向地址轉換功能,可以在保障自身網(wǎng)絡(luò )安全的前提下向外提供服務(wù)
支持雙機熱備功能
支持日志審計功能,方便管理員的工作,加強網(wǎng)絡(luò )的安全性
優(yōu)化、加固的系統內核
在操作簡(jiǎn)便和安全穩定之間達到了完美和平衡
2 StoneWall-2000G反向千兆型網(wǎng)絡(luò )安全隔離設備特性
安全可靠
StoneWall-2000G反向千兆型建立在具有自主知識產(chǎn)權的安全操作系統基礎上。通過(guò)對操作系統內核的大規模裁減,剔除不安全模塊,大大加強了系統內核的安全性和抗攻擊能力,而且操作系統固化在隔離設備中,避免了因操作系統故障而導致設備工作異常。
StoneWall-2000G反向千兆型網(wǎng)絡(luò )安全隔離設備功能比較全面,具有任務(wù)定制、文件名模式匹配、狀態(tài)檢測功能、地址綁定功能、雙向地址轉換功能、雙機熱備功能、日志審計功能等,而且由于StoneWall-2000網(wǎng)絡(luò )安全隔離設備(反向型)使用透明接入方式,是一般用戶(hù)在正常操作時(shí)感覺(jué)不到設備的存在,這樣既不影響網(wǎng)絡(luò )的工作效率,又保證了更高的安全性。
高速穩定
StoneWall-2000G反向千兆型網(wǎng)絡(luò )安全隔離設備采用高速處理器,保證了硬件平臺的高速運轉,操作系統經(jīng)過(guò)適當裁減和安全加固,保證了軟件平臺的穩定運行,再加上百兆以太網(wǎng)模塊,這些條件保證了高速穩定的網(wǎng)絡(luò )傳輸。
硬件數據流向控制
經(jīng)過(guò)網(wǎng)絡(luò )安全隔離設備(反向型)的數據流向控制是通過(guò)特有的硬件實(shí)現的硬控制,數據只能有外網(wǎng)流向內網(wǎng),保證內部系統的安全;
具有內外網(wǎng)絡(luò )接口通信狀態(tài)指示燈
高強度的抗攻擊能力
處于內網(wǎng)和外網(wǎng)通信通路上的網(wǎng)絡(luò )安全隔離設備(反向型)無(wú)形中成為黑客攻擊的首要目標,要保護內網(wǎng)的安全,首先要保證網(wǎng)絡(luò )安全隔離設備(反向型)具有較強的抗攻擊能力,網(wǎng)絡(luò )安全隔離設備(反向型)采用非INTEL(及兼容)雙微處理器,減少被病毒攻擊的概率,采用自主版權的操作系統內核,取消所有網(wǎng)絡(luò )功能,而且設備本身沒(méi)有IP地址,使得黑客攻擊無(wú)從下手。
嵌入式病毒查殺
在發(fā)送文件時(shí),發(fā)送端軟件調用本地安裝的殺毒軟件的殺毒引擎對文件進(jìn)行掃描并查殺病毒。通過(guò)病毒檢查后的文件,才會(huì )由發(fā)送端軟件發(fā)送到內網(wǎng),保證內網(wǎng)的安全。通過(guò)升級本地殺毒軟件,保證病毒檢查查殺病毒的能力。
數字簽名驗證技術(shù)
反向型隔離設備保留了正向隔離設備綜合過(guò)濾功能,確保內網(wǎng)的安全。在此基礎上,通過(guò)綜合過(guò)濾的報文,需要通過(guò)StoneWall-2000反向型網(wǎng)絡(luò )安全隔離設備的數字簽名驗證,才可以通過(guò)反向隔離設備進(jìn)入內網(wǎng),這種數字簽名采用非對稱(chēng)數字加密技術(shù)(1024bitRSA算法),可以防止非法用戶(hù)假冒合法用戶(hù)向內網(wǎng)發(fā)送文件。
配套軟件在發(fā)送數據時(shí)自動(dòng)添加數字簽名。
雙字節轉換及檢查技術(shù)
通過(guò)數字簽名驗證的文本報文,需要通過(guò)StoneWall-2000網(wǎng)絡(luò )安全隔離設備(反向型)的雙字節檢查,才能***終進(jìn)入內網(wǎng),通過(guò)雙字節檢查,可以保證進(jìn)入內網(wǎng)的數據為純文本數據,而且這種文本數據中的腳本數據也是不能運行的全角數據,可以防止病毒進(jìn)入內網(wǎng)。
病毒粉碎技術(shù)
發(fā)送端軟件在發(fā)送二進(jìn)制文件數據時(shí),自動(dòng)在數據報的特定位置依據專(zhuān)門(mén)的算法插入破壞字節以破壞病毒的結構。在StoneWall-2000反向網(wǎng)絡(luò )安全隔離設備上,通過(guò)數字簽名驗證的二進(jìn)制數據報文,才能進(jìn)入內網(wǎng)絡(luò )。進(jìn)入內網(wǎng)的報文將被以二進(jìn)制文件格式存放,接收端的應用程序用專(zhuān)用的API函數讀出讀取二進(jìn)制文件,去掉其中的破壞字節,并直接使用該數據進(jìn)行運算,通過(guò)對相應字節的校驗,可以檢測出文件是否在內網(wǎng)側被病毒感染過(guò)。病毒粉碎技術(shù)保證病毒進(jìn)入內網(wǎng)時(shí)已經(jīng)在結構上被破壞掉,無(wú)法工作。
隨著(zhù)國家大力發(fā)展清潔能源,風(fēng)(光伏)電場(chǎng)建設日新月異。隨著(zhù)計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò )技術(shù)的發(fā)展,電場(chǎng)電力系統結構也日益復雜,電場(chǎng)生產(chǎn)控制及管理已經(jīng)完全依賴(lài)于計算機監控系統和數據通信網(wǎng)絡(luò )系統。尤其隨著(zhù)現在電場(chǎng)跨地域建設和管理,相對封閉的電場(chǎng)生產(chǎn)控制系統與外界的聯(lián)系越來(lái)越緊密,電場(chǎng)生產(chǎn)控制系統遭遇人為破壞的風(fēng)險大大增加,加上為了提高電場(chǎng)管理效率,電場(chǎng)大量采用跨地域遠程控制。這些都對電場(chǎng)生產(chǎn)控制系統和數據通信網(wǎng)絡(luò )系統的安全性、可靠性、實(shí)時(shí)性提出了新的挑戰。
3 設計應用
沒(méi)有安裝隔離網(wǎng)閘的電場(chǎng)內部生產(chǎn)控制系統與數據通信網(wǎng)絡(luò )系統直接互聯(lián),而數據通信網(wǎng)絡(luò )為滿(mǎn)足遠程監控的需要通過(guò)Internet網(wǎng)為上級提供數據。這樣的網(wǎng)絡(luò )框架很容易使得電場(chǎng)生產(chǎn)控制系統遭受到黑客或者惡意代碼對電力二次系統的侵害,從而引發(fā)電力系統故障。為解決以上安全問(wèn)題,在電場(chǎng)安裝配置正向物理隔離網(wǎng)閘,從物理上隔斷電場(chǎng)內部生產(chǎn)控制系統與數據通信網(wǎng)絡(luò )的直接互聯(lián)(如圖2所示)。具體部署如下:
(1)在對外數據服務(wù)器與生產(chǎn)數據服務(wù)器之間架設數據采集服務(wù)器,數據采集服務(wù)器接入電場(chǎng)內部生產(chǎn)控制系統并完成數據采集工作;
(2)在數據采集服務(wù)器與對外數據服務(wù)器之間架設物理隔離網(wǎng)閘以實(shí)現數據通信網(wǎng)絡(luò )系統與電場(chǎng)內部生產(chǎn)控制系統在物理上的隔離。
千兆型反向隔離裝置標準技術(shù)參數表
?
序號 | 參數名稱(chēng) | 單位 | 技術(shù)參數 |
1 | 網(wǎng)絡(luò )接口 | 個(gè) |
100/1000M接口2(內網(wǎng)); ? ?100/1000M接口2(外網(wǎng)); ? ?100/1000M雙機熱備接口1(或與通信接口復用) |
2 | 外設接口 | 個(gè) | 終端管理接口(RS232)2 |
3 | 設備厚度 | U | 2 |
4 | 數據包有效網(wǎng)絡(luò )吞吐率 | Mbit/s | ≥120(100條安全策略,1024字節報文長(cháng)度) |
5 | 數據轉發(fā)延時(shí) | ms | ≤30 |
6 | 數字簽名速率 | 次/s | >100 |
7 | 滿(mǎn)負荷數據包丟棄率 | % | 0 |
8 | 平均無(wú)故障時(shí)間(MTBF) | H | >50000(100%負荷) |
9 | 返回確認報文長(cháng)度 | bit | ≤1 |
10 | 日志規范 | ? | 滿(mǎn)足《電力二次系統安全告警日志格式規范》要求 |
?
科東?物理隔離Stonewall-2000?百兆反向?產(chǎn)品簡(jiǎn)介
StoneWall-2000網(wǎng)絡(luò )安全隔離設備(反向型)是由中國電力科學(xué)研究院下屬電網(wǎng)所-北京科東電力控制系統有限責任公司自主開(kāi)發(fā)研制,具有物理隔離能力的網(wǎng)絡(luò )安全設備,具有操作簡(jiǎn)便、高性能、高可靠性等特點(diǎn)。
1、硬件部分:??
CPUPowerPC8245400MHz2個(gè)??
雙端口安全島1個(gè)??
內網(wǎng)網(wǎng)口2個(gè)??
外網(wǎng)網(wǎng)口2個(gè)??
管理串口2個(gè)??
報警擴展串口2個(gè)??
2、配套軟件部分:??
反向文件傳輸軟件:實(shí)現跨隔離設備的反向文件傳輸。??
配置管理工具:GUI和CLI兩種軟件配置工具,用于對隔離設備的配置和管理。??
專(zhuān)用API函數:反向型數據發(fā)送API。??
3、性能指標??
StoneWall-2000網(wǎng)絡(luò )安全隔離設備(反向型)各項技術(shù)指標如下:??
100M網(wǎng)絡(luò )狀態(tài)下密文有效數據吞吐率:≥60Mbps ?
100M網(wǎng)絡(luò )狀態(tài)下網(wǎng)卡數據包吞吐率:≥1800pps ?
數字簽名速率:≥100次/秒??
數據包轉發(fā)延遲:<30ms ?
滿(mǎn)負荷狀態(tài)下數據包丟棄率為:0??
滿(mǎn)負荷狀態(tài)下平均無(wú)故障時(shí)間(MTBF):≥50000小時(shí)?
4、StoneWall-2000網(wǎng)絡(luò )安全隔離設備(反向型)的基本功能和特性
基本功能
具有基于非對稱(chēng)加密算法(1024位RSA)數字簽名和驗證功能
通過(guò)自動(dòng)調用殺毒軟件查殺病毒
通過(guò)對文本數據進(jìn)行全角檢查、對二進(jìn)制數據進(jìn)行病毒粉碎,進(jìn)一步防毒
在配套軟件的配合下,實(shí)現可信數據由外網(wǎng)到內網(wǎng)的自動(dòng)或手動(dòng)傳輸
自動(dòng)傳遞的文件任務(wù)可定制,支持更新檢查、增量發(fā)送
任務(wù)發(fā)送情況有日志記錄,可隨時(shí)查閱
支持透明連接。網(wǎng)絡(luò )安全隔離設備(反向型)接入網(wǎng)絡(luò ),無(wú)需對網(wǎng)絡(luò )的結構及設置做任何改動(dòng)
支持狀態(tài)檢測功能
支持地址綁定功能,可以有效阻止非法用戶(hù)盜用合法用戶(hù)的IP地址
支持雙向地址轉換功能,可以在保障自身網(wǎng)絡(luò )安全的前提下向外提供服務(wù)
支持雙機熱備功能
支持日志審計功能,方便管理員的工作,加強網(wǎng)絡(luò )的安全性
優(yōu)化、加固的系統內核
在操作簡(jiǎn)便和安全穩定之間達到了完美和平衡
審核編輯:黃飛
?
評論