南瑞正向隔离装置

询价采购电话: 18351955025
询价采购电话:18351955025

行业动态

南瑞SysKeeper-2000网络安全隔离装置(反向型)产品说明书

  SysKeeper-2000网络安全隔离装置(反向型)位于两个不同安全防护等级网络之间的安全防护装置,用于低安全区向高安全防护区的单向数据传递。装置采用电力专用隔离卡,只传输采用E语言格式书写的文本文件,装置对E语言文件进行合规检查,实现这两个网络的信息和资源安全传递,保障电力系统的安全稳定运行。

  SysKeeper-2000网络安全隔离装置(反向百兆型)

  SysKeeper-2000网络安全隔离装置(反向千兆型)

   产品特点

  • 安全裁剪内核,系统的安全性和抗攻击能力强

  为了保证系统安全的最大化,SysKeeper-2000网络安全隔离装置(反向型)已经将嵌入式内核进行了裁剪和优化。目前,内核中只包括用户管理﹑进程管理,裁剪掉TCP/IP协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力,免于黑客对操作系统的攻击,并有效抵御Dos/DDos攻击。

  • 基于数字证书的签名验证和内容检查机制

  采用基于数字证书的数字签名技术,在数据的发送端对需要发送的数据进行签名,然后发给隔离装置;隔离装置收到数据后进行签名验证,并根据用户对数据的定义检查数据文件的格式和内容,支持通用的数据类型和记录分割符,隔离装置将处理过的数据发送给内网的数据接收程序。

  • 基于电力描述语言的内容强过滤

  通过隔离装置(反向型)传输的文件都是从低安全区向高安全区进行传输,为了严格保障内网安全,禁止非法文件、病毒文件传输到内网,要对传输的文件内容进行过滤。为此国调中心制定了《电力系统数据描述语言》,提出了电力行业专用的数据描述语言E语言。按照国调中心要求,隔离装置(反向型)支持对E语言文件的格式检查,来对传输的文件进行内容强过滤。

  • 基于纯文本的编码转换和识别

  根据电力监控系统安全防护要求,可以对传输的E语言文件进行模式检查,来判断文件的合法性,也可以将纯文本文件中单字符的ASCII码(非控制字符)转换为对应的双字节码,并能正常显示。隔离装置(反向型)提供了专用发送软件在发送文本文件数据时,自动将半角字符转换为全角字符。隔离装置(反向型)对收到的数据进行纯文本的识别,如果数据包中数据为合法的纯文本,反向隔离装置都会按照编码范围正确的识别,保证进入内网的数据为纯文本数据。

  • 完善的密钥管理机制

  SysKeeper-2000网络安全隔离装置(反向型)提供基于RSA/SM2公私密钥对的数字签名和采用专用加密算法进行数字加密的功能。进行RSA运算时,为了保证密钥的安全性,提供以密钥的ID号使用密钥的功能,密钥仅存在于反向型网络安全隔离设备的安全存储区中,与应用系统隔离,不能通过任何非法手段进行访问,极大的提高了数据交换的安全性。

  • 割断穿透性的TCP连接

  SysKeeper-2000网络安全隔离装置(反向型)采用截断TCP连接的方法,剥离数据包中的TCP/IP头,将外网的纯数据通过反向安全通道发送到内网,同时只允许应用层不带任何数据的TCP包的控制信息传输到外网,保护电力监控系统的安全性。

  • 基本安全功能丰富,可实现在网络中的快速部署

  采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映像(NAT)以及虚拟IP技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。

  • 虚拟IP、隐藏MAC地址

  网络安全隔离系列产品采用独特的自适应技术,隔离设备没有IP地址,隐藏MAC地址,非法用户无法对隔离设备进行网络攻击,有效的提高了系统的安全性能。

  • 完善的日志审计功能

  日志是发现攻击﹑发现系统漏洞和记录攻击证据的重要手段。隔离设备内、外网各板载安全存储区用于系统日志的记载,循环更新保持最新的系统日志。

   产品性能

  (1)百兆型

   100MLAN环境下,数据包吞吐量43.2Mbps(100条安全策略,1024字节报文长度)

   数据包转发延迟:<10ms(100%负荷)

   数字签名速率180次/s

   满负荷数据包丢弃率:0

  (2)千兆型

   1000MLAN环境下,数据包吞吐量166Mbps(100条安全策略,1024字节报文长度)

   数据包转发延迟:<10ms(100%负荷)

   数字签名速率640次/s

   满负荷数据包丢弃率:0

  
留言与评论(共有 0 条评论)
   
验证码: