咨询电话:13675182723

南瑞正向隔离装置

南瑞 NARI 电力物理隔离 正向隔离装置SysKeeper-2000 正向 百兆

 SysKeeper-2000.jpg

购买咨询电话 13675182723 

南瑞 NARI 电力物理隔离 正向隔离装置SysKeeper-2000 正向 百兆 产品简介

南瑞信通公司的 SysKeeper-2000 电力专用网络专用安全隔离装置(正向型)是位于调度数据网络与公用信息网络之间的一个安全防护装置,用于安全区 I/II到安全区 III 的单向数据传递。它可以识别非法请求并阻止超越权限的数据访问和操作,从而有效地抵御病毒、黑客等通过各种形式发起的对电力网络系统的恶意破坏和攻击活动,保护实时闭环监控系统和调度数据网络的安全;同时它采用非网络传输方式实现这两个网络的信息和资源共享, 保障电力系统的安全稳定运行。
为满足电力系统二次安全防护的需要, 南瑞信通公司依托在网络安全产品中的广泛技术积累和应用实践经验,自主研制并推出 SysKeeper-2000 网络安全隔离装置(正向型)
SysKeeper-2000 网络安全隔离装置(正向型)
产品特点
安全裁剪内核,系统的安全性和抗攻击能力强为了保证系统安全的最大化,南瑞网络安全隔离产品(正向型)已经将嵌入式内核进行了裁剪和优化。目前,内核中只包括用户管理﹑进程管理,裁剪掉 TCP/IP 协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力,免于黑客对操作系统的攻击,并有效抵御Dos/DDos 攻击。
数据单向传输控制物理上控制反向传输芯片的深度,在硬件上保证从低安全区到高安全区的TCP应答禁止携带应用数据,大大增强了高安全区业务系统的安全性。在物理上实现了数据流的纯单向传输,数据只能从内网流向外网。
割断穿透性的 TCP 连接
网络安全隔离产品(正向型)采用截断 TCP 连接的方法,剥离数据包中的 TCP/IP 头,将内网的纯数据通过正向数据通道发送到外网,同时只允许应用层不带任何数据的TCP包的控制信息传输到内网,保护内网监控系统的安全性。基本安全功能丰富,可实现在网络中的快速部署采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映射(NAT)以及虚拟 IP 技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。
独特的自适应技术网络安全隔离系列产品采用独特的自适应技术,隔离设备没有 IP地址,隐藏 MAC 地址,非法用户无法对隔离设备进行网络攻击,有效的提高了系统的安全性能。
网络数据处理流畅,不会成为网络通讯瓶颈设备采用国产高性能 RISC 体系结构 CPU,内核使用高效的过滤算法,充分发挥良好的硬件性能,采用高速传输芯片实现数据的高速安全传输,不会造成网络通讯的瓶颈。
丰富的通信工具软件和 API 函数接口
为了使隔离设备达到预期的安全效果,经过隔离设备进行数据传输的软件必须按照《全国电力二次系统安全防护总体方案》的规定进行开发。针对 I/II区到 III区通信内容规定,南瑞 SysKeeper-2000 网络安全隔离设备提供了丰富的通信工具软件和 API 函数接口,方便用户进行二次系统安全隔离改造。
丰富的电力二次系统安全改造经验
SysKeeper-2000 网络安全隔离设备 (正向型) 与南瑞所有的监控系统(包括网、省调、地调、县调和变电站 SCADA 系统以及水电、火电监控系统)进行了安全改造工作和现场的实际运行;同时与国内外主流的监控系统厂商进行了广泛、深入的合作(国内:包括东方电子、鲁能积成、上海申贝等;国外:阿尔斯通监控系统、原 CAE 公司监控系统、PI 实时数据库、Valmet SCADA 系统等),保证电力二次系统安全防护工程的顺利实施。
操作简单的图形化用户界面
SysKeeper-2000 网络安全隔离设备提供了友好的图形化用户界面,可以进行全新的可视化管理与配置。整个界面使用全中文化的设计,通过友好的图形化界面,网络管理员可以很容易地定制安全策略和对系统进行维护管理。用户只需进行简单的培训就可以完成对隔离设备的管理与配置。
完善的日志审计功能
日志在 SysKeeper-2000 正向隔离设备每天的运行中起着很重要的作用,由于许多攻击﹑系统漏洞不具备机器可分析的特征,或者新的攻击的特征还不为人所知,因此,日志是发现攻击﹑发现系统漏洞和记录攻击证据的重要手段。隔离设备内、外网各板载安全存储区用于系统日志的记载,循环更新保持最新的系统日志,同时支持专用网络方式将日志发送到后台日志处理程序,供用户分析使用。
产品性能 (百兆型)
产品规格
材料:重负荷钢
散热:两个 35 毫米的散热风扇,带空气过滤网
指示器: LED 电源指示灯﹑安全隔离设备状态指示灯﹑网络适配器状
态指示灯
尺寸(长×宽×高):350.1×430×40.3 毫米
重量:5 千克
电源
输入电压:220V AC±20%
输入频率:47~63HZ
电源功耗:60W
平均无故障时间(MTBF)>60000 小时(100%负荷)
工作环境
工作温度:-10°-55°
存储温度:-20°-80°
工作湿度:5~95%,非冷凝
存储湿度:5~95%,非冷凝
性能指标
100M LAN 环境下,数据包吞吐量 98Mbps (100 条安全策略,1024 字节报文长度)
数据包转发延迟:<10ms (100%负荷)
满负荷数据包丢弃率:0
产品性能 (千兆型)
产品规格
材料:重负荷钢
散热:两个 35 毫米的散热风扇,带空气过滤网指示器: LED 电源指示灯﹑安全隔离设备状态指示灯﹑网络适配器状
态指示灯
尺寸(长×宽×高):435×420×89 毫米
重量:12 千克
电源
输入电压:220V AC±20%
输入频率:47~63HZ
电源功耗:60W
平均无故障时间(MTBF)>60000 小时(100%负荷)
工作环境
工作温度:-10°-55°
存储温度:-20°-80°
工作湿度:5~95%,非冷凝
存储湿度:5~95%,非冷凝
性能指标
1000M LAN 环境下,数据包吞吐量 452Mbps (100 条安全策略,1024 字节报文长度)
数据包转发延迟:<10ms (100%负荷)
满负荷数据包丢弃率:0
适用范围
本产品适用于电力系统安全大区之间横向防护。
典型应用
截止 2014 年 2 月,网络安全隔离装置(正向型)系列已在全国多个省地级
电力公司和变电站得到应用包括北京、江苏、安徽、福建、甘肃、陕西、江西、
浙江、南网、云南、广西等共计 5000 余套。装置运行安全可靠,得到了用户的
一致好评。

1 电力系统二次网络安全
①实时控制区(I区、或者DCS网)。在电力系统中,实时控制区的业务系统会影响电力系统的发电,并且发电系统的供电也会受到相关影响。由调度员和操作人员进行操作,对网络实时性和网络性有着较高要求。并且实时控制区中信息网络的安全性密切影响着电力系统运行的安全性。在电力二次系统中最重要系统是实时控制级信息系统,对安全要求有着极高要求,是保护信息网络安全的关键措施。另外,实时控制区包括实时监控系统,如调度自动化系统、变电站自动化系统等。
②非控制生产区(II区)。在非控制生产区业务系统中,没有具备相应的控制功能,如生产业务和批发交易业务。没有具备控制功能,数据实时性为分级或小时级。由运行计划工作人员和发电侧电力市场交易员等使用,包括较为典型系统:电能量计量系统、批发电力交易熊、负荷管理系统等系统。
③生产管理区(III、IV区、或MIS网)。生产管理区是为了支持电力企业经营、管理及运营等工作,生产管理区在利用相应的安全防护工作时可以为电力企业生产提供相应的WEB服务,生产管理区外部通信边界为电力数据通信网,较为典型系统包括调度生产管理系统(DMIS)、雷电检测系统及气象信息接入等。
④管理信息区。管理信息区没有在电力企业控制工作中起到作用,电力企业在经营、开发及采购过程中,管理信息区是对其过程进行信息管理。包括系统包括办公自动化系统、管理信息系统和客户服务系统等。
2 电力系统二次网络中各安全区中心业务的安全隔
离保护措施
①防护实时控制区和非控制生产区措施。电力生产系统中包括非控制生产区,同时实时控制区也属于电力生产系统,在进行在线运行时,需利用电力调度数据,要交换大量的数据。从而在进行安全隔离保护措施时可采用硬件防火墙进行逻辑隔离。
②生产管理区与管理信息区的防护措施。生产管理区与管理信息区可采用电力数据通信网络,有着较多的数据交换,在隔离时可采用逻辑隔离设备。
③实时控制区、非控制生产区与生产管理区、管理信息区在运行过程中,作为实时控制区和非控制生产区中的业务系统不能与管理信息区联系,可采用单向方式进行信息的交换工作,但是在安全传输时,只可以采用纯数据。在采用反向安全隔离装置时,需要保证安全隔离装置已经得到过签名认证,经过数据过滤,同时还要进行病毒查杀工作。
3 电力系统二次网络安全隔离装置设计要点
①文件传输。文件传输是一种较为普遍的数据传输方式,在设计中可采用Socket语言开发文件作为传输软件的,其分为客户端和服务端。将客户端可以作为文件发送端,服务端可以作为文件接收端,服务端可以作为文件接收端。文件发送端具备定时发送多批文件,同时可分别放在不同目录,实时发送多批文件,也可以放在不同目录。反向文件传输软件具备正向文件传输软件功能,也可采用数字签名技术进行纯文本的可靠传输,同时也可采取编码转换技术对纯文件进行编码转换。
②对隔离装置提出的技术要求。在交换数据时,两个安全区在进行数据安全交换时,多采用非网络方式,并且在安全隔离装置中有两个处理系统,可以进行不同时连通。表示层与应用层在数据传输时,必须要实现数据单向传输,但在安全区Ⅲ区到安全区Ⅰ/Ⅱ区中不得出现应用数据。需有透明工作方式,如隐藏MAC地址和虚拟主机IP地址等。另外,隔离装置需基于MAC、IP、传输端口等,设置相应的报文过滤和访问控制;可支持NAT。而安全隔离装置需要避免联接穿透性TCP,而且在内外网中,不要在两个应用网关之间构建相关的TCP联接,需要将内外两个应用网关与隔离装置的两个TCP进行分别虚拟联接;隔离两个网卡要和非网络联接,采取数据单向传输。并且隔离装置能够对信息进行识别,并采用特殊标记;在构建安全隔离装置时,保证安全隔离装置的安全性和防护性足够高,其安全性必须要具有安全固化的操作系统,设计和实现方面没有存在安全漏洞,可采用非INTEL指令系统,能够对Dos已知的网络攻击进行抵抗。
③实时数据转发。由实时控制区进行实时数据传输到生产管理区时,由于横向隔离装置属于单向传输,在传输数据时可以从实时控制区到生产管理区进行数据主动发送,可以将实时控制区的应用程序作为发送端,生产管理区作为服务端。在物理上控制反向背景下,专用横向隔离装置正向的应用层应答字数节数最多为4个,而生产管理区应用程序的应答报文需小于4个。但是这4个字节不可以作为传输应用数据,可作为出错应答报文。
④数据库传输。在进行数据库传输时,可以在实时控制区和生产管理区添加一台数据库传输服务器,采取数据库传输软件,通过安全策略复制内外网数据库,选取单向数据传送方式。客户端为数据发送端,服务端为数据接收端。建立的数据发送端可以支持多个自定义数据源,可自动或手动传输,支持不同表结构数据传输;在传输失败后采取告警功能,告警信息小于4个字节。数据接收端可将内网的表结构和数据保存在外网的数据库中。

产品中心
南瑞
科东
卫士通
兴唐
珠海鸿瑞
东方京海
微机保护装置
电动机保护
线路保护
备自投保护
变压器保护
电容器保护
PT保护
变电站综合自动化
母联保护
发电机保护
南瑞微机保护装置
国电南自微机保护
许继微机保护装置
新闻资讯
公司新闻
行业资讯
关于我们
联系我们
在线反馈
网站地图
百度地图

版权所有 2015 东继电气网址:www.gdnari.com