咨询电话:仲经理15852924296(同微信)
1、产品介绍
网络安全隔离装置(反向型)应用于安全区间的单向数据传输,控制方向与正向隔离装置相反。装置采用电力专用隔离卡,以非网络传输的方式实现两网络之间的资源和信息共享,仅支持传输纯文本文件或E语言格式的文件,并进行数据加密及合法性检查,以保障电力系统的安全稳定运行。
经过长期测试,该设备具有很好的稳定性和可靠性,同时可以满足客户需要的执行性能。
反向隔离装置(正面)
反向隔离装置(反面)
2、主要技术参数
(1)百兆型
功耗:30W
数据包吞吐量:≥100Mbps
数字签名速率:≥186次/秒
满负荷丢包率:0
(2)千兆型
功耗:45W
数据包吞吐量:≥400Mbps
数字签名速率:≥235次/秒
满负荷丢包率:0
3、产品特点
为了保证系统安全的最大化,本产品已经将嵌入式内核进行了裁剪和优化。目前,内核中只包括用户管理﹑进程管理,裁剪掉TCP/IP 协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力,免于黑客对操作系统的攻击,并有效抵御Dos/DDos 攻击。
采用基于数字证书的数字签名技术,在数据的发送端对需要发送的数据进行签名,然后发给专用反向隔离装置;隔离装置收到数据后进行签名验证,并根据用户对数据的定义检查数据文件的格式和内容,支持通用的数据类型和记录分割符,反向隔离装置将处理过的数据发送给内网的数据接收程序。
通过反向隔离装置传输的软件都是从低安全区向高安全区进行传输,为了严格保障内网安全,禁止非法文件、病毒文件传输到内网,要对传输的文件内容进行过滤。为此国家调度中心制定了《电力系统数据描述语言》,提出了电力行业专用的数据描述语言E语言。按照国调要求,反向隔离装置支持对E语言文件的格式检查,来对传输的文件进行内容强过滤。
本产品在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC 与IP 地址绑定,防止IP 地址欺骗;支持应用层特殊标记识别;为了实现处于不同网段的主机之间相互访问,隔离装置采用了虚拟IP 技术,且支持静态地址映射,为用户提供一个全透明﹑安全﹑高效的安全隔离装置。
本产品提供基于RSA公私密钥对的数字签名和采用专用加密算法进行数字加密的功能。进行RSA运算时,为了保证密钥的安全性,提供已密钥的ID号使用密钥的功能,密钥仅存在与反向型网络安全隔离设备的安全存储区中,与应用系统隔离,不能通过任何非法手段进行访问,极大的提高了数据交换的安全性。
本产品支持设置不同的用户类别:系统管理员、管理员、和普通用户等。通过身份认证机制,控制不同用户对安全隔离设备的操作权限。如系统管理员可以增加、删除、修改隔离装置的配置规则,可以增加或删除隔离装置的普通用户,可以查询隔离装置的日志等;普通用户只可以查看隔离装置的配置规则和日志等。
本产品采用截断TCP 连接的方法,剥离数据包中的TCP/IP 头,将外网的纯数据通过反向安全通道发送到内网,同时只允许应用层不带任何数据的TCP 包的控制信息传输到外网,保护内网监控系统的安全性。
本产品采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC 与IP 地址绑定,防止IP 地址欺骗;支持静态地址映射(NAT)以及虚拟IP 技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。
日志在本产品每天的运行中起着很重要的作用,由于许多攻击﹑系统漏洞不具备机器可分析的特征,或者新的攻击的特征还不为人所知,因此,日志是发现攻击﹑发现系统漏洞和记录攻击证据的重要手段。隔离设备内、外网各板载安全存储区用于系统日志的记载,循环更新保持最新的系统日志。日志规范符合《电力二次系统安全告警日志格式规范》,可以接入电力二次系统内网安全监视功能模块集中监视。
本产品提供了基于数字证书的的图形化用户界面,通过反向隔离设备的专用智能IC 卡读写器进行身份认证,保证配置管理的安全性。整个界面使用全中文化的设计,通过友好的图形化界面,网络管理员可以很容易地定制安全策略和对系统进行维护管理,用户只需进行简单的培训就可以完成对隔离设备的管理与配置。