3、产品特点

• 为了保证系统安全的最大化，本产品已经将嵌入式内核进行了裁剪和优化。目前，内核中只包括用户管理﹑进程管理，裁剪掉TCP/IP 协议栈和其它不需要的系统功能，进一步提高了系统安全性和抗攻击能力，免于黑客对操作系统的攻击，并有效抵御Dos/DDos 攻击。

• 采用基于数字证书的数字签名技术，在数据的发送端对需要发送的数据进行签名，然后发给专用反向隔离装置；隔离装置收到数据后进行签名验证，并根据用户对数据的定义检查数据文件的格式和内容，支持通用的数据类型和记录分割符，反向隔离装置将处理过的数据发送给内网的数据接收程序。

• 通过反向隔离装置传输的软件都是从低安全区向高安全区进行传输，为了严格保障内网安全，禁止非法文件、病毒文件传输到内网，要对传输的文件内容进行过滤。为此国家调度中心制定了《电力系统数据描述语言》，提出了电力行业专用的数据描述语言E语言。按照国调要求，反向隔离装置支持对E语言文件的格式检查，来对传输的文件进行内容强过滤。

• 本产品在链路层截获数据包，然后根据用户的安全策略决定如何处理该数据包；实现了MAC 与IP 地址绑定，防止IP 地址欺骗；支持应用层特殊标记识别；为了实现处于不同网段的主机之间相互访问，隔离装置采用了虚拟IP 技术，且支持静态地址映射,为用户提供一个全透明﹑安全﹑高效的安全隔离装置。

• 本产品提供基于RSA公私密钥对的数字签名和采用专用加密算法进行数字加密的功能。进行RSA运算时，为了保证密钥的安全性，提供已密钥的ID号使用密钥的功能，密钥仅存在与反向型网络安全隔离设备的安全存储区中，与应用系统隔离，不能通过任何非法手段进行访问，极大的提高了数据交换的安全性。

• 本产品支持设置不同的用户类别：系统管理员、管理员、和普通用户等。通过身份认证机制，控制不同用户对安全隔离设备的操作权限。如系统管理员可以增加、删除、修改隔离装置的配置规则，可以增加或删除隔离装置的普通用户，可以查询隔离装置的日志等；普通用户只可以查看隔离装置的配置规则和日志等。

• 本产品采用截断TCP 连接的方法，剥离数据包中的TCP/IP 头，将外网的纯数据通过反向安全通道发送到内网，同时只允许应用层不带任何数据的TCP 包的控制信息传输到外网，保护内网监控系统的安全性。

• 本产品采用综合过滤技术，在链路层截获数据包，然后根据用户的安全策略决定如何处理该数据包；实现了MAC 与IP 地址绑定，防止IP 地址欺骗；支持静态地址映射(NAT)以及虚拟IP 技术；具有可定制的应用层解析功能，支持应用层特殊标记识别，为用户提供一个全透明﹑安全﹑高效的隔离装置。

• 日志在本产品每天的运行中起着很重要的作用,由于许多攻击﹑系统漏洞不具备机器可分析的特征，或者新的攻击的特征还不为人所知，因此，日志是发现攻击﹑发现系统漏洞和记录攻击证据的重要手段。隔离设备内、外网各板载安全存储区用于系统日志的记载，循环更新保持最新的系统日志。日志规范符合《电力二次系统安全告警日志格式规范》,可以接入电力二次系统内网安全监视功能模块集中监视。

• 本产品提供了基于数字证书的的图形化用户界面，通过反向隔离设备的专用智能IC 卡读写器进行身份认证，保证配置管理的安全性。整个界面使用全中文化的设计，通过友好的图形化界面，网络管理员可以很容易地定制安全策略和对系统进行维护管理，用户只需进行简单的培训就可以完成对隔离设备的管理与配置。