江苏热门南瑞反向隔离SYSKEEPER-2000 安全防护强度高

交流电源
序号
名称
数值
1
额定电压
220V
2
允许偏差
-20%~+15%
3
纹波系数
不大于5%
4
额定频率
50Hz


可靠性
序号
电磁兼容项目
等级
1
辐射电磁场抗扰度
三级(a)
2
快速瞬变抗扰度
三级(a)
3
脉冲群抗扰度
三级(a)
4
静电放电抗扰度
三级(a)
5
浪涌(冲击)抗扰度
三级(a)
6
工频磁场抗扰度
四级(a)
7
脉冲磁场抗扰度
四级(a)
8
介质强度
三级(a)
9
电压跌落
500ms
10
机械振动
一级


——根据2012年《二次系统安全防护设备—物理隔离装置通用技术规范》,其它未明确规定项目按三级(a)要求。
江苏热门南瑞反向隔离SYSKEEPER-2000
5.1 串口故障诊断



用户在配置隔离装置的时候,如果出现串口连接反复失败的情况,可能是由 于以下原因造成,请按照以下步骤对串口进行诊断:
1、串口的 COM 端口选择不正确。查看串口配置线与计算机的哪一个串口连 接。一般来说计算机自带的串口 A 为 COM1,串口 B 为 COM2。如果是使用串口卡 或 USB 转串口线额外增加的串口,需要打开“设备管理器”,在端口选项下具体 查看串口使用的 COM 端口,确认 COM 端口选择正确。
2、隔离装置配置串口故障。将超级终端的速率设置为‘115200’,数据流控 制设置为‘无’。重新启动隔离装置,在超级终端窗口观察隔离装置的启动信息。 如果能够观察到启动信息?}且没有反复重启现象,说明配置计算机串口与隔离装 置串口连接正确;如果内外网有一个不能观察到启动信息,说明此配置串口故障; 如果内外网都不能观察到启动信息,请确定计算机串口能够正常使用。
3、配置计算机串口兼容性不好。如果能够观察到启动信息?}且没有反复重 启现象,但是使用配置软件始终无法连接到隔离装置,请在配置计算机的“设备 管理器”的端口选项下将相应的 COM 端口速率设置为‘115200’,数据流控制设 置为‘无’后再次重试。
4、隔离装置负荷较重。隔离装置负荷较重时,CPU 使用率过高,串口通讯 进?{可能无法及时得到 CPU 响应。建议选择隔离装置负荷较轻时重试。
5、隔离装置反复重启。在超级终端窗口观察隔离装置的启动信息,确认隔 离装置反复重启,请与本公司联系。
江苏热门南瑞反向隔离SYSKEEPER-2000
5.2 网络故障诊断



用户在使用隔离装置的时候,如果内外网无法正常通讯,请按照以下步骤对 网络进行诊断:
1、确认隔离装置与网络物理连接正常。因为隔离装置支持双机热备功能, 如果隔离装置与网络物理连接不正常,隔离装置会切换到备机模式。使用“超级 终端”观察正向隔离装置内网的启动信息,如果有“I want change to main machine”信息显示,表示隔离装置工作在主机模式,隔离装置与网络连接正常; 否则工作在备机模式,请仔细检查隔离装置与网络的物理连接。
2、确认内外网主机与隔离装置物理连接正常。隔离装置现在支持有限的 ping 诊断功能,具体诊断方法请参考本手册 3.5 节《系统调试》,如果诊断成功 说明内外网主机与隔离装置物理连接正常。如果 ping 失败,请仔细检查内外网 主机与网络的物理连接。
3、隔离装置规则配置参数错误。请仔细阅读第四章《典型应用隔离方案规 则设定范例》一节,确认规则配置正确。或者寻求本公司的技术支持。
4、内外网通讯?{序没有按照隔离装置的编?{原则设计。请使用随机光盘上 的测试软件测试内外网的数据通讯是否正常。
SysKeeper-2000网络安全隔离装置(反向型)



产品简介
SysKeeper-2000电力专用网络专用安全隔离装置(反向型)是位于调度数据网络与公用信息网络之间的一个安全防护装置,用于安全区III到安全区I/II的单向数据传递。反向型隔离装置内嵌智能IC卡读写器,在实现安全隔离的基础上,采用数字签名技术和数据加密算法保证反向应用数据传输的安全性。因此,该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性,并为建立全国电网二次系统安全防护体系提供有力保障。
外形:标准1U
网络接口:2个百兆网卡接口、双机热备接口
外设接口:2个终端接口(RS232)、告警接口
智能IC卡读写器接口:配套两片32K智能IC卡片
材料:重负荷钢
指示器:LED电源指示灯﹑安全隔离设备状态指示灯﹑网络适配器状态指示灯
尺寸(长×宽×高):350.1×430×40.3 mm
重量:5 kg
工作温度:-5℃~50℃
输出功率:20W
平均无故障时间(MTBF)>60000小时(100%负荷)
环境条件
序号
名称
单位
数值
1
环境温度
设备储存温度

?40~+55
设备工作温度
-10~+55
2
大气压力
kPa
70~106
3
海拔
m
3000
4
相对湿度

10~95
5
耐受地震能力
水平加速度
m/s2
0.3g
垂直加速度
m/s2
0.15g
江苏热门南瑞反向隔离SYSKEEPER-2000
4.4 两个 网 络 通 过 二 层 交 换 机 双 机 双 网 连 接



网络环境描述:


内网主机为服务端,两块网卡的 IP 地?}为 192.168.0.8/192.168.1.8,虚 拟 IP 分别设置为 10.1.0.9/10.1.1.9;外网主机为客户端,两块网卡的 IP 地?} 为 10.1.0.8/10.1.1.8,虚拟 IP 分别设置为 192.168.0.9/192.168.1.9,同网段 的 IP 相互通讯,?{序默认通过 0 号网段通讯,0 号网段不通的情况下切换到 1 号网段进行通讯。两台隔离装置双机热备(采用交叉连接线将外网双机热备接口 FailOver 连接起来),配置规则相同。假设 Server ?{序数据接收端口为 9898。

图 35
在二层交换双机双网的环境下,通信规则的配置原则如下:热备份主机和备 机的配置规则完全相同。在主备机的配置规则中,需要配置两条实际通信规则,



拟 IP 设置可以参考二层交换机环境下单隔离装置通信规则配置原则。


实际通信规则配置 1:






实际通信规则配置 2:
图 36




图 37
一、产品介绍



SysKeeper-2000 网络安全隔离装置(反向单 bit)的硬件系统基于 RISC 体系结 构的嵌入式微处理器(Motorola PowerPC),双 CPU 之间通过高速传输芯片进行物 理连接,两个处理系统不同时连通;主板上分别集成两个以太网接口用来连接要 隔离的两个网络,集成一个串口用来连接配置终端,使用户能够方便的配置和监 控隔离装置;支持完备的安全事件告警机制,采用标准 Syslog 日志协议输出报 警信息;双机接口支持隔离装置的双机热备和链路冗余备份,避免重要数据的丢 失;硬件看门狗时刻监控系统状态,保证隔离装置稳定、可靠的运行。


图 1 SysKeeper-2000 网络安全隔离装置(反向型)硬件结构框图


SysKeeper-2000 网络安全隔离装置(反向单 bit 型)的软件系统基于特别裁剪 的嵌入式 Linux 内核,实现两个安全区之间的非网络方式的安全的数据交换;取 消所有网络功能,采取无 IP 地址的透明监听方式,支持网络地址转换,报文综 合过滤,割断穿透性的 TCP 连接;单向数据通信控制,单向连接控制;反向隔 离装置采用带签名的 E 语言进行传输,只允许传输采取 E 语言格式书写的文件, 装置中对传输的 E 语言文件进行检查,如此便能将病毒文件、非文本文件和非 E 语言文件阻隔,大限度保障内网高安全区的安全,在更深层次上保证数据传输 的机密型和完整性。
江苏热门南瑞反向隔离SYSKEEPER-2000
反向隔离装置的前面板图如图 2 所示。前面板有 8 个指示灯,分别是电源指


示灯、内网灯、外网灯、告警灯、加密卡状态灯、数据加密灯、智能卡读写器状 态灯、智能卡读写灯。内网灯亮表示有数据从内网传输到外网;外网灯亮表示有 数据从外网传输到内网,如果内外网数据传输的流量太小,可能观察不到内外网 灯的闪烁,此时可以根据后面板网卡指示灯的情况观察是否有数据接收和发送。 告警灯亮并伴有声音告警表示隔离装置正受到网络恶意攻击。加密卡状态灯亮表 示隔离装置内置有数据加密卡,数据加密灯闪烁表示加密卡正在加解密数据;智 能卡读写器状态灯闪烁表示隔离装置内置有智能卡读写器,智能卡读写器状态灯 亮表示智能卡读写器插槽中有智能 IC 卡,智能卡读写灯亮表示智能卡上的用户 数据正在被读取。


图 2 SysKeeper-2000 网络安全隔离装置(反向型)前面板图


后面板图如图 3 所示。隔离装置设计有双电源,一个电源作为主电源供电, 另一个作为辅电源备份,两个电源可以在线无缝切换。内网配置口用来监控内网 侧的状态信息;外网配置口用来配置反向隔离装置,并监控内网侧的状态信息。 内网网口用来连接内网;外网网口用来连接外网。内外网口的网卡指示灯绿灯亮 表示网口与网络正确连接;黄灯亮表示网络速率是 100M,暗表示网络速率是
10M,闪烁表示有数据正在接收或发送。双机接口支持隔离装置的双机热备。告 警接口支持使用专用协议输出报警信息。

图 3 SysKeeper-2000 网络安全隔离装置(反向型)后面板图
江苏热门南瑞反向隔离SYSKEEPER-2000