卫士通加密SJJ1632-B 专业从事纵向加密装置

数据加密与认证保护
产品满足《电力系统专用纵向加密认证装置技术规范V3.0》的技术要求,支持对电力调度证书服务系统颁发基于PKI体系的RSA、SM2算法数字证书进行管理,包括导入根证书、设备证书、管理员证书以及导出设备证书与管理员证书等证书管理功能。证书格式符合X509 证书规范,设备之间基于证书认证完成远程管理和会话密钥协商工作,通过根证书验证实现证书的交叉认证。
装置协商的会话密钥采用国电专用对称密码算法芯片预置的SSF09算法,装置通过该会话密钥对电力调度业务报文进行保护,在保证下行控制数据保护强度的同时,保证了上行状态数据的实时性。
同时装置可对不同类型的证书认证完成后的有效时间、会话密钥的存活时间均可通过远程管理中心、内网监控审计平台以及本地配置方式进行配置。
具备完整的网络设备功能
纵向加密认证装置可作为接入型网络设备不改变原有网络环境实现业务数据保护。装置具有如下的网络设备功能与特点:
接入型设备,不改变原有网络环境;
适应各种基本的网络环境,包括VLAN、双机冗余、负载均衡等;
支持VLAN、网络地址、网桥、ARP绑定、ARP代理以及路由等多种网络配置方式;
可应用于30位掩码网络环境中。
支持双机热备功能
装置支持双机热备功能,可实现双机间配置的自动同步及手动同步、隧道状态及密钥信息的自动同步,增加网络健壮性。同时装置可主动探测自身网络及双机对方装置状态,当主机故障时,保障业务数据及时切换至备机。
支持流量控制功能
设备利用traffic control模块实现QOS管理功能,通过输出端口建立队列的方式进行基于网段的流量控制。
具备网络诊断功能
设备具备基本的网络诊断功能,提供包括tcpdump、ping、netstat、traceroute等常用网络工具命令。
具备抗DDoS攻击功能
纵向加密装置能够一定程度防御常见的网络攻击,包括ARP Attack、Ping Attack、Ping of Death Attack、Smurf Attack、Unreachable Host Attack、Land Attack、Teardrop Attack、TCP Syn Attack、UDP Flood Attck等。
设备可通过抗iptables+netfilter+limit对DDOS攻击报文进行频率控制,丢弃大于频率阈值的DDOS数据包;通过直接对内核源码修改对畸形报文进行识别丢弃。在丢弃数据包之前对数据包进行统计并记录日志。
具备完善的管理功能
装置支持设备管理、证书管理、安全配置、日志管理等功能,同时可对运行状态进行本地与远程的监控管理。
设备管理
系统备份
装置支持备份当前配置文件和设备私钥文件,此操作只能由系统管理员通过身份验证后进行,备份前需输入备份口令以及管理员USBkey的PIN口令。备份口令可对备份文件进行加密,保证配置的私密性,装置私钥将以密文形式保存在USBkey中。
纵向加密装置支持整机配置备份及恢复,实现配置回滚和装置灾难恢复;
纵向加密装置支持支持隧道、策略保存导出,方便隧道策略规则存档及排查;
纵向加密装置支持支持本地设备证书、远端设备证书、管理中心设备证书保存导出;
纵向加密装置支持日志保存导出,便于进行日志审计。
系统恢复
装置支持通过系统备份文件,快速恢复之前的配置(包括:网络、证书、隧道、安全策略、IP报文过滤策略、防火墙、QOS策略、设备参数等)。
灾难恢复
在装置毁坏无法修复时,还可通过系统备份内容对参数配置文件以及公私钥文件进行恢复。
证书管理
纵向加密装置支持根证书、远端设备证书、管理中心管理员证书、管理中心设备证书的添加、删除、修改。
导入远程装置设备证书和管理中心设备证书时装置还将对根证书完整性证书链验证。
安全配置
管理员可通过命令行或管理界面进行安全配置,安全配置包括隧道配置、安全策略配置以及IP报文过滤配置。
其中隧道配置支持添加隧道、删除隧道、修改隧道、重置隧道、探测隧道、获取隧道列表以及导出隧道配置等功能。
安全策略配置支持添加安全策略、删除安全策略、修改安全策略、获取安全策略列表以及导出安全策略配置等功能。
IP报文过滤配置支持对规则号、规则所属隧道号、规则类型、规则名、源起始地址、源终止地址、目的起始地址、目的终止地址以及源、目的起始与终止端口等属性进行配置。
管理角色三权分立
装置支持系统管理员、配置管理员、审计管理员管理。由系统管理员、安全管理员和审计管理员分别担任系统的常规管理、与安全有关的管理以及审计管理三个角色,三个角色间相互制约,防止权限过于集中。同时各管理员需持有表征用户身份信息的硬件装置(USBKEY),与登录口令相结合方可实现双因子认证登录系统。
日志审计
装置支持对管理员本地管理所执行的操作行为,记录详细的操作日志,便于安全事件审计和追踪。同时日志对不符合安全策略的非法访问和DDOS攻击数据包进行统计,并及时将日志信息上报至内网监控平台。日志格式满足《电力系统专用纵向加密认证装置技术规范V3.0》的要求,并可生成日志报表,即可对日志数目与内容进行审计,报表形式为excel格式。
运行状态监控
纵向加密装置CPU、内存、运行状态每分钟自检一次,并记录日志。日志以syslog形式发送至内网监控平台审阅监控。
纵向加密装置同时提供装置运行状态查询功能,系统管理员可实时查看装置运行状态。
远程监控与管理
产品满足《电力系统专用纵向加密认证装置技术规范V3.0》的技术要求,支持管理中心远程管理、支持内网监控平台远程监控。
指标参数
性能指标
项目
SJJ1632-A(千兆型)
SJJ1632-B(百兆型)
通信协议
IEEE802.3,TCP/IP
无故障时间
20000小时
明通速率(1024字节)
2Gbps
1.2bps
加密速率(1024字节)
900Mbps
300Mbps
支持隧道数(对)
2048
1024
加密时延
<1ms
网络接口数
6个网络接口(100M/1000M自适应)
控制口
1个COM口(RJ45形态)
电气及环境指标
电气特性
电压
交流220V
允许偏差
-20%~+10%
纹波系数
不大于5%
额定频率
50Hz
环境指标
环境温度
-5℃~+45℃
相对湿度
5%~95%
大气压力
70KPa~106KPa
卫士通加密SJJ1632-B
典型部署
调度数据网络为分级网络部署,纵向加密装置常见部署于国调、省调、地调、县调、厂站及各网调等关键节点。



为了方便产品的维护和管理,纵向加密认证装置支持符合技术规范的加密装置管理中心的配置和管理。各级调度中心和变电站、厂站的纵向加密装置接受其装置管理中心的统一管理配置。见图2:
卫士通加密SJJ1632-B
设备介绍
前面板

SJJ1632-B电力系统专用纵向加密认证装置前视图
状态
模块
标记
说明
备注
指示灯
电源
装置上电状态。
装置上电后亮绿色灯;
闪烁表示一个槽位的电源模块异常,模块未接电源或者故障。
状态
装置初始化状态。
未初始化亮橙色灯;
初始化完成亮绿灯。
加密
加密卡工作状态。
加密卡工作时橙色灯闪烁。
串口
控制
波特率为115200。
设备串口为RJ45。
电源
电源开关。
设备采用双电源,只接单一电源时,会发出报警声。
后面板


双交流纵向加密认证装置后视图
卫士通加密SJJ1632-B
产品外观
纵向加密认证装置分为百兆型纵向加密认证装置、千兆型纵向加密认证装置和千兆带光口纵向加密认证装置三种不同规格和性能的产品,提供用户在不同应用场景下的多样化选择。

千兆纵向加密认证装置前视图

千兆光口型纵向加密认证装置前视图
提示:对于不同类型的纵向加密认证装置,前面板的接口顺序不完全相同,上图仅为示意图。