科东加密PSTunnel-2000G

产品技术性能

概述

PSTunnel-2000系列电力专用纵向加密认证装置是由北京科东电力控制系统有限责任公司自主开发研制,IP认证加密装置用于安全区I/II的广域网边界防护,作用之一是为本地安全区I/II提供一个网络屏障,类似包过滤防火墙的功能,作用之二是为网关机之间的广域网通信提供认证与加密功能,实现数据传输的真实性、机密性、完整性、不可抵赖性,以及抗重放攻击功能。具有操作简便、高性能、高可靠性等特点。

电力专用纵向加密认证装置采用软、硬结合的安全措施,在硬件上使用数字加密卡实现数据的加密和解密及签名和认证;在软件上,采用综合过滤、访问控制、动态密钥协商、非对称加密等技术实现电力专用加密隧道功能。

开发的依据和功能规范

国家电网调度中心发布《全国电力二次系统安全防护方案(新版)》

国家电网调度中心制定《电力系统专用纵向加密认证装置技术规范(新版)》

人民共和国国家标准GB/T17900-1999《网络代理服务器的安全技术要求》

《关于维护网络安全和信息安全的决议》,全国人大常委会2000年10月审议通过;

《人民共和国计算机信息系统安全保护条例》,国务院1994年发布;

《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》,国家保密局1998年发布;

?


扩展功能

作为对电力专用的加密认证装置,很好的结合了对电力系统内专用协议的兼容性,支持"IEC-104","DL476-92"的协议,可以很好的对以上协议进行解析和保护。

在纵向加密认证装置的工作模式支持网关模式、透明路由、地址借用三种模式,充分考虑了该装置在部署过程中的不同网络情况的要求。在透明模式下工作时候,可以完全透明的接入该装置,不用对原来网络的结构有任何改变;在网关工作模式下,可以作为一个简单路由器来使用;在地址借用模式下,可以代理装置身后的路由器交换机应答,并借用交换机的地址进行隧道协商及密文通信。

装置为了保证电力调度数据网络运行的可靠性,在发现隧道对端装置断开或者隧道无法建立或其他故障状态下,装置自身对应隧道自动切换为明通自适应状态,自动将接收到的报文转为明通处理。

纵向加密认证装置在工作时,支持报文的抗重播功能,有效的禁止报文重放。

纵向加密认证装置提供了良好的监视功能,能对设备的状态信息、隧道的信息、基于隧道之上的安全策略信息进行监视。

方便的和管理中心进行连接和信息反馈,管理中心的生产单位为我公司,因此该装置完全支持管理中心的查询和配置,并且还具有我公司独有的特色。快速的信息反馈有力的支持了管理中心的可管理性。

良好的在线帮助,有效的支持用户的可操作性和对装置操作步骤的完整性。

高可用自愈功能。按照功能规范要求,我方已经实现了纵向加密认证装置的双机热备和主备自动切换功能,在切换过程中,安全隧道重新进行协商,快速的进行认证和加密传输处理工作,保障通信连续性。通过装置及其相关网络设备的冗余,增强网络接入环节的可靠性。从所保护的子网中的通信机到本地接入路由器之间的路径上,任何环节,包括设备或链路出现故障,加密装置都能正确识别,配合实现路径切换。

纵向加密认证装置对进行的操作和发生的事件均有日志记录,格式完全按照“SYSLOG”规范。日志信息包括时间、事件类型,记录内容。该日志内容可以分别通过不同用户的需求和配置,通过“串口”或者“网口”进行日志信息的发布和相应报警信息的引出。可以导出日志信息,备份到本地硬盘中。

提供查看内部证书信息的命令,将已经导入的远程证书信息、本地设备证书、操作员证书、管理中心证书等证书信息。

提供本地进程监视和终止的功能。可以在本地管理的图形界面中,查看本机内部的进程状态信息。只要输入需要终止的进程号,就可以终止本地的某个进程。

对于初始化状态和装置的正常运行状态的转换。管理软件可以简洁的通过“初始化向导”配置将设备的初始化状态转入“正常运行状态”。

“电力纵向加密认证装置”有特殊探测报文,类似PING功能,能够显示出来对方装置的安全模式是安全还是旁路,设备状态是正常还是异常,设备是主还是备。

支持管理中心发出的监视和管理报文。支持路由器trunk协议。根据设备接入口的需要,需要VLANID的配置和驱动支持,同时支持802.1q的标准和思科标准两种不同的二层以太网报文的解析和转发。