南京科东加密PSTunnel-2000经销商 安全防护强度高

开发的依据和功能规范
国家电网调度中心发布《全国电力二次系统安全防护方案(最新版)》
国家电网调度中心制定《电力系统专用纵向加密认证装置技术规范(最新版)》
中华人民共和国国家标准GB/T 17900-1999 《网络代理服务器的安全技术要求》
《关于维护网络安全和信息安全的决议》,全国人大常委会2000年10月审议通过;
《中华人民共和国计算机信息系统安全保护条例》,国务院1994年发布;
《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》,国家保密局1998年发布;
p
《计算机信息网络国际联网安全保护管理办法》,公安部1998年发布;
《计算机信息系统安全保护等级划分准则》(GB 17859-1999),公安部1999年发布;
《电网和电厂计算机监控系统及调度数据网络安全防护规定》,国家经贸委[2002]第30号令;
《电力工业中涉及的国家秘密及具体范围的规定》,电力工业部和国家保密局1996年发布。
GB/T 14598.9-1995 辐射电磁场抗扰度标准
GB/T 14598.10-1996 快速瞬变抗扰度标准
GB/T 14598.13-1998 脉冲群抗扰度标准
GB/T 14598.14-1998 静电放电抗扰度标准
GB/T 17626.5-1999 浪涌(冲击)抗扰度标准
GB/T 17626.6-1998 射频场感应的传导骚扰抗扰度标准
GB/T 11287-2000 机械振动响应标准
《计算机信息网络国际联网安全保护管理办法》,公安部1998年发布;
《计算机信息系统安全保护等级划分准则》(GB 17859-1999),公安部1999年发布;
《电网和电厂计算机监控系统及调度数据网络安全防护规定》,国家经贸委[2002]第30号令;
《电力工业中涉及的国家秘密及具体范围的规定》,电力工业部和国家保密局1996年发布。
GB/T 14598.9-1995 辐射电磁场抗扰度标准
GB/T 14598.10-1996 快速瞬变抗扰度标准
GB/T 14598.13-1998 脉冲群抗扰度标准
GB/T 14598.14-1998 静电放电抗扰度标准
GB/T 17626.5-1999 浪涌(冲击)抗扰度标准
GB/T 17626.6-1998 射频场感应的传导骚扰抗扰度标准
GB/T 11287-2000 机械振动响应标准
横向隔离
生产控制大区与管理信息大区之间采用专用安全隔离装置,达到或接近于物理隔离强度。生产控制大区内两个安全区之间的安全隔离应该达到逻辑隔离强度。具体隔离设备的选择不仅需要考虑网络安全的要求,还需要考虑带宽及实时性的要求。生产控制大区的隔离设备必须是经过国家指定部门检测认证的国产设备。
一般在安全大区内部隔离设备选择防护墙产品,安全大区间采用具有物理隔离能力的电力专用网络安全隔离设备,如现在无管理信息大区系统,则暂时不需要部署网络安全隔离设备。
上述工作在全国各级电网二次系统安全防护工程中已基本完成。
纵向认证
生产控制大区连接的广域网为电力调度数据网。管理信息大区连接的广域网为电力企业数据网络或外部互联网。电力调度数据网与电力企业数据网之间应该物理隔离,可通过基于SDH/PDH上的不同通道、不同光波长、不同纤芯等方式进行隔离。
生产控制大区接入调度数据网时,须采用国家指定部门检测认证的电力专用纵向加密认证装置及相应设施,实现网络层双向身份认证、数据加密和访问控制。如暂时不具备条件,可以用硬件防火墙或ACL技术的访问控制代替。管理信息大区应采用硬件防火墙或更高安全强度的设备接入电力企业数据网。
处于外部网络边界的通信网关的操作系统应进行安全加固。根据具体业务的重要程度及信息的敏感程度,对生产控制大区的外部通信网关应该增加加密、认证和过滤的功能。
传统的基于专用通道的通信不涉及网络安全问题,可采用线路加密技术保护关键厂站及关键业务。
采用纵向加密认证装置可实现基于电力调度证书的身份验证、基于隧道技术及电力专用加密算法的数据加密传输。
涉密资质
生产资质
按照国家相关规定,在研制开发纵向加密认证装置前,我公司申请并获得了国家密码管理局“国家密码产品定点生产单位”和“国家密码产品定点销售单位”资质认定,并定期接受国家密码管理局和北京市国家密码管理委员会的审查。
加密芯片
按照电力二次系统安全防护方案的相关要求及国调指示精神,电力系统安全防护工作中需要用到电力专用加密算法芯片时,必须使用国家密码管理局指定的密码算法芯片,我公司特向国密局提出配用电力系统专用算法芯片研制电力专用纵向加密认证装置的申请,获得国密局的批准,国家密码管理局批复允许我公司使用的SSX06密码芯片。
加密算法
纵向加密认证装置使用的密码算法包括对称加密算法、非对称算法、散列算法和随机数生成算法,其中的对称算法是经过国密办批复的专为电力系统使用的加密算法。其他算法都是国密办指定的算法。
设备型号
我公司向国密局前身国家密码管理委员会办公室申请开发电力专用网关机、电力专用网络安全隔离设备(反向型),获得国家密码管理委员会办公室批准立项,项目名分别为“SJY99加密网关” 、“SJY100安全隔离装置(反向型)”,并获准在装置中配用电力系统专用算法密码芯片,项目批文号为:国密办字[2004]292号。
技术鉴定
2006年6月,我公司研制的“SJY99加密网关” 、“SJY100安全隔离装置(反向型)” 顺利通过了国家密码管理局组织的产品技术鉴定。鉴定会上包括中国工程院院士周仲义、沈昌祥院士在内的多位专家对设备给予了充分肯定。我们的设备获得对应的国家密码管理局颁发的设备型号证书。
安全特性
采用国密办为电力行业专用的加密芯片
电力专用纵向加密认证装置的核心技术是加密算法,它决定着装置的加密强度,抗攻击能力。PSTunnel-2000 系列电力专用纵向加密认证装置采用国密办专为电力系统设计的加密算法,算法相关信息高度机密,不向任何单位公开,通过将算法封装在加密算法芯片中提供给用户,确保算法的安全可靠,这从根本上保证了装置的加密强度。
采用多核加密技术的高速加密卡
PSTunnel-2000 系列电力专用纵向加密认证装置的密钥生成、数据加密都是由专用高速数据加密卡完成,该加密卡经国调、国密办共同检测,由我方自行研制开发多核加密卡,对称加密基于专用加密算法芯片,非对称加密遵循国际标准,加密速度快,抗功击能力强。
采用专门设计的加密认证通信协议
PSTunnel-2000系列电力专用纵向加密认证装置间通信协议为国调组织多位专家联合设计,基于IPSec,不照搬IPSec,结合了电力系统的应用及管理特点,对IPSec进行了有效的简化,并经权威机构的多位院士审查论证,通信协议内容同样高度保密。
PSTunnel-2000 系列电力专用纵向加密认证装置采用基于公钥体制的工作密钥的自动协商和交换。
状态监视
可以通过管理工具监视当前设备中存在的安全通道的状态信息包括:流过的包数量、超时次数、出错重协商次数、密钥协商状态等信息。
实时管理
网关设备支持通过配置管理工具实时进行包括隧道重置、设备重置、添加删除策略等工作,便于用户根据实际网络情况,动态调整设备运行方式、规则配置等信息,并可以进行实时切断运行隧道。
高强度的抗攻击能力
通过特殊的硬件结构和加固的操作系统的内核以及电力专用纵向加密认证装置本身没有IP地址,使得电力专用纵向加密认证装置本身的抗攻击能力的强度极高。黑客对设备的攻击无从下手。
性能优化技术
电力专用纵向加密认证装置性能的优劣影响到用户的使用也同时影响了系统的安全和稳定性,我们采用了多种性能优化技术,通过采用多个加密芯片协同运算等方式,大大改善了电力专用纵向加密认证装置的性能。
软件结构

图5 软件结构图
操作系统
采用处理器专用的、代码可控的、经过内核裁减的、实时Linux 作为操作系统。该操作系统取消所有网络功能;取消大部分系统服务,只保留系统稳定运行需要的进程。
报文监听
电力专用纵向加密认证网关作为代理从外网的网络访问包中抽取出数据然后通过内网接口转入内网,完成数据中转。装置将接收网络上的所有报文,将报文提交给上一层,进行过滤分析、检测。
报文综合过滤
在数据中转过程中,电力专用纵向加密认证装置首先对抽取的数据报文的IP地址、端口号、协议等实施综合过滤控制,根据需要进行可信的两个主机间的工作密钥协商及工作密钥交换,在两个主机间建立起一个安全可靠的会话,然后对可以通过上述过滤的报文根据规则确定是禁止通过、直接传输还是加密传输,对需要加密的进行加密,然后对允许通过的报文进行签名后通过内网接口转入内网。有了上述的约束条件,可以保证数据在非安全的通道上安全可靠地传输。
状态检测
状态检测技术:基于电力专用纵向加密认证装置所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤使用的过滤规则是静态的。而采用状态检测技术的电力专用纵向加密认证装置在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后电力专用纵向加密认证装置根据状态表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。
报文分类调度
根据不同报文的类型提交给不同的模块处理,如果是需要加解密报文则将该报文提交给报文加密处理模块,如果是协商认证报文则提交给协商认证模块,装置之间进行协商认证处理,如果是配置报文则提交给配置管理模块处理。
配置软件
科东产品信息
纵向加密装置(型号PSTUNNEL-2000L)

2.基本介绍
PSTunnel-2000 IP 加密认证装置是位于电力控制系统的内部局域网与电力调
度数据网络的路由器之间,用于安全区I/II 的广域网边界保护,可为本地安全区
I/II 提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加
密服务,实现数据传输的机密性、完整性保护。PSTunnel-2000L 加密认证装置是位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,用于安全区I/II 的广域网边界保护,可为本地安全区I/II 提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。
南京科东加密PSTunnel-2000经销商
型号说明
产品型号:PSTunnel-2000G 电力专用纵向加密认证装置——千兆型
产品型号:PSTunnel-2000 电力专用纵向加密认证装置——百兆增强型
产品型号:PSTunnel-2000L 电力专用纵向加密认证装置——百兆低端型
产品型号:PSTunnel-2000M 电力专用纵向加密认证装置——微型
国密局批复型号:SJY99加密网关
产品外观:

图4-6 设备前视图
接口说明