南京卫士通加密SJJ1632-B出售 专业从事纵向加密装置

数据加密与认证保护
产品满足《电力系统专用纵向加密认证装置技术规范V3.0》的技术要求,支持对电力调度证书服务系统颁发基于PKI体系的RSA、SM2算法数字证书进行管理,包括导入根证书、设备证书、管理员证书以及导出设备证书与管理员证书等证书管理功能。证书格式符合X509 证书规范,设备之间基于证书认证完成远程管理和会话密钥协商工作,通过根证书验证实现证书的交叉认证。
装置协商的会话密钥采用国电专用对称密码算法芯片预置的SSF09算法,装置通过该会话密钥对电力调度业务报文进行保护,在保证下行控制数据保护强度的同时,保证了上行状态数据的实时性。
同时装置可对不同类型的证书认证完成后的有效时间、会话密钥的存活时间均可通过远程管理中心、内网监控审计平台以及本地配置方式进行配置。
具备完整的网络设备功能
纵向加密认证装置可作为接入型网络设备不改变原有网络环境实现业务数据保护。装置具有如下的网络设备功能与特点:
接入型设备,不改变原有网络环境;
适应各种基本的网络环境,包括VLAN、双机冗余、负载均衡等;
支持VLAN、网络地址、网桥、ARP绑定、ARP代理以及路由等多种网络配置方式;
可应用于30位掩码网络环境中。
支持双机热备功能
装置支持双机热备功能,可实现双机间配置的自动同步及手动同步、隧道状态及密钥信息的自动同步,增加网络健壮性。同时装置可主动探测自身网络及双机对方装置状态,当主机故障时,保障业务数据及时切换至备机。
支持流量控制功能
设备利用traffic control模块实现QOS管理功能,通过输出端口建立队列的方式进行基于网段的流量控制。
具备网络诊断功能
设备具备基本的网络诊断功能,提供包括tcpdump、ping、netstat、traceroute等常用网络工具命令。
具备抗DDoS攻击功能
纵向加密装置能够一定程度防御常见的网络攻击,包括ARP Attack、Ping Attack、Ping of Death Attack、Smurf Attack、Unreachable Host Attack、Land Attack、Teardrop Attack、TCP Syn Attack、UDP Flood Attck等。
设备可通过抗iptables+netfilter+limit对DDOS攻击报文进行频率控制,丢弃大于频率阈值的DDOS数据包;通过直接对内核源码修改对畸形报文进行识别丢弃。在丢弃数据包之前对数据包进行统计并记录日志。
具备完善的管理功能
装置支持设备管理、证书管理、安全配置、日志管理等功能,同时可对运行状态进行本地与远程的监控管理。
设备管理
系统备份
装置支持备份当前配置文件和设备私钥文件,此操作只能由系统管理员通过身份验证后进行,备份前需输入备份口令以及管理员USBkey的PIN口令。备份口令可对备份文件进行加密,保证配置的私密性,装置私钥将以密文形式保存在USBkey中。
纵向加密装置支持整机配置备份及恢复,实现配置回滚和装置灾难恢复;
纵向加密装置支持支持隧道、策略保存导出,方便隧道策略规则存档及排查;
纵向加密装置支持支持本地设备证书、远端设备证书、管理中心设备证书保存导出;
纵向加密装置支持日志保存导出,便于进行日志审计。
系统恢复
装置支持通过系统备份文件,快速恢复之前的配置(包括:网络、证书、隧道、安全策略、IP报文过滤策略、防火墙、QOS策略、设备参数等)。
灾难恢复
在装置毁坏无法修复时,还可通过系统备份内容对参数配置文件以及公私钥文件进行恢复。
证书管理
纵向加密装置支持根证书、远端设备证书、管理中心管理员证书、管理中心设备证书的添加、删除、修改。
导入远程装置设备证书和管理中心设备证书时装置还将对根证书完整性证书链验证。
安全配置
管理员可通过命令行或管理界面进行安全配置,安全配置包括隧道配置、安全策略配置以及IP报文过滤配置。
其中隧道配置支持添加隧道、删除隧道、修改隧道、重置隧道、探测隧道、获取隧道列表以及导出隧道配置等功能。
安全策略配置支持添加安全策略、删除安全策略、修改安全策略、获取安全策略列表以及导出安全策略配置等功能。
IP报文过滤配置支持对规则号、规则所属隧道号、规则类型、规则名、源起始地址、源终止地址、目的起始地址、目的终止地址以及源、目的起始与终止端口等属性进行配置。
管理角色三权分立
装置支持系统管理员、配置管理员、审计管理员管理。由系统管理员、安全管理员和审计管理员分别担任系统的常规管理、与安全有关的管理以及审计管理三个角色,三个角色间相互制约,防止权限过于集中。同时各管理员需持有表征用户身份信息的硬件装置(USBKEY),与登录口令相结合方可实现双因子认证登录系统。
日志审计
装置支持对管理员本地管理所执行的操作行为,记录详细的操作日志,便于安全事件审计和追踪。同时日志对不符合安全策略的非法访问和DDOS攻击数据包进行统计,并及时将日志信息上报至内网监控平台。日志格式满足《电力系统专用纵向加密认证装置技术规范V3.0》的要求,并可生成日志报表,即可对日志数目与内容进行审计,报表形式为excel格式。
运行状态监控
纵向加密装置CPU、内存、运行状态每分钟自检一次,并记录日志。日志以syslog形式发送至内网监控平台审阅监控。
纵向加密装置同时提供装置运行状态查询功能,系统管理员可实时查看装置运行状态。
远程监控与管理
产品满足《电力系统专用纵向加密认证装置技术规范V3.0》的技术要求,支持管理中心远程管理、支持内网监控平台远程监控。
指标参数
性能指标
项目
SJJ1632-A(千兆型)
SJJ1632-B(百兆型)
通信协议
IEEE802.3,TCP/IP
无故障时间
20000小时
明通速率(1024字节)
2Gbps
1.2bps
加密速率(1024字节)
900Mbps
300Mbps
支持隧道数(对)
2048
1024
加密时延
<1ms
网络接口数
6个网络接口(100M/1000M自适应)
控制口
1个COM口(RJ45形态)
电气及环境指标
电气特性
电压
交流220V
允许偏差
-20%~+10%
纹波系数
不大于5%
额定频率
50Hz
环境指标
环境温度
-5℃~+45℃
相对湿度
5%~95%
大气压力
70KPa~106KPa
南京卫士通加密SJJ1632-B出售
设备安装步骤
在产品包装箱内装有电力系统纵向加密认证装置一台,交叉线三根,直连线两根,电源线两根,机箱脚垫四个,用户KEY两个,本地管理安装光盘一张,接地线一根,浮动螺母十六套,产品合格证一份,售后服务指南一份,产品装箱清单一份,用户开箱后请参见装箱清单检查配件是否齐全,然后查看设备外观是否有损坏现象,如有问题,请勿使用并及时与我公司取得联系,处理相关事宜。为了保障产品稳定、可靠的运行,请用户不要私自打开纵向加密认证装置的机箱。
纵向加密认证装置上架后,根据用户需求,决定设备是否需要固定。在设备前面板把手处有螺丝孔,用于固定设备时使用。设备上架完成后,连接电源线及接地线,便可进行启动。
一般情况下,纵向加密认证装置的外网口1、外网口2用于连接路由器,内网口1、内网口2用于连接交换机,在实际环境中,根据具体需求进行连接即可。另外,如果在纵向加密认证装置未完成配置前接入实际环境中,是会导致通信中断的,所以为了避免该现象的出现,建议在配置完成后,将纵向加密认证装置接入实际环境中。
南京卫士通加密SJJ1632-B出售
典型部署
调度数据网络为分级网络部署,纵向加密装置常见部署于国调、省调、地调、县调、厂站及各网调等关键节点。



为了方便产品的维护和管理,纵向加密认证装置支持符合技术规范的加密装置管理中心的配置和管理。各级调度中心和变电站、厂站的纵向加密装置接受其装置管理中心的统一管理配置。见图2:
产品外观
纵向加密认证装置分为百兆型纵向加密认证装置、千兆型纵向加密认证装置和千兆带光口纵向加密认证装置三种不同规格和性能的产品,提供用户在不同应用场景下的多样化选择。

千兆纵向加密认证装置前视图

千兆光口型纵向加密认证装置前视图
提示:对于不同类型的纵向加密认证装置,前面板的接口顺序不完全相同,上图仅为示意图。
各个网点部署
在各个网点,包括各级调度中心及下属的各厂站的内部网络中,纵向加密认证装置安置在电力控制系统的内部局域网与电力调度数据网络的路由器之间。

纵向加密认证装置网点部署图
以图8为例,简要介绍纵向加密认证装置在电力系统内部业务网中的部署情况。在这个典型应用中,路由器、交换机、纵向加密认证装置均采用负载均衡方式,通过纵向加密认证装置的冗余可以很好的提高网络服务质量,给电力系统EMS业务的正常传输提供好的网络安全服务。
南京卫士通加密SJJ1632-B出售
为了方便产品的维护和管理,纵向加密认证装置支持符合技术规范的加密装置管理中心的配置和管理。各级调度中心和变电站、厂站的纵向加密装置接受其装置管理中心的统一管理配置。见图2:

电力系统专用纵向加密认证装置支持各种LAN和WAN线路和拓扑,透明接入用户网络,无须修改用户网络原有配置。并且能够实现双机冗余与双机热备,在实现高可用性时还能提高网络的兼容性。