江苏科东加密PSTunnel-2000出售 专业从事纵向加密装置

研发背景
在电力二次系统调度数据网络上部署应用纵向加密认证装置是国家电网公司为了贯彻落实国家经贸委关于《电网和电厂计算机监控系统及调度数据网络安全防护规定》([2002]第30号令)和国家电力监管委员会第5号令《电力二次系统安全防护规定》等文件精神,确保国家电网的安全稳定运行而开展的,是依据《电力二次系统安全防护总体方案》(电监安全[2006]34号)的要求提出并制定相应计划和方案的。部署纵向加密认证装置是上述规定及方案中,为实现对电力调度数据在广域网传输过程中的真实性、机密性、完整性保护而需要采取的一项重要措施。
研发目的
电力二次系统网络安全防护的重点是抵御病毒、黑客等通过各种形式对系统发起的恶意破坏和攻击,尤其是抵御集团式攻击,重点保护电力实时闭环监控系统及调度数据网络的安全,防止由此引起电力系统故障。
安全分区
根据电力二次系统的特点,各相关业务系统的重要程度、系统配备、数据流程、目前状况和安全要求,电力二次系统划分为生产控制大区和管理信息大区。
生产控制大区分为控制区(安全区I)和非控制区(安全区II);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各电力企业具体安全要求划分安全区。电网企业的管理信息大区一般可分为生产管理区(安全区III)和管理信息区(安全区IV)。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。生产控制大区的安全等级高于管理信息大区,其中生产控制大区中的安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。
广域网络通信方面,生产控制大区采用电力调度数据网络(SPDnet),管理信息大区采用电力企业数据网络(如电网企业的电力数据通信网络SPTnet)及外部公共信息网。
上述工作在全国各级电网二次系统安全防护工程中已基本完成。

网络专用
江苏科东加密PSTunnel-2000出售
参考的安全标准和规范
UL?1950
EN?41003
AS/NZS?3260
AS/NZS?3548?Class?A
CSA?Class?A
FCC?Class?A
EN?60552-2
VCCI(ClassII)
系统结构
硬件结构

图4-4?硬件结构图
硬件平台
型号说明
产品型号:PSTunnel-2000G?电力专用纵向加密认证装置——千兆型
产品型号:PSTunnel-2000?电力专用纵向加密认证装置——百兆增强型
产品型号:PSTunnel-2000L?电力专用纵向加密认证装置——百兆低端型
产品型号:PSTunnel-2000M?电力专用纵向加密认证装置——微型
国密局批复型号:SJY99加密网关
产品外观:

图4-6?设备前视图
接口说明
科东产品信息
纵向加密装置(型号PSTUNNEL-2000L)

2.基本介绍
PSTunnel-2000?IP?加密认证装置是位于电力控制系统的内部局域网与电力调
度数据网络的路由器之间,用于安全区I/II?的广域网边界保护,可为本地安全区
I/II?提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加
密服务,实现数据传输的机密性、完整性保护。PSTunnel-2000L?加密认证装置是位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,用于安全区I/II?的广域网边界保护,可为本地安全区I/II?提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。
江苏科东加密PSTunnel-2000出售
硬件功能
千兆设备具有6个网络接口,其中4个10/100/1000M?网络电口(2个光网络接口与2个千兆网络电口复用);另外还具有2个不同功能接口10/100M自适应的网卡,?用于配置和扩展,保证网络传输的高速稳定。
百兆设备共有5个网络接口,采用RJ45型接口,10/100M自适应,2个内网网口,2个外网网口,1个配置口,心跳口与其他网络接口复用。
微型设备具有3个网络接口,10/100M自适应,1个内网网口,1个外网网口,1个配置口,心跳口与其他网络接口复用。
物理锁具。保证加密装置内部安全模块的安全,没有特定的钥匙,不能打开机箱外壳,不能看见“加密认证装置”密码装置内部的结构和安全密码卡的结构。保证“加密认证装置”密码装置的物理安全。
采用USBKey作为该装置的管理人员的“人机卡三方认证”的登录安全介质。
该网关外形为1U标准的机箱;重量为4kg,上架方式为面板前方左右两侧的钢质耳朵。
有蜂鸣器装置作为声音报警装置,一旦系统发生紧急情况,可以由该系统的报警模块出发,作为提示系统管理人员的声音警示。
可以手动解除解除报警蜂鸣器工作的按钮。
面板前后方分别有多个指示灯,分别代表系统电源状态(Power),系统运行(Run),内外网口连接(eth0/?eth1,eth2/eth3),网络连接状态(ACK),外接的系统信息串口状态,报警模块外部接口的状态(Alarm?/?复归),内部处理模块状态,安全加密解密模块等系统关键部件的运行状态。
内置硬件Wacthdog,用以监视系统的运行状态,保证整个硬件电路的安全稳定、可靠。
内置RTC时钟模块,保证系统时间的精准。
采用双电源(微型采用单电源)保证系统供电模块的可靠性;电源交流100V-260V/50HZ。
江苏科东加密PSTunnel-2000出售
扩展功能
作为对电力专用的加密认证装置,很好的结合了对电力系统内专用协议的兼容性,支持"IEC-104","DL476-92"的协议,可以很好的对以上协议进行解析和保护。
在纵向加密认证装置的工作模式支持网关模式、透明路由、地址借用三种模式,充分考虑了该装置在部署过程中的不同网络情况的要求。在透明模式下工作时候,可以完全透明的接入该装置,不用对原来网络的结构有任何改变;在网关工作模式下,可以作为一个简单路由器来使用;在地址借用模式下,可以代理装置身后的路由器交换机应答,并借用交换机的地址进行隧道协商及密文通信。
装置为了保证电力调度数据网络运行的可靠性,在发现隧道对端装置断开或者隧道无法建立或其他故障状态下,装置自身对应隧道自动切换为明通自适应状态,自动将接收到的报文转为明通处理。
纵向加密认证装置在工作时,支持报文的抗重播功能,有效的禁止报文重放。
纵向加密认证装置提供了良好的监视功能,能对设备的状态信息、隧道的信息、基于隧道之上的安全策略信息进行监视。
方便的和管理中心进行连接和信息反馈,管理中心的生产单位为我公司,因此该装置完全支持管理中心的查询和配置,并且还具有我公司独有的特色。快速的信息反馈有力的支持了管理中心的可管理性。
良好的在线帮助,有效的支持用户的可操作性和对装置操作步骤的完整性。
高可用自愈功能。按照功能规范要求,我方已经实现了纵向加密认证装置的双机热备和主备自动切换功能,在切换过程中,安全隧道重新进行协商,快速的进行认证和加密传输处理工作,保障通信连续性。通过装置及其相关网络设备的冗余,增强网络接入环节的可靠性。从所保护的子网中的通信机到本地接入路由器之间的路径上,任何环节,包括设备或链路出现故障,加密装置都能正确识别,配合实现路径切换。
纵向加密认证装置对进行的操作和发生的事件均有日志记录,格式完全按照“SYSLOG”规范。日志信息包括时间、事件类型,记录内容。该日志内容可以分别通过不同用户的需求和配置,通过“串口”或者“网口”进行日志信息的发布和相应报警信息的引出。可以导出日志信息,备份到本地硬盘中。
提供查看内部证书信息的命令,将已经导入的远程证书信息、本地设备证书、操作员证书、管理中心证书等证书信息。
提供本地进程监视和终止的功能。可以在本地管理的图形界面中,查看本机内部的进程状态信息。只要输入需要终止的进程号,就可以终止本地的某个进程。
对于初始化状态和装置的正常运行状态的转换。管理软件可以简洁的通过“初始化向导”配置将设备的初始化状态转入“正常运行状态”。
“电力纵向加密认证装置”有特殊探测报文,类似PING?功能,能够显示出来对方装置的安全模式是安全还是旁路,设备状态是正常还是异常,设备是主还是备。
支持管理中心发出的监视和管理报文。支持路由器trunk协议。根据设备接入口的需要,需要VLAN?ID的配置和驱动支持,同时支持802.1q的标准和思科标准两种不同的二层以太网报文的解析和转发。
江苏科东加密PSTunnel-2000出售