卫士通加密SJJ1632-B/A/C 安全防护强度高

SJJ1632-A电力系统专用纵向加密认证装置


快捷使用指南
关于本指南
电力系统专用纵向加密认证装置?(商密局鉴定型号:SJJ1632-A电力系统专用纵向加密认证装置,以下简称为纵向加密认证装置)属于行业专用产品,主要部署在各级电力调度网络中,是保护国家电力调度通讯信息基础而重要的数据加密设备。卫士通纵向加密认证装置严格按照《电力专用纵向加密认证装置技术规范》进行设计和开发,该设备采用专门的加密封包格式,在IP层实现数据的机密性、完整性和数据源鉴别等安全功能。同时也支持与其它厂家纵向加密装置互联互通。
本快速安装指南以介绍纵向加密认证装置常用功能为主,更详细的介绍与案例分析请参考《SJJ1632-A电力系统专用纵向加密认证装置用户手册》。
安全声明
登录纵向加密认证装置时,需要认证管理员KEY,KEY丢失或使用不匹配的KEY均会导致登录失败,所以请妥善保管管理员KEY。
为了使纵向加密认证装置能够更稳定的工作,本设备配备了双电源。在设备上架后,对设备尽量使用两路供电。
设备上架后,将设备固定好,并连接好接地线。
产品资质
具有国家密码管理局商用密码产品型号证书;
具有公安部二级安全专用产品销售许可证;
通过中国电力科学院电力工业电力系统自动化设备质量检测中心电磁兼容型式试验检测;
通过中国电力科学院信息安全实验室信息安全测评;
通过得国家信息技术安全中心信息技术产品安全性检测。
???
卫士通加密SJJ1632-B/A/C
数据加密与认证保护
产品满足《电力系统专用纵向加密认证装置技术规范V3.0》的技术要求,支持对电力调度证书服务系统颁发基于PKI体系的RSA、SM2算法数字证书进行管理,包括导入根证书、设备证书、管理员证书以及导出设备证书与管理员证书等证书管理功能。证书格式符合X509?证书规范,设备之间基于证书认证完成远程管理和会话密钥协商工作,通过根证书验证实现证书的交叉认证。
装置协商的会话密钥采用国电专用对称密码算法芯片预置的SSF09算法,装置通过该会话密钥对电力调度业务报文进行保护,在保证下行控制数据保护强度的同时,保证了上行状态数据的实时性。
同时装置可对不同类型的证书认证完成后的有效时间、会话密钥的存活时间均可通过远程管理中心、内网监控审计平台以及本地配置方式进行配置。
具备完整的网络设备功能
纵向加密认证装置可作为接入型网络设备不改变原有网络环境实现业务数据保护。装置具有如下的网络设备功能与特点:
接入型设备,不改变原有网络环境;
适应各种基本的网络环境,包括VLAN、双机冗余、负载均衡等;
支持VLAN、网络地址、网桥、ARP绑定、ARP代理以及路由等多种网络配置方式;
可应用于30位掩码网络环境中。
支持双机热备功能
装置支持双机热备功能,可实现双机间配置的自动同步及手动同步、隧道状态及密钥信息的自动同步,增加网络健壮性。同时装置可主动探测自身网络及双机对方装置状态,当主机故障时,保障业务数据及时切换至备机。
支持流量控制功能
设备利用traffic?control模块实现QOS管理功能,通过输出端口建立队列的方式进行基于网段的流量控制。
具备网络诊断功能
设备具备基本的网络诊断功能,提供包括tcpdump、ping、netstat、traceroute等常用网络工具命令。
具备抗DDoS攻击功能
纵向加密装置能够一定程度防御常见的网络攻击,包括ARP?Attack、Ping?Attack、Ping?of?Death?Attack、Smurf?Attack、Unreachable?Host?Attack、Land?Attack、Teardrop?Attack、TCP?Syn?Attack、UDP?Flood?Attck等。
设备可通过抗iptables+netfilter+limit对DDOS攻击报文进行频率控制,丢弃大于频率阈值的DDOS数据包;通过直接对内核源码修改对畸形报文进行识别丢弃。在丢弃数据包之前对数据包进行统计并记录日志。
具备完善的管理功能
装置支持设备管理、证书管理、安全配置、日志管理等功能,同时可对运行状态进行本地与远程的监控管理。
设备管理
系统备份
装置支持备份当前配置文件和设备私钥文件,此操作只能由系统管理员通过身份验证后进行,备份前需输入备份口令以及管理员USBkey的PIN口令。备份口令可对备份文件进行加密,保证配置的私密性,装置私钥将以密文形式保存在USBkey中。
纵向加密装置支持整机配置备份及恢复,实现配置回滚和装置灾难恢复;
纵向加密装置支持支持隧道、策略保存导出,方便隧道策略规则存档及排查;
纵向加密装置支持支持本地设备证书、远端设备证书、管理中心设备证书保存导出;
纵向加密装置支持日志保存导出,便于进行日志审计。
系统恢复
装置支持通过系统备份文件,快速恢复之前的配置(包括:网络、证书、隧道、安全策略、IP报文过滤策略、防火墙、QOS策略、设备参数等)。
灾难恢复
在装置毁坏无法修复时,还可通过系统备份内容对参数配置文件以及公私钥文件进行恢复。
证书管理
纵向加密装置支持根证书、远端设备证书、管理中心管理员证书、管理中心设备证书的添加、删除、修改。
导入远程装置设备证书和管理中心设备证书时装置还将对根证书完整性证书链验证。
安全配置
管理员可通过命令行或管理界面进行安全配置,安全配置包括隧道配置、安全策略配置以及IP报文过滤配置。
其中隧道配置支持添加隧道、删除隧道、修改隧道、重置隧道、探测隧道、获取隧道列表以及导出隧道配置等功能。
安全策略配置支持添加安全策略、删除安全策略、修改安全策略、获取安全策略列表以及导出安全策略配置等功能。
IP报文过滤配置支持对规则号、规则所属隧道号、规则类型、规则名、源起始地址、源终止地址、目的起始地址、目的终止地址以及源、目的起始与终止端口等属性进行配置。
管理角色三权分立
装置支持系统管理员、配置管理员、审计管理员管理。由系统管理员、安全管理员和审计管理员分别担任系统的常规管理、与安全有关的管理以及审计管理三个角色,三个角色间相互制约,防止权限过于集中。同时各管理员需持有表征用户身份信息的硬件装置(USBKEY),与登录口令相结合方可实现双因子认证登录系统。
日志审计
装置支持对管理员本地管理所执行的操作行为,记录详细的操作日志,便于安全事件审计和追踪。同时日志对不符合安全策略的非法访问和DDOS攻击数据包进行统计,并及时将日志信息上报至内网监控平台。日志格式满足《电力系统专用纵向加密认证装置技术规范V3.0》的要求,并可生成日志报表,即可对日志数目与内容进行审计,报表形式为excel格式。
运行状态监控
纵向加密装置CPU、内存、运行状态每分钟自检一次,并记录日志。日志以syslog形式发送至内网监控平台审阅监控。
纵向加密装置同时提供装置运行状态查询功能,系统管理员可实时查看装置运行状态。
远程监控与管理
产品满足《电力系统专用纵向加密认证装置技术规范V3.0》的技术要求,支持管理中心远程管理、支持内网监控平台远程监控。
指标参数
性能指标
项目
SJJ1632-A(千兆型)
SJJ1632-B(百兆型)
通信协议
IEEE802.3,TCP/IP
无故障时间
20000小时
明通速率(1024字节)
2Gbps
1.2bps
加密速率(1024字节)
900Mbps
300Mbps
支持隧道数(对)
2048
1024
加密时延
<1ms
网络接口数
6个网络接口(100M/1000M自适应)
控制口
1个COM口(RJ45形态)
电气及环境指标
电气特性
电压
交流220V
允许偏差
-20%~+10%
纹波系数
不大于5%
额定频率
50Hz
环境指标
环境温度
-5℃~+45℃
相对湿度
5%~95%
大气压力
70KPa~106KPa
产品维护和保养
日常维护和保养
清洁设备时,请勿使用化学制品擦拭机身,如:汽油、稀释剂等。
运行时的维护和保养
应确保设备的使用环境干净、干燥。
避免在过高或过低温度的环境下使用设备,避免设备暴露在强烈日光下或湿度较高的环境中。
请保持设备远离强电磁场,远离水源及灰尘较多的地方使用。
应保证设备供电电源的接地良好,防止静电。对于电源不稳定的地区,建议配备稳压电源。
长期停放时的维护和保养
请勿剧烈震动、摇晃或用力敲打设备。
应确保设备停放环境干净、干燥。
卫士通加密SJJ1632-B/A/C