江苏科东隔离装置正向千兆

2?StoneWall-2000网络安全隔离设备(反向型)
2.1?开发背景
调度自动化系统等与当地的MIS系统或因特网之间直接互联(或无缝连接),对电网安全运行构成严重隐患。
2000-10-13二滩电厂由于控制系统死机造成川渝电网大范围的停电事故,其中控制系统网络与办公自动化系统网络的直接互联就被认为是事故的一个可能因素;
国家电力公司科技环保部2000年科技攻关项目,是国家863项目—国家电网调度中心二次系统安全防护的子课题;
2001年在国调试运行,并对设备进行多次改型、功能与性能完善;
2002年6月,国家经贸委下发30号令;
2002年7月通过公安部检验,并获得“网络安全隔离设备”的销售许可;
2002年9月由国调、科技环保部在保密局组织了安全测试;
2002年9月通过国家网络安全积极防御实验室检测;
2002年9月通过解放军信息安全评测中心检测;
2002年9月底,国调、科技环保部组织了安全技术评审,受到何德全、曲延文、吴世忠、杨有权、袁文恭等院士专家的好评;
2003年10月22日?StoneWall-2000网络安全隔离设备获得?实用新型???号ZL?02?82484.7;
2003年11月15日?StoneWall-2000网络安全隔离设备(反向型)?全国第一个获得国家电力调度通信中心《关于电力专用安全防护设备的检测证明》;
2007年7月对StoneWall-2000网络安全隔离设备(反向型)进行全面的升级改造。
2.2?概述
????StoneWall-2000网络安全隔离设备(反向型)是由北京科东电力控制系统有限责任公司自主开发研制,具有物理隔离能力的网络安全设备,具有操作简便、高性能、高可靠性等特点。
StonewWall-2000网络安全隔离设备(反向型)采用软、硬结合的安全措施,在硬件上使用双机结构通过安全岛装置进行通信来实现物理上的隔离;在软件上,采用综合过滤、访问控制、应用代理、双字节检查技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时,实现了对非法信息的隔离。
StoneWall-2000网络安全隔离设备(反向型)配套软件,实现可信数据根据计划自动或手动地从外网到内网的传输,传输过程中,发送端程序对外网数据进行双字节转换及数字签名,报文在通过网络安全隔离设备前,网络安全隔离设备根据规则进行综合过滤,并对签名进行验证,对验证通过的报文再进行双字节检查,这样检查通过的报文才可以进入内网,以保证内网系统的安全,并保证在网络隔离的情况下可信数据能够进入内网。
2.3?基本功能
完全满足《全国电力二次系统安全防护总体方案》标准要求,并通过公安部、国家电力调度通信中心、解放军信息安全评测中心的检测;
实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;
具有基于非对称加密算法数字签名和验证功能;
通过对文本数据进行全角检查,进一步防毒;
在配套软件的配合下,实现可信数据由外网到内网的自动或手动传输;
自动传递的文件任务可定制,支持更新检查、增量发送;
任务发送情况有日志记录,可随时查阅;
支持多种工作模式:无IP地址透明工作方式(虚拟主机IP地址、隐藏MAC地址)、支持网络地址转换(NAT)、混杂工作模式,保证标准应用的透明接入;
支持基于状态检测的MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
提供完备的日志审计功能,如时间、IP、MAC、PORT等日志信息。对通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的纪录,已备事后审计;
具有报警功能,当发生非法入侵、装置异常、通信中断或丢失应用数据时,可输出报警信息;
安全、方便的维护管理方式:基于证书的管理人员认证,图形化的管理界面。方便地对装置进行设置,监视和控制系统运行;
支持地址绑定功能,可以有效阻止非法用户盗用合法用户的IP地址;
支持双向地址转换功能,可以在保障自身网络安全的前提下向外提供服务;
具有可定制的应用层解析功能,支持应用层特殊标记识别;
提供基于硬件WatchDog的系统监视功能,保证系统连续稳定可靠运行;
提供数据传输软件和API函数接口,方便用户进行二次系统安全隔离的改造。
2.4?设备特点
2.4.1?安全可靠
StoneWall-2000建立在具有自主知识产权的安全操作系统基础上。通过对操作系统内核的大规模裁减,剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力,而且操作系统固化在隔离设备中,避免了因操作系统故障而导致设备工作异常。
StoneWall-2000网络安全隔离设备(反向型)功能比较全面,具有任务定制、文件名模式匹配、状态检测功能、地址绑定功能、双向地址转换功能、双机热备功能、日志审计功能等,而且由于StoneWall-2000网络安全隔离设备(反向型)使用透明接入方式,是一般用户在正常操作时感觉不到设备的存在,这样既不影响网络的工作效率,又保证了更高的安全性。
2.4.2?数字签名验证技术?
签名应采用非对称加密算法,考虑加密强度的要求,统一要求采用RSA加密算法,然后用RSA公私钥对中的私钥对摘要数据进行加密,将密文做为签名附在数据后,反向型隔离设备在收到数据后,用相同公私钥对中的公钥对签名数据解密,对比计算出的摘要,完成对发送文件的验证。
2.4.3?双字节转换及检查技术
????通过数字签名验证的文本报文,需要通过StoneWall-2000网络安全隔离设备(反向型)的双字节检查,才能最终进入内网,通过双字节检查,可以保证进入内网的数据为纯文本数据,而且这种文本数据中的脚本数据也是不能运行的全角数据,可以防止病毒进入内网。
2.4.4?硬件的数据流向控制
经过网络安全隔离设备(反向型)的数据流向控制是通过特有的硬件实现的硬控制,数据只能有外网流向内网,防止在安装反向隔离设备后为正向数据流动提供后门。
2.4.5?高强度的抗攻击能力
处于内网和外网通信一通路上的网络安全隔离设备(反向型)无形中成为黑客攻击的首要目标,要保护内网的安全,首先要保证网络安全隔离设备(反向型)具有较强的抗攻击能力,网络安全隔离设备(反向型)采用非INTEL(及兼容)双微处理器,减少被病毒攻击的概率,采用自主版权的操作系统内核,取消所有网络功能,而且设备本身没有IP地址,使得黑客攻击无从下手。
2.4.6?高速稳定
StoneWall-2000网络安全隔离设备(反向型)采用高速处理器,保证了硬件平台的高速运转,操作系统经过适当裁减和安全加固,保证了软件平台的稳定运行,再加上百兆以太网模块,这些条件保证了高速稳定的网络传输。
2.4.7?具有内外网络接口通信状态指示灯
????StoneWall-2000网络安全隔离设备(反向型)在前面板上提供电源指示灯、10M/100M自适应网卡连接状态,传输速率指示灯,便于用户监控及故障诊断。
2?StoneWall-2000网络安全隔离设备(正向型)
2.1?开发背景
调度自动化系统等与当地的MIS系统或因特网之间直接互联(或无缝连接),对电网安全运行构成严重隐患;
2000-10-13二滩电厂由于控制系统死机造成川渝电网大范围的停电事故,其中控制系统网络与办公自动化系统网络的直接互联就被认为是事故的一个可能因素;
国家电力公司科技环保部2000年科技攻关项目,是国家863项目—国家电网调度中心二次系统安全防护的子课题;
2001年在国调试运行,并对设备进行多次改型、功能与性能完善;
2002年6月,国家经贸委下发30号令;
2002年7月通过公安部检验,并获得“网络安全隔离设备”的销售许可;
2002年9月由国调、科技环保部在保密局组织了安全测试;
2002年9月通过国家网络安全积极防御实验室检测;
2002年9月通过解放军信息安全评测中心检测;
2002年9月底,国调、科技环保部组织了安全技术评审,受到何德全院士、曲延文院士、吴世忠主任、杨有权将军、袁文恭将军等院士专家的好评;
2003年6月11日?StoneWall-2000网络安全隔离设备(正向型)全国第一个获得国家电力调度通信中心《关于电力专用安全防护设备的检测证明》;
2003年10月22日?StoneWall-2000网络安全隔离设备获得实用新型???号ZL?02?82484.7。
2004年4月?StoneWall-2000网络安全隔离设备获得国家电网公司科技进步奖,科东公司是国内一获此殊荣的隔离设备生产厂家。
2007年7月对StoneWall-2000网络安全隔离设备(正向型)进行全面的升级改造。
2.2?概述
????StoneWall-2000网络安全隔离设备(正向型)是由北京科东电力控制系统有限责任公司自主开发研制,具有物理隔离能力的网络安全设备,具有操作简便、高性能、高可靠性等特点。
网络安全隔离设备(正向型)采用软、硬结合的安全措施,在硬件上使用双嵌入式计算机结构,通过安全岛装置通信来实现物理上的隔离;在软件上,采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时,实现了对非法信息的隔离。
?StoneWall-2000网络安全隔离设备(正向型)已经通过国调中心的测试,并获得了公安部计算机信息系统安全产品质量监督检验中心的检验报告和公安部颁发的销售许可证。
2.3?基本功能
完全满足《全国电力二次系统安全防护总体方案》标准要求,并通过公安部、国家电力调度通信中心、解放军信息安全评测中心的检测;
实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;
应用层返回确认字节数为1bit;
支持多种工作模式:无IP地址透明工作方式(虚拟主机IP地址、隐藏MAC地址)、支持网络地址转换(NAT)、混杂工作模式,保证标准应用的透明接入;
支持基于状态检测的MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
防止穿透性TCP联接:禁止内网、外网的两个应用网关之间直接建立TCP联接,应将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输;
提供完备的日志审计功能,如时间、IP、MAC、PORT等日志信息。对通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的纪录,已备事后审计。
具有报警功能,当发生非法入侵、装置异常、通信中断或丢失应用数据时,可输出报警信息;
安全、方便的维护管理方式:图形化的管理界面。方便地对装置进行设置,监视和控制系统运行;
支持地址绑定功能,可以有效阻止非法用户盗用合法用户的IP地址;
支持双向地址转换功能,可以在保障自身网络安全的前提下向外提供服务;
具有可定制的应用层解析功能,支持应用层特殊标记识别;
提供基于硬件WatchDog的系统监视功能,保证系统连续稳定可靠运行;
提供数据传输软件和API函数接口,方便用户进行二次系统安全隔离的改造;
2.4?设备特点
2.4.1?安全可靠
StoneWall-2000建立在具有自主知识产权的硬件结构和安全操作系统基础上。通过对操作系统内核的大规模裁减,剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力,而且操作系统固化在隔离设备中,避免了因操作系统故障而导致设备工作异常。
StoneWall-2000网络安全隔离设备(正向型)功能比较全面,具有单向数据传输、状态检测功能、地址绑定功能、双向地址转换功能、双机热备功能、日志审计功能等,而且由于StoneWall-2000网络安全隔离设备(正向型)使用透明接入方式,是一般用户在正常操作时感觉不到设备的存在,这样既不影响网络的工作效率,又保证了更高的安全性。
2.4.2?硬件控制的单向数据传输
正向型网络安全隔离设备的数据流向控制通过特定硬件设备实现,每次由外网到内网传递的数据不能超过1个bit,由内网到外网不限制,极大地保证了内网的安全。
2.4.3?支持双网结构
设备内外网两侧均提供两个网络接口、可以支持单进/单出、双进/双出或双进单出等多种接线模式,能够适应各种需求,部署灵活方便,能够大程度节省用户投资。
2.4.4?支持双机热备
不用心跳线,通过在线检测即可将两套独立的隔离设备整合为一套高可用的物理隔离系统,互为备用的两台设备中任何一台出现故障,另一台设备自动接替其工作,保证提供不间断的网络服务;
2.4.5支持双电源
设备带有两个电源转换器,在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的故障自动无缝切换,切换时声音报警,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。
2.4.6?高强度的抗攻击能力
处于内网和外网通信一通路上的网络安全隔离设备(正向型)无形中成为黑客攻击的首要目标,要保护内网的安全,首先要保证网络安全隔离设备(正向型)具有较强的抗攻击能力,网络安全隔离设备(正向型)采用非INTEL(及兼容)双微处理器,减少被病毒攻击的概率,采用自主版权的操作系统内核,取消所有网络功能,而且设备本身没有IP地址,使得黑客攻击无从下手。
2.4.7?高速稳定
StoneWall-2000网络安全隔离设备(正向型)采用高速处理器,保证了硬件平台的高速运转,操作系统经过科学裁减和安全加固,保证了软件平台的稳定运行,再加上百兆以太网模块,这些条件保证了高速稳定的网络传输。
2.4.8?防止穿透性连接,连接方向控制
StoneWall-2000禁止内网、外网的两个应用网关之间直接建立TCP联接,将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输。
网络安全隔离设备对连接进行严格的方向控制,保证TCP连接只能由内网主机(高安全区主机)建立连接,保证内网主机不提供网络服务,使内网主机无懈可击;StoneWall-2000做到了禁止通过穿越安全区的穿透性访问,同时也禁止穿越安全区的E-MAIL、WEB。
2.4.9?真正支持透明接入
StoneWall-2000网络安全隔离设备(正向型)真正做到了透明接入,即无论使用任何功能,对正常使用网络的合法用户来设备是不可感知的。网络隔离设备通过使用虚拟主机IP地址和隐藏MAC地址的方式保证了对网络隔离设备对用户的完全透明的工作方式,用户无需更改原有的网络拓扑结构,只需把网络隔离设备置于需要保护的网络或主机的网络即可。
2.4.10?具有内外网络接口通信状态指示灯
????正向型网络安全隔离设备在前面板上提供电源指示灯、10M/100M自适应网卡连接状态,传输速率指示灯,便于用户监控及故障诊断。
江苏科东隔离装置正向千兆
StoneWall-2000网络安全隔离设备(正向型)
2.6?系统组成
设备(硬件):是一个高速稳定的硬件平台和安全加固的操作系统的完美结合体
配置管理工具(软件):StoneWall-2000提供了两种管理工具:GUI和CLI。用于对隔离设备的配置和管理。
2.7?接口配置
两个CONSOLE口??(管理设备用)
两个COM口???????(输出告警信息)
四个10/100Base-TX
两个电源插座
两个电源开关
2.8?接口规范
网络接口:10/100BaseTX
CONSOLE接口:RJ45,19200-8-N-1
2.9电气性能
电源
110V/220V
环境规范
运行温度:0℃?--?40℃(-15℃贮藏运输)
操作湿度:10%?--?90%@40摄氏度,非冷凝
2.10参考的安全规范和标准
UL?1950
EN?41003
AS/NZS?3260
AS/NZS?3548?Class?A
CSA?Class?A
FCC?Class?A
EN?60552-2
VCCI(ClassII)
2.11?抗干扰性
IEC-1000-4-2?(ESD)
IEC-1000-4-3?(辐射敏感性)
IEC-1000-4-4??(电快速瞬变)
IEC-1000-4-5??(电涌)
IEC-1000-4-6??(谐波)
2.12几何及物理特性
尺寸:标准1U机箱
重量:4kg