科东加密PSTunnel-2000经销商

  1. 基本功能

  1. 支持采用电力专用加密算法SSX06对数据进行加密/解密,算法固化在硬件芯片中,具有足够的算法强度及物理安全性。

  2. 采用标准的加密和验证算法对数据进行加密/解密、签名/验证。

  3. IP认证加密装置之间支持基于数字证书的身份认证。

  4. 支持透明连接,支持借用地址模式,不占用网络IP地址资源。

  5. 电力专用纵向加密认证装置接入网络,无需对网络的结构及设置做任何改动。

  6. 支持日志审计功能,方便管理员的工作,加强网络的安全性。

  7. 具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能。

  8. 优化、加固的系统内核,支持设备系统及软件升级。

  9. 在操作简便和安全稳定之间达到了完美和平衡。

  10. 纵向加密认证装置中使用的非对称密码功能部分,是基于证书的公私钥验证体系,与现在已经投入运行的各个网省电力调度中心的“电力调度证书服务系统”相配合。证书的格式完全符合X.509 证书规范,与“电力调度证书服务系统”各个厂家所签发的证书完全兼容。

  11. 专有加密通信协议:加密认证装置间通信协议为国调组织多位专家联合设计,并经权威机构的多位院士审查论证,通信协议内容同样高度保密。

  12. 在纵向加密认证装置通信加密协议包括会话密钥协商和通信加密两个阶段。第一阶段的密钥协商需要完成纵向加密认证装置之间的认证和用于通信加密的会话密钥协商。第二阶段完成加密数据的通信。

  13. 电力专用纵向加密认证装置能够实现“电力二次系统安全防护总体方案”中要求的安全防护功能,满足二次系统安全防护要求。

  14. 我方提供的“纵向加密认证装置”在和不同厂家之间的纵向加密认证装置、装置已经能保证互连互通。

  15. 纵向加密认证装置能被其对应的管理中心远程监控和管理,支持装置重启、隧道初始化和策略添加等操作,具备安全的可管理性。

  16. 已经通过电力系统指定检测机构的电磁兼容性检测。

  17. 支持双机热备功能,在任一设备出现故障自动切换。

  18. 采用代码可控的安全操作系统,经过裁剪内核网络功能的Linux操作系统。

  19. 本身应能够一定程度防御常见的网络攻击,包括ARP AttackPing AttackPing of Death AttackSmurf AttackUnreachable Host AttackLand AttackTeardrop AttackSyn Attack等。

在对纵向加密认证装置进行管理时,需要“人机卡”的三方认证过程。


  1. 横向隔离

    生产控制大区与管理信息大区之间采用专用安全隔离装置,达到或接近于物理隔离强度。生产控制大区内两个安全区之间的安全隔离应该达到逻辑隔离强度。具体隔离设备的选择不仅需要考虑网络安全的要求,还需要考虑带宽及实时性的要求。生产控制大区的隔离设备必须是经过国家指定部门检测认证的国产设备。

    一般在安全大区内部隔离设备选择防护墙产品,安全大区间采用具有物理隔离能力的电力专用网络安全隔离设备,如现在无管理信息大区系统,则暂时不需要部署网络安全隔离设备。

    上述工作在全国各级电网二次系统安全防护工程中已基本完成。

  2. 纵向认证

生产控制大区连接的广域网为电力调度数据网。管理信息大区连接的广域网为电力企业数据网络或外部互联网。电力调度数据网与电力企业数据网之间应该物理隔离,可通过基于SDH/PDH上的不同通道、不同光波长、不同纤芯等方式进行隔离。

生产控制大区接入调度数据网时,须采用国家指定部门检测认证的电力专用纵向加密认证装置及相应设施,实现网络层双向身份认证、数据加密和访问控制。如暂时不具备条件,可以用硬件防火墙或ACL技术的访问控制代替。管理信息大区应采用硬件防火墙或更高安全强度的设备接入电力企业数据网。

处于外部网络边界的通信网关的操作系统应进行安全加固。根据具体业务的重要程度及信息的敏感程度,对生产控制大区的外部通信网关应该增加加密、认证和过滤的功能。

传统的基于专用通道的通信不涉及网络安全问题,可采用线路加密技术保护关键厂站及关键业务。

采用纵向加密认证装置可实现基于电力调度证书的身份验证、基于隧道技术及电力专用加密算法的数据加密传输。