南京去哪买科东加密PSTunnel-2000 安全防护强度高

产品技术性能
概述
PSTunnel-2000 系列电力专用纵向加密认证装置是由北京科东电力控制系统有限责任公司自主开发研制,IP认证加密装置用于安全区I/II的广域网边界防护,作用之一是为本地安全区I/II提供一个网络屏障,类似包过滤防火墙的功能,作用之二是为网关机之间的广域网通信提供认证与加密功能,实现数据传输的真实性、机密性、完整性、不可抵赖性,以及抗重放攻击功能。具有操作简便、高性能、高可靠性等特点。
电力专用纵向加密认证装置采用软、硬结合的安全措施,在硬件上使用数字加密卡实现数据的加密和解密及签名和认证;在软件上,采用综合过滤、访问控制、动态密钥协商、非对称加密等技术实现电力专用加密隧道功能。
开发的依据和功能规范
国家电网调度中心发布《全国电力二次系统安全防护方案(最新版)》
国家电网调度中心制定《电力系统专用纵向加密认证装置技术规范(最新版)》
中华人民共和国国家标准GB/T 17900-1999 《网络代理服务器的安全技术要求》
《关于维护网络安全和信息安全的决议》,全国人大常委会2000年10月审议通过;
《中华人民共和国计算机信息系统安全保护条例》,国务院1994年发布;
《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》,国家保密局1998年发布;
?
南京去哪买科东加密PSTunnel-2000
部署位置以及和管理中心的关系
按照“分级管理”要求,纵向加密认证装置部署在各级调度中心及下属的各厂站,根据电力调度通信关系建立加密隧道(原则上只在上下级之间建立加密隧道),加密隧道拓扑结构是部分网状结构。如图:
硬件功能
千兆设备具有6个网络接口,其中4个10/100/1000M 网络电口(2个光网络接口与2个千兆网络电口复用);另外还具有2个不同功能接口10/100M自适应的网卡, 用于配置和扩展,保证网络传输的高速稳定。
百兆设备共有5个网络接口,采用RJ45型接口,10/100M自适应,2个内网网口,2个外网网口,1个配置口,心跳口与其他网络接口复用。
微型设备具有3个网络接口,10/100M自适应,1个内网网口,1个外网网口,1个配置口,心跳口与其他网络接口复用。
物理锁具。保证加密装置内部安全模块的安全,没有特定的钥匙,不能打开机箱外壳,不能看见“加密认证装置”密码装置内部的结构和安全密码卡的结构。保证“加密认证装置”密码装置的物理安全。
采用USBKey作为该装置的管理人员的“人机卡三方认证”的登录安全介质。
该网关外形为1U标准的机箱;重量为4kg,上架方式为面板前方左右两侧的钢质耳朵。
有蜂鸣器装置作为声音报警装置,一旦系统发生紧急情况,可以由该系统的报警模块出发,作为提示系统管理人员的声音警示。
可以手动解除解除报警蜂鸣器工作的按钮。
面板前后方分别有多个指示灯,分别代表系统电源状态(Power),系统运行(Run),内外网口连接(eth0/ eth1,eth2/eth3),网络连接状态(ACK),外接的系统信息串口状态,报警模块外部接口的状态(Alarm / 复归),内部处理模块状态,安全加密解密模块等系统关键部件的运行状态。
内置硬件Wacthdog,用以监视系统的运行状态,保证整个硬件电路的安全稳定、可靠。
内置RTC时钟模块,保证系统时间的精准。
采用双电源(微型采用单电源)保证系统供电模块的可靠性;电源交流100V-260V/50HZ。
南京去哪买科东加密PSTunnel-2000
软件结构

图5 软件结构图
操作系统
采用处理器专用的、代码可控的、经过内核裁减的、实时Linux 作为操作系统。该操作系统取消所有网络功能;取消大部分系统服务,只保留系统稳定运行需要的进程。
报文监听
电力专用纵向加密认证网关作为代理从外网的网络访问包中抽取出数据然后通过内网接口转入内网,完成数据中转。装置将接收网络上的所有报文,将报文提交给上一层,进行过滤分析、检测。
报文综合过滤
在数据中转过程中,电力专用纵向加密认证装置首先对抽取的数据报文的IP地址、端口号、协议等实施综合过滤控制,根据需要进行可信的两个主机间的工作密钥协商及工作密钥交换,在两个主机间建立起一个安全可靠的会话,然后对可以通过上述过滤的报文根据规则确定是禁止通过、直接传输还是加密传输,对需要加密的进行加密,然后对允许通过的报文进行签名后通过内网接口转入内网。有了上述的约束条件,可以保证数据在非安全的通道上安全可靠地传输。
状态检测
状态检测技术:基于电力专用纵向加密认证装置所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤使用的过滤规则是静态的。而采用状态检测技术的电力专用纵向加密认证装置在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后电力专用纵向加密认证装置根据状态表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。
报文分类调度
根据不同报文的类型提交给不同的模块处理,如果是需要加解密报文则将该报文提交给报文加密处理模块,如果是协商认证报文则提交给协商认证模块,装置之间进行协商认证处理,如果是配置报文则提交给配置管理模块处理。
配置软件
产品特点
安全可靠
根据OSI安全体系结构,我们的系统提供以下安全服务:
1)鉴别:提供对通信中的对等实体和数据来源的鉴别。
2)访问控制:防止未经受权的用户非法访问系统资源。
3)数据机密性(Date Confidentiality):对数据提供保护,防止非授权地泄露。
4)数据完整性(Data Integrality):防止非法实体(用户)的主动攻击,以保证接收方收到的信息与发送方发送的信息完全一致。
PSTunnel-2000 电力专用纵向加密认证装置建立在具有自主知识产权的安全操作系统基础上。通过对操作系统内核的大规模裁减,剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力,而且操作系统固化在电力专用纵向加密认证装置中,避免了因操作系统故障而导致设备工作异常。
装置内部配有专门的系统监控模块,通过应将WatchDog负责对密码模块、远程管理模块、配置管理模块和密钥同步模块等进行监控,一旦发现软、硬件异常情况,监控进程将予以审计记录,同时尝试进行修复,保证系统的高可靠性。
功能全面
PSTunnel-2000 系列电力专用纵向加密认证装置功能全面,既具有电力专用加密算法(SSX06)实现数据的对称加密,同时具有标准算法加密/解密及签名验证、工作密钥自动协商和交换、包综合过滤、状态检测等功能,而且由于PSTunnel-2000 系列电力专用纵向加密认证装置支持透明接入方式,是一般用户在正常操作时感觉不到设备的存在,这样既不影响网络的工作效率,又保证了更高的安全性。
高速稳定
PSTunnel-2000 系列电力专用纵向加密认证装置采用高速处理器,内部采用硬件WatchgDog监控系统及硬件运行保证了硬件平台的高速运转;数据加密/解密、签名/认证采用多核心高速加密卡技术保证了加密/解密、签名/认证算法标准通用;操作系统经过适当裁减和安全加固,保证了软件平台的稳定运行;再加上百10/100/1000自适应以太网模块,这些条件保证了高速稳定的网络传输。
双机热备
支持双机热备功能,支持主—备,主—主两种备用模式,可以通过串口或网口交换心跳数据,在任一设备出现故障时,自动切换,切换时间可调整,保证了部署的灵活性和系统得可靠性。
故障自愈及恢复
设备在内部自动将内外网的网卡两两一组,采用可编程控制继电器控制,在设备掉电及硬件故障状态下自动切换明文通信,并能在故障恢复后,恢复原由策略。如果需要强行明通,可以将电源关闭即可。
真正的硬件旁路
装置支持MDI/MDI-X自动识别,自适应普通网线与交叉网线,支持基于可编程控制继电器的硬件旁路模式,真正支持基于硬件的可靠旁路功能。即:如果纵向设备两侧连接的交换机、路由器或主机等为MDI设备,不支持MDI-X模式,如纵向设备不支持自动识别,则必须在两侧都采用普通网线,或都采用交叉网线,则如果启动硬件旁路功能后,仍为普通网线,则两侧设备连接因旁路而被中断,影响数据网通信运行。
双电源冗余
装置采用通过CCC及FCC等组织认证的高可靠性开关电源,适应交流直流两种模式,电压适应范围广。双电源冗余供电,单电源故障时,电源无缝切换,并提供声、光两种同时报警,保证设备连续稳定运行。
对各种标准服务高度兼容
PSTunnel-2000 系列电力专用纵向加密认证装置支持基于IP传输的所有应用程序,而且,还支持数据库访问这样的商务应用程序,设备内部缺省支持各种路由器及交换机应用协议,保证部署在数据网中不影响原有数据网设备功能,如Spanning Tree、VRRP、RIP等。
高强度的抗攻击能力
处于广域网边界上的电力专用纵向加密认证装置无形中成为黑客攻击的首要目标,要保护内网的安全,首先要保证电力专用纵向加密认证装置具有较强的抗攻击能力,电力专用纵向加密认证装置采用非INTEL(及兼容)微处理器,减少被病毒攻击的概率,采用自主版权的操作系统内核,取消所有网络功能,而且设备本身没有IP地址,使得黑客攻击无从下手。
配置简单
PSTunnel-2000 系列电力专用纵向加密认证装置配置非常简便,对它的操作及设置都可以通过使用配置管理工具。
配置管理工具(GUI)是本产品的专用配套程序。该管理器具有界面友好直观、功能齐全、通俗易懂等特点,可以运行于Microsoft 2000/XP/2003环境下。
真正支持透明接入
PSTunnel-2000 系列电力专用纵向加密认证装置真正做到了透明接入,即无论使用任何功能,对正常使用网络的合法用户来说设备是不可感知的。
互联互通
我公司生产的纵向加密认证装置在研制的过程中,参与了国调组织的多次互联互通测试,同时在设备部署实施过程中,分别在如国调——华北、国调——斗笠、国调——三堡、辽宁——沈阳;华北及其直属厂站、辽宁省调与地调、青海省调及其直属变电站、宁夏省调及其直属厂站、甘肃省调地调、华中网及其直属厂站、湖北省及其直属厂站、湖南省及其直属厂站之间连接中,与、卫士通、江南所、数据所等单位的同类产品进行了实际现场的互联互通,设备的互联互通能力经过了实际工程的检验。