厂商 :湖南大唐先一科技有限公司
湖南 长沙- 主营产品:
1.装置简介
智能隔离装置-正向型产品是按照国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》及国家电监会5号令《电力二次系统安全防护规定》的要求,根据《国家电力二次安全防护总体方案 》的部署,针对电力二次系统安全防护体系中安全区I、II与安全区III连接的单向专用安全隔离设备。
智能隔离装置-正向型产品除采用代理服务器、加密“摆渡”裸包等安全防护技术之外,关键采用了自主研发双机双卡物理隔离技术,即装置可以将网络通信OSI七层协议全部中断,从根本上阻断网络直接连接,并将原始数据通过设备协议进行传送;该装置位于两个不同安全区域之间,通过物理方式构造信息单向传输的唯一通道,实现信息单向导入,并且保证只有安全策略允许传输的信息可以通过,同时反方向无任何信息传输或反馈。
图1 安全策略配置界面
2.特性
|
属性 |
属性 |
指标项 |
技术数据 |
|
|
安全特性 |
安全认证检测 |
中国公安部安全认证 |
√ |
|
|
双机非网 |
双独立主板 |
√ |
||
|
双自主隔离板卡 |
√ |
|||
|
设备协议方式交换数据 |
√ |
|||
|
单向传输 |
完全单向 |
√ |
||
|
数据顺序性保证 |
√ |
|||
|
数据正确性保证 |
√ |
|||
|
数据完整性保证 |
√ |
|||
|
工作模式 |
透明模式 |
√ |
||
|
NAT转换模式 |
√ |
|||
|
NAT |
单对单 |
√ |
||
|
多对单 |
√ |
|||
|
访问控制 |
非IP |
源MAC地址 |
√ |
|
|
目标MAC地址 |
√ |
|||
|
IP |
源IP地址过滤审核 |
√ |
||
|
源端口过滤审核 |
√ |
|||
|
目标IP地址过滤审核 |
√ |
|||
|
目标端口过滤审核 |
√ |
|||
|
IP协议 |
√ |
|||
|
传输方向确定 |
√ |
|||
|
IP/MAC绑定 |
√ |
|||
|
防止穿透性TCP联接 |
双机代理 |
√ |
||
|
ISO七层协议中断 |
√ |
|||
|
“裸包”摆渡 |
√ |
|||
|
日志 |
日志记录方式 |
串口日志输出 |
√ |
|
|
高可用性 |
通信链路故障探测检测方式 |
心跳检查 |
√ |
|
|
通信链路相互影响 |
互不干扰 |
|||
|
配套管理软件 |
终端配置客户端程序 |
√ |
||
|
操作系统 |
Linux、Embedded Windwos |
|
√ |
|
|
系统维护 |
管理方式 |
串口、身份验证、图形界面 |
|
√ |
|
日志监视 |
实时日志监视 |
√ |
||
|
系统负载监视 |
实时CPU、内存等负载监视 |
√ |
||
|
性能 |
网络吞吐能力 |
100Mbps |
||
|
数据包吞吐率 |
5000pps |
|||
|
数据包转发延迟 |
10ms |
|||
|
满负荷数据包丢弃率 |
0 |
|||
|
硬件配置 |
网络接口 |
内网和外网分别两个百兆接口 |
||
|
电源接口 |
高安全工业电源 |
|||
|
设备厚度 |
2U,可安装19"机架 |
|||
3. 推广应用
智能隔离装置-正向型产品目前已经获得国家安全产品销售许可权,应用案例主要包括:
(1) 电力行业各软硬件系统最基础并最普遍的应用环节即是在保证数据安全的前提下采集生产实时数据加以分析和处理。智能隔离装置-正向型产品可以无缝集成到电力行业各软硬件系统当中,通过自身安全隔离功能将生产实时数据从高安全区域“摆渡”传送到低安全区域的火电厂SIS系统、MIS系统或其它系统内,用于生产过程实时组态画面展示以及点检处理、绩效处理、工作流程管理等应用环节过程中。网络拓扑图:
图2 电力实时生产数据跨安全区域传输
(2) 政府管理部门拥有省、市、县三级网络,各自负责其管辖范围内的业务管理工作,为建立高效率的管理决策机制,该部门需要实时将县一级数据汇总到市,市一级数据汇总到省。为保证省、市、县不同网络安全域间的有效访问控制与信息交换,可采用智能隔离装置-正向型产品进行安全隔离与高效数据传输。网络拓扑图:
图3 政府各级数据单向安全传输
(3)媒体电台局域网络由播出业务网和办公网组成。播出业务网为高安全封闭网络,用于广播节目的生产与播出,屏蔽了USB口、软驱、光驱等输入接口;而办公网连接互联网,安全级别低相对开放。部署智能隔离装置-正向型产品可实现在保障各网络安全级别的前提下,完成音频素材、成品节目共享交换和音频节目的交互。
网络拓扑图:
图4 媒体播出业务网单向安全传输办公网
