科东Stonewall-2000G反向千兆型网络安全隔离装置

 1 StoneWall-2000G反向千兆型网络安全隔离设备功能


具有基于非对称加密算法(1024RSA)数字签名和验证功能
通过自动调用杀毒软件查杀病毒
通过对文本数据进行全角检查、对二进制数据进行病毒粉碎,进一步防毒
在配套软件的配合下,实现可信数据由外网到内网的自动或手动传输
自动传递的文件任务可定制,支持更新检查、增量发送
任务发送情况有日志记录,可随时查阅
支持透明连接。网络安全隔离设备(反向型)接入网络,无需对网络的结构及设置做任何改动
支持状态检测功能
支持地址绑定功能,可以有效阻止非法用户盗用合法用户的IP地址
支持双向地址转换功能,可以在保障自身网络安全的前提下向外提供服务
支持双机热备功能
支持日志审计功能,方便管理员的工作,加强网络的安全性
优化、加固的系统内核
在操作简便和安全稳定之间达到了完美和平衡


2 StoneWall-2000G反向千兆型网络安全隔离设备特性

安全可靠

   StoneWall-2000G反向千兆型建立在具有自主知识产权的安全操作系统基础上。通过对操作系统内核的大规模裁减,剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力,而且操作系统固化在隔离设备中,避免了因操作系统故障而导致设备工作异常。

   StoneWall-2000G反向千兆型网络安全隔离设备功能比较全面,具有任务定制、文件名模式匹配、状态检测功能、地址绑定功能、双向地址转换功能、双机热备功能、日志审计功能等,而且由于StoneWall-2000网络安全隔离设备(反向型)使用透明接入方式,是一般用户在正常操作时感觉不到设备的存在,这样既不影响网络的工作效率,又保证了更高的安全性。

高速稳定

   StoneWall-2000G反向千兆型网络安全隔离设备采用高速处理器,保证了硬件平台的高速运转,操作系统经过适当裁减和安全加固,保证了软件平台的稳定运行,再加上百兆以太网模块,这些条件保证了高速稳定的网络传输。

硬件数据流向控制

  经过网络安全隔离设备(反向型)的数据流向控制是通过特有的硬件实现的硬控制,数据只能有外网流向内网,保证内部系统的安全;
具有内外网络接口通信状态指示灯

高强度的抗攻击能力

  处于内网和外网通信通路上的网络安全隔离设备(反向型)无形中成为黑客攻击的首要目标,要保护内网的安全,首先要保证网络安全隔离设备(反向型)具有较强的抗攻击能力,网络安全隔离设备(反向型)采用非INTEL(及兼容)双微处理器,减少被病毒攻击的概率,采用自主版权的操作系统内核,取消所有网络功能,而且设备本身没有IP地址,使得黑客攻击无从下手。

嵌入式病毒查杀

在发送文件时,发送端软件调用本地安装的杀毒软件的杀毒引擎对文件进行扫描并查杀病毒。通过病毒检查后的文件,才会由发送端软件发送到内网,保证内网的安全。通过升级本地杀毒软件,保证病毒检查查杀病毒的能力。

数字签名验证技术

  反向型隔离设备保留了正向隔离设备综合过滤功能,确保内网的安全。在此基础上,通过综合过滤的报文,需要通过StoneWall-2000反向型网络安全隔离设备的数字签名验证,才可以通过反向隔离设备进入内网,这种数字签名采用非对称数字加密技术(1024bitRSA算法),可以防止非法用户假冒合法用户向内网发送文件。
配套软件在发送数据时自动添加数字签名。

双字节转换及检查技术

  通过数字签名验证的文本报文,需要通过StoneWall-2000网络安全隔离设备(反向型)的双字节检查,才能***终进入内网,通过双字节检查,可以保证进入内网的数据为纯文本数据,而且这种文本数据中的脚本数据也是不能运行的全角数据,可以防止病毒进入内网。

病毒粉碎技术

  发送端软件在发送二进制文件数据时,自动在数据报的特定位置依据专门的算法插入破坏字节以破坏病毒的结构。在StoneWall-2000反向网络安全隔离设备上,通过数字签名验证的二进制数据报文,才能进入内网络。进入内网的报文将被以二进制文件格式存放,接收端的应用程序用专用的API函数读出读取二进制文件,去掉其中的破坏字节,并直接使用该数据进行运算,通过对相应字节的校验,可以检测出文件是否在内网侧被病毒感染过。病毒粉碎技术保证病毒进入内网时已经在结构上被破坏掉,无法工作。

  随着国家大力发展清洁能源,风(光伏)电场建设日新月异。随着计算机技术、通信技术和网络技术的发展,电场电力系统结构也日益复杂,电场生产控制及管理已经完全依赖于计算机监控系统和数据通信网络系统。尤其随着现在电场跨地域建设和管理,相对封闭的电场生产控制系统与外界的联系越来越紧密,电场生产控制系统遭遇人为破坏的风险大大增加,加上为了提高电场管理效率,电场大量采用跨地域远程控制。这些都对电场生产控制系统和数据通信网络系统的安全性、可靠性、实时性提出了新的挑战。


3 设计应用

  没有安装隔离网闸的电场内部生产控制系统与数据通信网络系统直接互联,而数据通信网络为满足远程监控的需要通过Internet网为上级提供数据。这样的网络框架很容易使得电场生产控制系统遭受到黑客或者恶意代码对电力二次系统的侵害,从而引发电力系统故障。
为解决以上安全问题,在电场安装配置正向物理隔离网闸,从物理上隔断电场内部生产控制系统与数据通信网络的直接互联(如图2所示)。具体部署如下:

1)在对外数据服务器与生产数据服务器之间架设数据采集服务器,数据采集服务器接入电场内部生产控制系统并完成数据采集工作;

2)在数据采集服务器与对外数据服务器之间架设物理隔离网闸以实现数据通信网络系统与电场内部生产控制系统在物理上的隔离。

千兆型反向隔离装置标准技术参数表

序号
参数名称
单位
技术参数
1
网络接口
100/1000M接口2(内网);
   100/1000M
接口2(外网);
   100/1000M
双机热备接口1(或与通信接口复用)
2
外设接口
终端管理接口(RS2322
3
设备厚度
U
2
4
数据包有效网络吞吐率
Mbit/s
≥120100条安全策略,1024字节报文长度)
5
数据转发延时
ms
≤30
6
数字签名速率
/s
100
7
满负荷数据包丢弃率
%
0
8
平均无故障时间(MTBF
H
50000100%负荷)
9
返回确认报文长度
bit
≤1
10
日志规范
 
满足《电力二次系统安全告警日志格式规范》要求