大于科技为您提供光伏箱变微型纵向加密装置,现货供应,欢迎电话(18351955025)联系我们。
1、光伏箱变微型纵向加密装置硬件参数:
1.1 硬件平台
(1)采用非Intel指令集的处理器
(2) 内存〉=1G
(3) 采用集成多个国密办审批的电力系统专用“SSX06型密码算法芯片”的标准PCI-E加密卡作为网络报文加密解密、证书签名验签的“安全模块”
1.2硬件要求
(1)千兆型具有4 个千兆网卡接口+ 1 个百兆网卡接口(其中 eth1 与 eht2 、eth3与 eth4支持自动旁路)。
(2)十兆型具有2个RJ45网络接口,外设接口:1个终端接口(RS232)+1个usb接口。
(3)物理锁具。保证加密装置内部安全模块的安全,没有特定的钥匙,不能打开机箱外壳,不能看见“加密认证装置”密码装置内部的结构和安全密码卡的结构。保证“加密认证装置”密码装置的物理安全
(4)采用USBKey作为该装置的管理人员的“人机卡三方认证”的登录安全介质。
(5)该网关外形为1U标准的机箱;重量为4kg,上架方式为面板前方左右两侧的钢质耳朵。
(6)有蜂鸣器装置作为声音报警装置,一旦系统发生紧急情况,可以由该系统的报警模块出发,作为提示系统管理人员的声音警示。
(7)内置硬件Wacthdog,用以监视系统的运行状态,保证整个硬件电路的安全稳定、可靠。
2、软件要求:
2.1操作系统
采用处理器专用的、代码可控的、经过内核裁减的、实时Linux 作为操作系统。该操作系统取消所有网络功能;取消大部分系统服务,只保留系统稳定运行需要的进程。
2.2报文监听
电力专用纵向加密认证网关作为代理从外网的网络访问包中抽取出数据然后通过内网接口转入内网,完成数据中转。装置将接收网络上的所有报文,将报文提交给上一层,进行过滤分析、检测。
2.3报文综合过滤
在数据中转过程中,电力专用纵向加密认证装置首先对抽取的数据报文的IP地址、端口号、协议等实施综合过滤控制,根据需要进行可信的两个主机间的工作密钥协商及工作密钥交换,在两个主机间建立起一个安全可靠的会话,然后对可以通过上述过滤的报文根据规则确定是禁止通过、直接传输还是加密传输,对需要加密的进行加密,然后对允许通过的报文进行签名后通过内网接口转入内网。有了上述的约束条件,可以保证数据在非安全的通道上安全可靠地传输。
2.4状态检测
状态检测技术:基于电力专用纵向加密认证装置所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤使用的过滤规则是静态的。而采用状态检测技术的电力专用纵向加密认证装置在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后电力专用纵向加密认证装置根据状态表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。
2.5报文分类调度
根据不同报文的类型提交给不同的模块处理,如果是需要加解密报文则将该报文提交给报文加密处理模块,如果是协商认证报文则提交给协商认证模块,装置之间进行协商认证处理,如果是配置报文则提交给配置管理模块处理。
2.6配置软件
纵向加密认证装置提供了良好的用户接口和管理界面。方便简易的配置界面,可以使该装置的配置简单易行。配置信息包括对装置的设备基本信息的配置、高可用信息、双机热备功能的配置,日志功能的定制和配置,该装置的工作模式的配置。
3.5  基本性能要求
(1)支持采用电力专用加密算法SSX06对数据进行加密/解密,算法固化在硬件芯片中,具有足够的算法强度及物理安全性。
(2)采用标准的加密和验证算法对数据进行加密/解密、签名/验证。
(3)IP认证加密装置之间支持基于数字证书的身份认证。
(4)支持透明连接,支持借用地址模式,不占用网络IP地址资源。
(5)电力专用纵向加密认证装置接入网络,无需对网络的结构及设置做任何改动。
(6)支持日志审计功能,方便管理员的工作,加强网络的安全性。
(7)具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能。
(8)优化、加固的系统内核,支持设备系统及软件升级。
(9)在操作简便和安全稳定之间达到了完美和平衡。
(10)纵向加密认证装置中使用的非对称密码功能部分,是基于证书的公私钥验证体系,与现在已经投入运行的各个网省电力调度中心的“电力调度证书服务系统”相配合。证书的格式完全符合X.509 证书规范,与“电力调度证书服务系统”各个厂家所签发的证书完全兼容。
(11)专有加密通信协议:加密认证装置间通信协议为国调组织多位专家联合设计,并经权威机构的多位院士审查论证,通信协议内容同样高度保密。
(12)在纵向加密认证装置通信加密协议包括会话密钥协商和通信加密两个阶段。第一阶段的密钥协商需要完成纵向加密认证装置之间的认证和用于通信加密的会话密钥协商。第二阶段完成加密数据的通信。
(13)电力专用纵向加密认证装置能够实现“电力二次系统安全防护总体方案”中要求的安全防护功能,满足二次系统安全防护要求。
(14)我方提供的“纵向加密认证装置”在和不同厂家之间的纵向加密认证装置、装置已经能保证互连互通。
(15)纵向加密认证装置能被其对应的管理中心远程监控和管理,支持装置重启、隧道初始化和策略添加等操作,具备安全的可管理性。
(16)已经通过电力系统指定检测机构的电磁兼容性检测。
(17)支持双机热备功能,在任一设备出现故障时,自动切换。
(18)采用代码可控的安全操作系统,经过裁剪内核网络功能的Linux操作系统。
(19)本身应能够一定程度防御常见的网络攻击,包括ARP Attack、Ping Attack、Ping of Death Attack、Smurf Attack、Unreachable Host Attack、Land Attack、Teardrop Attack、Syn Attack等。
(20)在对纵向加密认证装置进行管理时,需要“人机卡”的三方认证过程。管理人员必须持有可用于管理的USBKey,必须持有可登陆管理的密码,再进行过“人机卡”的三方认证才能登陆纵向加密认证装置模块,进行有效的管理配置。
3.6扩展功能
(1)作为对电力专用的加密认证装置,可以很好的结合对电力系统内专用协议的兼容性,支持"IEC-104","DL476-92"的协议,可以很好的对以上协议进行解析和保护。
(2)在纵向加密认证装置的工作模式支持网关模式、透明路由、地址借用三种模式,充分考虑了该装置在部署过程中的不同网络情况的要求。在透明模式下工作时候,可以完全透明的接入该装置,不用对原来网络的结构有任何改变;在网关工作模式下,可以作为一个简单路由器来使用;在地址借用模式下,可以代理装置身后的路由器交换机应答,并借用交换机的地址进行隧道协商及密文通信。
(3)装置为了保证电力调度数据网络运行的可靠性,在发现隧道对端装置断开或者隧道无法建立或其他故障状态下,装置自身对应隧道自动切换为明通自适应状态,自动将接收到的报文转为明通处理。
(4)纵向加密认证装置在工作时,支持报文的抗重播功能,有效的禁止报文重放。
(5)纵向加密认证装置提供了良好的监视功能,能对设备的状态信息、隧道的信息、基于隧道之上的安全策略信息进行监视。
(6)良好的在线帮助,有效的支持用户的可操作性和对装置操作步骤的完整性。
(7)高可用自愈功能。按照功能规范要求,实现纵向加密认证装置的双机热备和主备自动切换功能,在切换过程中,安全隧道重新进行协商,快速的进行认证和加密传输处理工作,保障通信连续性。通过装置及其相关网络设备的冗余,增强网络接入环节的可靠性。从所保护的子网中的通信机到本地接入路由器之间的路径上,任何环节,包括设备或链路出现故障,加密装置都能正确识别,配合实现路径切换。
(8)纵向加密认证装置对进行的操作和发生的事件均有日志记录,格式完全按照“SYSLOG”规范。日志信息包括时间、事件类型,记录内容。该日志内容可以分别通过不同用户的需求和配置,通过“串口”或者“网口”进行日志信息的发布和相应报警信息的引出。可以导出日志信息,备份到本地硬盘中。
(9)提供查看内部证书信息的命令,将已经导入的远程证书信息、本地设备证书、操作员证书、管理中心证书等证书信息。
(10)提供本地进程监视和终止的功能。可以在本地管理的图形界面中,查看本机内部的进程状态信息。只要输入需要终止的进程号,就可以终止本地的某个进程。
(11)对于初始化状态和装置的正常运行状态的转换。管理软件可以简洁的通过“初始化向导”配置将设备的初始化状态转入“正常运行状态”。
(12)“电力纵向加密认证装置”有特殊探测报文,类似PING 功能,能够显示出来对方装置的安全模式是安全还是旁路,设备状态是正常还是异常,设备是主还是备。
(13)支持管理中心发出的监视和管理报文。支持路由器trunk协议。根据设备接入口的需要,需要VLAN ID的配置和驱动支持,同时支持802.1q的标准和思科标准两种不同的二层以太网报文的解析和转发。
3.7安全特性
(1)采用国密办为电力行业专用的加密芯片:
纵向加密认证装置采用国密办专为电力系统设计的加密算法,算法相关信息高度机密,不向任何单位公开,通过将算法封装在加密算法芯片中提供给用户,确保算法的安全可靠,这从根本上保证了装置的加密强度。
(2)采用专门设计的加密认证通信协议
纵向加密认证装置间通信协议为国调组织多位专家联合设计,基于IPSec,不照搬IPSec,结合了电力系统的应用及管理特点,纵向加密认证装置采用基于公钥体制的工作密钥的自动协商和交换。
(3)状态监视
可以通过管理工具监视当前设备中存在的安全通道的状态信息包括:流过的包数量、超时次数、出错重协商次数、密钥协商状态等信息。
(4)实时管理
网关设备支持通过配置管理工具实时进行包括隧道重置、设备重置、添加删除策略等工作,便于用户根据实际网络情况,动态调整设备运行方式、规则配置等信息,并可以进行实时切断运行隧道。
(5)高强度的抗攻击能力
通过特殊的硬件结构和加固的操作系统的内核以及电力专用纵向加密认证装置本身没有IP地址,使得电力专用纵向加密认证装置本身的抗攻击能力的强度极高。黑客对设备的攻击无从下手。