StoneWall-2000G反向千兆型網(wǎng)絡(luò)安全隔離設(shè)備特性

1　StoneWall-2000G反向（百兆/千兆）型網(wǎng)絡(luò)安全隔離設(shè)備功能

具有基于非對稱加密算法（1024位RSA）數(shù)字簽名和驗證功能

通過自動調(diào)用殺毒軟件查殺病毒

通過對文本數(shù)據(jù)進行全角檢查、對二進制數(shù)據(jù)進行病毒粉碎，進一步防毒

在配套軟件的配合下，實現(xiàn)可信數(shù)據(jù)由外網(wǎng)到內(nèi)網(wǎng)的自動或手動傳輸

自動傳遞的文件任務(wù)可定制，支持更新檢查、增量發(fā)送

任務(wù)發(fā)送情況有日志記錄，可隨時查閱

支持透明連接。網(wǎng)絡(luò)安全隔離設(shè)備（反向型）接入網(wǎng)絡(luò)，無需對網(wǎng)絡(luò)的結(jié)構(gòu)及設(shè)置做任何改動

支持狀態(tài)檢測功能

支持地址綁定功能，可以有效阻止非法用戶盜用合法用戶的IP地址

支持雙向地址轉(zhuǎn)換功能，可以在保障自身網(wǎng)絡(luò)安全的前提下向外提供服務(wù)

支持雙機熱備功能

支持日志審計功能，方便管理員的工作，加強網(wǎng)絡(luò)的安全性

優(yōu)化、加固的系統(tǒng)內(nèi)核

在操作簡便和安全穩(wěn)定之間達到了完美和平衡

2 StoneWall-2000G反向千兆型網(wǎng)絡(luò)安全隔離設(shè)備特性

安全可靠

StoneWall-2000G反向千兆型建立在具有自主知識產(chǎn)權(quán)的安全操作系統(tǒng)基礎(chǔ)上。通過對操作系統(tǒng)內(nèi)核的大規(guī)模裁減，剔除不安全模塊,大大加強了系統(tǒng)內(nèi)核的安全性和抗攻擊能力，而且操作系統(tǒng)固化在隔離設(shè)備中，避免了因操作系統(tǒng)故障而導(dǎo)致設(shè)備工作異常。

StoneWall-2000G反向千兆型網(wǎng)絡(luò)安全隔離設(shè)備功能比較全面，具有任務(wù)定制、文件名模式匹配、狀態(tài)檢測功能、地址綁定功能、雙向地址轉(zhuǎn)換功能、雙機熱備功能、日志審計功能等，而且由于StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備（反向型）使用透明接入方式，是一般用戶在正常操作時感覺不到設(shè)備的存在，這樣既不影響網(wǎng)絡(luò)的工作效率，又保證了更高的安全性。

高速穩(wěn)定

StoneWall-2000G反向千兆型網(wǎng)絡(luò)安全隔離設(shè)備采用高速處理器，保證了硬件平臺的高速運轉(zhuǎn)，操作系統(tǒng)經(jīng)過適當(dāng)裁減和安全加固，保證了軟件平臺的穩(wěn)定運行，再加上百兆以太網(wǎng)模塊，這些條件保證了高速穩(wěn)定的網(wǎng)絡(luò)傳輸。

硬件數(shù)據(jù)流向控制

經(jīng)過網(wǎng)絡(luò)安全隔離設(shè)備（反向型）的數(shù)據(jù)流向控制是通過特有的硬件實現(xiàn)的硬控制，數(shù)據(jù)只能有外網(wǎng)流向內(nèi)網(wǎng)，保證內(nèi)部系統(tǒng)的安全；

具有內(nèi)外網(wǎng)絡(luò)接口通信狀態(tài)指示燈

高強度的抗攻擊能力

處于內(nèi)網(wǎng)和外網(wǎng)通信通路上的網(wǎng)絡(luò)安全隔離設(shè)備（反向型）無形中成為黑客攻擊的首要目標(biāo)，要保護內(nèi)網(wǎng)的安全，首先要保證網(wǎng)絡(luò)安全隔離設(shè)備（反向型）具有較強的抗攻擊能力，網(wǎng)絡(luò)安全隔離設(shè)備（反向型）采用非INTEL（及兼容）雙微處理器，減少被病毒攻擊的概率，采用自主版權(quán)的操作系統(tǒng)內(nèi)核，取消所有網(wǎng)絡(luò)功能，而且設(shè)備本身沒有IP地址，使得黑客攻擊無從下手。

嵌入式病毒查殺

在發(fā)送文件時，發(fā)送端軟件調(diào)用本地安裝的殺毒軟件的殺毒引擎對文件進行掃描并查殺病毒。通過病毒檢查后的文件，才會由發(fā)送端軟件發(fā)送到內(nèi)網(wǎng)，保證內(nèi)網(wǎng)的安全。通過升級本地殺毒軟件，保證病毒檢查查殺病毒的能力。

數(shù)字簽名驗證技術(shù)

反向型隔離設(shè)備保留了正向隔離設(shè)備綜合過濾功能，確保內(nèi)網(wǎng)的安全。在此基礎(chǔ)上，通過綜合過濾的報文，需要通過StoneWall-2000反向型網(wǎng)絡(luò)安全隔離設(shè)備的數(shù)字簽名驗證，才可以通過反向隔離設(shè)備進入內(nèi)網(wǎng)，這種數(shù)字簽名采用非對稱數(shù)字加密技術(shù)（1024bitRSA算法），可以防止非法用戶假冒合法用戶向內(nèi)網(wǎng)發(fā)送文件。

配套軟件在發(fā)送數(shù)據(jù)時自動添加數(shù)字簽名。

雙字節(jié)轉(zhuǎn)換及檢查技術(shù)

通過數(shù)字簽名驗證的文本報文，需要通過StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備（反向型）的雙字節(jié)檢查，才能***終進入內(nèi)網(wǎng)，通過雙字節(jié)檢查，可以保證進入內(nèi)網(wǎng)的數(shù)據(jù)為純文本數(shù)據(jù)，而且這種文本數(shù)據(jù)中的腳本數(shù)據(jù)也是不能運行的全角數(shù)據(jù)，可以防止病毒進入內(nèi)網(wǎng)。

病毒粉碎技術(shù)

發(fā)送端軟件在發(fā)送二進制文件數(shù)據(jù)時,自動在數(shù)據(jù)報的特定位置依據(jù)專門的算法插入破壞字節(jié)以破壞病毒的結(jié)構(gòu)。在StoneWall-2000反向網(wǎng)絡(luò)安全隔離設(shè)備上，通過數(shù)字簽名驗證的二進制數(shù)據(jù)報文，才能進入內(nèi)網(wǎng)絡(luò)。進入內(nèi)網(wǎng)的報文將被以二進制文件格式存放，接收端的應(yīng)用程序用專用的API函數(shù)讀出讀取二進制文件，去掉其中的破壞字節(jié)，并直接使用該數(shù)據(jù)進行運算，通過對相應(yīng)字節(jié)的校驗，可以檢測出文件是否在內(nèi)網(wǎng)側(cè)被病毒感染過。病毒粉碎技術(shù)保證病毒進入內(nèi)網(wǎng)時已經(jīng)在結(jié)構(gòu)上被破壞掉，無法工作。

隨著國家大力發(fā)展清潔能源，風(fēng)（光伏）電場建設(shè)日新月異。隨著計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，電場電力系統(tǒng)結(jié)構(gòu)也日益復(fù)雜，電場生產(chǎn)控制及管理已經(jīng)完全依賴于計算機監(jiān)控系統(tǒng)和數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)。尤其隨著現(xiàn)在電場跨地域建設(shè)和管理，相對封閉的電場生產(chǎn)控制系統(tǒng)與外界的聯(lián)系越來越緊密，電場生產(chǎn)控制系統(tǒng)遭遇人為破壞的風(fēng)險大大增加，加上為了提高電場管理效率，電場大量采用跨地域遠程控制。這些都對電場生產(chǎn)控制系統(tǒng)和數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)的安全性、可靠性、實時性提出了新的挑戰(zhàn)。

3 設(shè)計應(yīng)用

沒有安裝隔離網(wǎng)閘的電場內(nèi)部生產(chǎn)控制系統(tǒng)與數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)直接互聯(lián)，而數(shù)據(jù)通信網(wǎng)絡(luò)為滿足遠程監(jiān)控的需要通過Internet網(wǎng)為上級提供數(shù)據(jù)。這樣的網(wǎng)絡(luò)框架很容易使得電場生產(chǎn)控制系統(tǒng)遭受到黑客或者惡意代碼對電力二次系統(tǒng)的侵害，從而引發(fā)電力系統(tǒng)故障。為解決以上安全問題，在電場安裝配置正向物理隔離網(wǎng)閘，從物理上隔斷電場內(nèi)部生產(chǎn)控制系統(tǒng)與數(shù)據(jù)通信網(wǎng)絡(luò)的直接互聯(lián)（如圖2所示）。具體部署如下：

（1）在對外數(shù)據(jù)服務(wù)器與生產(chǎn)數(shù)據(jù)服務(wù)器之間架設(shè)數(shù)據(jù)采集服務(wù)器，數(shù)據(jù)采集服務(wù)器接入電場內(nèi)部生產(chǎn)控制系統(tǒng)并完成數(shù)據(jù)采集工作；

（2）在數(shù)據(jù)采集服務(wù)器與對外數(shù)據(jù)服務(wù)器之間架設(shè)物理隔離網(wǎng)閘以實現(xiàn)數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)與電場內(nèi)部生產(chǎn)控制系統(tǒng)在物理上的隔離。

千兆型反向隔離裝置標(biāo)準(zhǔn)技術(shù)參數(shù)表

?

?

科東?物理隔離Stonewall-2000?百兆反向?產(chǎn)品簡介

StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備（反向型）是由中國電力科學(xué)研究院下屬電網(wǎng)所-北京科東電力控制系統(tǒng)有限責(zé)任公司自主開發(fā)研制，具有物理隔離能力的網(wǎng)絡(luò)安全設(shè)備，具有操作簡便、高性能、高可靠性等特點。

1、硬件部分：??
CPUPowerPC8245400MHz2個??
雙端口安全島1個??
內(nèi)網(wǎng)網(wǎng)口2個??
外網(wǎng)網(wǎng)口2個??
管理串口2個??
報警擴展串口2個??
2、配套軟件部分：??
反向文件傳輸軟件：實現(xiàn)跨隔離設(shè)備的反向文件傳輸。??
配置管理工具：GUI和CLI兩種軟件配置工具，用于對隔離設(shè)備的配置和管理。??
專用API函數(shù)：反向型數(shù)據(jù)發(fā)送API。??
3、性能指標(biāo)??
StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備（反向型）各項技術(shù)指標(biāo)如下：??
100M網(wǎng)絡(luò)狀態(tài)下密文有效數(shù)據(jù)吞吐率：≥60Mbps ?
100M網(wǎng)絡(luò)狀態(tài)下網(wǎng)卡數(shù)據(jù)包吞吐率：≥1800pps ?
數(shù)字簽名速率：≥100次/秒??
數(shù)據(jù)包轉(zhuǎn)發(fā)延遲：<30ms ?
滿負荷狀態(tài)下數(shù)據(jù)包丟棄率為：0??
滿負荷狀態(tài)下平均無故障時間(MTBF)：≥50000小時?

4、StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備（反向型）的基本功能和特性

基本功能

具有基于非對稱加密算法（1024位RSA）數(shù)字簽名和驗證功能

通過自動調(diào)用殺毒軟件查殺病毒

通過對文本數(shù)據(jù)進行全角檢查、對二進制數(shù)據(jù)進行病毒粉碎，進一步防毒

在配套軟件的配合下，實現(xiàn)可信數(shù)據(jù)由外網(wǎng)到內(nèi)網(wǎng)的自動或手動傳輸

自動傳遞的文件任務(wù)可定制，支持更新檢查、增量發(fā)送

任務(wù)發(fā)送情況有日志記錄，可隨時查閱

支持透明連接。網(wǎng)絡(luò)安全隔離設(shè)備（反向型）接入網(wǎng)絡(luò)，無需對網(wǎng)絡(luò)的結(jié)構(gòu)及設(shè)置做任何改動

支持狀態(tài)檢測功能

支持地址綁定功能，可以有效阻止非法用戶盜用合法用戶的IP地址

支持雙向地址轉(zhuǎn)換功能，可以在保障自身網(wǎng)絡(luò)安全的前提下向外提供服務(wù)

支持雙機熱備功能

支持日志審計功能，方便管理員的工作，加強網(wǎng)絡(luò)的安全性

優(yōu)化、加固的系統(tǒng)內(nèi)核

在操作簡便和安全穩(wěn)定之間達到了完美和平衡

審核編輯：黃飛

?