第一篇:电力系统网络安全隔离设计论文
随着我国社会经济水平的不断提高,推动了电力信息化的深入发展。电力企业间的信息网络数据交换逐渐频繁,并且企业信息网络电力控制的系统数量也逐渐增加,所以,与电力企业相关的信息网络在电力系统中的作用变得越来越重要,信息网络的安全性也具有一定的现实意义。
1电力系统网络安全研究
1.1实时控制区
该控制区的主要业务与电力系统中发电和供电具有直接的联系,主要供调度人员与运行操作人员使用。信息数据的实时性能够以秒级显示,并且对网络自身的实时安全性能具有极高的要求。实时控制区在电力的二次系统中发挥着重要的作用,同时也是电力企业网络安全重点的保护对象,其安全的等级比较高。其中较为典型的系统主要包括调度的自动化系统与变电站自动化系统等等。
1.2非控制生产区
该区域的主要业务系统就是没有控制能力与批发交易的系统,此外,在系统内部无需控制的部分也属于该区域。非控制生产区的实时性主要是以分或者小时显示的。比较具有代表性的系统就是电能量计量系统、通信监控系统等等。该生产区主要是供实际运行计划的工作人员与发电侧电力市场的交易员使用。
1.3生产管理区
生产管理区主要的业务系统是支撑企业的经营与管理的电力生产管理信息的系统。具有代表性的系统主要就是统计报表系统与调度生产管理系统等等。在该区域内部的生产系统需要采取相应的安全防护措施,并提供WEB的服务。其中,生产管理区域的外部通信的边界主要就是电力数据信息的通信网。
1.4管理信息区
该区域的主要业务系统就是没有进行直接参与电力企业过程控制与生产管理的经营与采购以及销售等的管理信息系统。主要的典型系统就是办公自动化系统及MIS系统等等。
2电力系统隔离装置设计应用
2.1电力系统隔离装置技术要求
第一,有效的完成安全区间非网络形式的安全信息数据交换,同时要确保不同时将安全隔离装置的内部与外部的处理系统连接。第二,保证表示层与应用层的数据信息以完全单向的传输形式进行传输。第三,实行透明的工作方式,包括虚拟主机的IP地址并将MAC的地址进行隐藏。第四,根据IP、传输端口与协议以及MAC等综合的报文进行过滤与访问的控制。第五,积极支持NAT的应用。第六,有效避免穿透性TCP的联接。不允许将内网与外网的应用网关直接创建TCP的联接,应将内外网应用网关间TCP的联接进行合理的分解,在隔离装置的内部与外部进行TCP的虚拟联接。但是,隔离装置内部与外部的两网卡是处于非网络连接的状态,并且只能进行数据信息的单向传输。第七,应用层需要具备能够定制的解析能力,并且能够支持其对特殊标记的识别功能。第八,使用安全且方便的维护与管理措施。保证通过管理人员的证书认证,并形成图形化的界面进行管理。第九,专用的安全隔离装置自身需要具备较强的安全防护能力。其中的安全性主要包括的就是安全固化的操作系统以及非INTEL指令系统中的微处理器,还有就是能够抵御DoS外的具有已知性的网络攻击。
2.2电力系统的组成要素
整个电力系统主要包括两部分,其一是隔离系统,其二是相关配置的管理程序。而隔离系统是由内网关的程序与外网关的程序以及检测控制的单元三部分组成。而配置管理程序中的工具主要有客户端配置的界面与证书的认证模块等。
2.3电力系统隔离装置的具体工作流程
隔离系统的软件主要包括以下几个模块:内外网的处理模块、硬件的检测与控制单元以及相应的管理模块。图1为电力系统实际的工作流程图。
2.3.1内网处理模块内网处理模块主要是对ARP的请求进行处理并回应。在收到内网的ARP请求时,及时的返回ARP的返回包。而在接收到外网的ARP请求时,需要对虚拟地址进行仔细的查找,再将ARP虚拟的回应包返回。在网卡上所获得的信息数据,如果使用的是外网关信息数据,一定要进行MAC与传输协议以及IP和传输端口的报文过滤。全面仔细的对NAT的规则进行检查,并按照相应的规则将数据包中的源IP地址进行合理的替换,此外,还包括源MAC地址与端口号的替换,确保将其记录在相应的连接信息数据表格中。进行校验码的重新验证与计算,并且要使用隔离卡将其及时的发送到外网中。积极的接受外网利用隔离卡所发送的TCP信号,在对其进行地址的还原以后,进行相应的计算校验,最终将其发送给内网。
2.3.2外网处理模块在网卡上所获得的数据信息如果是利用外网关数据信息发送的,应与CAM表格进行对比。若发送到内网TCP信号,应将其转发至内网关内。积极接受内网发来的信息数据,并将其送至最终的地址,将具体的地址信息记录在CAM表格中。最重要的是,要有效的制止外网主动的进行连接。
2.3.3硬件检测与控制单元对协议的数据信息长度进行分析,并将其发至内网TCP应答处。如果没有数据信息就送至内网的处理模块处,也可以直接丢弃。
3结束语
网络隔离技术是与其他技术进行合理的结合来有效提高系统安全性的技术。但是,目前阶段,网络的隔离技术仍存在问题。因为网络隔离技术主要对网络信息数据进行审查,并且要通过协议的审查与身份的认证以及相关内容的审查,所以,一定程度上会影响到网络传输的速率,应对此问题加以关注,并采取针对性的方法进行有效的解决,进而促进电力系统网络隔离工作的进一步发展。
第二篇:电力系统中计算机网络安全
电力系统中计算机网络安全
来源:www.xiexiebang.com
O.前言
汁算机网络在电力系统中的应用越来越广泛.可以在电力系统自动化、监控、保护、电力企业物资管理、电费收缴、电量调节等各方面进行集成管理,发挥着越来越重要的作用.而且国家电力数据通信网把各级电网企业连接起来,实现了电网企业间信息系统互联互通、资源共享。但是值得我们注意的是.电力系统中计算机网络安全问题也就显得越来越突出。电力信息或电力系统实时数据的传输已经超出了目前远动系统的范畴。常规远动系统必将被融合计算机、保护、控制、网络、通信等技术于一体的网络化电力信息传输系统所代替.并终将打破现行的专业分工,引起远动系统设计的一场革命攻击事件造成的影响日益严重,发生的频率也日益增加 众所周知.计算机网络具备信道共用性、分布广域性、资源共享性、体系结构开放性的特点.因此.也不可避免地会存在着系统的脆弱性.使其面临严重的安全问题.而几乎所有的攻击者都是利用现有计算机网络系统中的安全漏洞来进行活动2006年4月29日.国家电网公司提出了在全系统实施“SG186工程”的规划.它的出台对整个电力行业产生了巨大的影响 “SG186工程”的六大保障体系中,首当其冲的就是“安全防护体系”.这充分说明信息网络安全在电网信息化过程中的重要性
1.计算机网络安全的重要性
计算机安全一般包含信息安全和物理安全两方面.信息安全也就是网络安全,能够有效保护网络信息的可用性、完整性和保密性。计算机网络的威胁主要有计算机病毒、黑客的攻击等,其中黑客对于计算机网络的攻击方法已经大大超过了计算机病毒的种类.而且许多攻击都是致命的。因此.加强计算机网络安全保护尤为重要 只有针对这些网络威胁采取必要的保护措施.才能确保计算机网络信息的可靠性、安全性和保密性。绝大多数计算机网络安全入侵事件都是因为没有及时补上系统漏洞、系统安全措施不完善造成的.一旦网络软件“后门”洞开,黑客就可以很容易地进入到别人的系统,造成的后果可想而知。
根据美国FBI(美国联邦调查局1的调查.美国每年因为网络安全造成的经济损失超过170亿美元.75%的公司报告财政损失是由于计算机系统的安全问题造成的,平均每天会有1.5万个网页受到病毒感染或者遭受黑客攻击 也就是说.每5秒钟就会有一个网页成为黑客们的“盘中餐”。在中国国内.互联网的安全问题形势也非常严重 据国家计算机网络应急技术处理协调中心2007年的评估数据显示.在全球的620万台“僵尸”电脑中.约有360万台在中国.占58%以上 同时.感染了“特洛伊”病毒的电脑数量仍在稳步上升
2.如何有效保障电力系统中计算机网络安全
2.1完善防火墙技术防火墙的英文名为“FireWall”.它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间。实施网络之间访问控制的一组组件集合 将大力加强和规范信息网络安全工作.提高信息网络整体安全防护水平,实现信息网络安全的可控、能控、在控.按照国家电网的要求.对接入信息内网办公地计算机进行安全自杏.对存安全隐患的计算机要求及时整改 网络安全是安全生产管理体系的重要组成部分.电力窗口将按规定、有步骤的开展信息网络安全维护工作.保证信息系统安全好局面 再次强调在工作时间计算机终端不得使用与工作无关的相应软件.将纳入月度责任制考核
2.2防病毒技术随着互联网技术和信息技术的不断发展,计算机病毒对计算机系统构成了极大的威胁,同时,病毒也变得越来越高级、越来越复杂 目前市面上普遍使用的防病毒软件一般可以分为单机防病毒软件和网络防病毒软件两大类 单机防病毒软件一般是分析扫描本地和本地工作站链接的资源.通过快速检测来达到清除计算机病毒的目的 而网络防病毒软件则不是侧重于单台电脑的防病毒处理.而是主要注重于网络防病毒.一旦病毒从网络向其它资源传染.那么该软件就会历尽检测,并及时加以删除 例如金山毒霸网络版V7.0具备提前被系统加载特性.可以在病毒模块还没有加载或被保护的时候删除被保护的病毒文件或拦截禁止病毒的保护模块:精确打击.定点清除顽固恶意软件和木马.解决能查不能杀的难题从而完成正常杀毒任务 金山毒霸网络版V7.0实现了集中式配置、部署、策略管理和报告.并支持管理员对网络安全进行实时审核.以确定哪些节点易于受到病毒的攻击.以及在出现紧急病毒情况时采取何种应急处理措施 网络管理员可以通过逻辑分组的方式管理客户端和服务器的反病毒相关工作.并可以创建、部署和锁定安全策略和设置.从而使得网络系统保持最新状态和良好的配置 金山毒霸网络版v7.O采用分布式的漏洞扫描及修复技术。管理员通过管理节点获取客户机主动智能上报的漏洞信息.再精确部署漏洞修复程序:其通过Proxy(代理)下载修复程序的方式.极大地降低了网络对外带宽的占用。全网漏洞扫描及修复过程无需人工参与,且能够在客户机用户未登录或以受限用户登录情况下进行
2.3建立完善的计算机网络安全防范制度负责电力系统中计算机信息网络管理的值班人员要明确分工.落实责任。当班人员因故不能值班或者离开值班岗位者.应找本中心人员替代,在替代人员到岗后方可离岗。值班人员必须严守操作规程.密切注视系统运行情况,发现问题,及时上报:同时.在征得领导同意后.迅速果断地采取相应的措施.如硬件故障.则通知硬件维护人员.并与之相配合做好故障处理工作 所有工作人员不得将中心任何一台计算机或服务器的IP地址及密码公开,防止外来人员进入。同时.制定《中心机房管理制度》、《门户网站管理规定》、《专线网通信平台运行管理制度》、《局域网管理制度》,《网络保密管理制度》、《全程同步录音录像系统管理规定》等管理规定.明确工作责任和使用程序 设立多道防火墙,经常更换密码,防止外来有害信息进入。安全负责人应随时了解网络运行情况、信息发布情况,定期或不定期的检查网上传输的运作情况。经常了解用户使用情况。针对出现的问题.及时解决。各部门要切实增强保密意识.加强对计算机等涉密载体的管理,做到认识到位、组织到位、工作到位,确保万无一失。另外,按照“谁上网、谁负责”的原则.每台计算机均设置系统登录密码.严格规定访问权限.工作中临时离开计算机或会见客人时,必须将计算机置于锁定状态.局域网内计算机不得通过任何途径接人互联网,严格实行内外网物理隔离。
【参考文献】
[1]郝玉洁,常征.网络安全与防火墙技术.北京:电子科技大学学报社科版2002,1(4):24~28.
[2]蔡忠闽、孙国基等.入侵检测系统评估环境的设计与实现系统.仿真学报2002,3(14).
[3]Bace Rebecca.Intrusion Detection.Macmillan Technical Publishing.2000.
[4]刘永华.基于Agent的分布式入侵检测系统.潍坊学院学报2006,3(6—2)
[5]蔡洪民,伍乃骇,滕少华.局域网络安全扫描系统的设计与实现.微计算机应用.2005.1:45—48.
第三篇:网络安全论文
在社会高速发展的今天,网络也随之走近并走进了我们的生活。大多数的青少年与时俱进,跟上社会的大步伐。我们发现青年与网络之间存在众多的契合点,正是这些契合点使青年对互联网“一网情深”。青年在网络影响下千状百态虽然向社会展示了其众多绚丽之处,也令人倍感惊喜。但不少青年网民的失色表现却无论如何不能给社会增辉,不能让人高枕无忧。
一、青少年用户使用互联网的特征
(一)开始使用互联网的用户量随时间而增加
约80%的用户从1999年或2000年开始使用互联网,网龄大都不长。具体分布如下:1997年以前占6.3%;1998年占14.0%;1999年占36.20%;2000年占43.50%
(二)上网地点多样
58.8%的青少年用户在家里上网,31.5%的用户在亲戚朋友家上网,在网吧、咖啡厅或电子游戏厅上网的占20.45%,在父母或他人办公室上网的占15.0%,在学校上网的占10.8%。
(三)上网时间与对上网时间的满意度估计
青少年用户平均每周上网时间212分钟左右,如果平均
到每日,约30分钟左右。37.0%的用户认为自己上网时间“正好”,认为“比较多还能满足”的用户占12.0%,认为“太多了”的仅为0.7%。31.7%的用户认为“比较少”,18.5%的青少年用户认为“太少了”。也就是说,50%的青少年用户对上网时间并不满足
(四)互联网功能的使用
玩游戏占62%;使用聊天室占54.5%;收发电子邮件占48.6%;下载储存网页占39.7%;使用搜索引擎占25%;订阅新闻占21.9%;网络电话占14.7%;网上寻呼占14.3%;制作和更新个人网页占12.6%;上传文件占9.4%;公告板(BBS)占9.2%;代理服务器占2.3%。
二、网络的影响
(一)网络的正面影响
1、网络有助于创新青少年思想教育的手段和方法
利用网络进行德育教育工作,教育者可以以网友的身份和青少年 在网上“毫无顾忌”地进行真实心态的平等交流,这对于德育工作者摸清、摸准青少年的思想并开展正面引导和全方位沟通提供了新的快捷的方法。此外,由于网络信息的传播具有实时性和交互性的特点,青少年可以同时和多个教育者或教育信息保持快速互动,从而提高思想互动的频率,提高教育效果;由于网络信息具有可下载性、可储存性等延时性特点,可延长教育者和受教育者思想互动的时间,为青少年提供“全天候”的思想引导和教育。还可以网上相约,网下聚会,实现网上德育工作的滋润和补充,从而及时化解矛盾,起到温暖人心,调动积极性,激发创造力的作用。
2、提供了求知学习的新渠道
目前在我国教育资源不能满足需求的情况下,网络提供了求知学习的广阔校园,学习者在任何时间、任何地点都能接受高等教育,学到在校大学生学习的所有课程、修满学分、获得学位。这对于处在应试教育体制下的青少年来说无疑是一种最好的解脱,它不但有利于其身心的健康发展,而且有利于家庭乃至于社会的稳定。
3、开拓青少年全球视野,提高青少年综合素质
上网使青少年的政治视野、知识范畴更加开阔,从而有助于他们全球意识的形成。同样,又可提高青少年综合素质。通过上网,可以培养他们和各式各样的人交流的能力;通过在网上阅览各类有益图书,触类旁通,提高自身文化素养。
(二)网络的负面影响
1、对于青少年“三观”形成构成潜在威胁
青少年很容易在网络上接触到资本主义的宣传论调、文化思想等,思想处于极度矛盾、混乱中,其人生观、价值观极易发生倾斜,从而滋生全盘西化、享乐主义、拜金主义、崇洋媚外等不良思潮。
2、网络改变了青年在工作和生活中的人际关系及生活方式
青少年在网上公开、坦白地发表观点意见,要求平等对话,对青少年工作者的权威性提出挑战,使思想政治工作的效果往往不能达到预期。同时,上网使青少年容易形成一种以自
我为中心的生存方式,集体意识淡薄,个人自由主义思潮泛滥。
3、信息垃圾弱化青少年的思想道德意识
有关专家调查,网上信息47%与色情有关,六成左右的青少年在网上无意中接触到黄色信息。还有一些非法组织或个人也在网上发布扰乱政治经济的黑色信息,蛊惑青少年。这种信息垃圾将弱化青少年思想道德意识,污染青少年心灵,误导青少年行为。
4、网络的隐蔽性,导致青少年不道德行为和违法犯罪行为增多
一方面,少数青少年浏览黄 色和非法网站,利用虚假身份进行恶意交友、聊天。另一方面网络犯罪增多,例如传播病毒、黑客入侵、通过银行 和信用卡盗窃、诈骗等。这些犯罪主体以青少年 为主,大多数动机单纯,有的甚至是为了“好玩”、“过瘾”和“显示才华”。另外,有关网络 的法律制度不健全也给青少年 违法犯罪以可乘之机。
三、上网青年的各种“症状”
(一)认知上的“快餐——硬结”症
对于众多步履匆忙的青年而言,互联网好比知识快餐一样,大大激发了他们急于求知的强烈欲望,在鼠标轻点之间就能立刻在浩如烟海的信息海洋中找到自己所需的信息,从而大大提高了单位时间里的学习、工作效率。而对网上各
种时髦展品,他们在好奇心、求知欲驱使下流连忘返,从不审视、怀疑它的构造成份和运转功效,整个大脑于囫囵吞枣之际成了一个受动而麻木的机器,致使许多硬结不但吞噬着青年人本应充满活力和主见的青春大脑,而且阻塞着他们对真知的内化。
(二)情感上的“狂泻——冷漠”症
对于那些至今尚未完全摆脱父权主义、顺应主义教育的青年来说,虽然在现实中其情感表露总要受到他人及社会的左右,但他们身上被压抑的诸多情感却可以在网络世界中肆意暴发。上网交友,网上聊天、在BBS中高谈阔论成了人们忘记权威压制、排遣孤独,宣泄不满的畅通渠道。只是我们观察到,尽管互联网在一定程度上有助于青年缓解压力、平衡心理、但过多虚拟的网上情感交流无疑让许多青年在放飞情感的同时,总想试图将自己真实的情感深埋心底,不愿向真实世界坦露,并懒得与活生生的人进行情感交流。生活中,这些人沉默寡言、不善言谈、不为世间情感所动,显出一副冷漠姿态。互联网成了一部分人面对现实情感世界的心灵之锁。
(三)意志上的“自主——膨胀”症
在互联网这一无人管理的区域内,青年人能够以己为中心,以己需要为尺度,完全按自己的个人意志自主地利用网上资源、自主地在游戏中扮演各类角色、自主地设计令人惊
叹的“小制作”、“小发明”等等,这种无拘无束,随心所欲的意志自主表现虽然在相当程度上利于青年个性的张扬。但我们也为一部分人在极度的意志自主中其“唯我独尊、唯我是大”的意志膨胀表现所震惊:一些青年仅仅是为了显示自己的个性,总想通过自己的意志自主表现而一鸣惊人,于是利在互联网上随意制造思想和议论的巨大泡沫,甚至为了达到让世人把他当主角的目的而不惜作出损害别人数据、破坏他人网站,侵入别人系统等过激行为,以至酿发可怕的阻塞网络交通的网络地震。
四、充分认识网络发展中的“青年问题”,积极寻求对策
(一)充分认识网上思想渗透问题,强化对青少年的教育引导
必须加强对青少年的思想政治教育,以马列主义,毛泽东思想,邓小平理论和“三个代表”重要思想教育引导广大青少年,使他们坚定共产主义理想信念,努力树立起正确的人生观、世界观和价值观,强化爱国主义意识和宏扬民族精神。
(二)切实加强网上文明行为规范的建设
要广泛开展以宣传《青少年网络文明公约》为主题的各项活动,积极引导青少年遵守网络道德,提倡“五要五不”,即:要善于网上学习,不浏览不良信息;要诚实友好交流,不侮辱欺诈他人;要增强保护意识,不随意约见网友;要维护网络安全,不破坏网络秩序;要有益身心健康,不沉溺虚
拟空间。努力创造干净、健康、文明、有序的网络环境。
(三)构建网络和社会互动的青少年教育体系
网络时代的青少年思想教育是一项复杂的系统 工程,因此政府、社会、家庭要协作联动,努力做到三个结合:一是要把传统的青少年教育的政治优势和互联网的特征有机结合起来;二是把党、政府和群众团体的组织力量和培养网上青年志愿者的工作结合起来;三是把网站的建设工作与对现有青少年组织和机构运行机制进行必要的改革结合起来,以适应网络发展需求。另外,还要着重加强对青少年 的社会化教育,提高青少年适应现代社会的能力,使他们勇敢地直面现实世界,积极投入到改造社会的实践中去。
因此,只要积极引导,互联网可以成为最好的、最有效用的工具,而不是玩具。他能为社会带来巨大便利,使社会更快速的发展,我们必须用好互联网,安全使用他,所以必须做好网络安全管理。
第四篇:网络安全论文
浅论网络技术的发展趋势
概要:面临着网络的普及,日益恶化的网络安全威胁是网民们生畏,那如今的网络技术发野兔没迅猛……
关键词:网络安全技术、网络安全威胁、网络安全意识、解决方案 正文:
随着信息时代的全球化,信息化网络裂变式高速发展,网络交流的频繁化促使人们利用网络进行一些如银行事务,电子邮件、电子商务和自动化办公等事务,但随之网络特别是互联网的开放性、互联性、匿名性也给网络应用带来了安全隐患…… 网络安全:
网络安全是指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。网络安全威胁:
1)网络窃听:由于在广播网络系统中,每个结点都可以读取网上传送的数据,网络体系结构允许监视器接受网上传送的所有数据,使得窃取网上的数据或非授权访问变得很容易。
2)假冒:利用重放数据帧的方法,产生被授权的效果,假冒另一实体进行网络非授权活动。
3)数据修改:在非授权和不能检测的环境下对数据的修改,当节点修改加入网中的帧并传送修改版本时就发生了数据修改》
4)完整性破坏:破坏数据完整性,包括设备故障或人为有意无意破坏修改系统信息。
5)服务否认:受到网络攻击使网络设备或数据遭到破坏,并可能产生拒绝某种网络服务功能的后果。
6)重发:重发就是重复一份保文或报文的一部分,以便产生一个被授权效果,7)计算机病毒:这是一种人为编制隐藏在计算机中很难别发现且具有破坏能力的程序或代码,能够通过软盘、硬盘、通信连路和其他路径在计算机网络传播额和蔓延。网络安全技术的分类: 一.虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等 二.防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.三.病毒防护技术
1)阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2)检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3)病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4)在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
四.入侵检测技术用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
(1)入侵者可寻找防火墙背后可能敞开的后门。
(2)入侵者可能就在防火墙内。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。五.安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。六.认证和数字签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份证认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
七.VPN技术
1)企业对VPN 技术的需求
2、数字签名
3、IPSEC 八.应用系统的安全技术由于应用系统的复杂性,有关应用平台的安全问题是整个安全体系中最复杂的部分。
1)域名服务2)Web Server应用安全 3)电子邮件系统安全
4、操作系统安全,分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。计算机网络安全威胁解决方案:
物理隔离技术:内部网不直接或间接的接触公共网,物理隔离的目的是保护路由器、工作站网络服务器等硬件实体和通信连路免受自然灾害、人为破坏和搭线窃听攻击。其不同与防火墙。
网络认证技术:分口令认证、双因素认证、kerberos、CHAP、x.509证书及认证框架。目前常用的身份识别技术主要是基于RAD IUS的鉴别、授权和管理(AAA)系统。
病毒防护技术:在早期的单机环境下,病毒主要有寄生性、隐蔽性、非法性、破坏性、潜伏性、可触发性等特点,随着计算机网络在工作、学习、生活中发挥着越来越重要的作用,各种网络安全问题越发的多,尤其是病毒的传播。与此同时许多防毒厂商也升级了防毒软件技术,主要包括数字免疫系统、监控病毒源技术、主动内核技术、分布式处理技术、安全网络技术等。
防火墙:防火墙是指在不同网络或网络安全域之间的一系列部件的组合,包括计算机硬件与软件的组合。它是不同网络和网络安全域之间信息的唯一出口,能根据企业的安全政策控制(允许、拒绝、检测)出入网络的信息流,对两个或者多个网络之间传输的数据包如连接方式按照一定的安全策略来实施检查,已决定网络之间的通信而是否被允许,并监视网络运行状态,请本身具有较强的攻击能力。个人看法:网络的普及注定着网络安全的发展,客观的说发展没有突破性的,是相对缓慢的,与此同时,害群之马也再制造着网络威胁,但道高一尺,魔高一丈,我们要文明使用网络,这样就从根本上解决了那些非法之徒的破坏欲望,失去了利益之心,威胁也就会随之而而去,当然我只是针对我们普通网民而论。如涉及国家、民族、政治、企业我不会议论,也议论不得,自己毕竟才识学浅。此篇涉及技术是当前公认,所以论纯属个人看法,如有不周之处,望老师见谅……
第五篇:SysKeeper-2000网络安全隔离装置产品说明
南瑞信息公司信息安全产品介绍
产品背景及概况
背景
随着计算机技术、通信技术和网络技术的发展,电力系统自动化水平迅速提高,电厂调度和生产一刻也离不开计算机监控系统和数据网络。特别是随着厂网分开和电力市场建设,原来相对封闭的电力监控系统,现在必须与外界发生各种各样的联系。为了提高劳动生产率,电厂、变电站减人增效,大量采用远方控制。这些都对各发电公司计算机监控系统和数据网络的安全性、可靠性、实时性提出了新的挑战。
电厂二次系统主要包括单元机组分散控制系统(DCS)、厂级监控信息系统(SIS)、网控监控系统、发电市场辅助决策系统、电能量计量计费系统等、故障录波系统、集控保护管理系统、厂级MIS系统等。
概况
南瑞SysKeeper-2000网络安全隔离设备(正向型)。正向型采用获得国家知识产权专利的安全通道隔离技术(专利号:ZL2004 2 0025888.6)和高性能RISC体系结构CPU,在实现安全隔离的基础上保证极高的数据交换能力。南瑞SysKeeper-2000系列隔离装置为全国唯一一家通过国家密码管理局技术鉴定的安全隔离装置(采用电力专用的密码算法与安全芯片),批号:国密局鉴字第2005032号。
我公司保证提供的物理隔离装置通过国家权威检测部门的安全认证和国调中心电力二次系统安全防护专家组检测。我方提供的正向型网络安全隔离设备目前已稳定运行于三峡左岸电厂、三峡梯级调度中心、黄河梯级调度通信中心、二滩电厂、天荒坪电站、浙江北仑电厂等300个电厂共计500余套。电网的主要应用包括国家电力调度通信中心、南方电力调度通信中心、西北网调、华东网调、华中网调、江苏省调、浙江省调、福建省调、河北省调、陕西省调、山西省调、宁夏省调、广东省调、湖南省调、新疆省调、北京市调和所属区调、华北电网部分地调、兰州市调、江苏全部地调、浙江全部地调、福建全部地调、江西部分地调、安徽部分地调等400个网、省、地调、县调各级调度中心共600余套。我公司保证提供的安全设备都已经在现场稳定运行三年以上,应用规模相当或超过本项目的规模。
产品研发背景如下:
2000年10月13日,二滩电厂由于控制系统死机造成甩出电力89万千瓦,造成川渝电网大范围的停电事故,通过专家调查认为控制系统网络与办公自动化系统网络的直接互联是事故的一个可能因素。
国家电力公司科技环保部2000年设立了科技攻关项目,研究电力二次系统安全防护技术,并申请了国家863项目。
南瑞集团公司于2001年开始研究电力专用安全隔离技术。
南瑞集团公司多名专家参加国家“863”科技项目《国家电网调度中心及网络安全防护策略研究》,并在其中发挥重要作用。
2003年6月,SysKeeper-2000网络安全隔离系列产品通过公安部计算机信息系统安全产品质量监督检验中心检测,并获得产品销售许可证,销售许可证号XKC30412。
2003年7月,成为全国唯一一家通过国家电网公司电磁兼容试验和常规型式试验检测认证的网络安全隔离产品。
2003年7月,通过解放军信息安全测评认证中心的攻防测试。
2003年8月,获得国家电力调度通信中心关于电力专用安全防护设备的检测证明(正向型)2003年11月,获得国家电力调度通信中心关于电力专用安全防护设备的检测证明(反向型)。
2004年4月,网络络安全隔离装置(反向型)通过国家密码管理局的审核与批准,项目命名为:“SJY98安全隔离装置(反向型)”。批文号为:国密办字[2004]284号
2004年6月,SysKeeper-2000网络安全隔离产品的核心部件-单向连接控
制单元获得国家知识产权局专利,代号:ZL2004 2 0025888.6。
2005年9月,SJY98安全隔离装置(反向型)通过了国家密码管理局组织的技术鉴定。批号:国密局鉴字第2005032号
南瑞集团公司多名专家参与制定《电力系统专用网络安全隔离装置功能规范》的制定工作。
参与华中网调电力安全隔离装置日志标准的定义。
南瑞网络安全隔离装置行业优势
技术优势
南瑞信息系统公司的前身是国家电力自动化工程技术研究中心的核心研发部门。1998年初,南瑞信息系统公司成立,公司的产业方向确定为电力系统信息管理及网络安全相关技术。9年多来,我公司在技术创新和科技成果的产业化方面,做出了突出的成就。
南瑞信息系统分公司长期从事电力企业嵌入式网络安全产品(包括正、反向电力专用网络安全隔离装置、电力专用纵向加密认证网关、电力调度证书服务系统、电力二次系统安全日志审计系统、电力专用安全拨号系统等)、电力企业信息化、网络系统集成等研究与开发工作,曾成功实施三峡左岸电厂和三峡梯级调度安全隔离接入工程、黄河梯级调度工程、二滩电厂、天荒坪电站、江西全省水电安全改造工程等重大项目。南瑞公司参与制订了《电力二次系统安全防护总体方案》,同时参与了《电力系统专用网络安全隔离装置功能规范》和《电力系统专用加密认证装置技术规范》的编写工作。完成了国家科技部“电力系统信息安全示范工程”项目。在电力二次系统安全防护体系研究中承担863子课题,有多名专家和技术骨干参加二次系统安全防护组,并在其中发挥重要作用。
我们具有如下安全资质:
国家计算机信息系统集成一级资质;
国家保密局颁发的涉密系统集成资质证书;
国家电网公司网络安全产品的定点生产单位;
国家电网公司网络安全服务的定点单位;
全过程参与承担电力系统信息安全示范工程;
有多名专家参加全国电力二次系统安全防护专家组;
多名成员参加全国电力二次系统安全防护863课题组;
电力专用密码芯片授权使用单位;
提供全系列电力信息安全产品。
行业优势
南瑞信息系统公司是属于国家电力公司的科研单位之一。我公司长期服务于电力企业。我们在长期的项目实施过程中,与广大电力系统用户建立了密切的合作伙伴关系,并且了解电力系统工程项目的组织管理方法,对项目的按期按质完成至关重要。
我们参与了很多电力二次系统的安全规划、设计、实施。在网络安全隔离装置实施过程中,我们与南瑞所有的监控系统(包括网、省调、地调、县调和变电站SCADA系统以及水电、火电监控系统)进行了安全改造工作和现场的实际运行;同时与国内外主流的监控系统厂商进行了广泛、深入的合作(国内:包括东方电子、鲁能积成、上海申贝等;国外:阿尔斯通监控系统、原CAE公司监控系统、PI实时数据库、InSQL实时数据库、edna实时数据库、Valmet SCADA系统等),保证了电力二次系统安全防护工程的顺利实施。这些有利条件是其它IT公司难以具备的,充分体现了南瑞信息系统公司的行业优势,对顺利完成本次工程项目具有重要意义。
人才优势
南瑞信息系统公司拥有一流的技术人才。目前公司共有各类人员近150人,平均年龄28岁,从高级工程师、博士、硕士研究生到工程师,构成了一支层次结构良好的科研与开发队伍,他们有40多人从事电力二次系统安全防护相关技术的研究和工程实施。整个队伍技术素质高,具有良好的敬业精神。
南瑞信息系统公司拥有良好的企业文化,吸引了众多的高技术人才到我公司工作。公司成立9年来,年平均人才流失率小于5%,更重要的是,高级核心人才的流失率为零,这与许多IT公司人才大量流失,频繁波动形成鲜明的对比。
公司把电力系统安全防护相关技术与产品的开发和实施,作为公司长期发展的最重要产业。南瑞股份公司上市后,其募集资金将有数千万元投资于我公司的工程研发项目,因此,我们的研究开发工作将一直持续下去。用户得到的将是一个不断可以更新,不断得到完善的产品。我们注意到,有许多IT公司,并不是把电力二次系统安全防护相关技术与产品作为长期的产业,缺乏长期战略考虑,见利即上。一旦人员流失,研发停顿,则要么被兼并,要么消失,留给用户的是一个无法维护的零乱系统或是一套没有生命力的末代产品,造成用户投资的巨大浪费。
管理优势
南瑞集团公司于1997年开始,按照国际ISO9001的质量控制标准,建立了一整套完善的科研开发和工程的质量管理体系。1997年底,正式通过了国际ISO9001质量管理体系的认证。
南瑞信息系统公司结合科研开发和工程实施的实际情况,制定了一整套更为详尽的质量指导文件,予以强制执行。公司的管理以制度为主,减少人为引起的不规范行为。
服务优势
南瑞信息系统公司奉行“诚信为本、以用户为中心,提供一流的技术,一流的服务”这样的服务理念,按照ISO9001-2000版的要求,追求最大的客户满意度。我公司在近几年的安全项目实施中,与广大用户结下了深厚的友谊,获得了用户的高度信赖。我们实施的每一个项目,均未给用户留下难以收拾的局面。我公司对每一项工程,不论大小都当作精品工程来抓,每一项工程都经得起用户的检验。我们非常欢迎用户在不通知我公司的情况下,对我们所做的安全隔离防护项目进行调研。
结合我们的技术积累和工程实施经验,我们对华电集团公司所属发电公司二次系统进行了整体调研和分析,作为二次系统安全防护的需求分析。同时也将在实际的安全隔离防护工程中,利用我们的上述优势,使得工程的进展更加顺利、可靠。
SysKeeper-2000网络安全隔离装置(正向型)
产品简介
SysKeeper-2000电力专用网络专用安全隔离装置(正向型)是位于调度数据网络与公用信息网络之间的一个安全防护装置,用于安全区I/II到安全区III的单向数据传递。它可以识别非法请求并阻止超越权限的数据访问和操作,从而有效地抵御病毒、黑客等通过各种形式发起的对电力网络系统的恶意破坏和攻击活动,保护实时闭环监控系统和调度数据网络的安全;同时它采用非网络传输方式实现这两个网络的信息和资源共享,保障电力系统的安全稳定运行。因此,该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性,促进各部门的生产和新应用的开发与运用,并为建立全国电网二次系统安全防护体系提供有力保障。
为满足电力系统二次安全防护的需要,南瑞信息技术研究所依托在网络安全产品中的广泛技术积累和应用实践经验,以性能好﹑功能全﹑使用简便﹑运行稳定为网络安全隔离产品的设计原则,自主研制并推出SysKeeper-2000网络安全隔离装置(正向型),如图1所示。通过长时间的测试,网络安全隔离设备具有很高的可靠性、稳定性和可以满足用户需要的执行效率。
图1 SysKeeper-2000网络安全隔离装置(正向型)
获得认证
公安部销售许可证:编号XKC30412 国家电网公司EMC检测认证
解放军信息安全测评认证中心攻防测试认证
国家电网公司电力调度通信中心关于电力专用安全防护设备的检测证明(正向型)检测证明。
性能特点
具有安全隔离能力的硬件结构
由两个高性能嵌入式微机及辅助装置形成安全隔离系统,嵌入式微处理器采用RISC体系结构,减少受攻击的概率;实现两个安全区之间的非网络方式的数据交换,并且采用安全算法保证安全隔离装置内外两个处理系统不同时连通。
高可靠性硬件设计
安全隔离产品硬件供电采用的是国外进口开关电源,符合EN55022 class B,IEC801-2,3,4,5, EN60555-2,3 EMC标准,平均无故障时间达64223小时。在PCB板的设计中,加有线性稳压及滤波装置,并严格按照EDA对高频电路设计的要求,设计了单独的电源层与地层,进一步保证了整个板上电源的稳定性。
支持双电源
实践经验及理论都证明,一个产品最易出故障的部位在电源部分。在安全隔离设备中,设计有双电源。在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。
支持双机热备
在实际应用中,可以设置有双机备份,一台工作在主机位置,一台工作于备用位置,两台机器时刻进行通信并进行信息备份,一旦一台隔离设备出现故障时,或者处于看门狗复位阶段,备机可以承担起主机的工作,以避免重要数据的丢失。
单向传输控制
物理上控制反向传输芯片的深度为4个字节,保证丛低安全区到高安全区的TCP应答禁止携带应用数据,大大增强了高安全区业务系统的安全性。在物理上实现了数据流的纯单向传输,数据只能从内网流向外网。
安全裁剪内核,系统的安全性和抗攻击能力强
为了保证系统安全的最大化,已经将嵌入式Linux内核进行了裁剪。目前,内核中只包括用户管理﹑进程管理和Socket编程接口,裁剪掉TCP/IP协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力。
割断穿透性的TCP连接
安全隔离装置采用截断TCP连接的方法,剥离数据包中的TCP/IP头,将内
网的纯数据通过单向数据通道FIFO发送到外网,同时只允许应用层不带任何数据的TCP包的控制信息传输到内网,极大的提高了调度通信监控系统的安全性。
基本安全功能丰富,可以实现在网络中的快速部署
采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映射(NAT)以及虚拟IP技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。
网络通信流畅,不会成为网络通信瓶颈
隔离设备采用motorola高性能CPU,主频达350MHz,内核使用高效的过滤算法,充分发挥良好的硬件性能,百兆状态下的网络吞吐率达到60~80Mbps,不会造成网络通讯的瓶颈。
丰富的通信工具软件和API函数接口
为了使隔离设备达到预期的安全效果,经过隔离设备进行数据传输的软件必须按照《全国电力二次系统安全防护总体方案》的规定进行开发。针对I/II区到III区通信内容规定,SysKeeper-2000网络安全隔离设备提供了丰富的通信工具软件和API函数接口,方便用户进行二次系统隔离改造。
操作简单的图形化用户界面
隔离设备提供了友好的图形化用户界面,可以进行全新的可视化管理与配置。整个界面使用全中文化的设计,通过友好的图形化界面,网络管理员可以很容易地定制安全策略和对系统进行维护管理。用户只需进行简单的培训就可以完成对隔离设备的管理与配置。
系统硬件指标
外形:标准1U 网络接口:2个百兆网卡接口、双机热备接口 外设接口:2个终端接口(RS232)、告警接口 材料:重负荷钢
指示器:LED电源指示灯﹑安全隔离设备状态指示灯﹑网络适配器状态指示灯 尺寸(长×宽×高):350.1×430×40.3 mm
重量:5 kg 工作温度:-5℃~50℃ 输出功率:20 W平均无故障时间(MTBF)>60000小时(100%负荷)典型应用
自2003年至2006年7月底止,我公司SysKeeper-2000网络安全隔离设备在全国投运九百余套,产品遍布全国大部分地区的电网和电厂,其中各级电网部署了600余套,各地电厂部署了近300套,其分布为:
一、国家级
1、国家电力调度中心
2、南方电力调度中心
二、网省级,包括所有网调和大部分省调,详细如下:
1、华东电力调度中心
2、华北电力调度中心
3、西北电力调度中心
4、东北电力调度中心
5、华中电力调度中心
6、江苏电力调度中心
7、浙江电力调度中心
8、安徽电力调度中心
9、福建电力调度中心
10、上海电力调度中心
11、江西电力调度中心
12、湖南电力调度中心
13、湖北电力调度中心
14、重庆电力调度中心
15、四川电力调度中心
16、陕西电力调度中心
17、宁夏电力调度中心
18、甘肃电力调度中心
19、新疆电力调度中心 20、广东电力调度中心
21、广西电力调度中心
22、云南电力调度中心
23、河北电力调度中心
24、北京电力调度中心
25、吉林电力调度中心
三、地区级:共部署了全国各省区170多个地调,计隔离装置330余套,其主要分别如下:
1、江苏13个地区电力调度中心
2、浙江11个地区电力调度中心
3、福建9个地区电力调度中心
4、安徽10个地区电力调度中心
5、上海7个地区电力调度中心
6、江西4个地区电力调度中心
7、湖北9个地区电力调度中心
8、湖南7个地区电力调度中心
9、重庆6个地区电力调度中心
10、四川7个地区电力调度中心
11、广东14个地区电力调度中心
12、广西7个地区电力调度中心
13、贵州6个地区电力调度中心
14、云南5个地区电力调度中心
15、河北7个地区电力调度中心
16、陕西9个地区电力调度中心
17、宁夏4个地区电力调度中心
18、甘肃4个地区电力调度中心
19、北京11个地区电力调度中心 20、山东4个地区电力调度中心
四、县级:共部署了全国各省区240多个县调,计隔离装置250余台,大部分为正向隔离装置,其中部分县调分布如下:
1、江苏22个县调
2、浙江31个县调
3、福建16个县调
4、陕西22个县调
5、广东12个县调
6、广西11个县调
7、贵州6个县调
8、云南8个县调
9、河南15个县调
10、山西9个县调
11、四川11个县调
12、湖南13个县调
13、湖北17个县调
五、电厂:共部署了140多个电厂,计隔离装置近300套,其中部分电厂如下:
1、三峡左岸电厂
2、三峡梯调
3、黄河梯调
4、浙江长兴电厂
5、浙江萧山电厂
6、浙江镇海电厂
7、浙江温州电厂
8、杭州半山电厂
9、浙江嘉兴电厂
10、浙江嘉华电厂
11、浙江兰溪电厂
12、二滩电厂
13、福建水口电厂
14、福建九龙江水电公司
15、江西全省水电
16、广东惠州天然气发电有限公司
17、广东珠江电厂
18、广东汕头电厂
19、湖南湘潭电厂 20、湖南拓溪电厂
21、河南鸭河口电厂
22、河南豫源电厂
23、贵州乌江水电公司
24、贵州大龙电厂
25、云南澜沧江水电公司
26、四川龟都府电厂
27、四川白水江电厂
28、青海龙羊峡电厂
29、温州燃机电厂 30、浙江国华余姚电厂
31、浙江国华宁海电厂
32、北仑港电厂
33、天荒坪电站
34、吉林浑江电厂
35、长春第二热电厂
36、吉林二道江电厂
37、浙江上虞电厂
SysKeeper-2000网络安全隔离装置(反向型)
产品简介
SysKeeper-2000电力专用网络专用安全隔离装置(反向型)是位于调度数据网络与公用信息网络之间的一个安全防护装置,用于安全区III到安全区I/II的单向数据传递。反向型隔离装置内嵌智能IC卡读写器,在实现安全隔离的基础上,采用数字签名技术和数据加密算法保证反向应用数据传输的安全性。因此,该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性,并为建立全国电网二次系统安全防护体系提供有力保障。
为满足电力系统二次安全防护的需要,南瑞信息技术研究所依托在网络安全产品中的广泛技术积累和应用实践经验,以性能好﹑安全第一﹑使用简便﹑运行稳定为网络安全隔离产品的设计原则,自主研制并推出SysKeeper-2000网络安全隔离装置(反向型),如图1所示。通过长时间的测试,网络安全隔离设备具有很高的可靠性、稳定性和可以满足用户需要的执行效率。
图1 SysKeeper-2000网络安全隔离装置(反向型)
获得认证
公安部销售许可证:编号XKC30412 国家电网公司EMC检测认证
解放军信息安全测评认证中心攻防测试认证
国家电网公司电力调度通信中心关于电力专用安全防护设备的检测证明(反向型)检测证明
性能特点
具有安全隔离能力的硬件结构
由两个高性能嵌入式微机及辅助装置形成安全隔离系统,嵌入式微处理器采用RISC体系结构,减少受攻击的概率;实现两个安全区之间的非网络方式的数据交换,并且采用安全算法保证安全隔离装置内外两个处理系统不同时连通。
高可靠性硬件设计
安全隔离产品硬件供电采用的是国外进口开关电源,符合EN55022 class B,IEC801-2,3,4,5, EN60555-2,3 EMC标准,平均无故障时间达64223小时。在PCB板的设计中,加有线性稳压及滤波装置,并严格按照EDA对高频电路设计的要求,设计了单独的电源层与地层,进一步保证了整个板上电源的稳定性。
支持双电源
实践经验及理论都证明,一个产品最易出故障的部位在电源部分。在安全隔离设备中,设计有双电源。在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。
支持双机热备
在实际应用中,可以设置有双机备份,一台工作在主机位置,一台工作于备用位置,两台机器时刻进行通信并进行信息备份,一旦一台隔离设备出现故障时,或者处于看门狗复位阶段,备机可以承担起主机的工作,以避免重要数据的丢失。安全裁剪内核,系统的安全性和抗攻击能力强
为了保证系统安全的最大化,已经将嵌入式Linux内核进行了裁剪。目前,内核中只包括用户管理﹑进程管理﹑和Socket编程接口,裁剪掉TCP/IP协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力。
割断穿透性的TCP连接
安全隔离装置采用截断TCP连接的方法,剥离数据包中的TCP/IP头,将外网的纯数据通过单向数据通道FIFO发送到内网,同时只允许应用层不带任何数据的TCP包的控制信息传输到外网,极大的提高了调度通信监控系统的安全性。
基于数字证书的签名验证和内容检查机制
采用基于数字证书的数字签名技术,在数据的发送端对需要发送的数据进行
签名,然后发给专用反向隔离装置;隔离装置收到数据后进行签名验证,并根据用户对数据的定义检查数据文件的格式和内容,支持通用的数据类型和记录分割符,反向隔离装置将处理过的数据发送给内网的数据接收程序。
基于纯文本的编码转换和识别
根据全国电力二次安全防护的要求,需要将纯文本文件中单字符的ASCII码(非控制字符)转换为对应的双字节码,并能正常显示。南瑞SysKeeper-2000反向隔离装置提供了专用发送软件在发送文本文件数据时,自动将半角字符转换为全角字符。SysKeeper-2000反向隔离装置对收到的数据进行纯文本的识别,如果数据包中数据为合法的纯文本,反向隔离装置都会按照编码范围正确的识别,保证进入内网的数据为纯文本数据。
基本安全功能丰富,可实现在网络中的快速部署
采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映射(NAT)以及虚拟IP技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。
采用专用加密算法进行数据加密和数字签名
南瑞SysKeeper-2000反向型隔离设备采用motorola高性能RISC 体系结构CPU,采用电力专用加密算法、RSA公私密钥算法实现数据加、解密、数字签名、身份认证等功能,保证数据的安全传输。在1024位模长下,RSA数字签名速度为150次/秒,密文数据包吞吐量20Mbps(50条安全策略,1024字节报文长度)。
支持第三方病毒查杀引擎
南瑞SysKeeper-2000反向型网络安全隔离装置的配套文件传输软件支持调用本地杀毒软件的防毒引擎,在发送非文本文件时,对数据内容进行防病毒检查,防止带有病毒的文件进入内网。
基于数字证书的图形化用户界面
南瑞SysKeeper-2000网络安全隔离设备(反向型)提供了基于数字证书的的图形化用户界面,通过反向隔离设备的专用智能IC卡读写器进行身份认证,保证配置管理的安全性。整个界面使用全中文化的设计,通过友好的图形化界面,网络管理员可以很容易地定制安全策略和对系统进行维护管理,用户只需进行简
单的培训就可以完成对隔离设备的管理与配置。
系统硬件指标
外形:标准1U 网络接口:2个百兆网卡接口、双机热备接口 外设接口:2个终端接口(RS232)、告警接口 智能IC卡读写器接口:配套两片32K智能IC卡片 材料:重负荷钢
指示器:LED电源指示灯﹑安全隔离设备状态指示灯﹑网络适配器状态指示灯 尺寸(长×宽×高):350.1×430×40.3 mm 重量:5 kg 工作温度:-5℃~50℃ 输出功率:20W平均无故障时间(MTBF)>60000小时(100%负荷)典型应用
已经有40余套装置稳定运行于江苏省调、浙江省调、河北省调、湖南省调、南京市调、杭州地调、温州地调、淮安地调等30个网、省、地调、县调各级调度中心和三峡梯级调度中心、黄河梯级调度中心等10个电厂。