纵向加密装置百兆型
纵向加密装置百兆型 销售电话 :13522191905
一 产品定位
纵向加密认证网关主要部署在电力监控系统的内部局域网与电力调度数据网络的路由器之间,用于安全区 I/II 的广域网边界保护,可为本地安全区 I/II 提供一个网络屏障,同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。
二、产品功能
1) 装置具有状态指示,开机自检和周期性自检功能,能清晰明确地指示故障或状态。
2) 基于三权分立机制提供安全、方便的维护管理方式,方便对装置进行设置、监视和控制运行;
3) 支持 USBKey 和口令实现双因子登录认证,审计登录日志,强化登录行为安全性;
4) 支持国密 SM2、SM3 算法、电力专用密码算法对传输的数据进行加密保护,保证数据的真实性、机密性和完整性;
5) 具有基于 IP 地址、传输协议、应用端口号的综合报文过滤与访问控制功能;
6) 装置能够识别、处理网络正常运行所需要的路由协议报文及其他协议报文;
7) 网络环境适应性方面,支持 TRUNK 功能,支持多种网络接入环境,包括标准的 802.1Q 多 VLAN 环境、地址借用的网络环
境、单进单出网络环境和多进多出网络环境等;
8) 装置支持通过远程装置管理中心准确可靠实现远程的访问管理、装置重启、隧道初始化和策略添加等功能;
9) 装置支持规则配置的备份与恢复;
10) 装置支持双机热备功能,保证系统的高可靠性;
11) 装置支持基于电力数字证书的认证;
12) 装置支持不同厂家设备的互联互通;
13) 装置会话密钥协商通过四种方式发起认证与协商,包括加密装置开机时根据本地隧道配置尝试发起、管理员本地手动
发起、根据隧道周期设置范围发起、根据隧道密文包计数发起;
14) 装置支持完备的日志审计功能,包括用户登录、系统运行、隧道状态等日志信息;
15) 装置支持系统告警,支持完备的安全事件告警机制,日志审计功能满足《电力二次系统安全告警日志格式规范》要
求,可接入电力监控系统网络安全管理平台。
三、产品特点
(一)先进的底层防护
2000 系列纵向加密认证网关搭载南瑞自研可信验证模块,基于可信根实现对操作系统引导程序、系统程序、
应用程序、重要配置参数的可信验证,提升装置自身防护功能。
(二)自主可控操作系统
2000
系列纵向加密认证网关采用南瑞自主开发的安全操作系统;针对网络化环境下信息安全攻击技术特点,研究能有效防御缓冲区溢出攻击、病毒攻击的特色技术,并采取缺省安全、简化安全配置等措施,增强安全操作系统的易用性。本系NARISecOS
符合《GB/T
20272-2006-信息安全技术-操作系统安全技术要求》中第四级结构化保护级的安全保证规范,是为数不多的同时通过公安部四级安全操作系统测试和中国电力科学研究院四级安全操作系统测试的产品之一
NARI;并且也是目前我国通过认证的安全等级最高的操作系统,更是电力行业内部单位唯一。
(三)高性能电力专用硬件加密技术
NetKeeper-2000
系列纵向加密认证网关采用国家密码管理局授权批准的电力专用密码算法自主研制开发高性能电力专用硬件密码单元,该密码单元支持身份鉴别、信息加密、数字签名和密钥生成与保护。经过大量的测试表明,电力密码处理单元具有足的抗密码分析攻击的能力和非常高的加解密处理能力,同时为了保证密钥和密码算法的安全性,2000系列纵向加密认证网关的密钥及算法仅存在于系统密码处理单元的安全存储区中,与应用系统完全隔离,不能通过任何非法手段进行访问,极大的提高了数据交换的安全性。
(四)支持多种灵活接入方式
NetKeeper-2000 系列纵向加密认证网关对用户完全透明,现有的网络拓扑结构无须任何改动。系统支持明通、密文和选
择性加密传输;系统典型工作模式包括透明模式、路由模式、防火墙模式、旁路模式等;根据现场的实际接入环境,系统支
持多种接入方式,包括“背靠背”接入、跨网段路由接入、NAT接入、多 VLAN 接入、复用地址接入、VRRP 环境接入等,可以
实现多种应用环境下实时业务的无缝接入,充分降低用户管理和使用的复杂程度。(六)安全综合防护功能
NetKeeper-2000
系列纵向加密认证网关集成基于应用的内容过滤和硬件防火墙技术。系统支持对数据报文的源、目的地址、协议域及相应的源、目的端口、标志域等属性进行组合形成不同的包过滤规则,控制进出的信息流向和信息包,有效防止攻击者对加密认证网关和实时监控网络的各种攻击;系统支持带访问控制列表的地址转换技术,有效控制外部网络对内部网络的访问,结合地址池技术,实现多对多的地址转换。
(七)操作简单的图形化用户界面
NetKeeper-2000 系列纵向加密认证网关提供了友好的图形化用户界面,可以进行全新的可视化管理与配置。整个界面使
用全中文化的设计,通过友好的图形化界面,网络管理员可以很容易地定制安全策略和对系统进行维护管理。用户只需进行
简单的培训就可以完成对加密设备的管理与配置。
(八)系统高可靠运行保障技术
NetKeeper-2000 系列纵向加密认证网关采用了多种高可靠性保障技术包括双机冗余备份技术、硬件自动旁路技术、双电
源冗余技术等,使得系统达到 99.99%以上的不间断运行水平。
(八)严格的生产流程控制
NetKeeper-2000
系列纵向加密认证网关严格遵循 ISO9001-2000
版质量认证体系,对每一台纵向加密网关的关键芯片和元器件进行产品老化试验,所有的加密网关在出厂前必须经过质检中心 72
小时连续通电和大流量通信测试,检测合格后会颁发产品合格证并备案,确保现场每一台加密认证网关产品运行的稳定性和硬件的高可靠性。
(九)电信运营商网络的支持
NetKeeper-2000 纵向加密认证网关(十兆型)使用自身独有的无线模块可直接插入电信运营商的 3G/4G/5G SIM 卡使用,
通过加密网关分别与内部局域网和运营商 4G 专网连接,为网关机之间的广域网通信提供具有认证、加密功能的网络隧道,实
现数据传输的机密性、完整性保护。
四、技术指标
(一)硬件指标
1.千兆型
设备参数
网络接口
100/1000M 网卡接口≥6 个(包含 4 个业务网口,1 个心跳口,1 个配置网口),1000M 光纤接口≥2 个外设接口 终端接口(RS232)1 个,智能 IC 卡接口(包含 USBKey 等安全介质)1 个
设备尺寸 440×420×44mm
电源数量 双电源
额定输入电压 (AC/DC)110V/220V,另有 DC48V 版本
功耗 35W
2百兆型
设备参数
网络接口
100M/1000M 网卡接口≥6 个(包含 4 个业
务网口,1 个心跳口,1 个配置网口)
外设接口 终端接口(RS232)1 个,智能 IC 卡接口
(包含 USBKey 等安全介质)1 个
设备尺寸 440×350×44mm
电源参数
电源数量 双电源
额定输入电压 (AC/DC)110V/220V,另有 DC48V 版本
功耗 21W
3十兆型
设备参数
网络接口 100M 网卡接口≥2 个
外设接口 终端接口(RS232)1 个,智能 IC 卡接口(包含 USBKey 等安全介质)1 个,无线天线接口(无线 5G 版 2 个,无线 4G 版 1 个,有线版 0 个)
设备尺寸 135×90×25mm
电源参数
电源数量 单电源
额定输入电压 (DC)9~36V
功耗 5W
二 性能要求
千兆型
最大并发加密隧道数:2048 条;
加密隧道建立延迟时间:<1s;
明文数据包吞吐量:≥1800Mbps
密文数据包吞吐量:≥1119Mbps
数据包转发延迟:<1ms;
满负荷数据包丢弃率:0。
百兆型
最大并发加密隧道数:1024 条;
加密隧道建立延迟时间:<1s;
明文数据包吞吐量:≥1800Mbps
密文数据包吞吐量:≥605Mbps
数据包转发延迟<1ms;
满负荷数据包丢弃率:0。
十兆型
最大并发加密隧道数:10 条;
加密隧道建立延迟时间:<1s;
明文数据包吞吐量:≥128Mbps
密文数据包吞吐量:≥10Mbps
数据包转发延迟:<5ms;
五、应用场景
1.千兆型
主要应用于电网调度主站、大型重要变电站、换流站、大型发电厂、集控中心的监控系统边界,该类节点监控系统业务的网络带宽巨大,使用千兆型纵向加密网关可以高效保护业务的完整性,机密性。
2.百兆型
主要应用于电力公司下属各系统变电站,直属电厂以及各用户变电站等与主站变电自动化通信。
3.十兆型
2000 纵向加密认证网关(十兆型)主要适用于业务流量小的场景,例如配电自动化的安全接入区和配电终端
之中;其无线模块使用运营商网络通信,插入 SIM 卡即可,由于其小型化、经济化等特点,现已广泛应用在全国各地陆上风
电、海上风电和分布式光伏等新能源项目中。