南瑞信通—网络安全隔离装置(反向型)—Syskeeper-2000

仅供个人参考

一、主要产品介绍

1.产品名称及分类

序号

单位名称南瑞信通

二级单位（事业部或业务板块）名称信息安全事业部

所属板块

产品类别/业务类

别电力系统通信

专业信息安全

产品名称

产品型号

应用领域电力系统

网络安全隔离装置（反向型）

Syskeeper-2000

信息通信安全

1 信息通信

不得用于商业用途

仅供个人参考

2.产品名称

网络安全隔离装置（反向型）。

3.产品简介

电力专用网络安全隔离设备是位于调度数据网络与公用信息网络之间，可以识别非法请求并阻止超越权限的数据访问，保障电力系统的安全稳定运行。网络安全隔离装置（反向型）用于安全区I/II

的单向数据传递。

网络安全隔离装置（反向型

）

III

到安全区

4.产品特点（优势）

安全裁剪内核，系统的安全性和抗攻击能力强为了保证系统安全的最大化，

SysKeeper-2000网络安全隔离产品（反向型）已经将嵌入式内核进

TCP/IP协议栈和其它不需要的

行了裁剪和优化。目前，内核中只包括用户管理﹑进程管理，裁剪掉

系统功能，进一步提高了系统安全性和抗攻击能力，免于黑客对操作系统的攻击，并有效抵御Dos/DDos攻击。

基于数字证书的签名验证和内容检查机制

采用基于数字证书的数字签名技术，在数据的发送端对需要发送的数据进行签名，然后发给专用反向隔离装置；隔离装置收到数据后进行签名验证，并根据用户对数据的定义检查数据文件的格式和内容，支持通用的数据类型和记录分割符，

基于电力描述语言的内容强过滤

通过反向隔离装置传输的软件都是从低安全区向高安全区进行传输，为了严格保障内网安全，禁止非法文件、病毒文件传输到内网，要对传输的文件内容进行过滤。为此国家调度中心制定了《电力系统数据描述语言》，提出了电力行业专用的数据描述语言持对E语言文件的格式检查，来对传输的文件进行内容强过滤

基于纯文本的编码转换和识别根据全国电力二次安全防护的要求，性，也可以将纯文本文件中单字符的

可以对传输的

E语言文件进行模式检查，

来判断文件的合法

并能正常显示。

E语言。按照国调要求，反向隔离装置支

反向隔离装置将处理过的数据发送给内网的数据接收程序。

ASCII码（非控制字符）转换为对应的双字节码，

南瑞SysKeeper－2000反向隔离装置提供了专用发送软件在发送文本文件数据时，自动将半角字符转换为全角字符。SysKeeper-2000反向隔离装置对收到的数据进行纯文本的识别，如果数据包中数据为合法的纯文本，反向隔离装置都会按照编码范围正确的识别，保证进入内网的数据为纯文本数据。

完善的密钥管理机制

SysKeeper-2000反向型网络安全隔离设备提供基于算法进行数字加密的功能。进行

RSA公私密钥对的数字签名和采用专用加密

ID号使用密钥

RSA运算时，为了保证密钥的安全性，提供已密钥的

的功能，密钥仅存在与反向型网络安全隔离设备的安全存储区中，与应用系统隔离，不能通过任何非法手段进行访问，极大的提高了数据交换的安全性。

不得用于商业用途

仅供个人参考

割断穿透性的TCP连接

SysKeeper-2000反向型网络安全隔离设备将外网的纯数据通过反向安全通道发送到内网，传输到外网，保护内网监控系统的安全性。

基本安全功能丰富，可实现在网络中的快速部署

采用综合过滤技术，在链路层截获数据包，然后根据用户的安全策略决定如何处理该数据包；实现了MAC与IP地址绑定，防止

IP地址欺骗；支持静态地址映射

(NAT)以及虚拟IP技术；具有可定制

采用截断TCP连接的方法，剥离数据包中的同时只允许应用层不带任何数据的

TCP/IP头，

TCP包的控制信息

的应用层解析功能，支持应用层特殊标记识别，为用户提供一个全透明﹑安全﹑高效的隔离装置。

虚拟IP、隐藏MAC地址

南瑞网络安全隔离系列产品采用独特的自适应技术，

隔离设备没有IP地址，隐藏MAC地址，非

法用户无法对隔离设备进行网络攻击，有效的提高了系统的安全性能。

采用专用加密算法进行数据加密和数字签名南瑞SysKeeper-2000反向型网络隔离设备采用加密算法、RSA公私密钥算法实现数据加、在1024位模长下，RSA数字签名速度为字节报文长度）。

提供专用配套反向文件传输软件

为了使隔离设备达到预期的安全效果，经过反向型隔离设备进行数据传输的软件必须按照《全国电力二次系统安全防护总体方案》的规定进行开发。针对

III区到I/II区通信内容规定，南瑞

E

motorola高性能RISC 体系结构CPU，采用对称

解密、数字签名、身份认证等功能，保证数据的安全传输。

30Mbps（50条安全策略，1024

180次/秒，密文数据包通吐量

SysKeeper-2000网络安全隔离设备（反向型）提供专用文件传输软件（实现数字签名、编码转换、语言检查和数字签名功能），方便用户进行二次系统安全隔离改造。

完善的日志审计功能日志在南瑞

SysKeeper-2000反向隔离设备每天的运行中起着很重要的作用

,由于许多攻击﹑系统

漏洞不具备机器可分析的特征，或者新的攻击的特征还不为人所知，因此，日志是发现攻击﹑发现系统漏洞和记录攻击证据的重要手段。隔离设备内、外网各板载安全存储区用于系统日志的记载，循环更新保持最新的系统日志。

基于数字证书的图形化用户界面

南瑞SysKeeper-2000网络安全隔离设备（反向型）提供了基于数字证书的的图形化用户界面，通过反向隔离设备的专用智能

IC卡读写器进行身份认证，保证配置管理的安全性。整个界面使用全中

文化的设计，通过友好的图形化界面，网络管理员可以很容易地定制安全策略和对系统进行维护管理，用户只需进行简单的培训就可以完成对隔离设备的管理与配置。

5.产品性能

产品规格：

材料：重负荷钢

散热：两个35毫米的散热风扇，带空气过滤网

不得用于商业用途

仅供个人参考

指示器：LED电源指示灯﹑安全隔离设备状态指示灯﹑网络适配器状态指示灯尺寸(长×宽×高):350.1×430×40.3毫米重量：5千克

电源:

输入电压：220V AC±20% 输入频率：50HZ 电源功耗：25W

平均无故障时间(MTBF)>60000小时(100%负荷)

工作环境:

工作温度：-10°-55存储温度：-20°-80

°

°

工作湿度：5～95%，非冷凝存储湿度：5～95%，非冷凝

性能指标：

100M LAN环境下，数据包密文吞吐量

40Mbps (50条安全策略，1024字节报文长度)，

1024位模长，RSA数字签名速率180次/秒。数据包转发延迟：＜满负荷数据包丢弃率：

20ms （100％负荷）0

6.适用范围

本产品适用于电力系统安全大区之间横向防护。

7.典型应用（主要业绩）

截止2010年3月份，网络安全隔离装置（反向型）系列已在全国多个省地级电力公司和变电站得到应用,包括北京、江苏、安徽、福建、甘肃、陕西、云南、广西、江西、浙江等共计全可靠，得到了用户的一致好评。典型项目有：业主名称

工程项目及所在地

项目规模（数量）

投产时间

质量情况

2000余套。装置运行安

证明人

广东省调二次安防项目

广东

广东省调横向防护，拨号装置应

用4台

华能集团下属12个电厂的横向隔

2008年7月运行良好陈家桐

华能集团横向隔离防护项目

全国离改造工程部署横向隔离装置

台

20

2008年12

月

运行良好张北

不得用于商业用途

仅供个人参考

国调二次系统安全防护项目

包括国调、西北网调、吉林省调

北京

的正向、反向装置的改造，纵向加密认证装置的部署

20余套

2008年6月

运行良好

李毅松

华北网调安全隔离装置接入

北京

包括正、反向安全隔离装置部署，6套

西北网调二次系统安全分区调

2005年7月运行良好张哲

西北网调二次系统安全防护

西安

整、水调和反向计划信息应用改造，正、反向安全隔离装置，套

4

2006年9月运行良好朱樱/

上海市调二次系统安全防护

项目宁夏省调及各地调二次系统防护改造浙江省调及各地调二次系统安全防护项目江苏省调及各地调二次系统安全防护湖南省调及各县调二次系统安全防护江西四地调二次安防项目陕西地调二次系统安全防护

项目安徽省调二次系统安全防护

项目广西电网公司安全防护工程江苏省调及各地调二次系统安全防护云南省调安全防护工程

江苏安徽陕西湖南江苏浙江宁夏上海

上海市调、区调、等横向隔离装

置系统20套。

2008年5月运行良好顾立新

宁夏省调及下属地区调度横向隔离装置34套

浙江省调、11个地调、二次系统安全防护，内容包括：正、反向隔离装置的升级改造

100套，

2008年7月运行良好耿多

2007年12

月

运行良好陈立跃

江苏省调、13个地调、59个县调、二次系统安全防护项目，内容包括：正网络安全隔离装置单比特改造111台部署等。

湖南全省30个县调，正反向隔离装置单比特改造部署

30套，部署

2008年5月～2008年

7月

运行情况良好

苏大威

2008年9月运行良好陈瞿铁

57台防火墙，30套IDS的部署包括4地调、8个水电厂的安全隔

江西

离接入与应用改造，内容包括正反向隔离装置、防火墙部署等陕西省调及置接入10套

4个地调安全隔离装

2004年10

月2007年5

运行良好

应忠德

运行良好徐建军

安徽省调及3个地调安全隔离接

入与应用改造，8套

2005年4月运行良好袁林

广西

广西省调及下属地调横向隔离装

置的部署12台

2007年9月运行良好李劲

江苏省调、13个地调、反向隔离装置部署。

2009年12

月

运行情况良好苏大威

昆明

云南省调正、反向隔离装置部署

套

42008年12

月

运行情况良好丁世明

不得用于商业用途

仅供个人参考

南网总调安全防护工程

2008年12

月

广州南网总调正、反向隔离装置6套运行情况良好胡荣

广州市调广州

广州市调安全防护项目部署正、

反向隔离装置

4套

2009年5月运行情况良好

深圳市调深圳

深圳市调横向防护工程部署正、

反向隔离装置

4套

2009年6月运行情况良好

不得用于商业用途

仅供个人参考

仅供个人用于学习、研究；不得用于商业用途。

For personal use only in study and research; not for commercial use.

Nur für den pers?nlichen für Studien, Forschung, zu kommerziellen Zwecken verwendet werden.

Pour l 'étude et la recherche uniquement à des fins personnelles; pas à des fins commerciales.

толькодля　людейкоторые　, используются　для　обученияисследований　, и　не　должны　

использоваться в коммерческих целях．

以下无正文

不得用于商业用途