产品概述
hr yd-3000远动通信安全网关是根据国家电力二次系统安全防护要求,针对电力系统远动通信应急恢复、临时调试、不具备电力通道条件的安全接入而设计的。装置采用工业级服务器、电力调度专用证书认证、防火墙、数据加密等安全技术,对远程接入设备进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入访问的范围和资源进行限制,通过审计日志对其访问进行详细的记录,以提高电力二次系统安全防护的强度。
hr yd-3000远动通信安全网关将tcp/ip网络通讯技术、数据加密技术以及usb key认证技术融合在一起,实现随时随地采用多种方式在保证信息安全的前提下远程接入,并且无需应用环境或软件做任何改动。尤其是在电网因自然灾害局部出现通信中断时, 装置提供的应急远动通道对调度自动化系统连续、安全、稳定运行提供了有利的保障。也使得远动信息中断的故障处理进行快速应急恢复,缩短故障的时间,使远动设备运行率、调度自动化系统运行率都相应的得到提高,对增强电力通信抗灾能力,确保远动通信业务畅通有极大的意义。
安全需求
电力系统在使用公网通信是具有潜在的安全风险的,包含外部攻击及管理疏忽等安全隐患,因此,电监会《电力二次系统安全防护方案》对使用公网通信的提出了相关要求,即:“远程通信网络优先使用电力调度数据网,其次可以选用专用通道,再次可以选用公网,但是使用公网时通信必须加密”,因此,能否解决公网运用于电力系统通信,其安全性的保证是hr yd-3000远动通信安全网关的技术重点。
应用环境
远动通信安全网关可以在调度主站、厂站及配电与负控系统中使用,具体的应用场合包括:
1)在厂站电力调度数据网远动通信中断情况下,为远动数据传输提供应急通道,确保电网设备可控运行。
2)在无电力专用通信条件时的小水电、35kv变电站,为远动数据传输提供安全数据通道。
3)为配电与负控系统的主站及终端之间通信提供安全数据通道
4)为采用拨号方式的故障录波系统、电能量采集系统主站及厂站之间通信提供安全数据通道
5)在厂站基建过程中电力数据通信网络不具备条件时,为远动数据传输提供临时通道,安全可靠的加快rtu调试进度。
防护措施
·将电力系统内网与传输远动数据的公网进行网络隔离
·在远动通信通道建立的过程中进行基于调度数字证的身份验证
·所有通信数据采用密文传输,保证数据的机密性、完整性、不可否认性
·对传输数据的相关权限可以根据策略进行控制
技术特点
网络隔离
采用“双机非网”的结构模式来实现以上要求,“内网主机”与内网(安全区i、ii)以网络或串口的方式连接,“外网主机”与公网以网络连接,“内网主机”与“外网主机”以高速串口结合非网络协议方式连接,从而达到既能保证应用程序之间进行双向数据通信,又能保证网络层面公网与内网之间网络隔离。 身份认证
以电力调度专用证书颁发机构即ca中心签发的数字证书为核心的加密技术,可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
传输加密
经过公网传输的数据必须进行加密,考虑到经济成本等因素可以采用软加密,加密算法可以采用成熟通用的算法,例如:des、3des、aes、sha、rsa等,对于成本控制比较宽松的场合也可采用国密办认证的商业密码算法
权限受控
对网络层面的数据采用基于mac、ip、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;对应用层的通信规约数据增添各种通讯协议的分析,根据通讯连接建立的状态以及应用数据包的结构,对带控制命令的通信数据包可以根据策略设置允许或限制其通过。
远动通信安全网关
基本型
hr yd-3000远动通信安全网关是根据国家电力二次系统安全防护要求,针对电力系统远动通信应急恢复、临时调试、不具备电力通道条件的安全接入而设计的。装置采用工业级服务器、电力调度专用证书认证、防火墙、数据加密等安全技术,对远程接入设备进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入访问的范围和资源进行限制,通过审计日志对其访问进行详细的记录,以提高电力二次系统安全防护的强度。
4线gprs型
hr yd-3000远动通信安全网关是根据国家电力二次系统安全防护要求,针对电力系统远动通信应急恢复、临时调试、不具备电力通道条件的安全接入而设计的。装置采用工业级服务器、电力调度专用证书认证、防火墙、数据加密等安全技术,对远程接入设备进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入访问的范围和资源进行限制,通过审计日志对其访问进行详细的记录,以提高电力二次系统安全防护的强度。
双4线卫星网络型
hr yd-3000远动通信安全网关是根据国家电力二次系统安全防护要求,针对电力系统远动通信应急恢复、临时调试、不具备电力通道条件的安全接入而设计的。装置采用工业级服务器、电力调度专用证书认证、防火墙、数据加密等安全技术,对远程接入设备进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入访问的范围和资源进行限制,通过审计日志对其访问进行详细的记录,以提高电力二次系统安全防护的强度。
双机双网型
hr yd-3000远动通信安全网关是根据国家电力二次系统安全防护要求,针对电力系统远动通信应急恢复、临时调试、不具备电力通道条件的安全接入而设计的。装置采用工业级服务器、电力调度专用证书认证、防火墙、数据加密等安全技术,对远程接入设备进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入访问的范围和资源进行限制,通过审计日志对其访问进行详细的记录,以提高电力二次系统安全防护的强度。
配电主站型
hr yd-3000远动通信安全网关是根据国家电力二次系统安全防护要求,针对电力系统远动通信应急恢复、临时调试、不具备电力通道条件的安全接入而设计的。装置采用工业级服务器、电力调度专用证书认证、防火墙、数据加密等安全技术,对远程接入设备进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入访问的范围和资源进行限制,通过审计日志对其访问进行详细的记录,以提高电力二次系统安全防护的强度。
配电终端型
hr yd-3000远动通信安全网关是根据国家电力二次系统安全防护要求,针对电力系统远动通信应急恢复、临时调试、不具备电力通道条件的安全接入而设计的。装置采用工业级服务器、电力调度专用证书认证、防火墙、数据加密等安全技术,对远程接入设备进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入访问的范围和资源进行限制,通过审计日志对其访问进行详细的记录,以提高电力二次系统安全防护的强度。
南瑞narinetkeeper-2000iv 纵向加密装置 批发
产品简介:
产品说明
netkeeper-2000 纵向加密认证网关部署在电力控制系统的内部局域网与电力调度数据网络的路由器之间, 可以为电力调度部门上下级控制中心多个业务系统之间的实时数据交换提供认证与加密服务,实现端到端的选择性保护,保证电力实时数据传输的实时性、机密性、完整性和可靠性。
产品特点
netkeeper2000 系列纵向加密认证网关支持对多种电力专用协议iec104、dl47692 等进行安全解析,对不同功能的报文采取不同的应用策略:对监视和查询报文分别以明通方式通信,而对控制报文以及控制报文的参数进行加密,保证重要实时命令的机密性和完整性。
支持多种灵活接入方式
netkeeper2000 系列纵向加密认证网关对用户完全透明,现有的网络拓扑结构无须任何改动。可以实现多种应用环境下实时业务的无缝接入,充分降低用户管理和使用的复杂程度。安全综合防护功能
netkeeper2000系列纵向加密认证网关集成基于应用的内容过滤和硬件防火墙技术。
系统高可靠运行保障技术
netkeeper2000系列纵向加密认证网关采用了多种高可靠性保障技术包括双机冗余备份技术、硬件自动旁路技术、双电源冗余技术等,使得系统达到 99.99%以上的不间断运行水平。
高可靠性硬件设计
netkeeper2000系列纵向加密认证网关充分考虑电厂和变电站的特殊运行环境,整体硬件设计分布均匀、布局合理,硬件电源采用双电源设计,电源模块全部采用国外进口高档工控电源,有效地提高系统平均无故障工作时间。
严格的生产流程控制
netkeeper2000 系列纵向加密认证网关严格遵循 iso9000 2000 版质量认证体系,对每一台纵向加密认证网关的关键芯片和元器件进行产品老化试验,所有的纵向加密认证网关在出厂前必须经过南瑞质检验中心 240 小时连续通电和大流量通信测试,检测合格后会颁发产品合格证并备案,确保现场每一台纵向加密认证网关产品运行的稳定性和硬件的高可靠性。
丰富的现场使用经验
通过多个现场环境的实际使用和接入, 积累了丰富的现场实施经验,能够适应多种复杂的接入网络环境,能够确保用户调度数据网的安全可靠运行。
产品规格
材料:重负荷钢
尺寸(长×宽×高):440×420×44.5 毫米
重量:5 千克
网络接口: 4 个千兆网卡接口+1 个百兆网卡接口(其中 eth0 与eht1、eth2 与 eth3 支持自动旁路)
外设接口:1 个终端接口(rs232)+1 个智能 ic 卡接口
电源
输入电压:220v ac±20%
输入频率:47~63hz
电源功耗:60w
平均无故障时间(mtbf)>60000 小时(100%负荷)
工作环境
工作温度:10°55°
存储温度:20°80°
工作湿度:5~95%,非冷凝
存储湿度:5~95%,非冷凝
性能指标
最大并发加密隧道数:1024 条
100m lan 环境下,加密隧道建立延迟<1s
明文数据包吞吐量:200mbps (50 条安全策略,1024 报文长度)
密文数据包吞吐量:35mbps (50 条安全策略,1024 报文长度)
数据包转发延迟:<1ms (50%密文数据包吞吐量)
满负荷数据包丢弃率:0
适用范围
本产品适用于电力系统生产控制大区与广域网交接处。
公司部份产品目录
产品简介
电力专用纵向加密认证网关部署在电力控制系统的内部局域网与电力调度数据网络的路由器之间,可以为电力调度部门上下级控制中心多个业务系统之间的实时数据交换提供认证与加密服务,实现端到端的选择性保护,保证电力实时数据传输的实时性、机密性、完整性和可靠性。
3. 产品特点(优势)
1 高性能电力专用硬件加密技术netkeeper-2000系列纵向加密认证网关采用国家密码管理局授权批准的电力专用密码算法自主研制开发高性能电力专用硬件密码单元,该密码单元支持身份鉴别,信息加密,数字签名和密钥生成与保护。
2 应用协议选择性加密netkeeper-2000系列纵向加密认证网关支持对多种电力专用协议iec104、dl476-92等进行安全解析,对不同功能的报文采取不同的应用策略:对监视和查询报文分别以明通方式通信,而对控制报文以及控制报文的参数进行加密,保证重要实时命令的机密性和完整性。
3支持多种灵活接入方式netkeeper-2000系列纵向加密认证网关对用户完全透明,现有的网络拓扑结构无须任何改动。可以实现多种应用环境下实时业务的无缝接入,充分降低用户管理和使用的复杂程度。
4安全综合防护功能netkeeper-2000系列纵向加密认证网关集成基于应用的内容过滤和硬件防火墙技术。
5系统高可靠运行保障技术netkeeper-2000系列纵向加密认证网关采用了多种高可靠性保障技术包括双机冗余备份技术、硬件自动旁路技术、双电源冗余技术等,使得系统达到99.99%以上的不间断运行水平。
6高可靠性硬件设计netkeeper-2000系列纵向加密认证网关充分考虑电厂和变电站的特殊运行环境,整体硬件设计分布均匀、布局合理,硬件电源采用双电源设计,电源模块全部采用国外进口高档工控电源,有效地提高系统平均无故障工作时间。
7严格的生产流程控制netkeeper-2000系列纵向加密认证网关严格遵循iso9000 2000版质量认证体系,对每一台纵向加密认证网关的关键芯片和元器件进行产品老化试验,所有的纵向加密认证网关在出厂前必须经过南瑞质检验中心240小时连续通电和大流量通信测试,检测合格后会颁发产品合格证并备案,确保现场每一台纵向加密认证网关产品运行的稳定性和硬件的高可靠性。
8丰富的现场使用经验通过多个现场环境的实际使用和接入,积累了丰富的现场实施经验,能够适应多种复杂的接入网络环境,能够确保用户调度数据网的安全可靠运行。
上海贸易有限公司
18702104829
中国 上海