網(wǎng)閘負責人：曹經(jīng)理 13522191905

網(wǎng)絡安全隔離裝置（ 反向型）SysKeeper-2000
>＞產(chǎn)品說明
南瑞隔離裝置 SysKeeper-2000 網(wǎng)絡安全隔離裝置（反向型）是
位于調度數(shù)據(jù)網(wǎng)絡與公用信息網(wǎng)絡之間的一個安全防護
裝置，用于安全區(qū)川到安全區(qū)I/Il的單向數(shù)據(jù)傳遞。反向
型隔離裝置內嵌智能IC卡讀寫器，在實現(xiàn)安全隔離的基
礎上，采用數(shù)字簽名技術和數(shù)據(jù)加密算法保證反向應用
數(shù)據(jù)傳輸?shù)陌踩浴?/span>

>＞產(chǎn)品特點
．安全裁剪內核，系統(tǒng)的安全性和抗攻擊能力強
為了保證系統(tǒng)安全的最大化，。網(wǎng)
絡安全隔離裝置（反向型）已經(jīng)將嵌入式內核進行了裁
剪和優(yōu)化。目前，內核中只包括用戶管理、進程管理，
裁剪掉下CF/IF協(xié)議棧和其它不需要的系統(tǒng)功能，進一步
提高了系統(tǒng)安全性和抗攻擊能力，免于黑客對操作系統(tǒng)
的攻擊，并有效抵御Dos/DDos攻擊。
．基于數(shù)字證書的簽名驗證和內容檢查機制
采用基于數(shù)字證書的數(shù)字簽名技術，在數(shù)據(jù)的發(fā)送
端對需要發(fā)送的數(shù)據(jù)進行簽名，然后發(fā)給專用反向隔離
裝置；隔離裝置收到數(shù)據(jù)后進行簽名驗證，并根據(jù)用戶
對數(shù)據(jù)的定義檢查數(shù)據(jù)文件的格式和內容，支持通用的
數(shù)據(jù)類型和記錄分割符，反向隔離裝置將處理過的數(shù)據(jù)
發(fā)送給內網(wǎng)的數(shù)據(jù)接收程序。
．基于電力描述語言的內容強過濾
通過反向隔離裝置傳輸?shù)能浖际菑牡桶踩珔^(qū)向
高安全區(qū)進行傳輸，為了嚴格保障內網(wǎng)安全，禁止非法
文件、病毒文件傳輸?shù)絻染W(wǎng)，要對傳輸?shù)奈募热葸M行
過濾。為此國家調度中心制定了《電力系統(tǒng)數(shù)據(jù)描述語
言》，提出了電力行業(yè)專用的數(shù)據(jù)描述語言E語言。按
照國調要求，反向隔離裝置支持對E語言文件的格式檢
查，來對傳輸?shù)奈募M行內容強過濾。
．基于純文本的編碼轉換和識別
根據(jù)全國電力二次安全防護的要求，可以對傳
輸?shù)腅語言文件進行模式檢查，來判斷文件的合法
性，也可以將純文本文件中單字符的ASC日碼（非控
制字符）轉換為對應的雙字節(jié)碼，并能正常顯示。
網(wǎng)絡安全隔離裝置（反向型）提供了
專用發(fā)送軟件在發(fā)送文本文件數(shù)據(jù)時，自動將半角字符
轉換為全角字符。網(wǎng)絡安全隔離裝置
（反向型）對收到的數(shù)據(jù)進行純文本的識別，如果數(shù)據(jù)
包中數(shù)據(jù)為合法的純文本，反向隔離裝置都會按照編碼
范圍正確的識別，保證進入內網(wǎng)的數(shù)據(jù)為純文本數(shù)據(jù)。
．完善的密鑰管理機制
網(wǎng)絡安全隔離裝置（反向型）提
供基于RSA公私密鑰對的數(shù)字簽名和采用專用加密算法
進行數(shù)字加密的功能。進行RSA運算時，為了保證密鑰
的安全性，提供以密鑰的舊號使用密鑰的功能，密鑰僅
存在于反向型網(wǎng)絡安全隔離設備的安全存儲區(qū)中，與應
用系統(tǒng)隔離，不能通過任何非法手段進行訪問，極大的
提高了數(shù)據(jù)交換的安全性。
．割斷穿透性的丁CP連接
網(wǎng)絡安全隔離裝置（反向型）采
用截斷丁C尸連接的方法，剝離數(shù)據(jù)包中的丁CF/I P頭，將
外網(wǎng)的純數(shù)據(jù)通過反向安全通道發(fā)送到內網(wǎng)，同時只
允許應用層不帶任何數(shù)據(jù)的丁CP包的控制信息傳輸?shù)酵?/span>
網(wǎng)，保護內網(wǎng)監(jiān)控系統(tǒng)的安全性。
．基本安全功能豐富，可實現(xiàn)在網(wǎng)絡中的快速部署
采用綜合過濾技術，在鏈路層截獲數(shù)據(jù)包，然后根
據(jù)用戶的安全策略決定如何處理該數(shù)據(jù)包；實現(xiàn)了MAC
與'P地址綁定，防止'P地址欺騙；支持靜態(tài)地址映射
(NAT)以及虛擬'P技術；具有可定制的應用層解析功能，
支持應用層特殊標記識別，為用戶提供一個全透明、安
全、高效的隔離裝置。
．虛擬！PS隱藏MAC地址
網(wǎng)絡安全隔離系列產(chǎn)品采用獨特的自適應技術，隔
離設備沒有'P地址，隱藏MAC地址，非法用戶無法對隔
離設備進行網(wǎng)絡攻擊，有效的提高了系統(tǒng)的安全性能。
．采用專用加密算法進行數(shù)據(jù)加密和數(shù)字簽名
網(wǎng)絡安全隔離裝置（反向型）
采用高性能RISC體系結構CPU，采用對稱加密算法、
RSA公私密鑰算法實現(xiàn)數(shù)據(jù)加、解密、數(shù)字簽名、身份
認證等功能，保證數(shù)據(jù)的安全傳輸。
．提供專用配套反向文件傳輸軟件
按照（（全國電力二次系統(tǒng)安全防護總體方案》的規(guī)
定，。網(wǎng)絡安全隔離設備（反向型）提
供專用文件傳輸軟件（實現(xiàn)數(shù)字簽名、編碼轉換、E語
言檢查和數(shù)字簽名功能。
．完善的日志審計功能
日志在。網(wǎng)絡安全隔離裝置（反向
型）每天的運行中起著很重要的作用，由于許多攻擊、
系統(tǒng)漏洞不具備機器可分析的特征，或者新的攻擊的特
征還不為人所知，因此，日志是發(fā)現(xiàn)攻擊、發(fā)現(xiàn)系統(tǒng)漏
洞和記錄攻擊證據(jù)的重要手段。隔離設備內、外網(wǎng)各板
載安全存儲區(qū)用于系統(tǒng)日志的記載，循環(huán)更新保持最新
的系統(tǒng)日志。
．基于數(shù)字證書的圖形化用戶界面
SysKeeper-2000網(wǎng)絡安全隔離裝置（反向型）提
供了基于數(shù)字證書的圖形化用戶界面，通過反向隔離設
備的專用智能IC卡讀寫器進行身份認證，保證配置管理
的安全性。整個界面使用全中文化的設計，通過友好的
圖形化界面，網(wǎng)絡管理員可以很容易地定制安全策略和
對系統(tǒng)進行維護管理，用戶只需進行簡單的培訓就可以
完成對隔離設備的管理與配置。
>＞產(chǎn)品性能（千兆型）
．產(chǎn)品規(guī)格
一材料：重負荷鋼
一散熱：兩個35毫米的散熱風扇，帶空氣過濾網(wǎng)
一指示器：LED電源指示燈、安全隔離設備狀態(tài)指示
燈、網(wǎng)絡適配器狀態(tài)指示燈

千兆型：
1) 具有2個10/100/1000M接口(內網(wǎng))，2個10/100/1000M接口(外網(wǎng))；1個10/100/1000M雙機熱備接口；
2) 具有2個終端管理接口(RS-232)；
3) 具有2U厚度標準，可安裝于19英寸標準機柜；
4) 額定頻率：50Hz；額定功率：80W；

一尺寸（長x寬x高）:435 x 420 x 89毫米
一重量：12千克
．電源
一輸入電壓：220V AC士 20%
一輸入頻率：47一63HZ
一電源功耗：60W
一平均無故障時間（MTBF)>600001J、時（100％負荷）
．工作環(huán)境
一工作溫度：一10"-- 55
一存儲溫度：一20 --80
一工作濕度：5-95%，非冷凝
一存儲濕度：5-95%，非冷凝．性能指標
一1000M LAN環(huán)境下，數(shù)據(jù)包吞吐量650Mbps (100
條安全策略，1024字節(jié)報文長度）
一數(shù)據(jù)包轉發(fā)延遲： 一數(shù)字簽名速率640次Is
一滿負荷數(shù)據(jù)包丟棄率：0
>＞適用范圍
本產(chǎn)品適用于電力系統(tǒng)安全大區(qū)之間橫向防護。