一、正向隔离装置的产品介绍
电力专用横向安全隔离装置(正向型)由南京南瑞信息通信科技有限公司研发,专为电力系统二次安全防护设计。该装置部署于电力监控系统生产控制大区(安全区I/II)与管理信息大区(安全区III)之间,通过硬件级隔离实现单向数据传递。它能识别非法请求、阻止越权访问,有效抵御病毒、黑客攻击,保护实时监控系统和调度数据网络的安全。产品采用非网络传输方式共享信息,保障电力系统稳定运行。硬件基于RISC体系结构的高性能嵌入式芯片,支持双机热备(通过内网双机接口实现)、告警串口输出及网络上报功能。

二、正向隔离装置的产品参数
百兆型关键参数
内网侧:网口(100/1000M Base-T,3个)、串口(RS232,1个)、USB(USB 3.0 Host,1个)、电源(双路冗余,支持AC/DC/110V/220V)、功耗(30W)、尺寸(440 * 350 * 44mm)、工作温度(-25~+70℃)、数据包吞吐量(≥420Mbps)、数据转发延时(≤1ms)。
外网侧参数与内网侧一致。
千兆型关键参数
内网侧:网口(100/1000M Base-T,3个)、串口(RS232,1个)、USB(USB 3.0 Host,1个)、电源(双路冗余,支持AC/DC/110V/220V)、功耗(45W)、尺寸(440 * 400 * 44mm)、工作温度(-25~+70℃)、数据包吞吐量(≥1000Mbps)、数据转发延时(≤1ms)。
外网侧参数相同。设备通过第三方检测(如国网电力科学研究院),符合RFC2544、GB/T 18336等标准,确保高可靠性和抗扰度性能。
三、正向隔离装置的主要功能
1、安全裁剪内核:采用南瑞自主开发的NARISecOS安全操作系统,符合GB/T 20272四级标准,内核裁剪掉TCP/IP协议栈等冗余功能,仅保留用户管理和进程管理,增强系统安全性和抗攻击能力,有效防御DoS/DDoS攻击及缓冲区溢出漏洞。
2、数据单向传输控制:硬件层面确保数据仅从内网(安全区I/II)流向外网(安全区III),物理上控制反向传输芯片深度,禁止低安全区到高安全区的TCP应答携带应用数据,实现纯单向数据流。
3、割断穿透性TCP连接:通过截断TCP连接,剥离数据包的TCP/IP头,将内网纯数据通过正向通道发送至外网,同时仅允许不含应用数据的TCP控制信息传输回内网,防止外部渗透。
4、基于状态检测的综合报文过滤:利用状态检测技术高速过滤MAC地址、IP地址、协议端口、通信方向和应用层标记。该技术建立连接状态表,协同规则表,提升检测效率和安全性能,远超传统包过滤方法。
5、NAT与虚拟主机IP技术:支持透明工作模式(装置无IP地址,MAC地址隐藏),提供静态地址转换、地址池和动态NAT技术,充分隐藏内网监控系统地址,增强安全性。
6、丰富的通信工具和API接口:提供配套通信软件和API函数,便于用户二次开发,符合《电力监控系统安全防护总体方案》,支持电力系统安全改造,与南瑞及主流厂商监控系统兼容。
7、日志审计与告警机制:内建安全存储区循环记录系统日志,符合《电力二次系统安全告警日志格式规范》,支持串口或网络上报日志至后台,便于分析入侵、异常事件。告警接口在非法访问或通信中断时输出报警信息。
8、用户友好界面:图形化中文界面简化配置管理,用户可轻松定制安全策略和维护系统,操作简便。
9、底层防护技术:集成南瑞自研模块,保护引导程序、系统程序及配置参数,提升装置自身安全性。结合双机热备和双电源设计(支持无缝切换),确保高可用性和抗故障能力。