正向隔离装置

一、正向隔离装置的产品介绍

      电力专用横向安全隔离装置（正向型）由南京南瑞信息通信科技有限公司研发，专为电力系统二次安全防护设计。该装置部署于电力监控系统生产控制大区（安全区I/II）与管理信息大区（安全区III）之间，通过硬件级隔离实现单向数据传递。它能识别非法请求、阻止越权访问，有效抵御病毒、黑客攻击，保护实时监控系统和调度数据网络的安全。产品采用非网络传输方式共享信息，保障电力系统稳定运行。硬件基于RISC体系结构的高性能嵌入式芯片，支持双机热备（通过内网双机接口实现）、告警串口输出及网络上报功能。

二、正向隔离装置的产品参数

百兆型关键参数

      内网侧：网口（100/1000M Base-T,3个）、串口（RS232,1个）、USB（USB 3.0 Host,1个）、电源（双路冗余,支持AC/DC/110V/220V）、功耗（30W）、尺寸（440 * 350 * 44mm）、工作温度（-25~+70℃）、数据包吞吐量（≥420Mbps）、数据转发延时（≤1ms）。

外网侧参数与内网侧一致。

千兆型关键参数

      内网侧：网口（100/1000M Base-T,3个）、串口（RS232,1个）、USB（USB 3.0 Host,1个）、电源（双路冗余,支持AC/DC/110V/220V）、功耗（45W）、尺寸（440 * 400 * 44mm）、工作温度（-25~+70℃）、数据包吞吐量（≥1000Mbps）、数据转发延时（≤1ms）。

外网侧参数相同。设备通过第三方检测（如国网电力科学研究院），符合RFC2544、GB/T 18336等标准，确保高可靠性和抗扰度性能。

三、正向隔离装置的主要功能

      1、安全裁剪内核：采用南瑞自主开发的NARISecOS安全操作系统，符合GB/T 20272四级标准，内核裁剪掉TCP/IP协议栈等冗余功能，仅保留用户管理和进程管理，增强系统安全性和抗攻击能力，有效防御DoS/DDoS攻击及缓冲区溢出漏洞。

      2、数据单向传输控制：硬件层面确保数据仅从内网（安全区I/II）流向外网（安全区III），物理上控制反向传输芯片深度，禁止低安全区到高安全区的TCP应答携带应用数据，实现纯单向数据流。

      3、割断穿透性TCP连接：通过截断TCP连接，剥离数据包的TCP/IP头，将内网纯数据通过正向通道发送至外网，同时仅允许不含应用数据的TCP控制信息传输回内网，防止外部渗透。

      4、基于状态检测的综合报文过滤：利用状态检测技术高速过滤MAC地址、IP地址、协议端口、通信方向和应用层标记。该技术建立连接状态表，协同规则表，提升检测效率和安全性能，远超传统包过滤方法。

      5、NAT与虚拟主机IP技术：支持透明工作模式（装置无IP地址，MAC地址隐藏），提供静态地址转换、地址池和动态NAT技术，充分隐藏内网监控系统地址，增强安全性。

      6、丰富的通信工具和API接口：提供配套通信软件和API函数，便于用户二次开发，符合《电力监控系统安全防护总体方案》，支持电力系统安全改造，与南瑞及主流厂商监控系统兼容。

      7、日志审计与告警机制：内建安全存储区循环记录系统日志，符合《电力二次系统安全告警日志格式规范》，支持串口或网络上报日志至后台，便于分析入侵、异常事件。告警接口在非法访问或通信中断时输出报警信息。

      8、用户友好界面：图形化中文界面简化配置管理，用户可轻松定制安全策略和维护系统，操作简便。

      9、底层防护技术：集成南瑞自研模块，保护引导程序、系统程序及配置参数，提升装置自身安全性。结合双机热备和双电源设计（支持无缝切换），确保高可用性和抗故障能力。