StoneWall-2000网络安全隔离设备(反向型)技术白皮书
北京科东电力控制系统有限责任公司
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
目 录
1
StoneWall-2000 网络安全隔离设备(反向型) ................................................................... 1 1.1 设备特点 ................................................................................................................... 4
1.1.1 支持集中监视 ................................................................................................... 4 1.1.2 安全可靠 ........................................................................................................... 6 1.1.3 嵌入式病毒查杀 ............................................................................................... 6 1.1.4 数字签名验证技术 ........................................................................................... 7 1.1.5 数据加密封装技术 ........................................................................................... 7 1.1.6 双字节转换及检查技术 ................................................................................... 7 1.1.7 病毒粉碎技术 ................................................................................................... 7 1.1.8 硬件控制的单向数据传输 ............................................................................... 8 1.1.9 防止穿透性连接,连接方向控制 ................................................................... 8 1.1.10 真正支持透明接入 ........................................................................................... 8 1.1.11 高强度的抗攻击能力 ....................................................................................... 9 1.1.12 支持双网传送数据 ........................................................................................... 9 1.1.13 双路电源供电 ................................................................................................... 9 1.1.14 高速稳定 ........................................................................................................... 9 1.1.15 实时告警 ......................................................................................................... 10 1.1.16 具有内外网络接口通信状态指示灯 ............................................................. 10 1.1.17 配置简单 ......................................................................................................... 10 1.2 安全机理 ................................................................................................................. 11
1.2.1 具有专利的物理结构和安全岛技术 ............................................................. 11 1.2.2 安全的硬件及操作系统 ................................................................................. 12 1.2.3 数据包的综合过滤技术 ................................................................................. 12 1.2.4 数字签名验证技术 ......................................................................................... 13 1.2.5 数据加密封装技术 ......................................................................................... 13 1.2.6 双字节检查技术 ............................................................................................. 13 1.2.7 病毒粉碎技术 ................................................................................................. 13 1.2.8 状态检测技术 ................................................................................................. 14 1.2.9 高可用技术 ..................................................................................................... 14 1.2.10 地址绑定技术 ................................................................................................. 14 1.2.11 双向网络地址转换技术 ................................................................................. 14 1.2.12 日志审计及实时报警 ..................................................................................... 15 1.2.13 高强度的抗攻击能力 ..................................................................................... 15 1.2.14 实时报警 ......................................................................................................... 15 1.2.15 高强度的抗攻击能力 ..................................................................................... 16 1.2.16 性能优化技术 ................................................................................................. 16 1.3 用户受益 ................................................................................................................. 16
1.3.1 高安全性 ......................................................................................................... 16 1.3.2 高可用性 ......................................................................................................... 17 1.3.3 为我国电力专用网络量身定做 ..................................................................... 17
北京科东电力控制系统有限责任公司 I
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
1.4 1.5 型号 ......................................................................................................................... 17 性能指标 ................................................................................. 错误!未定义书签。
北京科东电力控制系统有限责任公司 II
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
1 StoneWall-2000 网络安全隔离设备(反向型)
StoneWall-2000系列网络安全隔离设备(反向型)包括千兆型StoneWall-2000G网络安全隔离设备(反向型)和百兆型StoneWall-2000网络安全隔离设备。
StoneWall-2000网络安全隔离设备(反向型)是由北京科东电力控制系统有限责任公司自主开发研制,具有物理隔离能力的网络安全设备,具有操作简便、高性能、高可靠性等特点。
网络安全隔离设备(反向型)采用软、硬结合的安全措施,在硬件上使用双嵌入式计算机结构,通过安全岛装置通信来实现物理上的隔离;在软件上,采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时,实现了对非法信息的隔离。
StoneWall-2000网络安全隔离设备(反向型)配套软件,实现可信数据根据计划自动或手动地从外网到内网的传输,传输过程中,发送端程序对外网数据进行双字节转换及数字签名,报文在通过网络安全隔离设备前,网络安全隔离设备根据规则进行综合过滤,并对签名进行验证,对验证通过的报文再进行双字节检查或病毒粉碎码验证,这样检查通过的报文才可以进入内网,以保证内网系统的安全,并保证在网络隔离的情况下可信数据能够进入内网。
按照技术规范书中对反向隔离装置的各种技术要求,建议采用由北京科东电力控制系统有限责任公司研制开发的StoneWall-2000网络安全隔离设备(反向型)产品实现分区隔离。
StoneWall-2000网络安全隔离设备(反向型)是由北京科东电力控制系统有限责任公司自主开发研制,具有物理隔离能力的网络安全设备,具有操作简便、高性能、高可靠性等特点。
网络安全隔离设备(反向型)采用软、硬结合的安全措施,在硬件上使用双嵌入式计算机结构,通过安全岛装置通信来实现物理上的隔离;在软件上,采
北京科东电力控制系统有限责任公司 1
StoneWall-2000系列产品文档 网络安全隔离设备(反向型)技术白皮书
用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时,实现了对非法信息的隔离。
StoneWall-2000网络安全隔离设备(反向型)配套软件,实现可信数据根据计划自动或手动地从外网到内网的传输,传输过程中,发送端程序对外网数据进行双字节转换及数字签名,报文在通过网络安全隔离设备前,网络安全隔离设备根据规则进行综合过滤,并对签名进行验证,对验证通过的报文再进行双字节检查或病毒粉碎码验证,这样检查通过的报文才可以进入内网,以保证内网系统的安全,并保证在网络隔离的情况下可信数据能够进入内网。
StoneWall-2000网络安全隔离设备(反向型)已经通过国调中心的测试,并获得了公安部计算机信息系统安全产品质量监督检验中心的检验报告和公安部颁发的销售许可证,销售许可证号:XKC38185,其采用的技术获得实用新型专利,专利号ZL 02 82484.7。2004年StoneWall-2000系列网络安全隔离设备获得国家电力公司科技进步奖,科东成为全国唯一获此殊荣的专用安全隔离装置生产厂家;
1)基本功能
1) 具有应用网关的功能,实现应用数据的接收与转发; 2) 具有应用数据内容有效性检查功能;
3) 采用基于数字证书的数字签名技术,在数据发送端(III区)对需要发送的数据进行签名,然后发给反向隔离设备,反向隔离设备在收到数据后进行签名验证,并能根据招标人制定的安全策略进行检查,然后发送给数据接收程序(I/II区);
4) 对文本文件形式的数据,通过编码转换技术实现半角字符转换为全角字符,保证进入I/II区的数据为纯文本数据;
5) 反向隔离设备提供基于RSA密钥对的数字签名和采用电力专用加密算法进行数字加密的功能;
6) 反向隔离设备提高基于数字证书的图形化界面,通过专用智能IC卡进行身份认证,保证配置管理的安全;
北京科东电力控制系统有限责任公司 2