博九彩票

南瑞NetKeeper-2000IV四型纵向加密认证装置
南瑞NetKeeper-2000IV四型纵向加密认证装置

南京大于信息科技有公司提供南瑞NetKeeper-2000IV四型纵向加密认证装置价格,南瑞NetKeeper-2000IV四型纵向加密认证装置产品参数信息,欢迎您来电咨询南瑞NetKeeper-2000IV四型纵向加密认证装置。
  • 产品说明
  • 技术参数
  • 资料下载

 NetKeeper-2000纵向加密认证网关系列部署在电力控制系统的内部局域网与电力调度数据网络的路由器之间,可以为电力调度部门上下级控制中心多个业务系统之间的实时数据交换提供认证与加密服务,实现端到端的选择性保护,保证电力实时数据传输的实时性、机密性、完整性和可靠性。

产品特点
• 安全裁剪内核,系统的安全性和抗攻击能力强
为了保证系统安全的最大化,装置已经将嵌入式内核进行了裁剪和优化。目前,内核中只包括用户管理﹑进程管理,裁剪掉TCP/IP协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力,以防黑客对操作系统的攻击,并有效抵御Dos/DDos攻击。
• 高性能电力专用硬件加密技术
NetKeeper-2000系列纵向加密认证网关采用国家密码管理局授权批准的电力专用密码算法自主研制开发高性能电力专用硬件密码单元,该密码单元支持身份鉴别,信息加密,数字签名和密钥生成与保护。
• 应用协议选择性加密
NetKeeper-2000系列纵向加密认证网关支持对IEC104等多种电力专用协议规约等进行安全解析,对不同功能的报文采取不同的应用策略:对监视和查询报文分别以明通方式通信,而对控制报文以及控制报文的参数进行加密,保证重要实时命令的机密性和完整性。
• 支持多种灵活接入方式
NetKeeper-2000系列纵向加密认证网关对用户完全透明,现有的网络拓扑结构无须任何改动。可以实现多种应用环境下实时业务的无缝接入,充分降低用户管理和使用的复杂程度。
• 安全综合防护功能
NetKeeper-2000系列纵向加密认证网关集成基于应用的内容过滤和硬件防火墙技术。
• 系统高可靠运行保障技术
NetKeeper-2000系列纵向加密认证网关采用了多种高可靠性保障技术,包括双机冗余备份技术、硬件自动旁路技术、双电源冗余技术等,使得系统达到99.99%以上的不间断运行水平。
• 高可靠性硬件设计
NetKeeper-2000系列纵向加密认证网关充分考虑电厂和变电站的特殊运行环境,整体硬件设计分布均匀、布局合理,硬件电源采用双电源设计,电源模块全部采用国外进口高档工控电源,有效地提高系统平均无故障工作时间。
• 丰富的现场使用经验
通过多个现场环境的实际使用和接入,积累了丰富的现场实施经验,能够适应多种复杂的接入网络环境,能够确保用户调度数据网的安全可靠运行。

 材料:重负荷钢

尺寸(长x宽x高):440 x 420 x 44.5毫米
重量:5千克
网络接口:4个千兆网卡接口+1个百兆网卡接口
(其中ethO与ehti. eth2与eth3支持自动旁路)
外设接口:1个终端接口(RS232)+ 1个智能IC卡接
电源
输入电压:220V AC士20%
输入频率:47 .. 63HZ
电源功耗:60W
平均无故障时间( MTBF)>60000小时(100%负荷)
工作环境
工作温度:-10 -55
存储温度:-20 -80
工作湿度:5-95%,非冷凝
存储湿度:5-95%,非冷凝
性能指标
最大并发加密隧道数:1024条
lOOM LAN环境下,加密隧道建立延迟<is
明文数据包吞吐量:200Mbps (50条安全策略,1024报文长度)
密文数据包吞吐量:35Mbps (50条安全策略,1024报文长度)
数据包转发延迟:<lms (50%密文数据包吞吐量)
满负荷数据包丢弃率:0

目前与纵向加密认证装置有关的研究多围绕加密技术或纵向加密装置的使用展开,对于纵向加密装置可用性、安全性的研究较少。由于纵向加密装置是进入变电站监控系统的必经之路,所以其往往成为黑客或不法分子攻击的重点对象。 1纵向加密装置的潜在威胁 纵向加密装置的主要功能是在调度主站和变电站数据网关(远动装置I保护信息子站)中的网络中建立一条加密隧道,用以传输变电站运行数据和调度主站控制指 令,同时拒绝白名单外的网络连接和数据报文。证书和加密算法是加密隧道可靠性的保证,其中加密算法是核心技术,由国家商用密码管理局授权提供。

纵向加密装置的性能指标主要有两点:(1)可用性, 能否对外提供过滤和加密服务,能否处理并发的多个连接和大吞吐量数据;(2)安全性,通过纵向加密传输的数据能否确保不泄露、不篡改、不丢失。 鉴于加密算法的相对高安全性,攻击加密隧道成本极高,攻击者不会选择暴力破解加密算法或攻击加密隧道的途径。因此针对纵向加密装置安全性的攻击行为不是纵向加密装置主要的安全威胁,通过加密隧道传输的数据安全性是有保证的。但现有运行管理机制中,电子证书的交换传递需要通过IC卡介质,这个过程涉及诸多环节,存在被恶意分子利用的隐患。

纵向加密装置的可用性可以理解为两点:(1)作为一台网络中间设备能够正常传输数据;(2)作为一台网络安 。 全设备应能对其传输的数据提供加密和过滤功能因 此针对纵向加密装置的可用性攻击可以考虑两个方面,一方面令纵向加密装置无法正常传输网络数据,另一方面如果纵向加密装置可以传输数据,令其无法对传输的数据内 容进行加密或进行有效过滤。这两种攻击方向均可以视为对纵向加密装置提供服务能力的攻击,令纵向加密装置失去或下降服务能力,成为事实上的拒绝服务攻击。 纵向加密装置的典型应用场景如图1所示,调度数据网的数据通过路由器后进入变电站的纵向加密装置,纵向加密装置对其进行过滤和解密后交给变电站数据网关机进行处理。当攻击者物理位置处于变电站外时,可以实施图1中的两种攻击,达到令纵向加密装置拒绝服务的目的。Attack1截断是一种传统、直接的拒绝服务攻击方式, Attack2旁路利用某种方式使纵向加密装置停止过滤或加解密通信报文,达到旁路直接通信的目的,视为一种间接拒绝服务攻击方式。

直接拒绝服务攻击 网络设备均有标称的数据处理能力,在其处理能力范围内的网络数据流量才能被正常处理,纵向加密装置作为一种网络设备也不例外。一般而言,纵向加密装置分为百兆型(普通型)和千兆型(增强型),百兆型的明密文吞吐量分别为95MbIs和25MbIs,千兆型的明密文吞吐量分别为340MbIs和80MbIs。这两款设备相比于专业的抗DOS攻击设备,抵御DDOS攻击的能力偏弱。攻击者可以 考虑利用TCPIIP、UDP、NTP等协议的漏洞,采用SYNf1ood、ACKf1ood、ICMPf1ood、UDPf1ood、NTPf1ood、DNSf1ood等攻击方式对纵向加密装置发起攻击,可以迅速令 纵向加密装置瘫痪,失去服务能力。 由于电力调度数据网与公众网物理分隔,攻击者难以利用公众网上的肉鸡资源。同时调度数据网的服务器资源较少,一般均部署具备一定防御能力的防火墙或路由设 备,因此攻击者在调度数据网直接捕获肉鸡的难度较高, 且肉鸡转换攻击能力较低。通过传统方式在调度数据网发起DDoS攻击的成本较高,实施难度较大,准备周期较长。单个黑客或团体难以实施此类型网络攻击,但不排除有组织的团体或强力机构实施上述攻击,并与其他攻击方式组合,扩大攻击效果,以达到瘫痪电网的目的。2015年12月爆发的乌克兰停电事件,攻击者利用TDoS(电话拒绝服务攻击),使客户服务中心的Web服务器瘫痪,延缓客户报告停电情况,扩大了停电事件的攻击效果。黑客组织通过长期的准备工作,完成了对乌克兰电网诸多节点服务器I设备的入侵,并把拒绝服务攻击作为整套攻击的一部分。

虽然电力调度数据网在设计结构上与公众网络隔绝, 但仍与电力企业信息网络通过横向隔离装置相连。部分调控主站、电厂、厂矿的网络架构并没有按照电监会的要求进行设计,或者具体部署时执行不严格,这使得电力企 业信息网的数据进入调度数据网成为可能。 某地调主站采用2M专线直通接入变电站,进行网络部署调整时,误将内部信息网接入2M专线,大量数据流量进入2M专线网,直接冲击数据网关机,导致调度与站内通信中断。这一真实事故一方面说明严格按照二次安防规范部署路由器、纵向加密装置等设备的必要性,另一方面也说明恶意攻击者可以利用网络架构的缺陷,采用物理手段或入侵手段,将企业信息网或办公网的流量引入调度网络,当数据流量达到一定负荷时,可以瘫痪路由器或纵向加密装置,达到拒绝服务攻击的效果。 进一步考虑,严格按照电网二次安全防护规定进行部署,杜绝将非法流量自外部引入调度数据网,但调度数据网仍存在被入侵的可能,例如配网系统的通信节点遍布各配电箱、配电柜、配电室,其防护等级较低,入侵实施较为容易。一旦入侵成功,攻击者可以使用IXIA、SPIRENT等 品牌的网络测试仪向纵向加密装置打入大流量网络报文, 瞬间即可瘫痪纵向加密装置。如果抓取纵向加密装置正常工作时的密文流量,对纵向加密装置进行重放攻击,当重放流量大于25MbIs时,即可瘫痪纵向加密装置。事实上,即使密文流量小于25MbIs,也足以干扰到纵向加密装置的正常运行,降低服务能力,也达到了拒绝服务攻击的目的。

间接拒绝服务攻击 目前国内主流纵向加密装置生产厂商均使用Linux 作为其产品的操作系统。Linux作为开源操作系统,具有使用灵活、自由裁剪、可伸缩性强的优点。纵向加密装置一旦投入使用,由于电力行业连续工作的特点,很难对其应用程序或操作系统进行升级。并且由于纵向加密装置的应用程序总是基于特定版本的Linux操作系统开发,一旦升级操作系统,将牵涉很多环节,所以厂商也没有升级程序的主观动力。虽然升级操作系统和应用程序在主观动力和客观条件上都不满足,但Linux系统的漏洞是客观存在的,老旧版本系统上的已知漏洞都是公开的。 《微型机与应用》2016年第35卷第21期 恶意攻击者可以利用Linux已知漏洞入侵纵向加密装置,也可以借助工具扫描应用程序的潜在漏洞加以利用 入侵纵向加密装置。攻击者成功入侵后,获得权限提升, 可以更改纵向加密装置的配置,关闭纵向加密装置的服务。例如,更改白名单中的IP和端口,令正常通信的合法报文被过滤丢弃。 利用漏洞入侵纵向加密装置后,不仅可以令其停止正常服务,还可以实现其他方式的攻击。例如伪造控制报文发送给远动装置,造成变电站内开关错误分开或合上;伪造遥信报文发送调度主站,令主站误判变电站开关、刀闸位置情况。

防御部署 随着网络攻击手段的进步,目前按照电网二次安全防护规定采取的安全措施并不足以应对电力调度数据网面临的巨大威胁。应注重二次安防设备自身的安全防护,尤其是纵向加密装置的保护。在调度数据网和变电站监控系统的网络边界上应增加网络安全设备,与纵向加密装置互相配合,梯次配置。 在路由器和纵向加密装置间增加抗DDoS攻击设备或具备抗DDoS攻击能力的防火墙。抗DDoS攻击设备负责抵御网络攻击,纵向加密装置主要负 责对通信报文的加解密工作,两者分工协作,串行化部署。 可以进一步在路由器与纵向加密装置间串行部署IPS(入侵防御系统)和防火墙。IPS侧重于防御网络边界内的入侵行为,防火墙侧重分流针对纵向加密装置的直接拒绝服务攻击等网络攻击,纵向加密装置主要负责维护加密隧道,进行加解密工作。 除了增加部署网络安全设备,还应严格落实二次安全防护相关规定,优化网络结构,加强人员管理。相比于硬件设备投入,规章制度和人员管理更为重要和紧迫,值班人员一次随意地携带个人U盘插入监控电脑或点开某个邮件就可能在网络防御系统上打开一个缺口。网络安全系统遵循木桶理论,其安全程度取决于系统内的安全短 板,而历次大的工控网络安全事件显示:人往往成为短板。

部署在网络边界上的网络设备,是实现网络数据传输 的关键中间节点。保证纵向加密装置乃至数据网关的正常运行,防止网络攻击I网络入侵造成纵向加密装置拒绝服务,必须综合考虑网络安全设备部署,合理配置网络安全设备,同时应加强制度落实,强化人员管理,使网络安全设备的效用最大化。 客观上,没有绝对安全的网络系统,电力调度数据网I 变电站监控网络也不例外,无论部署何种安全设备,都可以增加攻击者的攻击成本,降低安全风险,但都无法保证绝对安全。必须综合考虑变电站的重要性、网络结构、安全设备价格等要素,增加网络安全设备,制定和落实安全规章,加固网络安全防御。

产品推荐

业务咨询1

业务咨询2

技术咨询

售后咨询

友情链接:秒速牛牛  秒速时时彩  秒速时时彩出号规律  秒速牛牛  秒速时时彩官网  秒速时时彩  

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!