欢迎来到南京光信电力科技有限公司官网!

南瑞Syskeeper-2000网络安全隔离装置反向千兆型

SysKeeper-2000电力专用网络专用安全隔离装置(反向型)是位于调度数据网络与公用信息网络之间的一个安全防护装置,用于安全区III到安全区I/II的单向数据传递。反向型隔离装置内嵌智能IC卡读写器,在实现安全隔离的基础上,采用数字签名技术和数据加密算法保证反向应用数据传输的安全性。因此,该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性,并为建立全国电网二次系统安全防护体系提供有力保障。

咨询电话:18963614580

产品中心

PRODUCT CENTER

SysKeeper-2000网络安全隔离装置(反向千兆型)

产品特点

安全裁剪内核,系统的安全性和抗攻击能力强

为了保证系统安全的最大化,SysKeeper-2000网络安全隔离装置(反向型)已经将嵌入式内核进行了裁剪和优化。目前,内核中只包括用户管理﹑进程管理,裁剪掉TCP/IP协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力,免于黑客对操作系统的攻击,并有效抵御Dos/DDos攻击。

基于数字证书的签名验证和内容检查机制

采用基于数字证书的数字签名技术,在数据的发送端对需要发送的数据进行签名,然后发给隔离装置;隔离装置收到数据后进行签名验证,并根据用户对数据的定义检查数据文件的格式和内容,支持通用的数据类型和记录分割符,隔离装置将处理过的数据发送给内网的数据接收程序。

基于电力描述语言的内容强过滤

通过隔离装置(反向型)传输的文件都是从低安全区向高安全区进行传输,为了严格保障内网安全,禁止非法文件、病毒文件传输到内网,要对传输的文件内容进行过滤。为此国调中心制定了《电力系统数据描述语言》,提出了电力行业专用的数据描述语言E语言。按照国调中心要求,隔离装置(反向型)支持对E语言文件的格式检查,来对传输的文件进行内容强过滤。

基于纯文本的编码转换和识别

根据电力监控系统安全防护要求,可以对传输的E语言文件进行模式检查,来判断文件的合法性,也可以将纯文本文件中单字符的ASCII码(非控制字符)转换为对应的双字节码,并能正常显示。隔离装置(反向型)提供了专用发送软件在发送文本文件数据时,自动将半角字符转换为全角字符。隔离装置(反向型)对收到的数据进行纯文本的识别,如果数据包中数据为合法的纯文本,反向隔离装置都会按照编码范围正确的识别,保证进入内网的数据为纯文本数据。

完善的密钥管理机制

SysKeeper-2000网络安全隔离装置(反向型)提供基于RSA/SM2公私密钥对的数字签名和采用专用加密算法进行数字加密的功能。进行RSA运算时,为了保证密钥的安全性,提供以密钥的ID号使用密钥的功能,密钥仅存在于反向型网络安全隔离设备的安全存储区中,与应用系统隔离,不能通过任何非法手段进行访问,极大的提高了数据交换的安全性。

割断穿透性的TCP连接

SysKeeper-2000网络安全隔离装置(反向型)采用截断TCP连接的方法,剥离数据包中的TCP/IP头,将外网的纯数据通过反向安全通道发送到内网,同时只允许应用层不带任何数据的TCP包的控制信息传输到外网,保护电力监控系统的安全性。

基本安全功能丰富,可实现在网络中的快速部署

采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映像(NAT)以及虚拟IP技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。

虚拟IP、隐藏MAC地址

网络安全隔离系列产品采用独特的自适应技术,隔离设备没有IP地址,隐藏MAC地址,非法用户无法对隔离设备进行网络攻击,有效的提高了系统的安全性能。

完善的日志审计功能

日志是发现攻击﹑发现系统漏洞和记录攻击证据的重要手段。隔离设备内、外网各板载安全存储区用于系统日志的记载,循环更新保持最新的系统日志。

智能变电站是智能电网的核如、是连接发电和用电的枢纽、是整个电网安全可靠运行的重要环节。网络应用技术的不断创新发展、变电站电力系统数据平台的不断完善、开发协议及电力接口标准等信息的不断开放,促使变电站一、二次设备和技术的融合W及变电站运行方式的转变,由此逐渐形成了完备的智能变电站技术体系。与传统变电站相比,其技术更加具有先进性、安全可靠、占地少、成本低、维护少、环境友好等系统优势。因此,研究和建设智能变电站不仅是未来变电站发展的方向,也将是智能电网建立所需要的顿理基础和要求。

1变电站自动化系统现状及问题

随着智能一次设备、电子互感器、设备在线状态监测、变电站运行操作仿真培训等技术日趋成熟并在实际工程中得到应用,以及计算机网络技术在实时分布工业环境下的应用,IEC61850变电站自动化系统建模及通信体系标准的推广应用,变电站自动化技术进入了以数字化建模及通信为基础支撑的智能化时代。

智能变电站按照IEC61850标准,将变电站分成三层,即站控层、间隔层、过程层。站控层与间隔层之间称为站控层网络,过程层与间隔层之间称为过程层网络,即通常所说的“三层两网”结构。过程层网络组网方案较多,保护可采用直采直跳、直采网跳、网采网跳方式,GOOSE、SV可采用不组网、共网、独立组网等方式,组网方式更加灵活。

2变电站自动化网络分析

2.1变电站自动化体系各子系统组网方案

变电站自动化体系按安全分区由以下各系统构成:安全I区:一体化监控系统、相量测量系统。安全II区:继电保护故障信息系统、电能量计量系统。安全III区:在线监测系统、智能辅助控制系统。由于受安全分区的限制,已建智能变电站自动化体系按各安全分区独立,根据《智能变电站一体化监控系统建设技术规范》规定,各系统与站外安全III、IV区系统连接是通过正反向隔离装置实现,因此其满足变电站二次系统安全防护要求。

2.2网络负载分析

2.2.1站控层网络负载

智能变电站站控层网络主要有故障信息系统的数据流量、遥测、遥信、录波等报文的数据流量,网络负载量不大,据多数自动化系统厂家所作试验的测试结果,最严重的故障情况下站控层网络的负载量仅占到百兆带宽的12%。

2.2.2过程层网络负载

1)采样值SV报文流量

过程层网络采样值报文传输采用IEC61850-9-2协议。IEC61850-9-2采样值报文帧中存在一些不确定的长度,其具体值由配置和编码来决定,为了便于分析,下面所有的数据流量分析都以保护数据每周波80点采样率、计量数据每周波200点采样率,每帧1个ASDU计算,可以算出,根據不同的配置和编码风格,每帧数据的长度为169~226字节。针对数据流量分析,数据长度取最大的226字节参与估算。

用于保护、测控等采样值带宽为:

226byte/合并单元8bits/byte 80点/周波50周波=7.2Mbits。

用于电能计量、PMU等采样值带宽为:226byte/合并单元8bits/byte 200点/周波50周波=18.1Mbits。

2)GOOSE报文

GOOSE报文主要实现保护装置间配合命令、间隔联闭锁信号的网络传输。当采用交换式光纤以太网和报文优先级设置时,大量实验证明GOOSE报文连续丢失的帧数最多不超过2。在正常情况下,GOOSE网络仅维持一些必要的状态查询报文,这也是在定义GOOSE方面,IEC61850较之UCA2.0的一个灵活之处,其网络流量几乎可以忽略不计,而在事故状态下,针对不同的事故状况,多涉及到的二次设备间配合命令的不同,GOOSE报文的大小也是各不相同,大部分的GOOSE报文在200字节左右,也有少量GOOSE报文达到300甚至600字节(如主变本体智能终端的开关量信号)。

2.3网络方案研究

针对变电站数据流特点,为避免网络风暴等问题,推荐智能变电站站控层网络和过程层网络均选用双星型网络结构。智能变电站的站控层网络相对过程层网络而言在实时性方面要求没有那么苛刻,通过流量计算以及多年来的运行经验也表明,百兆快速以太网能满足站控层网络的数据传输要求,站控层网络推荐选用100Mbps以太网。

接入过程层网络单间隔二次设备流量一般不超过40Mbps,且二次设备以太网口处理能力也小于40Mbps,二次设备1000Mbps端口尚未成熟,同时考虑测试过程中,当过程层网络流量小于40Mbps情况基本不会丢包,因此本工程过程层网络选用100M以太网络,同时装置接入交换机的流量不大于40Mbps。对于交换机级联端口,由于流量有可能超过100Mbps,因此选用1000Mbps端口。智能变电站的过程层网络承担着电流电压采样值(SV)、一次设备状态信息以及二次设备保护、控制信号GOOSE报文的传输工作,较之站控层网络,要求更高的实时性和更强的报文处理能力。智能交换机需满足智能变电站对所内信息实时性、高效性及精确对时的要求,支持IEC61588协议。
联系人:侯经理
手 机:18963614580(微信同步)
地 址:南京市江宁区东山润发路1号
主营:纵向加密_正反向网络安全隔离装置_网络安全监测装置
版权所有:南京光信电力科技有限公司

扫一扫关注我们