網(wǎng)絡(luò)安全隔離裝置（反向型）應(yīng)用于安全區(qū)間的單向數(shù)據(jù)傳輸，控制方向與正向隔離裝置相反。裝置采用電力專用隔離卡，以非網(wǎng)絡(luò)傳輸?shù)姆绞綄?shí)現(xiàn)兩網(wǎng)絡(luò)之間的資源和信息共享，僅支持傳輸純文本文件或E語言格式的文件，并進(jìn)行數(shù)據(jù)加密及合法性檢查，以保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行。

    經(jīng)過長期測試，該設(shè)備具有很好的穩(wěn)定性和可靠性，同時(shí)可以滿足客戶需要的執(zhí)行性能。

反向隔離裝置（正面）

反向隔離裝置（反面）

2、主要技術(shù)參數(shù)

（1）百兆型

• 功耗：30W

• 數(shù)據(jù)包吞吐量：≥100Mbps

• 數(shù)字簽名速率：≥186次/秒
  

• 滿負(fù)荷丟包率：0

（2）千兆型

• 功耗：45W

• 數(shù)據(jù)包吞吐量：≥400Mbps

• 數(shù)字簽名速率：≥235次/秒
  

• 滿負(fù)荷丟包率：0

3、產(chǎn)品特點(diǎn)

• 為了保證系統(tǒng)安全的最大化，本產(chǎn)品已經(jīng)將嵌入式內(nèi)核進(jìn)行了裁剪和優(yōu)化。目前，內(nèi)核中只包括用戶管理﹑進(jìn)程管理，裁剪掉TCP/IP 協(xié)議棧和其它不需要的系統(tǒng)功能，進(jìn)一步提高了系統(tǒng)安全性和抗攻擊能力，免于黑客對(duì)操作系統(tǒng)的攻擊，并有效抵御Dos/DDos 攻擊。

• 采用基于數(shù)字證書的數(shù)字簽名技術(shù)，在數(shù)據(jù)的發(fā)送端對(duì)需要發(fā)送的數(shù)據(jù)進(jìn)行簽名，然后發(fā)給專用反向隔離裝置；隔離裝置收到數(shù)據(jù)后進(jìn)行簽名驗(yàn)證，并根據(jù)用戶對(duì)數(shù)據(jù)的定義檢查數(shù)據(jù)文件的格式和內(nèi)容，支持通用的數(shù)據(jù)類型和記錄分割符，反向隔離裝置將處理過的數(shù)據(jù)發(fā)送給內(nèi)網(wǎng)的數(shù)據(jù)接收程序。

• 通過反向隔離裝置傳輸?shù)能浖际菑牡桶踩珔^(qū)向高安全區(qū)進(jìn)行傳輸，為了嚴(yán)格保障內(nèi)網(wǎng)安全，禁止非法文件、病毒文件傳輸?shù)絻?nèi)網(wǎng)，要對(duì)傳輸?shù)奈募?nèi)容進(jìn)行過濾。為此國家調(diào)度中心制定了《電力系統(tǒng)數(shù)據(jù)描述語言》，提出了電力行業(yè)專用的數(shù)據(jù)描述語言E語言。按照國調(diào)要求，反向隔離裝置支持對(duì)E語言文件的格式檢查，來對(duì)傳輸?shù)奈募M(jìn)行內(nèi)容強(qiáng)過濾。

• 本產(chǎn)品在鏈路層截獲數(shù)據(jù)包，然后根據(jù)用戶的安全策略決定如何處理該數(shù)據(jù)包；實(shí)現(xiàn)了MAC 與IP 地址綁定，防止IP 地址欺騙；支持應(yīng)用層特殊標(biāo)記識(shí)別；為了實(shí)現(xiàn)處于不同網(wǎng)段的主機(jī)之間相互訪問，隔離裝置采用了虛擬IP 技術(shù)，且支持靜態(tài)地址映射,為用戶提供一個(gè)全透明﹑安全﹑高效的安全隔離裝置。

• 本產(chǎn)品提供基于RSA公私密鑰對(duì)的數(shù)字簽名和采用專用加密算法進(jìn)行數(shù)字加密的功能。進(jìn)行RSA運(yùn)算時(shí)，為了保證密鑰的安全性，提供已密鑰的ID號(hào)使用密鑰的功能，密鑰僅存在與反向型網(wǎng)絡(luò)安全隔離設(shè)備的安全存儲(chǔ)區(qū)中，與應(yīng)用系統(tǒng)隔離，不能通過任何非法手段進(jìn)行訪問，極大的提高了數(shù)據(jù)交換的安全性。

• 本產(chǎn)品支持設(shè)置不同的用戶類別：系統(tǒng)管理員、管理員、和普通用戶等。通過身份認(rèn)證機(jī)制，控制不同用戶對(duì)安全隔離設(shè)備的操作權(quán)限。如系統(tǒng)管理員可以增加、刪除、修改隔離裝置的配置規(guī)則，可以增加或刪除隔離裝置的普通用戶，可以查詢隔離裝置的日志等；普通用戶只可以查看隔離裝置的配置規(guī)則和日志等。

• 本產(chǎn)品采用截?cái)郥CP 連接的方法，剝離數(shù)據(jù)包中的TCP/IP 頭，將外網(wǎng)的純數(shù)據(jù)通過反向安全通道發(fā)送到內(nèi)網(wǎng)，同時(shí)只允許應(yīng)用層不帶任何數(shù)據(jù)的TCP 包的控制信息傳輸?shù)酵饩W(wǎng)，保護(hù)內(nèi)網(wǎng)監(jiān)控系統(tǒng)的安全性。

• 本產(chǎn)品采用綜合過濾技術(shù)，在鏈路層截獲數(shù)據(jù)包，然后根據(jù)用戶的安全策略決定如何處理該數(shù)據(jù)包；實(shí)現(xiàn)了MAC 與IP 地址綁定，防止IP 地址欺騙；支持靜態(tài)地址映射(NAT)以及虛擬IP 技術(shù)；具有可定制的應(yīng)用層解析功能，支持應(yīng)用層特殊標(biāo)記識(shí)別，為用戶提供一個(gè)全透明﹑安全﹑高效的隔離裝置。

• 日志在本產(chǎn)品每天的運(yùn)行中起著很重要的作用,由于許多攻擊﹑系統(tǒng)漏洞不具備機(jī)器可分析的特征，或者新的攻擊的特征還不為人所知，因此，日志是發(fā)現(xiàn)攻擊﹑發(fā)現(xiàn)系統(tǒng)漏洞和記錄攻擊證據(jù)的重要手段。隔離設(shè)備內(nèi)、外網(wǎng)各板載安全存儲(chǔ)區(qū)用于系統(tǒng)日志的記載，循環(huán)更新保持最新的系統(tǒng)日志。日志規(guī)范符合《電力二次系統(tǒng)安全告警日志格式規(guī)范》,可以接入電力二次系統(tǒng)內(nèi)網(wǎng)安全監(jiān)視功能模塊集中監(jiān)視。

• 本產(chǎn)品提供了基于數(shù)字證書的的圖形化用戶界面，通過反向隔離設(shè)備的專用智能IC 卡讀寫器進(jìn)行身份認(rèn)證，保證配置管理的安全性。整個(gè)界面使用全中文化的設(shè)計(jì)，通過友好的圖形化界面，網(wǎng)絡(luò)管理員可以很容易地定制安全策略和對(duì)系統(tǒng)進(jìn)行維護(hù)管理，用戶只需進(jìn)行簡單的培訓(xùn)就可以完成對(duì)隔離設(shè)備的管理與配置。