正向隔离装置（国产化）

               销售热线：13522191905（微信同步）

一、产品定位

SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)应用于电力监控系统生产控制大区(安全区I/II)到管理信息大区(安全区III)的单向数据传递。它可以识别非法请求并阻止超越权限的数据访问和操作，从而有效地抵御病毒、黑客等通过各种形式发起的对电力网络系统的恶意破坏和攻击活动，保护实时闭环监控系统和调度数据网络的安全；同时它采用非网络传输方式实现这两个网络的信息和资源共享，保障电力系统的安全稳定运行。
逻辑隔离
生产控制大区管理信息大区控制区非控制区正向安全隔离装置(安全区I)(安全区II)(安全区III)(安全区IV)
二、体系结构
SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)的硬件结构如图2所示。本产品硬件采用RISC体系结构高性能嵌入式计算机芯片，双机之间通过四片高速物理传输芯片进行物理连接。内网双机接口(IA3)采用网络方式实现隔离装置的双机热备份，内外网的告警接口(IA4、IB3)采用标准串口进行告警信息输出，同时支持网络方式上报到后台监控主机。内网串口可以用来连接配置终端，方便管理人员对网络安全隔离设备的控制，硬件看门狗时刻监视系统状态，保证隔离装置的稳定、可靠运行。
三、产品特点
为满足电力系统二次安全防护的需要，南瑞集团公司依托在网络安全产品中的广泛技术积累和应用实践经验，以性能好、功能全、使用简便、运行稳定为网络安全隔离产品的设计原则，自主研制并推出SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)系列产品；通过长时间的测试，安全隔离装置具有很高的可靠性、稳定性和可以满足用户需要的执行效率。
3.2硬件特色
高安全隔离能力的硬件结构
SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)由两个高性能嵌入式微机及辅助装置形成安全隔离系统，嵌入式微处理器采用RISC体系结构，减少受攻击的概率；实现两个安全区之间的非网络方式的数据交换，并且采用安全算法保证安全隔离装置内外两个处理系统不同时连通，在保证安全隔离的前提下，实现数据的高速交换。
◇高可靠性硬件设计

SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)硬件供电采用的电源平均无故障时间达64223小时。在PCB板的设计中，加有线性稳压及滤波装置，并严格按照EDA对高频电路设计的要求，设计了单独的电源层与地层，进一步保证了整个板上电源的稳定性。
硬件优化设计
充分考虑电厂和变电站的特殊运行环境，SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)装置设计遵循分布均匀、布局合理的原则，风扇处增加了防尘罩，而且紧靠散热源，起过滤作用，避免灰尘和湿气；机箱散热风扇也采用滚轴风扇，保证了风扇的长期可靠运行；通过增加专用转接板，起到了更好的加固和抗震作用；即使在长途的运输过程中，也能充分地保障设备内部的完整性和可用性能。
严格的生产流程控制
SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)严格遵循IS090002000版质量认证体系，对每一台隔离产品的关键芯片和元器件进行产品老化试验，所有的隔离产品在出厂前必须经过240小时以上的连续通电测试，确保每一台网络安全隔离产品运行的稳定性和硬件的高可靠性。
支持双电源
实践经验及理论都证明，一个产品最易出故障的部位在电源部分。在南瑞安全隔离系列产品中，设计有双电源。在工作的时候，有一个电源作为主电源供电，一个作为辅电源作备份，实现了主备电源的在线无缝切换，有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间；SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)为国内第一家采用双电源设计的物理隔离产品。
支持双机热备
在实际应用中，可以设置双机备份，一台工作在主机位置，一台工作于备用位置，两台机器时刻进行通信，一旦当主用设备出现故障(包括掉电、连接的网络线路至少有一根出现故障)时，或者处于看门狗复位阶段，备机可以以承担起主机的工作，以避免重要数据的丢失。
支持系统告警
SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)支持完备的安全事件告警机制，当发生非法入侵、装置异常、通信中断或丢失应用数据时，可通过隔离装置专用的告警串口输出报警信息。
全国产化硬件标准
SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)100%做到了硬件国产化，芯片、存储器、内存等所有硬件及相关配件均采用国内生产厂家自主研发、自主生产。随着中兴、华为等国内知名厂商被国外相继封杀，让我们深刻意识到硬件国产化的必要性；电力系统信息网络安全防护是电网安全生产的重中之重，全国产化硬件设备可在关键时刻避免被“卡脖子”以及后门程序等的植入，保障电网信息网络安全。
3.3功能特点
◇安全裁剪内核，系统的安全性和抗攻击能力强

为了保证系统安全的最大化，SysKeeper-3000F/FG电力专用横向安全隔离装置(正向型)已经将嵌入式内核进行了裁剪和优化。目前，内核中只包括用户管理、进程管理，裁剪掉TCP/IP协议栈和其它不需要的系统功能，进一步提高了系统安全性和抗攻击能力，免于黑客对操作系统的攻击，并有效抵御Dos/DDos攻击。
数据单向传输控制
物理上控制反向传输芯片的深度，在硬件上保证丛低安全区到高安全区的TCP应答禁止携带应用数据，大大增强了高安全区业务系统的安全性。在物理上实现了数据流的纯单向传输，数据只能从内网流向外网。
◇割断穿透性的TCP连接

SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)采用截断TCP连接的方法，剥离数据包中的TCP/IP头，将内网的纯数据通过正向数据通道发送到外网，同时只允许应用层不带任何数据的TCP包的控制信息传输到内网，保护内网监控系统的安全性。
基于状态检测的综合报文过滤
SysKeeper-3000FF/FG电力专用横向安全隔离装置(正向型)采用基于状态检测技术的报文过滤技术；可以对出入报文的MAC地址、IP地址、协议和传输端口、通信方向、应用层标记等进行高速过滤。状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，连接状态表里的记录可以随意排列，提高系统的传输效率。因此，与传统包过滤技术相比，具有很好的系统性能和安全性，可以极大的提高数据包检测的效率。