iSafeLinks6100/6900系列安全网关

iSafeLinks6100/6900系列产品是我公司为解决工业SCADA系统控制网络实时通信的专用网络安全透明传输设备。用于解决SCADA系统网络连接的安全问题。

系统构架

由iSafe6100/6900系列安全网关系统由ViRouter虚拟路由软件、iSafeLinks6900安全网关和iSafeLinks6100安全网关节点组成。实时通信系统不依赖于网络结构，采用iSafeLinks6100/6900构建的SCADA系统，控制网络可以采用多样化的网络或其组合。

ViRouter/iSafeLinks6100/iSafeLinks6900构架

对于控制网络下有数量较大的测控/保护装置，采用在监控管理网络下设置ViRouter虚拟路由软件，通过虚拟有路由软件对测控/保护装置节点网络进行安全域信息边界划分，由iSafeLinks6900网关进行安全域信息管理，与具有相同安全域属性的远端设备侧网关iSafeLinks6100进行数据实时通信。

对于iSafeLinks6900和iSafeLinks6100之间的网络，可采用多样化的网络结构。

应用构架如下图：

基于VPN的网络结构:

该安全体系是一种基于应用层的网络信息安全保护方法，无关网络结构和协议。包含了下列自主开发的安全体系标准内容：

● 安全域的定义；

● 基于安全域的分组隔离技术；

● 安全域实时认证及识别方法；

● 动态密钥实现方法及加密算法；

● 时钟误差和响应窗口约束防范方法；

● 测试和攻击性信息的识别拒绝方法。

ViRotuer虚拟路由软件

运行于HMI、数据服务器等可信侧网路，实现如下功能：

◆ 对SCADA系统控制设备进行IP镜像虚拟;

◆ 网络安全域(网络边界)管理;

◆ iSafeLinks6900安全网关进行管理;

◆ 信息通路安全事件管理;

◆ 数据包超级队列管理；

◆ 安全域时钟校验。

iSafeLinks6900安全网关

置于控制网络与远端控制节点的网络界面，实现如下功能：

◆双主机：     网关设置两个独立的通信主机；

◆数据摆渡：   在双主机间设置数据摆渡系统，传递基于安全域、身份、时间标签、链接状态、应用层数据的加密信息。数据摆渡器内每个方向设置512K；

◆网络端口：      以太网口安全侧2个，非安全侧2个。均为　10/100MBps；

◆网络虚拟IP：  SafeLinks6900型以太网口安全侧最多64个可配置的IP地址；

◆通信协议：      TCP/IP，控制应用通信协议为透明方式。暂不支持UDP/IP；

◆数据报文长度：支持单向最大1024字节协议报文；

◆数据传输能力：4MBytes/s, 双向；

◆网关无操作系统，具有高效、高性价比的特点；

◆安装方式：      1U， 19英寸机架安装；

◆供电：             220VAC 冗余电源，整机最大功耗20W

iSafeLinks6100安全网关

置于SCADA系统远端控制节点网络界面，实现：

◆安全通信：iSafeLinks6100设置两个独立的网络，由连接在这两个网络的控制器

  之间的CPU实施数据安全传输、安全域识别、身份识别及认证、数据时效判定、

  攻击和伪装判定等操作；

◆高效判定运算：采用关联域网关iSafeLinks6900实时连续认证、时钟同步和链路

  合法性判定算法，辅以高达10.7亿组动态密钥的硬件AES算法模块，可确保对

  于256字节的应用数据链的加密及还原处理，可以快至0.36毫秒和0.464毫秒

  内完成；

◆路由功能：可以不依赖于网络结构的布局，实现在由置于控制中心的虚拟路由器

  的定义，实现本地安全侧的简易路由器功能；

◆网络端口：以太网口安全侧1个，非安全侧1个。均为　10/100MBps；

◆通信协议：      TCP/IP，控制应用通信协议为透明方式。暂不支持UDP/IP；

◆数据报文长度：支持最大1024字节协议报文；

◆安装方式：      DIN导轨安装；

◆供电：             7～40VDC，防浪涌 ，整机最大功耗10W