美国SEL-3620 以太网安***关可作为作为路由器、VPN 端点和防火墙设备

作为路由器、VPN 端点和防火墙设备，SEL-3620 以太网安***关可以对串行和基于以太网的 IED 执行安全和代理用户访问。SEL-3620 通过对现代和传统 IED 进行强大、集中、基于用户的身份验证和授权，帮助创建用户审计跟踪。SEL-3620 通过状态默认拒绝防火墙、强大的加密协议和系统感知日志来保护您的控制系统通信。SEL-3620 还管理受保护的 IED 密码，确保密码定期更改并符合复杂性规则。SEL-3620 支持增强的安全性，使您能够使用强大的多因素身份验证技术保护关键网络资产，例如使用远程身份验证拨入用户服务 （RADIUS） 的 RSA SecurID。SEL-3620 提供四个 IPsec 配置文件，包括 2022 Secure，其中包含更新的密码套件，提供***的信息数据包加密和身份验证。

SEL-3620 使用 exe-GUARD 嵌入式防病毒技术抵抗已知和未知的恶意软件攻击。强大的 Rootkit 抵抗能力、嵌入式 Linux 强制访问控制和进程允许列表有助于减少对网关本身的攻击，并消除昂贵的补丁管理和防病毒签名更新。SEL-3620 支持 NERC CIP 合规性工作，无需技术可行性例外 （TFE）。

SEL-3620 支持 SEL-5827 虚拟连接客户端和 SEL-5828 虚拟端口服务软件。这些应用程序由 SEL 免费提供，使远程 SEL-3620 端口可用于您 PC 上的现有软件和终端应用程序，包括使用 Modbus TCP/RTU 的应用程序。

SEL-3620 是与美国能源部国家 SCADA 测试台和以下公司合作设计和制造的：

Schweitzer 工程实验室公司

EnerNex 公司

田纳西河谷管理局

桑迪亚国家实验室

集中访问继电器和 IED —通过基于用户的访问控制和详细的活动日志，提供关键网络资产的中央入口点。登录 SEL-3620，而不是单个 IED。使用轻量级目录访问协议 （LDAP） 可访问的系统（如 Microsoft Active Directory）集中管理用户帐户和组成员资格。RADIUS 功能支持使用多因素身份验证系统，例如 RSA 令牌。

IED 密码管理 —在 IED 上强制实施强密码，并按可配置的计划自动更改密码。满足法规密码要求，并确保未使用弱密码或默认密码。管理使用命令行界面的 IED 和使用 Modbus 协议的设备（如 GE UR 系列继电器）上的密码。同时，通过设备签出和常见的***密码简化设备访问。

变电站防火墙和 IPsec VPN 端点 —使用强大的默认拒绝防火墙保护您的变电站网络免受恶意流量的侵害。通过直观的菜单驱动界面管理状态和配置。使用 Internet 协议安全 （IPsec） VPN 将关键网络安全地连接到控制中心。将 X.509 证书与在线证书状态协议 （OCSP） 结合使用，以集中管理信任。

准确的时间同步 —即使 GPS 卫星信号暂时不可用，也可以同步计时信息。使用 IRIG-B 实现同步相量***计时，并使用以太网网络时间协议 （NTP） 与本地通信处理器、计算机和安全设备同步，以实现精细日志记录和事件计时。

虚拟软件客户端支持 —使用 SEL-5827 或 SEL-5828 将 Windows 计算机上不安全的串行或传统以太网通信转换为加密安全的通道。这些应用程序由 SEL 免费提供，用于为 PC 上的现有软件和终端应用程序提供远程安***关端口，包括使用 Modbus TCP/RTU 的应用程序。使用具有远程端口组、主端口和串行端口的安全外壳 （SSH） 保护数据。

强大的可审计性支持 NERC CIP 要求 —记录和时间戳用户访问以及在关键 IED 上输入的所有命令。使用 Syslog 将事件记录集成到现有的日志管理系统中。使用强密码保护 ED，并阻止共享或默认帐户。精细访问控制限制用户对单个 IED 上为其分配的角色的访问。为用户活动、设备上的用户帐户、网络端口和服务、IED 密码更新和密码更新生成特定报告。

嵌入式防病毒算法 —使用 exe-GUARD 嵌入式防病毒软件抵御针对 SEL 安***关的已知和未知恶意软件攻击。强大的 Rootkit 抵抗技术、嵌入式 Linux 强制访问控制和进程允许列表有助于减少对网关本身的攻击，而无需额外的设置或补丁管理要求。

安全以太网通信 —使用媒体访问控制安全 （MACsec） 来增强 SEL-651R 和 SEL-651RA 重合器控制的现有网络安全，并减少运营和维护费用。MACsec 保护 SEL-651R/651RA 和 SEL-3620 或支持 MACsec 的密钥服务器路由器/无线电之间的以太网流量（IEC 61850 GOOSE 和并行冗余协议 [PRP] 流量除外），提供机密通信并维护设备之间的消息完整性。密钥管理通过 MACsec 密钥协议 （MKA） 实现自动化，以简化调试并改善整体用户体验。

对中继和 IED 的安全代理访问
使用 SEL-3620 提供关键网络资产的中央入口点，包括来自 SEL 和其他资产的资产，具有基于用户的访问控制和详细的活动日志。

IED 密码管理
在 IED 上强制使用强密码，并按照可配置的计划自动更改密码。满足法规密码要求，并确保没有使用弱密码或默认密码。

Substation Firewall
使用强大的默认拒绝防火墙保护您的 Substation 网络免受恶意流量的侵害。通过直观的菜单驱动型 Web 界面管理状态和配置。使用虚拟局域网 （VLAN） 来隔离流量并改进网络组织和性能。

路由和 NAT
使用静态路由在单独的以太网网络之间进行转发通信。该器件支持各种动态网络应用的网络地址转换 （NAT）。端口转发允许使用类似的远程地址空间，而无需重新设计 IP 子网，出站 NAT 支持需要它的应用程序的 Internet 访问。

IPsec VPN
通过使用 IPsec 保护的 VPN 隧道与现有 IT 和控制系统集成。将 X.509 证书与 OCSP 结合使用，以集中管理 VPN 信任。

Exe-GUARD Allowlist Antivirus
使用嵌入式允许列表防病毒软件抵御已知和未知恶意软件。缩短补丁周期并抵御零日攻击，无需额外设置。

基于模拟位的协议转换
将 Conitel 和其他基于位的协议转换为以太网，并减少对昂贵的模拟电路的依赖。

用户活动报告
：记录和时间戳、用户访问事件和每个命令。使用 Syslog 将事件记录集成到现有的日志管理系统中。

单点登录
登录到 SEL-3620，而不是单个 IED。用户只需记住一个帐户和密码，即他们自己的帐户和密码。使用可通过 LDAP 访问的系统（如 Microsoft Active Directory）或使用 RADIUS 集中管理用户帐户和组成员资格。RADIUS 允许您通过多因素身份验证（如 RSA SecurID）增强安全性。

支持 NERC CIP 要求
对 ESP 实施基于用户的强访问控制，同时使用强密码保护 IED 并阻止共享或默认帐户。精细访问控制限制用户对单个 IED 上为其分配的角色的访问。

经过行业审查的安全性和互作性

IRIG-B 时间同步接收并分配 IRIG-B 信号以保持时间同步。

X.509 证书确保对传入连接请求进行强身份验证。

OCSP 证书吊销与标准证书服务器一起运行，以集中吊销证书并防止不需要的连接。

HTTPS Web 界面允许方便、安全地设置和管理，并且无需额外的 PC 软件。

Syslog 记录事件以实现一致性和兼容性，并支持集中收集。

IPsec （RFC 4301、4302、4303） 创建安全的 VPN。

Lemnos 互作性促进了 Cisco 路由器和 Lemnos 兼容设备之间的通信。

虚拟软件客户端支持
使用 SEL-5827 或 SEL-5828 将 Windows 计算机上不安全的串行或传统以太网通信转换为加密安全的通道。这些应用程序由 SEL 免费提供，使远程 SEL-3620 端口可用于您 PC 上的现有软件和终端应用程序，包括使用 Modbus TCP/RTU 的应用程序。使用 SSH 和 SEL-3620 端口组、主端口和串行端口保护数据。