纵向加密认证装置培训80页PPT
兴唐纵向加密纵向加密装置产品介绍 ppt课件
功能特点
安全性—完善的自主安全防护措施 物理锁 开机毁钥 无论是在带电工作或是不带电的情况下,打开机壳,密钥都会被自动销毁,增强了系统的安全 性。 安全加固内核 修改了协议栈,对于网络数据的处理完全可控。涉及的安全协议全部都是定制的,可以更有效 地防御攻击。 毁钥告警
书服务系统一签发; 可使用符合《电力系统专用纵向加密认证装置技术规范》要求的证书服务
系统下发的数字证书和操作员卡; 采用透明网桥模式,不影响原有网络和终端设备的配置,系统扩展性好 支持双机热备功能; 具有完善的自检、声光组合告警提示,以及自愈功能; 具有完备的审计功能; 支持本地设置和远程管理,并提供在线软升级和更换密钥的功能; 基于Windows图形界面的专用配置管理软件对设备进行各类配置管理工作,
北京星华永泰科技有限公司
支持双机热备 l 支持双机热备运行模式,即同一网点的两台纵向加密认 证装置互为主备机,在出现链路等故障时,主备机会快 速自动切换,保障通信连续性。从所保护的局域网中的 通信机到本地接入路由器之间的路径上,任何环节(包 括设备或链路出现故障),设备都能正确识别,实现路 径切换。
– 电源 l 工业电源 l 双电源 l 支持直流电源模块 l 失效告警 l 可在线热替换,不中断业务 l 标准尺寸
– 双算法芯片冗余 l 在密码模块的设计过程中,充分考虑了用户潜在的提速和扩容需求,赋予了密码模块良好的可扩展 性,支持两块SSX06算法芯片并行工作,使密码模块处理能力线性增加,可以保证系统平滑地提速 和扩容。兼顾性能和灵活性,可根据用户要求选配单芯卡或双芯卡。即使有一块芯片不可用,并不 妨碍另一块芯片全速运行。
软件失效监控 l 监控进程负责对密码模块、远程管理进程和密钥同步进 程等进行监控,一旦发现异常情况,监控进程将予以审 计记录,同时尝试进行修复。
信息安全-纵向加密认证网关宣传彩页
纵向加密认证网关产品说明NetKeeper-2000纵向加密认证网关部署在企业内部局域网与企业广域网的路由器之间,可以为不同级别多个业务系统之间的实时数据交换提供认证与加密服务,防止业务数据在网络传输过程中被窃取、监听、纂改,实现端到端的选择性保护,保证实时数据传输的机密性、完整性和可靠性。
NetKeeper-2000纵向加密认证网关(千兆型)NetKeeper-2000纵向加密认证网关(普通型)NetKeeper-2000纵向加密认证网关(低端型)产品特点•高性能电力专用硬件加密技术,支持身份鉴别,信息加密,数字签名和密钥生成与保护。
•应用协议选择性加密,支持对多种专用协议,对不同功能的报文采取不同的应用策略。
•支持多种灵活接入方式。
•安全综合防护功能,基于应用的内容过滤和硬件防火墙技术。
•系统高可靠运行保障技术。
采用了多种高可靠性保障技术包括双机冗余备份技术、硬件自动旁路技术、双电源冗余技术等,使得系统达到99.99%以上的不间断运行水平。
•高可靠性硬件设计。
整体设计分布均匀、布局合理,采用国外进口高档工控双电源,有效地提高系统平均无故障工作时间。
•严格的生产流程控制。
严格遵循ISO9000 2000版质量认证体系,对每一台纵向加密认证网关的关键芯片和元器件进行产品老化试验,出厂前通过240小时连续通电和大流量通信测试。
产品性能(千兆型)•产品规格✧材料:重负荷钢✧尺寸(长×宽×高):500×440×45毫米✧重量:12千克✧网络接口: 4个千兆网卡接口+1个百兆网卡接口(其中eth0与eht1、eth2与eth3支持自动旁路)✧外设接口:1个终端接口(RS232)+1个智能IC卡接口•电源✧输入电压:220V AC±20%✧输入频率:47~63HZ✧电源功耗:150W✧平均无故障时间(MTBF)>60000小时(100%负荷)•工作环境✧工作温度:-10°~55°✧存储温度:-20°~80°✧工作湿度:5~95%,非冷凝✧存储湿度:5~95%,非冷凝•性能指标✧最大并发加密隧道数:2048条✧1000M LAN环境下,加密隧道建立延迟<1s✧明文数据包吞吐量:1790Mbps (100条安全策略,1024报文长度)✧密文数据包吞吐量:110Mbps (50条安全策略,1024报文长度)✧数据包转发延迟:<1ms (50%密文数据包吞吐量)✧满负荷数据包丢弃率:0产品性能(百兆型)•产品规格✧材料:重负荷钢✧尺寸(长×宽×高):400×425×44.4毫米✧重量:5千克✧网络接口: 4个千兆网卡接口+1个百兆网卡接口(其中eth0与eht1、eth2与eth3支持自动旁路)✧外设接口:1个终端接口(RS232)+1个智能IC卡接口•电源✧输入电压:220V AC±20%✧输入频率:47~63HZ✧电源功耗:60W✧平均无故障时间(MTBF)>60000小时(100%负荷)•工作环境✧工作温度:-10°~55°✧存储温度:-20°~80°✧工作湿度:5~95%,非冷凝✧存储湿度:5~95%,非冷凝•性能指标✧最大并发加密隧道数:1024条✧100M LAN环境下,加密隧道建立延迟<1s✧明文数据包吞吐量:338Mbps (50条安全策略,1024报文长度)✧密文数据包吞吐量:38Mbps (50条安全策略,1024报文长度)✧数据包转发延迟:<1ms (50%密文数据包吞吐量)✧满负荷数据包丢弃率:0产品性能(百兆低端型)•产品规格✧材料:重负荷钢✧尺寸(长×宽×高):440×420×44.5毫米✧重量:5千克✧网络接口: 4个千兆网卡接口+1个百兆网卡接口(其中eth0与eht1、eth2与eth3支持自动旁路)✧外设接口:1个终端接口(RS232)+1个智能IC卡接口•电源✧输入电压:220V AC±20%✧输入频率:47~63HZ✧电源功耗:60W✧平均无故障时间(MTBF)>60000小时(100%负荷)•工作环境✧工作温度:-10°~55°✧存储温度:-20°~80°✧工作湿度:5~95%,非冷凝✧存储湿度:5~95%,非冷凝•性能指标✧最大并发加密隧道数:1024条✧100M LAN环境下,加密隧道建立延迟<1s✧明文数据包吞吐量:200Mbps (50条安全策略,1024报文长度)✧密文数据包吞吐量:35Mbps (50条安全策略,1024报文长度)✧数据包转发延迟:<1ms (50%密文数据包吞吐量)✧满负荷数据包丢弃率:0适用范围本产品适用于电网、发电、能源等企业内部网络与广域网交接处。
纵向加密认证装置技术规范书
华电沽源风电场二期100MW工程二次系统安全防护设备-纵向加密认证装置通用技术规范说明:本技术规范书为征求意见稿,请甲方与华北网调沟通,经华北网调主管部门审定,有意见及时反馈给设计院,以便修改。
评标时必须通知华北网调相关部门参加。
河北省电力勘测设计研究院二〇一二年七月二次系统安全防护设备-纵向加密认证装置采购标准技术规范使用说明1、本物资采购标准技术规范分为标准技术规范通用部分和标准技术规范专用部分。
2、项目单位根据需求选择所需设备的技术规范。
技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。
3、项目单位应按实际要求填写“项目需求部分”。
如确实需要改动以下部分,项目单位应填写专用部分“项目单位技术差异表”,与辅助说明文件随招标计划一起提交至招标文件审查会:①改动通用部分条款及专用部分固化的参数;②项目单位要求值超出标准技术参数值范围;③根据实际使用条件,需要变更环境温度、湿度、海拔高度、耐受地震能力、用途和安装方式等要求。
经招标文件审查会同意后,对专用部分的修改形成“项目单位技术差异表”,放入专用部分表格中,随招标文件同时发出并视为有效,否则将视为无差异。
4、投标人逐项响应技术规范专用部分中“1标准技术参数表”、“2项目需求部分”和“3投标人响应部分”三部分相应内容。
填写投标人响应部分,应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。
投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。
“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时,以差异表给出的参数为准。
投标人填写技术参数和性能要求响应表时,如有偏差除填写“投标人技术偏差表”外,必要时应提供证明参数优于招标人要求的相关试验报告。
5、对扩建工程,如有需要,项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。
6、技术规范范本的页面、标题等均为统一格式,不得随意更改。
电力专用纵向加密认证装置的功能与运维
电力专用纵向加密认证装置的功能与运维摘要:电力调度数据网络数据传输的安全性至关重要,其承载的数据涵盖了电力一次系统遥测、遥信、实时控制、故障录播等重要业务信息,实现这些信息传输的保密性、真实性和完整性是保证电力系统免遭外部黑客或病毒恶意破坏,实现电力二次系统安全运行的重要基础。
当前电力调度数据网络主要通过电力专用纵向加密认证装置来实现对业务数据的过滤、加解密、认证和完整性校验,从而保证业务数据传输的安全可靠。
本文主要从电力专用纵向加密认证装置隧道建立过程的状态转换、数据包转发原理及装置运维方面分析了电力专用纵向加密认证装置的工作机理,为电网调度自动化维护人员对电力专用纵向加密装置的运行维护提供了实用的理论参考。
关键词:电力调度数据网;电力二次系统安全;纵向加密1导言随着工业控制系统智能化、信息化和自动化程度的提升,网络安全风险日益凸显,电力系统已成为黑客组织和敌对势力潜在的入侵攻击对象,提升电力系统网络安全防范水平刻不容缓。
国家相关主管部门先后发布三项强制性命令,从政策制度方面建立健全电力监控系统的安全防护,其中:“经贸委30号令”明确了建立以边界防护为主的安全防护体系;“电监会5号令”提出了采用国产软硬件产品满足等级保护要求;“发改委14号令”提出了基于可信计算技术建立安全免疫机制。
电力专用纵向加密认证装置正是应电力监控系统相关安全防护要求而设计的一种专用设备,主要用于电力系统上下级监控系统之间的纵向业务传输,为电力二次系统安全运行提供了重要技术保障。
2电力专用纵向加密认证装置技术原理按照“安全分区、网络专业、横向隔离、纵向认证”的安全防护原则,纵向加密装置一般部署于安全I、II区的广域网边界,装置采用基于CA证书链的机制和基于PKI的密钥分发机制,具有IP过滤、双向认证、数据加密、远程管控、实时告警功能,实现了生产控制大区业务数据传输的完整性、保密性、真实性,是电力监控系统的重要纵向安全防线。
SJW77纵向加密认证装置产品宣传彩页
SJW77 纵向加密认证装置【产品简介】SJW77电力专用纵向认证装置“以下简称SJW77装置”是卫士通公司根据全国电力系统二次系统安全防护专家组制定的《电力专用纵向加密认证装置技术规范》,专门研制开发。
采用国密办批准的“国电专用密码算法”以及电力系统安全防护专家组制定的“特有封装格式”,在协议IP层实现数据的封装、JM性、完整性和数据源鉴别等安全功能。
【特色亮点】SJW77装置低端产品的密文速率达到20Mbps;百兆产品的密文速率达到51Mbps,高于规范要求的20Mbps的密文速率,明文速率达到线速的100Mbps;千兆产品的密文速率高达155Mbps,在同类产品中处理性能最好,为电力系统网络提供更好的带宽支持SJW77装置经过电力工业电力设备及仪表质量检测中心和中国人民解放军信息安全测评认证中心等权威单位的检测,在250us-500us之间,远低于规范要求的2ms加密时延SJW77装置采用自主设计的网络处理器平台,该平台达到军品级别,其电磁兼容各项性指标均达到《技术规范》中规定的A级要求,完全符合电力系统网络要求,SJW77装置采用PCI接口电路,满足PCI2.1工业标准,高速DSP、密码专用芯片设计,以插卡式硬件模块实现算法,千兆产品支持光口接入满足电力系统特殊网络(既掩码为30位)的拓扑结构,增强装置的网络适应能力,完全透明的方式接入用户网络SJW77装置支持路由模式与透明模式。
现有的网络拓扑结构无须变动,即可实现各种实时信息的加密传输。
保证不同网段应用的无缝透明接入,支持多种网络接入环境包括标准的802.1Q 多VLAN环境、地址借用、双机热备、双机冗余等多种网络环境等提供系统管理员、配置管理员、审计管理员三种角色,分别行使不同的职责【主要功能】【适用范围】本产品属于电力行业专用产品,主要部署在基于TCP/IP协议族的电力调度数据网【典型应用】SJW77-1 100.1.1.10/24SJW77-2200.1.1.10/24业务机主A【成功案例】本产品已在华中、四川、湖南、重庆、山西、湖北、江西、三峡、南网等各电力公司部署1500余台。
实训项目标准化作业指导书(序号18)-纵向加密认证装置配置提升实训
备份配置文件
正确备份配置文件
19
导入证书
导入提供的设备、人员证书等
20
工作现场恢复
关闭设备操作界面,恢复设备原有接线方式。
五、
序号
危险点分析
安全措施(已正确执行的在执行栏打“√”)
执行
情况
1
连续5次登陆失败,导致操作员Key失效
输入密码注意大小写,确认小键盘是否开启数字输入。
2
导入错误人员证书,导致不能登录
根据实验需求配置策略
14
配置PC3 7273-7282端口访问PC1协议UDP策略
根据实验需求配置策略
15
配置PC3业务地址ping业务网关地址
根据实验需求配置策略
16
配置PC3业务地址ping纵加设备VEAD1地址
根据实验需求配置策略
17
隧道处于opend状态,有加解密包
隧道处于opend状态,有加解密包
根据拓扑图,配置正确的装置管理地址
8
配置日志服务器地址
根据实验需求,配置正确的日志服务器地址
9
配置隧道
根据业务需求配置隧道
10
配置SW1对时策略
根据实验需求配置策略
11
配置RT1管控SW1策略
根据实验需求配置策略
12
配置PC3访问PC1策略
根据实验需求配置策略
13
配置PC3 1688-1973端口访问PC1协议TCP策略
3
RJ45水晶头
包
1
4、
序号
作业内容
质量要求
1
使用调试电脑登录设备操作界面
正确登录到设备操作界面
2
导入证书
导入提供的设备、人员证书等
纵向加密
1.设备的初始化
初始化与签发流程如下:
1.导出设备证书请求; 2.导出管理员卡证书请求; 3.导入根证书; 4.在证书签发中心,对设备证书请求,管理员卡证书请求进行签发; 5.导入并验证设备证书;(并把设备证书发给对端) 6.导入并验证管理员卡证书。
注:在初始化前,应将管理员IC卡插入纵向加密认证装置中,否则无 法完成初始化操作。
1.2导出管理员卡证书请求
导出管理员卡证书请求需选择管理员卡(有主卡、副卡之分), 操作示范选择主管理员卡,然后添加证书主题,主题不能为空,选择 本地管理PC路径点击“导出管理员卡证书请求”,操作成功会弹出提 示框,点击“确定”按钮后,“导出管理员证书请求”后标示操作成 功,自动跳转到下一操作界面。如图1-2
设备调试前
市级接入网:10.32.163.100 市级接入加密装置管理机:10.32.163.101 骨干一平面:10.32.9.41市调 10.32.9.241备调 本机地址:32.140.21.41 路由器地址:32.140.21.1
要求:建立3条隧道,分别和市级接入网,骨干一平面市 调,骨干一平面备调相连。
市级接入加密装置管理机: IP:10.32.163.100 证书在对应文件夹里面添加进去即可
第二条隧道: 发电厂——骨干一平面市调 32.140.21.41——10.32.9.41 备用地址无,通讯模式加密,隧道 名称自定义 如图
第三条隧道: 发电厂——骨干一平面备调 32.140.21.41——10.32.9.241 备用地址无,通讯模式加密,隧道 名称自定义 如图
市级接入网: IP:10.32.163.100
骨干一平面市调: IP:10.32.9.41 骨干一平面备调: IP:10.32.9.241 证书在对应文件夹里面添加进去即可
兴唐纵向加密纵向加密装置产品介绍 ppt课件
– 双算法芯片冗余 l 在密码模块的设计过程中,充分考虑了用户潜在的提速和扩容需求,赋予了密码模块良好的可扩展 性,支持两块SSX06算法芯片并行工作,使密码模块处理能力线性增加,可以保证系统平滑地提速 和扩容。兼顾性能和灵活性,可根据用户要求选配单芯卡或双芯卡。即使有一块芯片不可用,并不 妨碍另一块芯片全速运行。
实时加密2
EMS: 10.10.10.11-12 10.10.10.11-12
北京星华永泰科技有限公司
部署方案2-封装接入(两个都不借)
Trunk 管理Vlan 10: 10.10.40.2/28
业务Vlan100: 没地址
Trunk Vlan 10: 10.10.40.1/28 Vlan100: 10.10.30.1/28
EMS:10.10.30.2-3/28 PMU:10.10.30.4/28
实时加密
电量: 10.20.30.2/28
厂站
非实时加密 Trunk
Vlan 20: 10.20.40.1/28 Vlan200: 10.20.30.1/28
Trunk 管理Vlan 20: 10.20.40.2/28
业务Vlan200: 没地址
失效告警其他告警北京星华永泰科技有限公司ca根私钥ca证书client提交证书请求server公钥serverpemclient公钥clientpem证书请求文件client公钥clientpem根签名cserver提交证书请求证书请求文件server公钥serverpem根签名s请求文件通过根证书的私钥进行签名生成证书文件留下client私钥留下server私钥ca系统及证书签发北京星华永泰科技有限公司serverclientclientpemclient私钥serverpemclientpem导入serverserverpem导入clientserver私钥serverclient公钥根签名cserver使用根公钥对根签名c进行解密码判断是否合法继续终止合法不合法client私钥clientserver公钥根签名sclient使用根公钥对根签名s进行解密码判断是否合法继续终止合法不合法serverclientclient公钥server私钥client私钥server公钥到的r发给serverserver使用sercer私行解密得到r生成随机到的n发给clientclient使用client私密钥加密隧道的建立11223344北京星华永泰科技有限公司加密装置的配置内容明通密通配置北京星华永泰科技有限公司导出证书请求当密码机处在出厂态和初始态时采用向导式初始化流程北京星华永泰科技有限公司导出证书请求产生证书请求后点击按钮下一步弹出导出设备证书请求证书请求采用x509格式使用base64编码后缀为
纵向加密认证装置技术规范书要点
华电沽源风电场二期100MW工程二次系统安全防护设备-纵向加密认证装置通用技术规范说明:本技术规范书为征求意见稿,请甲方与华北网调沟通,经华北网调主管部门审定,有意见及时反馈给设计院,以便修改。
评标时必须通知华北网调相关部门参加。
河北省电力勘测设计研究院二〇一二年七月二次系统安全防护设备-纵向加密认证装置采购标准技术规范使用说明1、本物资采购标准技术规范分为标准技术规范通用部分和标准技术规范专用部分。
2、项目单位根据需求选择所需设备的技术规范。
技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。
3、项目单位应按实际要求填写“项目需求部分”。
如确实需要改动以下部分,项目单位应填写专用部分“项目单位技术差异表”,与辅助说明文件随招标计划一起提交至招标文件审查会:①改动通用部分条款及专用部分固化的参数;②项目单位要求值超出标准技术参数值范围;③根据实际使用条件,需要变更环境温度、湿度、海拔高度、耐受地震能力、用途和安装方式等要求。
经招标文件审查会同意后,对专用部分的修改形成“项目单位技术差异表”,放入专用部分表格中,随招标文件同时发出并视为有效,否则将视为无差异。
4、投标人逐项响应技术规范专用部分中“1标准技术参数表”、“2项目需求部分”和“3投标人响应部分”三部分相应内容。
填写投标人响应部分,应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。
投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。
“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时,以差异表给出的参数为准。
投标人填写技术参数和性能要求响应表时,如有偏差除填写“投标人技术偏差表”外,必要时应提供证明参数优于招标人要求的相关试验报告。
5、对扩建工程,如有需要,项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。
6、技术规范范本的页面、标题等均为统一格式,不得随意更改。
纵向加密认证装置技术规范书
华电沽源风电场二期100MW工程二次系统安全防护设备-纵向加密认证装置通用技术规范说明:本技术规范书为征求意见稿,请甲方与华北网调沟通,经华北网调主管部门审定,有意见及时反馈给设计院,以便修改。
评标时必须通知华北网调相关部门参加。
河北省电力勘测设计研究院二〇一二年七月二次系统安全防护设备-纵向加密认证装置采购标准技术规范使用说明1、本物资采购标准技术规范分为标准技术规范通用部分和标准技术规范专用部分。
2、项目单位根据需求选择所需设备的技术规范。
技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。
3、项目单位应按实际要求填写“项目需求部分”。
如确实需要改动以下部分,项目单位应填写专用部分“项目单位技术差异表”,与辅助说明文件随招标计划一起提交至招标文件审查会:①改动通用部分条款及专用部分固化的参数;②项目单位要求值超出标准技术参数值范围;③根据实际使用条件,需要变更环境温度、湿度、海拔高度、耐受地震能力、用途和安装方式等要求。
经招标文件审查会同意后,对专用部分的修改形成“项目单位技术差异表”,放入专用部分表格中,随招标文件同时发出并视为有效,否则将视为无差异。
4、投标人逐项响应技术规范专用部分中“1标准技术参数表”、“2项目需求部分”和“3投标人响应部分”三部分相应内容。
填写投标人响应部分,应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。
投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。
“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时,以差异表给出的参数为准。
投标人填写技术参数和性能要求响应表时,如有偏差除填写“投标人技术偏差表”外,必要时应提供证明参数优于招标人要求的相关试验报告。
5、对扩建工程,如有需要,项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。
6、技术规范范本的页面、标题等均为统一格式,不得随意更改。
电力系统专用纵向加密认证装置用户手册
优选文库纵向加密认证装置用户手册2013年 7 月目录1 归纳 (4)编写目的 (4)阅读对象 (4)装置构成 (4)装置状态介绍 (4)部署阶段 (5)2 规划阶段......................................................................................................................................- 1 -网络拓扑 .............................................................................................................................- 1 -确立安装地点 ......................................................................................................................- 1 -规划 IP 地址 .......................................................................................................................- 2 -检查安全需求 ......................................................................................................................- 2 -3 准备阶段......................................................................................................................................- 2 -设备管理 ..............................................................................................................................- 2 -设备连接 .....................................................................................................................................- 2 -连接图 .........................................................................................................................................- 3 -设备初始化 ..........................................................................................................................- 3 -配置装置策略 ......................................................................................................................- 6 -包过滤规则 .................................................................................................................................- 6 -本机 IP 配置 ...............................................................................................................................- 7 -路由配置 .....................................................................................................................................- 7 -地道配置 .....................................................................................................................................- 8 -地道策略配置 .............................................................................................................................- 8 -增添地道 .....................................................................................................................................- 8 -增添地道策略 .............................................................................................................................- 9 -装置管理 . (10)系统加电 (10)设备初始化 (10)登录纵向装置 ............................................................................................................................- 11-设置工作模式 ............................................................................................................................- 11-事件配置 ....................................................................................................................................- 11-审计配置 (12)安全管理 (12)双机热备 (13)4 实行阶段 (13)安装 (13)加电启动 (13)检查状态 (14)查察网卡状态 (14)查察装置状态 (14)观察监控信息 (14)调试工具 (15)查察策略 (16)检查装置加解密状态 (16)检查数据通讯能否正常 (16)装置配置 (17)透明模式对通拓扑 (17)导入对端装置证书 (17)接口配置 (17)报警 (18)开关 (18)指示灯 (18)5 调试和检验阶段 (18)《故障排查手册》 (18)保护阶段 (20)6 附录 (21)《事件信息对应表》 (21)1归纳1.1 编写目的经过阅读本手册,用户可以掌握基本的装置配置及管理方法。
纵向加密认证装置在电力网络中的应用
纵向加密认证装置在电力网络中的应用摘要:《中华人民共和国网络安全法》及《电力监控系统安全防护规定》等相关法律和电力行业相关要求的颁布实施,要求电力专用网络符合等保制度相关标准,电力专网应当按照网络安全等保制度的相关要求,部署相应安全设施,防止计算机病毒、黑客攻击和网络侵入等行为,保证电力专网不受干扰、破坏和越权访问,从而保证电力专网数据不被泄露、窃取和非法篡改。
相关法律和要求的推行和实施,更加严格的要求电力行业生产和运营单位加强电力专网的安全防护措施,保障电力网络免受侵害。
关键字:电力二次系统加密技术纵向加密认证网关一、纵向加密认证装置介绍纵向加密认证装置是依据《电力监控系统安全防护总体方案》及《配电监控系统安全防护方案》等规定设计研发,通过国家网络与信息系统安全产品质量监督检验中心、公安部计算机信息系统安全产品质量监督检验中心等有关部门鉴定的安全密码产品,为电力监控系统及传输数据提供基于密码技术的保护。
该装置利用IPSec、VPN等协议为用户构建安全可靠的虚拟专网,采用国密SM2/SM3/SM4算法、SSF09 算法(国电专用对称密码算法)为用户数据提供机密性、完整性保护,为用户内部网络建立安全屏障。
为保证和线上现有产品的互联互通,纵向加密认证装置须同时支持 RSA、MD5算法。
二、加密技术解析国密算法包含SM1,SM2,SM3,SM4算法,是我国国家密码管理局,自主研发创新的一套数据加密处理系列算法。
这套算法分别实现了对称、非对称、摘要等算法功能。
尤其适合在嵌入式物联网等有关领域使用,它主要完成身份认证和数据加解密等功能。
而使用这套算法,首先要保证的是算法密钥的安全性和可靠性,因此要使用国密算法,必须将其嵌入到硬件加密芯片中结合使用。
SM2椭圆曲线公钥密码算法是我国自主设计的公钥密码算法,包括SM2-1椭圆曲线数字签名算法,SM2-2椭圆曲线密钥交换协议,SM2-3椭圆曲线公钥加密算法,分别用于实现数字签名密钥协商和数据加密等功能SM3算法是我国自主设计的密码杂凑算法,主要用于商用密码应用中的数字签名和验证消息认证码的生成与验证以及随机数的生成,可满足多种密码应用的安全需求。
电力专用(纵向)加密装置介绍之欧阳理创编
数据通信科学技术研究所-珠海鸿瑞电力专用纵向加密装置SJW07-A产品简介1、产品基本情况装置名称:电力专用纵向加密认证装置型号:SJW07-A 增强型图2-1SJW07-A前面板示意图12、背景介绍电力系统是国家政治、经济活动的基础和支柱,一旦电力系统发生故障和安全问题,将严重影响国民经济发展和人民生活的正常秩序,在非常时期还可能造成对国家安全,以及人民生命和财产安全的严重损失。
为了保障电力系统的安全,需要建立电力系统安全性评价体系,建立有效的人员和设备管理制度,完善安全审计管理,明确各级人员的安全职责。
同时,还需要充分利用现代科学手段,专门开发安全防护技术,从技术上保证电力系统的安全。
电力系统安全防护重点在控制系统,安全防护的目标是抵御病毒、黑客等通过各种形式发起的恶意破坏和攻击,尤其是集团式攻击,重点保护电力实时闭环监控系统及调度数据网络的安全,防止由此引起电力系统事故。
电力专用纵向加密认证装置(以下简称“装置”)是按照国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》及国家电监会5号令《电力二次系统安全防护规定》的要求,根据《电力二次系统安全防护总体方案》的部署,针对电力二次安全防护体系中电力调度数据保密通信的专用密码设备,是电力二次系统安全防护的核心关键设备,实现了《电力二次系统安全防护总体方案》中要求的安全防护功能,满足二次系统安全防护的要求。
3、装置在国家电力调度数据网中的位置电力专用纵向加密认证装置位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,如下图所示,用于安全区I/II的广域网边界保护,可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。
按照“分级管理”要求,纵向加密认证装置部署在各级调度中心及下属的各厂站,根据电力调度通信关系建立加密隧道。
4、技术指标1)网络接口:2×10/100M自适应以太网口(10BaseT/100BaseTX,RJ45),同步网口(双机互备,10BaseT,RJ45),符合IEEE 802.3标准2)控制台接口:本地设置口(RS232,RJ45)3)IC卡接口,符合ISO-7816智能IC卡规范4)同网支持纵向加密认证装置数:2555)最大并发加密隧道数:>200条6)工作密钥:生存期1-24小时/最大加密次数10000-1000000次7)100M LAN环境下,加密隧道建立时间:<1s8)明文数据包吞吐量:100Mbps(50条安全策略,1024字节报文长度)9)密文数据包吞吐量:最高60Mbps(50条安全策略,1024字节报文长度)10)采用多块SSX06算法芯片,并行处理11)数据加解密速率:最高可达60Mbps12)数据包转发延迟:<2ms(50%密文数据包吞吐量)13)单机延时:<1ms14)满负荷数据包丢弃率:015)物理保护措施:保护开关/机箱锁16)符合19英寸机架标准,高度1U17)输入电源范围:AC 220V(+15%,-20%),50Hz18)功耗:20W19)存储温度范围:-40~55℃存储湿度要求:<93%/40℃20)工作温度范围:-5~45℃工作湿度要求:<95%/40℃21)平均故障间隔时间MTBF:>8,760h(一年)5、产品功能➢通过了国家主管部门的审批和技术鉴定,采用国家主管部门审批通过的专用密码算法➢密钥管理采用公私钥体制,符合X.509标准,使用BASE-64编码,由调度证书服务系统一签发➢五类安全证书机制:根证书、操作员证书、管理中心证书、纵向认证设备证书、对机证书➢三级密钥管理:主密钥、设备公私钥(设备公钥以证书请求方式导出,由证书服务系统签发成设备证书并发布)、工作密钥密钥同步的双方首先相互验证身份➢双方以RSA算法加密传送实时产生的工作密钥➢工作密钥定期自动更换➢“装置”可使用符合《电力专用纵向加密认证装置技术规范》要求的证书服务系统下发的数字证书和操作员卡➢IP层通信加密,符合IPSec,密文采用封装安全载荷(ESP)➢“装置”采用透明网桥模式,“装置”的引入不影响原有网络和终端设备的配置,系统扩展性好➢一对多加密模式,适应所有广域网络,扩展性好,灵活性高➢“装置”具有完善的自检、告警、自愈、审计功能➢“装置”在启动和运行过程中,发生的事件和错误都有日志记录,可以通过配置管理软件查看事件和定位故障。
电力系统专用纵向加密认证装置用户手册簿
纵向加密认证装置用户手册2013年7月目录1概述 (5)1.1编写目的 (5)1.2阅读对象 (5)1.3装置组成 (6)1.4装置状态介绍 (6)1.5部署阶段 (7)2规划阶段............................................................................ -1 -2.1网络拓扑......................................................................... -1 -2.2确定安装位置................................................................... -1 -2.2规划IP地址...................................................................... -2 -2.2调查安全需求................................................................... -2 - 3准备阶段............................................................................ -2 -3.1设备管理........................................................................ -2 -3.1.1设备连接 ............................................................................. -.2 -3.1.2连接图............................................................................. -.3.-3.2设备初始化.................................................................... -3 -3.3配置装置策略.................................................................. -7 -3.3.1包过滤规则 ........................................................................... -.7 -3.3.2本机IP配置........................................................................ -.7 -3.3.3路由配置 ............................................................................ -.8 -3.3.4隧道配置 ............................................................................ -.8 -3.3.5隧道策略配置 ......................................................................... -.9 -3.2.6添加隧道 ............................................................................. -.9 -3.2.7添加隧道策略 ........................................................................ -10 -3.3 装置管理 ................................................................. -..1.1..-.3.3.1系统加电 ............................................................................ -11 -3.3.2设备初始化........................................................................ -11 -3.3.3登录纵向装置...................................................................... -11 -3.3.4设置工作模式...................................................................... -11 -3.3.5事件配置.......................................................................... -12 -3.3.6审计配置.......................................................................... -13 -3.3.7安全管理.......................................................................... -13 -3.3.8双机热备.......................................................................... -13 -4实施阶段............................................................................. -14 -4.1安装 ..................................................................... -.1.4.-.4.2加电启动................................................................ -..14..-.4.3检查状态............................................................... -..14..-.4.3.1查看网卡状态...................................................................... -14 -4.3.2查看装置状态...................................................................... -14 -4.3.3察看监控信息 ........................................................................ -15 -4.3.4调试工具.......................................................................... -16 -4.3.5查看策略.......................................................................... -16 -4.3.6检查装置加解密状态................................................................ -17 -4.3.7检查数据通信是否正常 ................................................................ -17 -4.4装置配置.................................................................. -..1.7.4.4.1 透明模式对通拓扑.................................................................... -17 -4.4.2导入对端装置证书 .................................................................... -17 -4.4.3接口配置............................................................................. -18 -4.5 报警 ..................................................................... .-..1.8.-.4.5.1开关................................................................................ -18 -4.5.2指示灯............................................................................. -18 - 5调试和检验阶段..................................................................... -19 -5.1《故障排查手册》......................................................... .-..1.9..-5.2维护阶段.................................................................. -.20..-. 6附录.. (21)6.1《事件信息对应表》......................................................... •-.Z..-1概述1.1编写目的通过阅读本手册,用户可以掌握基本的装置配置及管理方法。
电力系统专用纵向加密认证装置用户手册
纵向加密认证装置用户手册2013年7月目录1概述 ...................................... 错误!未定义书签。
编写目的................................... 错误!未定义书签。
阅读对象................................... 错误!未定义书签。
装置组成................................... 错误!未定义书签。
装置状态介绍............................... 错误!未定义书签。
部署阶段................................... 错误!未定义书签。
2规划阶段 .................................. 错误!未定义书签。
网络拓扑.................................. 错误!未定义书签。
确定安装位置............................... 错误!未定义书签。
规划IP地址............................... 错误!未定义书签。
调查安全需求............................... 错误!未定义书签。
3准备阶段................................... 错误!未定义书签。
设备管理................................... 错误!未定义书签。
设备连接................................. 错误!未定义书签。
连接图................................... 错误!未定义书签。
设备初始化................................. 错误!未定义书签。
配置装置策略............................... 错误!未定义书签。