SJWA电力专用纵向加密认证装置技术说明
电力系统专用纵向加密认证装置用户手册
1-1-1-2-2-
2-2-2-3-3-6-6-7-7-7-8-8-9- 10 - 10 - 10 - 10 - 10 -
电力系统专用纵向加密认证装置用户手册
3.3.5 事件配置 .......................................... 3.3.6 审计配置 .......................................... 3.3.7 安全管理 .......................................... 3.3.8 双机热备 .......................................... 4 实施阶段 . ..................................................... 4.1 安装 ....................................................... 4.2 加电启动 ................................................ 4.3 检查状态 ................................................ 4.3.1 查看网卡状态 .................................... 4.3.2 查看装置状态 .................................... 4.3.3 察看监控信息 .................................... 4.3.4 调试工具 .......................................... 4.3.5 查看策略 .......................................... 4.3.6 检查装置加解密状态 ........................... 4.3.7 检查数据通信是否正常 ........................ 4.4 装置配置 ................................................ 4.4.1 透明模式对通拓扑 .............................. 4.4.2 导入对端装置证书 .............................. 4.4.3 接口配置 .......................................... 4.5 报警 ...................................................... 4.5.1 开关 ................................................. 4.5.2 指示灯 .............................................. 5 调试和检验阶段 ............................................ 5.1 《故障排查手册》 ..................................... 5.2 维护阶段 ................................................ 6 附录 ........................................................... 6.1 《事件信息对应表》 . .................................
电力系统专用纵向加密认证装置用户手册簿
纵向加密认证装置用户手册2013年7月目录1概述 (5)1.1编写目的 (5)1.2阅读对象 (5)1.3装置组成 (6)1.4装置状态介绍 (6)1.5部署阶段 (7)2规划阶段............................................................................ -1 -2.1网络拓扑......................................................................... -1 -2.2确定安装位置................................................................... -1 -2.2规划IP地址...................................................................... -2 -2.2调查安全需求................................................................... -2 - 3准备阶段............................................................................ -2 -3.1设备管理........................................................................ -2 -3.1.1设备连接 ............................................................................. -.2 -3.1.2连接图............................................................................. -.3.-3.2设备初始化.................................................................... -3 -3.3配置装置策略.................................................................. -7 -3.3.1包过滤规则 ........................................................................... -.7 -3.3.2本机IP配置........................................................................ -.7 -3.3.3路由配置 ............................................................................ -.8 -3.3.4隧道配置 ............................................................................ -.8 -3.3.5隧道策略配置 ......................................................................... -.9 -3.2.6添加隧道 ............................................................................. -.9 -3.2.7添加隧道策略 ........................................................................ -10 -3.3 装置管理 ................................................................. -..1.1..-.3.3.1系统加电 ............................................................................ -11 -3.3.2设备初始化........................................................................ -11 -3.3.3登录纵向装置...................................................................... -11 -3.3.4设置工作模式...................................................................... -11 -3.3.5事件配置.......................................................................... -12 -3.3.6审计配置.......................................................................... -13 -3.3.7安全管理.......................................................................... -13 -3.3.8双机热备.......................................................................... -13 -4实施阶段............................................................................. -14 -4.1安装 ..................................................................... -.1.4.-.4.2加电启动................................................................ -..14..-.4.3检查状态............................................................... -..14..-.4.3.1查看网卡状态...................................................................... -14 -4.3.2查看装置状态...................................................................... -14 -4.3.3察看监控信息 ........................................................................ -15 -4.3.4调试工具.......................................................................... -16 -4.3.5查看策略.......................................................................... -16 -4.3.6检查装置加解密状态................................................................ -17 -4.3.7检查数据通信是否正常 ................................................................ -17 -4.4装置配置.................................................................. -..1.7.4.4.1 透明模式对通拓扑.................................................................... -17 -4.4.2导入对端装置证书 .................................................................... -17 -4.4.3接口配置............................................................................. -18 -4.5 报警 ..................................................................... .-..1.8.-.4.5.1开关................................................................................ -18 -4.5.2指示灯............................................................................. -18 - 5调试和检验阶段..................................................................... -19 -5.1《故障排查手册》......................................................... .-..1.9..-5.2维护阶段.................................................................. -.20..-. 6附录.. (21)6.1《事件信息对应表》......................................................... •-.Z..-1概述1.1编写目的通过阅读本手册,用户可以掌握基本的装置配置及管理方法。
纵向加密认证装置技术规范书
华电沽源风电场二期100MW工程二次系统安全防护设备-纵向加密认证装置通用技术规范说明:本技术规范书为征求意见稿,请甲方与华北网调沟通,经华北网调主管部门审定,有意见及时反馈给设计院,以便修改。
评标时必须通知华北网调相关部门参加。
河北省电力勘测设计研究院二〇一二年七月二次系统安全防护设备-纵向加密认证装置采购标准技术规范使用说明1、本物资采购标准技术规范分为标准技术规范通用部分和标准技术规范专用部分。
2、项目单位根据需求选择所需设备的技术规范。
技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。
3、项目单位应按实际要求填写“项目需求部分”。
如确实需要改动以下部分,项目单位应填写专用部分“项目单位技术差异表”,与辅助说明文件随招标计划一起提交至招标文件审查会:①改动通用部分条款及专用部分固化的参数;②项目单位要求值超出标准技术参数值范围;③根据实际使用条件,需要变更环境温度、湿度、海拔高度、耐受地震能力、用途和安装方式等要求。
经招标文件审查会同意后,对专用部分的修改形成“项目单位技术差异表”,放入专用部分表格中,随招标文件同时发出并视为有效,否则将视为无差异。
4、投标人逐项响应技术规范专用部分中“1标准技术参数表”、“2项目需求部分”和“3投标人响应部分”三部分相应内容。
填写投标人响应部分,应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。
投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。
“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时,以差异表给出的参数为准。
投标人填写技术参数和性能要求响应表时,如有偏差除填写“投标人技术偏差表”外,必要时应提供证明参数优于招标人要求的相关试验报告。
5、对扩建工程,如有需要,项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。
6、技术规范范本的页面、标题等均为统一格式,不得随意更改。
电力系统专用纵向加密认证装置用户手册
纵向加密认证装置用户手册2013年7月目录1概述 ...................................... 错误!未定义书签。
编写目的................................... 错误!未定义书签。
阅读对象................................... 错误!未定义书签。
装置组成................................... 错误!未定义书签。
装置状态介绍............................... 错误!未定义书签。
部署阶段................................... 错误!未定义书签。
2规划阶段 .................................. 错误!未定义书签。
网络拓扑.................................. 错误!未定义书签。
确定安装位置............................... 错误!未定义书签。
规划IP地址............................... 错误!未定义书签。
调查安全需求............................... 错误!未定义书签。
3准备阶段................................... 错误!未定义书签。
设备管理................................... 错误!未定义书签。
设备连接................................. 错误!未定义书签。
连接图................................... 错误!未定义书签。
设备初始化................................. 错误!未定义书签。
配置装置策略............................... 错误!未定义书签。
电力专用纵向加密认证装置的功能与运维
电力专用纵向加密认证装置的功能与运维摘要:电力调度数据网络数据传输的安全性至关重要,其承载的数据涵盖了电力一次系统遥测、遥信、实时控制、故障录播等重要业务信息,实现这些信息传输的保密性、真实性和完整性是保证电力系统免遭外部黑客或病毒恶意破坏,实现电力二次系统安全运行的重要基础。
当前电力调度数据网络主要通过电力专用纵向加密认证装置来实现对业务数据的过滤、加解密、认证和完整性校验,从而保证业务数据传输的安全可靠。
本文主要从电力专用纵向加密认证装置隧道建立过程的状态转换、数据包转发原理及装置运维方面分析了电力专用纵向加密认证装置的工作机理,为电网调度自动化维护人员对电力专用纵向加密装置的运行维护提供了实用的理论参考。
关键词:电力调度数据网;电力二次系统安全;纵向加密1导言随着工业控制系统智能化、信息化和自动化程度的提升,网络安全风险日益凸显,电力系统已成为黑客组织和敌对势力潜在的入侵攻击对象,提升电力系统网络安全防范水平刻不容缓。
国家相关主管部门先后发布三项强制性命令,从政策制度方面建立健全电力监控系统的安全防护,其中:“经贸委30号令”明确了建立以边界防护为主的安全防护体系;“电监会5号令”提出了采用国产软硬件产品满足等级保护要求;“发改委14号令”提出了基于可信计算技术建立安全免疫机制。
电力专用纵向加密认证装置正是应电力监控系统相关安全防护要求而设计的一种专用设备,主要用于电力系统上下级监控系统之间的纵向业务传输,为电力二次系统安全运行提供了重要技术保障。
2电力专用纵向加密认证装置技术原理按照“安全分区、网络专业、横向隔离、纵向认证”的安全防护原则,纵向加密装置一般部署于安全I、II区的广域网边界,装置采用基于CA证书链的机制和基于PKI的密钥分发机制,具有IP过滤、双向认证、数据加密、远程管控、实时告警功能,实现了生产控制大区业务数据传输的完整性、保密性、真实性,是电力监控系统的重要纵向安全防线。
纵向加密认证装置技术要求
纵向加密认证装置技术要求
1.设备厂家资质
设备厂家应具有相关资质及相关项目实施的经验,提供满足要求的电力监控系统安全防护要求的纵向加密认证装置及实施服务,并应能提供下列有关文件资料:
1)信息安全服务(安全工程类)证书(中国信息安全测评中心颁发);
2)因装置需接入省调、地调安管平台,需提供安管平台原厂商出具的授权和接入证明函;
3)必须提供其已实施的类似项目中的服务队伍组织、工作沟通、技术支持方法等材料。
4)应能够提供经验丰富的技术支持队伍参与改造服务,确保服务人员的稳定性。
在服务队伍管理方案中应具体说明本次服务组织,提交服务主要成员的简历。
简历应要标明所参与的项目名称,起止时间,承担角色,负责的工作。
5)应至少提供一个规模相当的案例。
案例介绍时,必须包括表1-1中列举出的以下相关内容。
表1-1 案例情况表
2.设备主要技术指标
✓满足二次系统安全防护要求
✓满足《电力系统专用纵向加密认证装置技术规范》要求
✓满足《电力二次系统安全监控日志规范》要求
✓实现为电力调度系统数据的纵向传输提供保密性及完整性认证
✓实现各厂商装置的互联互通
✓在安全的前提下,提供良好的用户使用体验
✓加密时延:<1ms
✓无故障时间: 20000小时
✓具备冗余电源输入功能
✓1000M以太网,支持100M/1000M自适应
✓采用电力专用密码算法对传输的数据进行加密保护,支持基于电力数字证书的认证、基于加密隧道的明通功能,支持硬旁路明通模式
✓支持通过远程装置管理中心准确可靠实现远程的访问管理、装置重启、隧道初始化和策略添加等功能
✓满足河南省电网公司最新要求,支持SM2算法。
电力系统专用纵向加密认证装置用户手册
电力系统专用纵向加密认证装置用户手册纵向加密认证装置用户手册2013年7月目录1概述 (4)1.1编写目的 (4)1.2阅读对象 (4)1.3装置组成 (4)1.4装置状态介绍 (4)1.5部署阶段 (5)2规划阶段 (1)2.1 网络拓扑 ............................................................................................................................ - 1 -2.2确定安装位置 ..................................................................................................................... - 1 -2.2 规划IP地址 ...................................................................................................................... - 2 -2.2调查安全需求 ..................................................................................................................... - 2 -3准备阶段 .. (2)3.1设备管理 ............................................................................................................................. - 2 -3.1.1 设备连接..................................................................................................................................... - 2 -3.1.2 连接图......................................................................................................................................... - 2 -3.2设备初始化 ......................................................................................................................... - 3 -3.3配置装置策略 ..................................................................................................................... - 6 -3.3.1 包过滤规则................................................................................................................................. - 6 -3.3.2 本机IP配置............................................................................................................................... - 7 -3.3.3 路由配置..................................................................................................................................... - 7 -3.3.4 隧道配置..................................................................................................................................... - 8 -3.3.5 隧道策略配置............................................................................................................................. - 8 -3.2.6 添加隧道..................................................................................................................................... - 8 -3.2.7 添加隧道策略............................................................................................................................. - 9 -3.3装置管理 ........................................................................................................................... - 10 -3.3.1 系统加电................................................................................................................................... - 10 -3.3.2 设备初始化............................................................................................................................... - 10 -3.3.3 登录纵向装置............................................................................................................................ - 11 -3.3.4 设置工作模式............................................................................................................................ - 11 -3.3.5 事件配置.................................................................................................................................... - 11 -3.3.6 审计配置................................................................................................................................... - 12 -3.3.7 安全管理................................................................................................................................... - 12 -3.3.8 双机热备................................................................................................................................... - 13 -4实施阶段 (13)4.1安装 ................................................................................................................................... - 13 -4.2加电启动 ........................................................................................................................... - 13 -4.3检查状态 ........................................................................................................................... - 14 -4.3.1 查看网卡状态........................................................................................................................... - 14 -4.3.2 查看装置状态........................................................................................................................... - 14 -4.3.3 察看监控信息........................................................................................................................... - 14 -4.3.4 调试工具................................................................................................................................... - 15 -4.3.5 查看策略................................................................................................................................... - 16 -4.3.6 检查装置加解密状态............................................................................................................... - 16 -4.3.7 检查数据通信是否正常........................................................................................................... - 16 -4.4装置配置 ........................................................................................................................... - 17 -4.4.1 透明模式对通拓扑................................................................................................................... - 17 -4.4.2 导入对端装置证书................................................................................................................... - 17 -4.4.3 接口配置................................................................................................................................... - 17 -4.5 报警 .................................................................................................................................. - 18 -4.5.1开关............................................................................................................................................ - 18 -4.5.2指示灯........................................................................................................................................ - 18 -5调试和检验阶段 (18)5.1《故障排查手册》............................................................................................................. - 18 -5.2维护阶段 ........................................................................................................................... - 20 -6附录.. (21)6.1《事件信息对应表》......................................................................................................... - 21 -1 概述1.1编写目的通过阅读本手册,用户可以掌握基本的装置配置及管理方法。
纵向加密认证装置技术规范书要点
华电沽源风电场二期100MW工程二次系统安全防护设备-纵向加密认证装置通用技术规范说明:本技术规范书为征求意见稿,请甲方与华北网调沟通,经华北网调主管部门审定,有意见及时反馈给设计院,以便修改。
评标时必须通知华北网调相关部门参加。
河北省电力勘测设计研究院二〇一二年七月二次系统安全防护设备-纵向加密认证装置采购标准技术规范使用说明1、本物资采购标准技术规范分为标准技术规范通用部分和标准技术规范专用部分。
2、项目单位根据需求选择所需设备的技术规范。
技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。
3、项目单位应按实际要求填写“项目需求部分”。
如确实需要改动以下部分,项目单位应填写专用部分“项目单位技术差异表”,与辅助说明文件随招标计划一起提交至招标文件审查会:①改动通用部分条款及专用部分固化的参数;②项目单位要求值超出标准技术参数值范围;③根据实际使用条件,需要变更环境温度、湿度、海拔高度、耐受地震能力、用途和安装方式等要求。
经招标文件审查会同意后,对专用部分的修改形成“项目单位技术差异表”,放入专用部分表格中,随招标文件同时发出并视为有效,否则将视为无差异。
4、投标人逐项响应技术规范专用部分中“1标准技术参数表”、“2项目需求部分”和“3投标人响应部分”三部分相应内容。
填写投标人响应部分,应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。
投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。
“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时,以差异表给出的参数为准。
投标人填写技术参数和性能要求响应表时,如有偏差除填写“投标人技术偏差表”外,必要时应提供证明参数优于招标人要求的相关试验报告。
5、对扩建工程,如有需要,项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。
6、技术规范范本的页面、标题等均为统一格式,不得随意更改。
电力系统调度数据网纵向加密认证装置专用技术规范
电力系统调度数据网纵向加密认证装置专用技术规范
XXXXXXXX限公司XXXXXXXXXXXXXX工程
变电站纵向加密认证装置
专用技术规范
2015年3月
目录
1 标准技术参数 (1)
2 项目需求部分 (2)
2.1 货物需求及供货范围一览表 (2)
2.2 必备的备品备件、专用工具和仪器仪表供货表 (2)
2.3 工程概况 (2)
2.4 使用条件 (2)
2.5 项目单位技术差异表 (3)
2.6 设计联络会、培训及验收需求一览表 (3)
3 投标人响应部分 (4)
3.1 投标人技术偏差表 (4)
3.2 销售及运行业绩表 (4)
3.3 推荐的备品备件、专用工具和仪器仪表供货 (4)
3.4 最终用户的使用情况证明 (5)
3.5 投标人提供的试验检测报告表 (5)
3.6 投标人提供的鉴定证书表 (5)。
SJWA电力专用纵向加密认证装置技术说明
S J W A电力专用纵向加密认证装置技术说明公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]SJW07-A电力专用纵向加密认证装置技术说明1配置1.1产品外观1.2双网口增强型配置加密性能:千兆360Mbps;百兆增强型:360Mbps;百兆普通型:15Mbps;网络接口: 5个100M/1000M以太网接口,2个内网口、2个外网口和1个心跳口(双机热备心跳接口)。
外设接口:1个串口,速率为115200bps,RS-232(RJ45)电源接口:1+1冗余电源,可热替换。
外形尺寸:厚度1U,可安装于19英寸标准机柜。
2高可靠性2.1双冗余电源SJW07-A电力专用纵向加密认证装置标配着名工业电源提供商新巨(Zippy)提供的高品质1+1冗余电源,支持直流电源模块,支持热替换。
在研发过程中所做过的历次电磁兼容测试均表现优异,从用户使用情况来看,从装置安装上线至今从未出现过电源故障。
该1+1冗余电源当一个电源模块出现故障时,会发出声光报警,这时可以在不中断业务的情况下把故障电源模块拔出,替换成新的电源模块。
在使用时,通常应把两个电源模块分别接到两路独立的供电系统上,1+1冗余电源毫无疑问能够增强系统的可靠性以及延长整个系统的平均无故障工作时间。
2.2双算法芯片冗余备份SJW07-A电力专用纵向加密认证装置标配双算法芯片,通过两种方案提供算法芯片冗余性:硬件级双算法芯片冗余;系统级双算法芯片冗余。
密码卡硬件加电后执行自检和芯片可用性检查,自动屏蔽掉不可用的算法芯片,这一过程对应用系统透明,应用系统只能看到并使用这两块芯片中可用的芯片。
应用系统周期性检查芯片可用性,把调用中出错的算法芯片禁用。
2.3双FLASH互备校验修复SJW07-A电力专用纵向加密认证装置标配两块FLASH芯片,互为镜像,相互校验(即互相保存有对方的完整性检验数据)。
装置的内核、操作系统和应用系统及策略配置数据都有两个拷贝,独立保存在两块FLASH上,每一块数据都有校验数据,当系统启动时通过检验数据自动修复两块FLASH上不一致的数据,使它们保持一致。
纵向加密认证装置技术规范书
华电沽源风电场二期100MW工程二次系统安全防护设备-纵向加密认证装置通用技术规范说明:本技术规范书为征求意见稿,请甲方与华北网调沟通,经华北网调主管部门审定,有意见及时反馈给设计院,以便修改。
评标时必须通知华北网调相关部门参加。
河北省电力勘测设计研究院二〇一二年七月二次系统安全防护设备-纵向加密认证装置采购标准技术规范使用说明1、本物资采购标准技术规范分为标准技术规范通用部分和标准技术规范专用部分。
2、项目单位根据需求选择所需设备的技术规范。
技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。
3、项目单位应按实际要求填写“项目需求部分”。
如确实需要改动以下部分,项目单位应填写专用部分“项目单位技术差异表”,与辅助说明文件随招标计划一起提交至招标文件审查会:改动通用部分条款及专用部分固化的参数;项目单位要求值超出标准技术参数值范围;根据实际使用条件,需要变更环境温度、湿度、海拔高度、耐受地震能力、用途和安装方式等要求。
经招标文件审查会同意后,对专用部分的修改形成“项目单位技术差异表”,放入专用部分表格中,随招标文件同时发出并视为有效,否则将视为无差异。
4、投标人逐项响应技术规范专用部分中“1标准技术参数表”、“2项目需求部分”和“3投标人响应部分”三部分相应内容。
填写投标人响应部分,应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。
投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。
“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时,以差异表给出的参数为准。
投标人填写技术参数和性能要求响应表时,如有偏差除填写“投标人技术偏差表”外,必要时应提供证明参数优于招标人要求的相关试验报告。
5、对扩建工程,如有需要,项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。
6、技术规范范本的页面、标题等均为统一格式,不得随意更改。
纵向加密认证装置技术规范书
华电沽源风电场二期100MW工程二次系统安全防护设备-纵向加密认证装置通用技术规范说明:本技术规范书为征求意见稿,请甲方与华北网调沟通,经华北网调主管部门审定,有意见及时反馈给设计院,以便修改。
评标时必须通知华北网调相关部门参加。
河北省电力勘测设计研究院二〇一二年七月二次系统安全防护设备-纵向加密认证装置采购标准技术规范使用说明1、本物资采购标准技术规范分为标准技术规范通用部分和标准技术规范专用部分。
2、项目单位根据需求选择所需设备的技术规范。
技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。
3、项目单位应按实际要求填写“项目需求部分”。
如确实需要改动以下部分,项目单位应填写专用部分“项目单位技术差异表”,与辅助说明文件随招标计划一起提交至招标文件审查会:①改动通用部分条款及专用部分固化的参数;②项目单位要求值超出标准技术参数值范围;③根据实际使用条件,需要变更环境温度、湿度、海拔高度、耐受地震能力、用途和安装方式等要求。
经招标文件审查会同意后,对专用部分的修改形成“项目单位技术差异表”,放入专用部分表格中,随招标文件同时发出并视为有效,否则将视为无差异。
4、投标人逐项响应技术规范专用部分中“1标准技术参数表”、“2项目需求部分”和“3投标人响应部分”三部分相应内容。
填写投标人响应部分,应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。
投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。
“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时,以差异表给出的参数为准。
投标人填写技术参数和性能要求响应表时,如有偏差除填写“投标人技术偏差表”外,必要时应提供证明参数优于招标人要求的相关试验报告。
5、对扩建工程,如有需要,项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。
6、技术规范范本的页面、标题等均为统一格式,不得随意更改。
纵向加密装置现场配置详细说明
纵向加密装置现场配置详细说明Last revision on 21 December 2020纵向加密配置说明纵向加密的配置说明主要阐述设备管理配置、IP地址的规范、业务配置的配置原则、相关IP地址。
一、纵向加密规划纵向加密设备是对调度数据网的业务流进行加密,现调度数据网220kV厂站侧接入省调接入网、地调接入网,省、地调度控制中心接入网骨干网I、II平面。
纵向加密业务流的规划如下图所示:由220kV厂站省调接入网侧厂站业务系统上传数据与调度控制中心骨干网第II平面主站业务系统通信;由220kV厂站地调接入网侧厂站业务系统上传数据与调度控制中心骨干网第I平面主站业务系统通信。
220kV变电站省调接入网省调接入网厂站标准为两台纵向加密设备,每台加密设备分别与同一路由器的实时、非实时接口相连,并与不通交换机连接。
每台加密设备分别对实时业务、非实时业务进行加密处理。
220kV变电站的地调接入网地调接入网厂站标准跟省调接入网相同。
厂站加密设备IP地址规范纵向加密设备的IP地址选用实时、非实时业务IP地址,每台纵向加密设备分别配置实时IP地址或非实时IP地址,IP地址请按照自动化分配的地址使用。
纵向加密设备的网关为对应业务的路由器物理接口地址。
纵向加密IP的分配如附表1:附表1:纵向加密IP地址规划(举例说明)二、纵向加密管理中心及内网安全监视平台的接入加密的管理中心及内网安全监视平台的接入方式需和业务流的相关规划对应,即骨干网II平面和厂站省调接入设备需由二平面的管理中心进行管理,并由内网安全监视平台所在II平面采集服务器进行告警日志采集;骨干网I平面和厂站地调接入设备需由一平面的管理中心进行管理,并由内网安全监视平台I平面采集服务器进行告警日志采集。
加密设备的集中管理:需在加密设备进行远程管理配置,内网安全监视平台能对设备进行远程管理。
省调内网安全监视平台需要管理场站级别有220kv及以上变电站、新能源场站包括风电场及光伏电站。
纵向加密认证装置原理
纵向加密认证装置原理
纵向加密认证装置是一种用于保护数据安全的设备,其原理是通过对数据进行加密和认证来确保数据的机密性和完整性。
纵向加密认证装置通常由加密处理器、认证模块和密钥管理模块等核心组件组成。
当数据需要进行传输或存储时,经过加密处理器加密后的数据会被传送到认证模块进行认证。
在认证模块中,数据的完整性会得到验证,以防止数据在传输过程中被篡改或损坏。
同时,认证模块会对发送方进行身份验证,以确认发送方的真实性和合法性。
密钥管理模块则负责生成、存储和分发密钥,确保加密和认证过程的安全性。
只有具有合法密钥的用户才能对数据进行解密和访问,从而确保只有授权用户才能获取数据。
纵向加密认证装置的工作过程可以简单地描述为以下几个步骤:首先,将要传输或存储的数据通过加密处理器进行加密,生成密文。
然后,将密文传输到认证模块,进行完整性验证和发送方身份认证。
最后,认证通过后,密文可以解密,并交付给目标用户进行使用。
纵向加密认证装置通过使用加密算法和认证协议等技术手段,有效地保护了数据的安全性和可信度。
它可以用于各种领域,如网络通信、数据库存储、物联网等,为数据的传输和存储提供了可靠的安全保障。
电力专用加密装置介绍
电力专用纵向加密装置SJW07-A产品简介1、产品基本状况装置名称:电力专用纵向加密认证装置型号: SJW07-A 加强型智能 IC 卡插槽智能 IC 卡指示灯告警指示灯加解密状态指示灯系统运转指示灯电源指示灯图 2-1 SJW07-A前面板表示图 1热备电源 2 热备电源 2 热备电源 2 沟通电源接地端子机箱锁指示灯电源开关插座主备装外网内网初始化配置串热备电源 1 热备电源 1 热备电源 1置心跳以太网以太网口物理保护口指示灯电源开关沟通电源网口口开关插座2、背景介绍电力系统是国家政治、经济活动的基础和支柱,一旦电力系统发生故障和安全问题,将严重影响公民经济发展和人民生活的正常次序,在特别期间还可能造成对国家安全,以及人民生命和财富安全的严重损失。
为了保障电力系统的安全,需要成立电力系统安全性评论系统,成立有效的人员和设施管理制度,完美安全审计管理,明确各级人员的安全职责。
同时,还需要充足利用现代科学手段,特意开发安全防备技术,从技术上保证电力系统的安全。
电力系统安全防备要点在控制系统,安全防备的目标是抵抗病毒、黑客等通过各样形式倡始的歹意损坏和攻击,特别是公司式攻击,要点保护电力及时闭环监控系统及调动数据网络的安全,防备由此惹起电力系统事故。
电力专用纵向加密认证装置(以下简称“装置”)是依据国家经贸委第30 号令《电网和电厂计算机监控系统及调动数据网络安全防备的规定》及国家电监会5命令《电力二次系统安全防备规定》的要求,依据《电力二次系统安全防备整体方案》的部署,针对电力二次安全防备系统中电力调动数据保密通信的专用密码设施,是电力二次系统安全防备的核心要点设施,实现了《电力二次系统安全防备整体方案》中要求的安全防备功能,知足二次系统安全防备的要求。
3、装置在国家电力调动数据网中的地点电力专用纵向加密认证装置位于电力控制系统的内部局域网与电力调动数据网络的路由器之间,以下列图所示,用于安全区I/II的广域网界限保护,可为当地安全区 I/II供给一个网络屏障同时为上下级控制系统之间的广域网通信提招供证与加密服务,实现数据传输的机密性、完好性保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
S J W A电力专用纵向加密认证装置技术说明公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]SJW07-A电力专用纵向加密认证装置技术说明1配置1.1产品外观1.2双网口增强型配置加密性能:千兆360Mbps;百兆增强型:360Mbps;百兆普通型:15Mbps;网络接口: 5个100M/1000M以太网接口,2个内网口、2个外网口和1个心跳口(双机热备心跳接口)。
外设接口:1个串口,速率为115200bps,RS-232(RJ45)电源接口:1+1冗余电源,可热替换。
外形尺寸:厚度1U,可安装于19英寸标准机柜。
2高可靠性2.1双冗余电源SJW07-A电力专用纵向加密认证装置标配着名工业电源提供商新巨(Zippy)提供的高品质1+1冗余电源,支持直流电源模块,支持热替换。
在研发过程中所做过的历次电磁兼容测试均表现优异,从用户使用情况来看,从装置安装上线至今从未出现过电源故障。
该1+1冗余电源当一个电源模块出现故障时,会发出声光报警,这时可以在不中断业务的情况下把故障电源模块拔出,替换成新的电源模块。
在使用时,通常应把两个电源模块分别接到两路独立的供电系统上,1+1冗余电源毫无疑问能够增强系统的可靠性以及延长整个系统的平均无故障工作时间。
2.2双算法芯片冗余备份SJW07-A电力专用纵向加密认证装置标配双算法芯片,通过两种方案提供算法芯片冗余性:硬件级双算法芯片冗余;系统级双算法芯片冗余。
密码卡硬件加电后执行自检和芯片可用性检查,自动屏蔽掉不可用的算法芯片,这一过程对应用系统透明,应用系统只能看到并使用这两块芯片中可用的芯片。
应用系统周期性检查芯片可用性,把调用中出错的算法芯片禁用。
2.3双FLASH互备校验修复SJW07-A电力专用纵向加密认证装置标配两块FLASH芯片,互为镜像,相互校验(即互相保存有对方的完整性检验数据)。
装置的内核、操作系统和应用系统及策略配置数据都有两个拷贝,独立保存在两块FLASH上,每一块数据都有校验数据,当系统启动时通过检验数据自动修复两块FLASH上不一致的数据,使它们保持一致。
当应用系统升级时,会实时进行两块FLASH的同步,当用户完成策略修改时,也会及实时同步两块FLASH上的策略配置。
双FLASH互备校验修复可以使用户数据得到保护,把发生策略数据丢失的风险降到最低。
2.4双机热备SJW07-A电力专用纵向加密认证装置支持双机热备运行模式,即同一网点的两台纵向加密认证装置互为主备机,在出现链路等故障时,主备机会快速自动切换,保障通信连续性。
从所保护的局域网中的通信机到本地接入路由器之间的路径上,任何环节(包括设备或链路出现故障),设备都能正确识别,实现路径切换。
2.5硬件旁路和自适应旁路SJW07-A电力专用纵向加密认证装置支持两种硬件旁路方式,一种方式是切断装置的电源,另一种方式是摁下专门提供的旁路按钮,就会在硬件级把装置完全旁路。
装置支持自适应旁路,通过SPING周期性探测远端装置,当远端装置故障或不在线时,装置会自动选择启用到远端的备用隧道,当没有可用的备用隧道时将把隧道切换成旁路模式,自适应旁路可以最大限度地保证用户业务系统的连通性,增强用户业务系统的可靠性。
2.6硬件看门狗和自愈能力SJW07-A电力专用纵向加密认证装置提供硬件看门狗,性能稳定,可靠性高。
此外,为提高整个系统的可靠性,系统专门设计了监控进程。
监控进程负责对密码模块、远程管理进程和密钥同步进程等进行监控,一旦发现异常情况,监控进程将予以审计记录,同时尝试进行修复。
当与设备相连的链路状态出现故障时,会发出声光告警,以提醒用户检查并排除链路故障。
3高安全性3.1完善的自主安全防护措施装置提供完善的自主安全防护措施,物理保护措施有保护开关/机箱锁,同时还提供自动销毁机制:无论是在带电工作或是不带电的情况下,打开机壳,主密钥和关键数据都会被自动销毁,增强了系统的安全性。
3.2非x86指令集网络处理器平台装置采用非INTEL指令系统的的RISC微处理器,关键是因为INTEL的指令系统存在安全漏洞或者后门指令,而由于INTEL的广泛应用,这些指令很有可能被别有用心的攻击者选用,从而成为攻击安全设备的跳板。
因此,在电力二次系统大量采用INTEL指令系统CPU的客观存在的形势下,在监控系统安全区的网络边界上绝对不能采用INTEL指令系统的CPU。
SJW07-A电力专用纵向加密认证装置采用Xscale(ARM核)处理器,该处理器通常用于高端网络设备,运行稳定可靠,是装置安全高效的基础。
装置主CPU 最小系统集成Xscale处理器,64M 的SDRAM,16M 的FLASH,PCI总线,32位地址、64位数字总线。
装置最小系统的FLASH已经固化了启动程序、嵌入式Linux操作系统、应用程序等,加电就可以启动并运行嵌入式Linux操作系统和用户的应用软件。
整个最小系统为各种嵌入式应用提供足够的存储、运行空间和丰富的接口扩展资源。
3.3操作系统安全加固SJW07-A电力专用纵向加密认证装置选用精简的、安全的、固化的LINUX操作系统,在嵌入式LINUX内核的基础上进行裁减。
内核中只包含用户管理、进程管理、SOCKET编程接口,除去了TCP/IP协议栈和其它不需要的所有系统服务。
核心关键是问题去除TCP/IP协议栈, 除去TCP/IP协议栈后网络服务也就无法存在。
众所周知,目前常用的TCP/IP协议栈(IPv4)在设计是存在很多安全漏洞的,例如拒绝服务、IP劫持、缓冲区溢出等,因此我们采用直接操作网卡(链路层)剥离出应用层数据的方案彻底解决了其安全问题, 提高了系统安全性和抗攻击能力,保证系统安全的最大化。
通过以上设计方法和实现技术,基于独立开发的专用网络安全操作系统之上,装置的运行效率很高,安全性能优越。
4网络适应性强4.1透明接入作为内嵌密码模块的双网口透明网桥设备,对其他主机而言是透明的,最多只需占用一个IP地址,不影响原有网络拓扑结构,也无须更改网络设备或局域网计算机的设置,它所提供的密通道对局域网内的计算机是透明的,这一特性极大地方便。
4.2借用地址支持借用地址工作方式:当用户不能为装置分配IP地址时可借用用户网络设备的地址。
4.3双网口支持双入双出接入方式:支持通信网关机双上联情况下的一台装置多网口的接入(装置双网口)。
4.4多种工作模式支持双机热备和主主隧道工作模式。
支持流量均衡网络环境下的多机协同工作模式。
4.5支持VLAN环境支持 VLAN Trunk、VLAN与隧道绑定。
5互通性好符合《IP加密认证装置技术规范》的功能要求和设备互联互通要求。
可接受统一的装置管理系统的远程监控和管理。
6 灵活性好6.1 可扩展性好在密码模块的设计过程中,充分考虑了用户潜在的提速和扩容需求,赋予了密码模块良好的可扩展性,支持两块SSX06算法芯片并行工作,使密码模块处理能力线性增加,可以保证系统平滑地提速和扩容。
兼顾性能和灵活性,可根据用户要求选配单芯卡或双芯卡。
可根据需要选配双网口装置,大大降低使用成本。
6.2 支持多种组网方式6.2.1 中心节点典型组网方式多机均衡/借用地址通信网关通信网关双网口模式双网口模式多机均衡/双网口/借用地址6.2.2 分支节点典型组网方式通信网关主主模式/借用地址通信网关通信网关通信网关通信网关通信网关双网口模式双网口模式单网口模式主主模式/双机热备7 高性能支持双算法芯片,数据加解密速度最高达60Mbps 。
用户可以根据自身性能要求选配双芯卡,取得更高的加密性能。
采用高效率的策略查找算法,策略查找算法的时间复杂度接近O(1),策略数的增加对性能造成影响非常小,基本可以忽略。
附件(一):兴唐通信纵向加密认证SJW07-A 技术参数1)网络接口:5个100M/1000M以太网接口,2个内网口、2个外网口和1个心跳口(双机热备心跳接口)。
控制台接口:本地设置口(RS232,RJ45)2)外设接口:1个串口,速率为115200bps,RS-232(RJ45)3)同网支持纵向加密认证装置数:2554)最大并发加密隧道数:>600条5)工作密钥:生存期1-24小时/最大加密次数次6)1000M LAN环境下,加密隧道建立时间:<1s7)明文数据包吞吐量:千兆900Mbps;百兆增强型:95Mbps;百兆普通型:50Mbps;(200条安全策略,1024字节报文长度)8)密文数据包吞吐量:千兆360Mbps;百兆增强型:360Mbps;百兆普通型:15Mbps;(200条安全策略,1024字节报文长度)9)采用多块SSX06算法芯片,并行处理10)数据加解密速率:最高速率:千兆360Mbps;百兆增强型:360Mbps;百兆普通型:15Mbps;11)12)数据包转发延迟:<2ms(50%密文数据包吞吐量)13)单机延时:<1ms14)满负荷数据包丢弃率:015)物理保护措施:保护开关/机箱锁16)符合19英寸机架标准,千兆高度2U,百兆1U;17)输入电源范围:AC 220V(+15%,-20%),50Hz18)功耗:20W19)存储温度范围:-40~55℃存储湿度要求:<93%/40℃20)工作温度范围:-5~45℃工作湿度要求:<95%/40℃21)平均故障间隔时间MTBF:>8,760h(一年)22)电源接口:1+1冗余电源,可热替换。