电力专用纵向加密认证装置的功能与运维
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力专用纵向加密认证装置的功能与运维
摘要:电力调度数据网络数据传输的安全性至关重要,其承载的数据涵盖了电
力一次系统遥测、遥信、实时控制、故障录播等重要业务信息,实现这些信息传
输的保密性、真实性和完整性是保证电力系统免遭外部黑客或病毒恶意破坏,实
现电力二次系统安全运行的重要基础。
当前电力调度数据网络主要通过电力专用
纵向加密认证装置来实现对业务数据的过滤、加解密、认证和完整性校验,从而
保证业务数据传输的安全可靠。
本文主要从电力专用纵向加密认证装置隧道建立
过程的状态转换、数据包转发原理及装置运维方面分析了电力专用纵向加密认证
装置的工作机理,为电网调度自动化维护人员对电力专用纵向加密装置的运行维
护提供了实用的理论参考。
关键词:电力调度数据网;电力二次系统安全;纵向加密
1导言
随着工业控制系统智能化、信息化和自动化程度的提升,网络安全风险日益
凸显,电力系统已成为黑客组织和敌对势力潜在的入侵攻击对象,提升电力系统
网络安全防范水平刻不容缓。
国家相关主管部门先后发布三项强制性命令,从政
策制度方面建立健全电力监控系统的安全防护,其中:“经贸委30号令”明确了建立以边界防护为主的安全防护体系;“电监会5号令”提出了采用国产软硬件产品
满足等级保护要求;“发改委14号令”提出了基于可信计算技术建立安全免疫机制。
电力专用纵向加密认证装置正是应电力监控系统相关安全防护要求而设计的一种
专用设备,主要用于电力系统上下级监控系统之间的纵向业务传输,为电力二次
系统安全运行提供了重要技术保障。
2电力专用纵向加密认证装置技术原理
按照“安全分区、网络专业、横向隔离、纵向认证”的安全防护原则,纵向加
密装置一般部署于安全I、II区的广域网边界,装置采用基于CA证书链的机制和
基于PKI的密钥分发机制,具有IP过滤、双向认证、数据加密、远程管控、实时
告警功能,实现了生产控制大区业务数据传输的完整性、保密性、真实性,是电
力监控系统的重要纵向安全防线。
2.1加密算法概述
纵向加密装置一般采用操作员密钥、设备密钥、会话密钥和通信密钥实现对
设备的登录、隧道的协商、数据的加解密和设备的管控,充分利用了非对称密钥
算法易于分发密钥和对称密钥算法加解密效率高的优势。
纵向加密装置常用的非对称密码算法有RSA和SM2,常用的对称密码算法是SSF09,常用的单向散列算法包括MD5、SHA和SM3。
RSA算法由Ron Rivest、Adi Shamir和Leonard Adleman在1977共同提出的,它基于“将两个大素数相乘很容易,但对其乘积进行因式分解却很难”这一数论依据,是ISO推荐的公钥算法加密
标准。
SM2算法是一种基于椭圆曲线密码体制的算法,与RSA算法相比,其密钥
长度和运算代价小、安全性高,已在加密实践中被广泛使用。
2.2三级证书链体系
纵向加密装置可以通过国调、省调和地调度三级证书系统逐级签发和验证下
级证书。
地调证书系统实现对设备证书的签发和验证、省调证书系统实现对地调
根证书的签发和验证、国调证书系统实现对省调根证书的签发和验证,国调根证
书由国调证书系统采用非对称算法实现自签名,三级证书链层层验证确保设备证
书的真实性。
证书系统由系统管理员、系统证书管理员、录入操作员、审核操作员和签发
操作员五类用户进行管理。
系统管理员由专用工具生成,用于实现对证书系统密
钥的销毁和保护;系统证书管理员用于管理系统数据库和日志,以及创建或销毁
录入操作员、审核操作员和签发操作员三类用户;录入操作员用于管理证书签发、更新和吊销请求,并将相关请求处理结果录入系统数据库;审核操作员用于对用
户的签发、更新和吊销请求进行审核,并将审核处理结果录入系统数据库;签发
操作员用于对审核通过的签发、更新和吊销请求进行处理。
2.3加密隧道建立机制
以A、B两台纵向加密装置为例说明加密隧道和会话密钥的协商过程。
A装置
首先产生一个随机数A1,用B装置的公钥加密并用自己的私钥签名后,封装为协商报文(IP253报文)向B装置发送协商请求。
B装置收到A装置的协商请求后,对解密后的对加密报文进行哈希运算,并将哈希运算结果与用A装置的公钥验签
后的结果比较,验证所收报文的真实性和完整性后,用B自身的私钥解密报文得
到随机数A1,然后B装置产生一个随机数B1,与随机数A1共同生成会话密钥,
用A装置的公钥加密并用自己的私钥签名后,封装为协商报文(IP253报文)向
A装置发送协商响应。
A装置收到B装置的协商响应后,同样经过验签和解密,
验证报文的真实性和完整性,根据解密报文中的随机数A1和B1产生会话密钥,
发送响应报文后隧道建立成功。
2.4数据包转发机制
以主机A和主机B业务数据通信为例说明纵向加密装置的数据包转发机制。
主机A要向主机B发送业务数据,主机A首先发送ARP请求寻找网关的MAC地址,装置A内网口Eth0收到ARP请求包之后,记录主机A的MAC地址,并将该
请求数据包透传到外网口Eth1。
网关收到ARP请求之后回复ARP响应报文,装置
A外网口Eth1收到ARP响应报文后,记录主机B的MAC地址,并将该响应数据
包透传到内网口Eth0。
主机A封装并向主机B发送业务报文,装置A内网口
Eth0收到业务报文,进行策略匹配,若策略匹配失败,则丢弃该数据包;若策略
匹配为明文,则由外网口Eth1透传该数据包;若策略匹配为加密且隧道为建立状态,则对原IP数据包进行加密且在原IP包头前封装新的IP包头,新IP包头源、
目的IP地址为隧道的本地、对侧地址,协议号为50,新数据包的MAC地址和VLAN标识号保持不变,新的业务数据包经外网口Eth1转发。
数据包到达装置B
的外网口Eth1后,装置B对数据包进行解密,进行策略匹配,若策略匹配失败,则丢弃该数据包;若策略匹配成功,则对解密后的IP包封装与收到的加密数据包
相同的MAC地址和VLAN标识号,并由内网口Eth0转发,完成主机A向主机B
发送数据包的全过程。
3纵向加密装置的运维与管理
纵向加密装置接入内网监控平台后,可通过UDP514日志报文和IP254管理报文实现告警和管理控制功能,管理报文通过对称的通信密钥加密并由主站采集装
置私钥签名,同时通信密钥经过加密装置公钥加密后随管理报文传输,每发送一
条管理报文就会产生新的通信密钥,确保信息传输的安全性。
纵向加密设备运行
过程中需重点关注的运行指标包括密通率、在线率和告警条数,它们与数据通信
的保密性和业务运行的安全性密切相关。
3.1装置密通率的提升
纵向加密装置密通率较低的原因往往是对于某些未安装加密装置的变电站,
为了保证业务数据的正常传输,在数据网启动时通常会在主站纵向加密装置内配
置一条业务数据的明通策略,明文的业务数据不利于数据传输的保密性,降低了
主站加密装置的密通率。
对于这类变电站需及时安装加密装置,并完善主站和厂
站的装置配置,使主站加密装置的密通率尽快提高。
3.2加密装置在线率的提升
装置在线率统计的基础数据来源于UDP514日志报文,某些厂站加密装置日
志模块未配置或者配置错误导致装置日志信息无法正常上送到主站采集装置,造
成装置离线,使得装置在线率较低。
对于此
类加密装置,需要及时进行日志模块的配置,确保日志信息可以正常上送,
提升装置在线率指标。
3.3加密装置告警信息的处理
告警信息通常包括:安全事件类告警、运行异常类告警和设备故障类告警,
根据事件的紧迫性又可分为普通、重要和紧急三类告警级别。
装置运行中常见的
告警包括:对不安全网络端口的访问告警、非法IP的访问告警、非法设备接入等,对各类告警要及时追踪告警源,并采取相应措施解除告警,从而消除系统安全隐患。
3.4加密装置的远程维护
通过内网安全监控平台的远程管控功能可以实现添加隧道、删除隧道、重置
隧道和查询隧道状态的隧道管理功能,以及添加安全策略、删除安全策略、编辑
安全策略和查询安全策略的安全策略管理功能,日常运维中需要加强装置的远程
管控,及时发现加密装置隧道的异常状态和排查不合理的安全策略,实现对加密
隧道和安全策略的高效维护。
4结束语
电力监控系统网络安全风险愈益凸显,电力监控系统安全I区和安全II区的
生产系统涵盖了电力系统实时数据采集、监视和控制等重要业务,在电力调度数
据网络部署电力专用纵向加密认证装置已经成为纵向网络边界抵御黑客入侵、病
毒攻击和各种恶意破坏的重要技术手段。
通过加密装置的包过滤功能可以筛除可
能存在的恶意数据,实现了类似于包过滤防火墙的功能;通过专用加密算法对业
务数据包进行加密处理,有效地防止窃听者对数据内容的解密,保证了数据传输
的保密性;通过对加密后的业务数据进行消息摘要计算,有效地防止篡改者对业
务数据的恶意修改,保证了数据传输的完整性;通过对消息摘要计算结果进行签
名处理,有效防止伪造者发送虚假数据,保证了数据传输的真实性。
本文着重对
电力专用纵向加密认证装置的基本功能特点和运维管理进行了论述,主要阐明了
加密装置隧道协商原理、数据包转发原理和运行指标管控要点,可以为纵向加密
认证装置的运维工作提供有效的参考。
参考文献:
[1]廖杰灵.电力调度数据网安全技术及其应用[J].通讯世界,2018(04):219-220.
[2]庄植钧. 电力无线专网上行信道资源分配方法[D].北京邮电大学,2018.
[3]史雪梅.电力调度数据网安全技术及其应用[J].科技与创新,2016(18):142.
[4]倪春雷,王飞,孟艳卿,李奇峰,琚永安,谭文刚.电力调度数据网络结构
特性分析[J].中国高新技术企业,2016(16):124-125.。