电力专用纵向加密认证装置的功能与运维
电力专用纵向加密认证装置的功能与运维
摘要:电力调度数据网络数据传输的安全性至关重要,其承载的数据涵盖了电
力一次系统遥测、遥信、实时控制、故障录播等重要业务信息,实现这些信息传
输的保密性、真实性和完整性是保证电力系统免遭外部黑客或病毒恶意破坏,实
现电力二次系统安全运行的重要基础。当前电力调度数据网络主要通过电力专用
纵向加密认证装置来实现对业务数据的过滤、加解密、认证和完整性校验,从而
保证业务数据传输的安全可靠。本文主要从电力专用纵向加密认证装置隧道建立
过程的状态转换、数据包转发原理及装置运维方面分析了电力专用纵向加密认证
装置的工作机理,为电网调度自动化维护人员对电力专用纵向加密装置的运行维
护提供了实用的理论参考。
关键词:电力调度数据网;电力二次系统安全;纵向加密
1导言
随着工业控制系统智能化、信息化和自动化程度的提升,网络安全风险日益
凸显,电力系统已成为黑客组织和敌对势力潜在的入侵攻击对象,提升电力系统
网络安全防范水平刻不容缓。国家相关主管部门先后发布三项强制性命令,从政
策制度方面建立健全电力监控系统的安全防护,其中:“经贸委30号令”明确了建立以边界防护为主的安全防护体系;“电监会5号令”提出了采用国产软硬件产品
满足等级保护要求;“发改委14号令”提出了基于可信计算技术建立安全免疫机制。电力专用纵向加密认证装置正是应电力监控系统相关安全防护要求而设计的一种
专用设备,主要用于电力系统上下级监控系统之间的纵向业务传输,为电力二次
系统安全运行提供了重要技术保障。
2电力专用纵向加密认证装置技术原理
按照“安全分区、网络专业、横向隔离、纵向认证”的安全防护原则,纵向加
密装置一般部署于安全I、II区的广域网边界,装置采用基于CA证书链的机制和
基于PKI的密钥分发机制,具有IP过滤、双向认证、数据加密、远程管控、实时
告警功能,实现了生产控制大区业务数据传输的完整性、保密性、真实性,是电
力监控系统的重要纵向安全防线。
2.1加密算法概述
纵向加密装置一般采用操作员密钥、设备密钥、会话密钥和通信密钥实现对
设备的登录、隧道的协商、数据的加解密和设备的管控,充分利用了非对称密钥
算法易于分发密钥和对称密钥算法加解密效率高的优势。
纵向加密装置常用的非对称密码算法有RSA和SM2,常用的对称密码算法是SSF09,常用的单向散列算法包括MD5、SHA和SM3。RSA算法由Ron Rivest、Adi Shamir和Leonard Adleman在1977共同提出的,它基于“将两个大素数相乘很容易,但对其乘积进行因式分解却很难”这一数论依据,是ISO推荐的公钥算法加密
标准。SM2算法是一种基于椭圆曲线密码体制的算法,与RSA算法相比,其密钥
长度和运算代价小、安全性高,已在加密实践中被广泛使用。
2.2三级证书链体系
纵向加密装置可以通过国调、省调和地调度三级证书系统逐级签发和验证下
级证书。地调证书系统实现对设备证书的签发和验证、省调证书系统实现对地调
根证书的签发和验证、国调证书系统实现对省调根证书的签发和验证,国调根证
书由国调证书系统采用非对称算法实现自签名,三级证书链层层验证确保设备证
书的真实性。
SJW77电力系统纵向加密认证装置(WT125_7P_AA)快捷使用的指南
SJW77电力系统纵向加密认证装置 (WT125-7P-AA) 快捷使用指南 (请在使用产品前仔细阅读本指南) 卫士通信息产业股份 二零一四年制
目录 1 关于本指南 (3) 2 安全申明 (3) 3 设备及组件介绍 (4) 3.1. 低端产品前面板介绍 (4) 3.2. 低端产品后板介绍 (4) 4 产品配件及设备启动 (5) 5 本地管理软件安装步骤 (6) 6 设备的初始化 (9) 6.1 导出设备证书请求 (10) 6.2 导出管理员卡证书请求 (10) 6.3 导入根证书 (11) 6.4 导入设备证书 (12) 6.5 导入管理员卡证书,并完成初始化 (13) 7 使用配置指南 (15) 8 常见问题及疑难解答 (24) 8.1 常见问题 (24) 8.2 疑难解答 (26) 8.2.1 进入纵向加密认证装置命令行的方法 (26) 8.2.2 隧道状态、设备状态查询 (26) 8.2.3 网络排查(PING、SPING、TCPDUMP等) (27) 8.2.4 应急处理办法 (28) 9 产品维护和保养 (28)
1关于本指南 SJW77电力系统专用纵向加密认证装置(商密局鉴定型号:SJW77网络密码机,以下统称为纵向加密认证装置)属于行业专用产品,主要部署在各级电力调度网络(见图一)中,是保护国家电力调度通讯信息基础而重要的数据加密设备。 SJW77电力系统纵向加密认证装置严格按照《电力专用加密认证装置技术规》进行设计和开发,该设备采用专门的加密封包格式,在IP层实现数据的性、完整性和数据源鉴别等安全功能。同时也支持与其它厂家纵向加密装置互联互通。 本快速安装指南以介绍纵向加密认证装置常用功能为主,更详细的介绍与案例分析请参考《SJW77电力系统专用纵向加密认证装置用户手册》。 2安全申明 ?登陆纵向加密认证装置时,需要认证管理员IC卡,IC卡丢失或使用不匹配的IC卡均会导致登陆失败,所以请妥善保管管理员IC卡。 ?为了使纵向加密认证装置能够更稳定的工作,因此本设备配备了双电源。在设备上架后,对设备尽量使用两路供电。 ?设备上架后,将设备固定好,并连接好接地线。
纵向加密认证装置技术守则方案
精心整理华电沽源风电场二期100MW工程 二次系统安全防护设备-纵向加密认证装置 通用技术规范
二次系统安全防护设备-纵向加密认证装置采购标准 技术规范使用说明 1、本物资采购标准技术规范分为标准技术规范通用部分和标准技术规范专用部分。 2、项目单位根据需求选择所需设备的技术规范。技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。 3、项目单位应按实际要求填写“项目需求部分”。如确实需要改动以下部分,项目单位应填 43投 “招表” 5 6 7 在专用部分中详细说明。
目录 1 总则------------------------------------------------------------- 错误!未指定书签。 1.1 引言----------------------------------------------------------- 错误!未指定书签。 1.2 投标人职责----------------------------------------------------- 错误!未指定书签。 2 技术规范要求----------------------------------------------------- 错误!未指定书签。 2.1 使用环境条件--------------------------------------------------- 错误!未指定书签。 2.2 纵向加密认证装置额定参数--------------------------------------- 错误!未指定书签。 2.3 纵向加密认证装置总的技术要求----------------------------------- 错误!未指定书签。 3 试验和验收------------------------------------------------------- 错误!未指定书签。 3.1 工厂试验------------------------------------------------------- 错误!未指定书签。 3.2 3.3 4 4.1 4.2 4.3 4.4 4.5 4.6
SJW07-A电力专用纵向加密认证装置技术说明
SJW07-A电力专用纵向加密认证装置技术说明 1配置 1.1产品外观 1.2双网口增强型配置 加密性能:千兆360Mbps;百兆增强型:360Mbps;百兆普通型:15Mbps; 网络接口: 5个100M/1000M以太网接口,2个内网口、2个外网口和1个心跳口(双机热备心跳接口)。 外设接口:1个串口,速率为115200bps,RS-232(RJ45) 电源接口:1+1冗余电源,可热替换。 外形尺寸:厚度1U,可安装于19英寸标准机柜。 2高可靠性 2.1双冗余电源 SJW07-A电力专用纵向加密认证装置标配着名工业电源提供商新巨(Zippy)提供的高品质1+1冗余电源,支持直流电源模块,支持热替换。在研发过程中所做过的历次电磁兼容测试均表现优异,从用户使用情况来看,从装置安装上线至今从未出现过电源故障。该1+1冗余电源当一个电源模块出现故障时,会发出声光报警,这时可以在不中断业务的情况下把故障电源模块拔出,替换成新的电源模块。在使用时,通常应把两个电源模块分别接到两路独立的供电系统上,
1+1冗余电源毫无疑问能够增强系统的可靠性以及延长整个系统的平均无故障工作时间。 2.2双算法芯片冗余备份 SJW07-A电力专用纵向加密认证装置标配双算法芯片,通过两种方案提供算法芯片冗余性:硬件级双算法芯片冗余;系统级双算法芯片冗余。 密码卡硬件加电后执行自检和芯片可用性检查,自动屏蔽掉不可用的算法芯片,这一过程对应用系统透明,应用系统只能看到并使用这两块芯片中可用的芯片。 应用系统周期性检查芯片可用性,把调用中出错的算法芯片禁用。 2.3双FLASH互备校验修复 SJW07-A电力专用纵向加密认证装置标配两块FLASH芯片,互为镜像,相互校验(即互相保存有对方的完整性检验数据)。装置的内核、操作系统和应用系统及策略配置数据都有两个拷贝,独立保存在两块FLASH上,每一块数据都有校验数据,当系统启动时通过检验数据自动修复两块FLASH上不一致的数据,使它们保持一致。当应用系统升级时,会实时进行两块FLASH的同步,当用户完成策略修改时,也会及实时同步两块FLASH上的策略配置。 双FLASH互备校验修复可以使用户数据得到保护,把发生策略数据丢失的风险降到最低。 2.4双机热备 SJW07-A电力专用纵向加密认证装置支持双机热备运行模式,即同一网点的两台纵向加密认证装置互为主备机,在出现链路等故障时,主备机会快速自动切换,保障通信连续性。从所保护的局域网中的通信机到本地接入路由器之间的路径上,任何环节(包括设备或链路出现故障),设备都能正确识别,实现路径切换。
纵向加密认证装置技术规范书
华电沽源风电场二期100MW工程 二次系统安全防护设备-纵向加密认证装置 通用技术规范 说明:本技术规范书为征求意见稿,请甲方与华北网调沟通,经华北网调主管部门审定,有意见及时反馈给设计院,以便修改。评标时必须通知华北网调相关部门参加。 河北省电力勘测设计研究院 二〇一二年七月
二次系统安全防护设备-纵向加密认证装置采购标准 技术规范使用说明 1、本物资采购标准技术规范分为标准技术规范通用部分和标准技术规范专用部分。 2、项目单位根据需求选择所需设备的技术规范。技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。 3、项目单位应按实际要求填写“项目需求部分”。如确实需要改动以下部分,项目单位应填写专用部分“项目单位技术差异表”,与辅助说明文件随招标计划一起提交至招标文件审查会: ①改动通用部分条款及专用部分固化的参数; ②项目单位要求值超出标准技术参数值范围; ③根据实际使用条件,需要变更环境温度、湿度、海拔高度、耐受地震能力、用途和安装方式等要求。 经招标文件审查会同意后,对专用部分的修改形成“项目单位技术差异表”,放入专用部分表格中,随招标文件同时发出并视为有效,否则将视为无差异。 4、投标人逐项响应技术规范专用部分中“1标准技术参数表”、“2项目需求部分”和“3投标人响应部分”三部分相应内容。填写投标人响应部分,应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时,以差异表给出的参数为准。投标人填写技术参数和性能要求响应表时,如有偏差除填写“投标人技术偏差表”外,必要时应提供证明参数优于招标人要求的相关试验报告。 5、对扩建工程,如有需要,项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。 6、技术规范范本的页面、标题等均为统一格式,不得随意更改。 7、一次设备的型式、电气主接线和一次系统情况对二次设备的配置和功能要求影响较大,应在专用部分中详细说明。
纵向加密认证装置技术规范书
工程华电沽源风电场二期100MW 纵向加密认证装置-二次系统安全防护设备通用技术规范 说明:本技术规范书为征求意见稿,请甲方与华北网调沟通,经华北网调主管部门审定,有意见及时反馈给设计院,以便修改。评标时必须通知华北网调相关部门参加。 河北省电力勘测设计研究院 二〇一二年七月. 二次系统安全防护设备-纵向加密认证装置采购标准
技术规范使用说明 1、本物资采购标准技术规范分为标准技术规范通用部分和标准技术规范专用部分。 2、项目单位根据需求选择所需设备的技术规范。技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。 3、项目单位应按实际要求填写“项目需求部分”。如确实需要改动以下部分,项目单位应填写专用部分“项目单位技术差异表”,与辅助说明文件随招标计划一起提交至招标文件审查会: ①改动通用部分条款及专用部分固化的参数; ②项目单位要求值超出标准技术参数值范围; ③根据实际使用条件,需要变更环境温度、湿度、海拔高度、耐受地震能力、用途和安装方式等要求。 经招标文件审查会同意后,对专用部分的修改形成“项目单位技术差异表”,放入专用部分表格中,随招标文件同时发出并视为有效,否则将视为无差异。4、投标人逐项响应技术规范专用部分中“1标准技术参数表”、“2项目需求部分”和“3投标人响应部分”三部分相应内容。填写投标人响应部分,应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时,以差异表给出的参数为准。投标人填写技术参数和性能要求响应表时,如有偏差除填写“投标人技术偏差表”外,必要时应提供证明参数优于招标人要求的相关试验报告。 5、对扩建工程,如有需要,项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。 6、技术规范范本的页面、标题等均为统一格式,不得随意更改。 7、一次设备的型式、电气主接线和一次系统情况对二次设备的配置和功能要求影响较大,应在专用部分中详细说明。. 目录 1 总则 ----------------------------------------------------------------------------- 1 1.1 引言 --------------------------------------------------------------------------- 1 1.2 投标人职责 --------------------------------------------------------------------- 1 2 技术规范要求 --------------------------------------------------------------------- 2 2.1 使用环境条件 ------------------------------------------------------------------- 2
电力专用纵向加密认证装置的功能与运维
电力专用纵向加密认证装置的功能与运维 摘要:电力调度数据网络数据传输的安全性至关重要,其承载的数据涵盖了电 力一次系统遥测、遥信、实时控制、故障录播等重要业务信息,实现这些信息传 输的保密性、真实性和完整性是保证电力系统免遭外部黑客或病毒恶意破坏,实 现电力二次系统安全运行的重要基础。当前电力调度数据网络主要通过电力专用 纵向加密认证装置来实现对业务数据的过滤、加解密、认证和完整性校验,从而 保证业务数据传输的安全可靠。本文主要从电力专用纵向加密认证装置隧道建立 过程的状态转换、数据包转发原理及装置运维方面分析了电力专用纵向加密认证 装置的工作机理,为电网调度自动化维护人员对电力专用纵向加密装置的运行维 护提供了实用的理论参考。 关键词:电力调度数据网;电力二次系统安全;纵向加密 1导言 随着工业控制系统智能化、信息化和自动化程度的提升,网络安全风险日益 凸显,电力系统已成为黑客组织和敌对势力潜在的入侵攻击对象,提升电力系统 网络安全防范水平刻不容缓。国家相关主管部门先后发布三项强制性命令,从政 策制度方面建立健全电力监控系统的安全防护,其中:“经贸委30号令”明确了建立以边界防护为主的安全防护体系;“电监会5号令”提出了采用国产软硬件产品 满足等级保护要求;“发改委14号令”提出了基于可信计算技术建立安全免疫机制。电力专用纵向加密认证装置正是应电力监控系统相关安全防护要求而设计的一种 专用设备,主要用于电力系统上下级监控系统之间的纵向业务传输,为电力二次 系统安全运行提供了重要技术保障。 2电力专用纵向加密认证装置技术原理 按照“安全分区、网络专业、横向隔离、纵向认证”的安全防护原则,纵向加 密装置一般部署于安全I、II区的广域网边界,装置采用基于CA证书链的机制和 基于PKI的密钥分发机制,具有IP过滤、双向认证、数据加密、远程管控、实时 告警功能,实现了生产控制大区业务数据传输的完整性、保密性、真实性,是电 力监控系统的重要纵向安全防线。 2.1加密算法概述 纵向加密装置一般采用操作员密钥、设备密钥、会话密钥和通信密钥实现对 设备的登录、隧道的协商、数据的加解密和设备的管控,充分利用了非对称密钥 算法易于分发密钥和对称密钥算法加解密效率高的优势。 纵向加密装置常用的非对称密码算法有RSA和SM2,常用的对称密码算法是SSF09,常用的单向散列算法包括MD5、SHA和SM3。RSA算法由Ron Rivest、Adi Shamir和Leonard Adleman在1977共同提出的,它基于“将两个大素数相乘很容易,但对其乘积进行因式分解却很难”这一数论依据,是ISO推荐的公钥算法加密 标准。SM2算法是一种基于椭圆曲线密码体制的算法,与RSA算法相比,其密钥 长度和运算代价小、安全性高,已在加密实践中被广泛使用。 2.2三级证书链体系 纵向加密装置可以通过国调、省调和地调度三级证书系统逐级签发和验证下 级证书。地调证书系统实现对设备证书的签发和验证、省调证书系统实现对地调 根证书的签发和验证、国调证书系统实现对省调根证书的签发和验证,国调根证 书由国调证书系统采用非对称算法实现自签名,三级证书链层层验证确保设备证 书的真实性。
电力系统专用纵向加密认证装置用户手册之令狐文艳创作
纵向加密认证装置 令狐文艳 用户手册 2013年 7月 目录 1概述 (4) 1.1编写目的 (4) 1.2阅读对象 (4) 1.3装置组成 (4) 1.4装置状态介绍 (4) 1.5部署阶段 (5) 2规划阶段 (1) 2.1 网络拓扑.................................. - 1 -2.2确定安装位置............................... - 1 -2.2 规划IP地址............................... - 2 -2.2调查安全需求............................... - 2 -3准备阶段.. (2) 3.1设备管理................................... - 2 - 3.1.1 设备连接 .............................. - 2 - 3.1.2 连接图 ................................ - 2 -
3.2设备初始化................................. - 3 -3.3配置装置策略............................... - 6 - 3.3.1 包过滤规则 ............................ - 6 - 3.3.2 本机IP配置 ........................... - 7 - 3.3.3 路由配置 .............................. - 7 - 3.3.4 隧道配置 .............................. - 7 - 3.3.5 隧道策略配置........................... - 8 - 3.2.6 添加隧道 .............................. - 8 - 3.2.7 添加隧道策略........................... - 9 -3.3装置管理.................................. - 10 - 3.3.1 系统加电 ............................. - 10 - 3.3.2 设备初始化 ........................... - 10 - 3.3.3 登录纵向装置.......................... - 10 - 3.3.4 设置工作模式.......................... - 10 - 3.3.5 事件配置 ............................. - 11 - 3.3.6 审计配置 ............................. - 11 - 3.3.7 安全管理 ............................. - 12 - 3.3.8 双机热备 ............................. - 12 -4实施阶段. (13) 4.1安装...................................... - 13 -4.2加电启动.................................. - 13 -4.3检查状态.................................. - 13 -