电力专用纵向加密认证装置技术白皮书

电力专用纵向加密认证装置技术白皮书内容摘要：

码算法以及电力系统安全防护专家组制定的特有封装格式，在协议 IP 层实现数据的封装、机密性、完整性和数据源鉴别等安全功能。 该设备主要应用于在电力系统专用网络或公共网络上组建虚拟专用安全通道。 适用 范围 卫士通公司纵向加密认证装置完全符合 全国电力系统二次系统安全防护专家组制定的《 电力系统专用纵向加密认证装置技术规范 》。 卫士通公司纵向加密认证装置 通过国家 密码管理局 鉴定， 特批 专用 产品型号与名称 为： SJW77 网络密码机。 产品组成 纵向加密认证装置： 位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，用于安全 区 I/II 的广域网边界保护，可为本地安全区 I/II 提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。 本地管理终端： 提供给操作员在当地对装置进行设置及管理的计算机终端系统。 调度证书服务系统： 为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务，以 解决 网络 应用中的机密性、完整性 、不可否认性等安全问题。 该系统由 北京电力科学院开发完成。 管理中心系统： 位于电力调度中心，完成对所辖的多厂商的装置进行统一管理的计算机系统。 该系统由 北京电力科学院开发完成。 电力专用纵向加密认证装置技术白皮书 3 3 产品 部署 电力信息系统简介 电力系统网络由电力调度数据网和电力数据通讯网两大网络系统组成。 其中， 电力调度数据网 属于电力系统的生产控制区 ,是一个典型的分层分级网络，全网主要分为五级：国家调度通信中心、省级调度通信网络、地市、县级调度通信网络。 如图 1 所示。 图 1 电力系统通信调度数据网络图 部署原则 在 电力系统网络中 ， 每一级电力调度公司的本地 网，根据业务重要性的不同，划分为 4 个不同的区域，分别是 I 区（控制区 ） 、 II 区 (生产区 )、 III 区（生产管理区 ）、Ⅳ区（管理信息区）。 除管理信息区与其 它三个区域没有什么信息交换外，其它 各区之间存在着数据的交换和传输。 针对这个特点， “电力二次系统安全防护总体方案”以“分层分区，强化边界”为原则，以“横向隔离，纵向防电力专用纵向加密认证装置技术白皮书 4 护”为策略， 规定： 在纵向 I/II 区（即控制 区 与生产区）之间的 数据通信，采用纵向加密认证装置进行安全防护；在横向 I/II 与 III 区（即控制 区 /生产区与 生产管理区） 之间的数据传输，采用横向隔离装置进行安全隔离， 具体情况 如图 2所示。 图 2 部署原则 图 全国范围部署 全国部署方面， 按照“分级管理”要求，纵向加密认证装置部署在 国调、网调、省调 各级调度中心及下属的各厂站，根据电力调度通信关系建立加密隧道（原则上只在上下级之间建立加密隧道），加密隧道拓扑结构是部分网状结构。 如 图3 所示。 同时 ，在各级调度中心设立纵向加密认证装置管理系统，由各级装置管理系统完成对。