215215发电公司二次系统安全防护设计方案

215215发电公司二次系统安全防护设计方案内容摘要：

有效的提高了系统的安全性能。 水电公司二次系统安全防护设计方案  采用专用加密算法进行数据加密和数字签名 南瑞 SysKeeper2020 反向型隔离设备采用 motorola 高性能 RISC 体系结构 CPU，采用对称加密算法、 RSA 公私密钥算法实现数据加、解密、数字签名、身份认证等功能，保证数据的安全传输。 在 1024 位模长下， RSA 数字签名速度为 150 次 /秒，密文数据包通吐量 20Mbps（ 50 条安全策略， 1024字节 报文长度）。  提供专用配套反向文件传输软件 为了使隔离设备达到预期的安全效果，经过反向型隔离设备进行数据传输的软件必须按照《全国电力二次系统安全防护总体方案》的规定进行开发。 针对 III 区到 I/II 区通信内容规定，南瑞 SysKeeper2020 网络安全隔离设备（反向型）提供专用文件传输软件（实现数字签名、编码转换、内容有效性检查和数字签名功能），方便用户进行二次系统安全隔离改造。  支持第三方病毒查杀引擎 南瑞 SysKeeper2020 反向型网络安全隔离装置的配套文件传输软件支持调用本地杀毒软件的防毒引擎，在发送非文本文 件时，对数据内容进行防病毒检查，防止带有病毒的文件进入内网。  完善的日志审计功能 日志在南瑞 SysKeeper2020 反向隔离设备每天的运行中起着很重要的作用 ,由于许多攻击 ﹑ 系统漏洞不具备机器可分析的特征，或者新的攻击的特征还不为人所知，因此，日志是发现攻击 ﹑ 发现系统漏洞和记录攻击证据的重要手段。 隔离设备内、外网各板载安全存储区用于系统日志的记载，循环更新保持最新的系统日志。  基于数字证书的图形化用户界面 南瑞 SysKeeper2020 网络安全隔离设备（反向型） 提供了基于数字证书 水电公司二次系统安全防护设计方案 的的图形化用户界面，通过 反向隔离设备的专用智能 IC 卡读写器进行身份认证，保证配置管理的安全性。 整个界面使用全中文化的设计，通过友好的图形化界面，网络管理员可以很容易地定制安全策略和对系统进行维护管理，用户只需进行简单的培训就可以完成对隔离设备的管理与配置。 水电公司二次系统安全防护设计方案 四、南瑞 NetKeeper2020 纵向加密认证网关介绍 为满足 电力系统二次安全防护的需要， 南瑞信息系统分公司所依托在网络安全产品中的广泛技术积累和成功开发电力系统专用安全隔离装置的应用实践经验，以安全性 ﹑ 可靠性 ﹑易用性为电力专用纵向加密认证装置的设计原则，自主研制并推出 NetKeeper2020 纵向加密认证网关， 如图 12 所示。 经过国家主管部门评测机构和长时间的测试表明： NetKeeper2020 纵向加密认证网关可以为电力调度数据网通信提供具有认证、与加密功能的 VPN，实现数据传输的机密性、完整性保护。 NetKeeper2020 纵向加密认证网关的主要特点如下： 图 1 2 NetKeeper2020 纵向加密认证网关 产品特点 高可靠性硬件设计 纵向加密认证网关硬件供电采用的是国外进口开关电源，符合 EN55022 class B,IEC8012,3,4,5, EN605552,3 EMC 标准，平均无故障时间达 60000 小时。 在 PCB 板的设计中，加有线性稳压及滤波装置，并严格按照 EDA 对高频电路设计的要求，设计了单独的电源层与地层，进一步保证了整个板上电源的稳定性。 硬件优化设计 充分考虑电厂和变电站的特殊运行环境， NetKeeper－ 2020 纵向加密认证网关设计遵循分布均匀、布局合理的原则，风扇处增加了防尘罩，而且紧靠散热源，起过滤作用，避免灰尘和湿气；机箱散热风扇也采用滚轴风扇，保证了风扇的长期可靠运行；通过增加专用转接板，起到了更好的加固和抗震作用；即 使在长途 水电公司二次系统安全防护设计方案 的运输过程中，也能充分地保障设备内部的完整性和可用性能。 密码保护强度高 采用国家密码委员会推荐的电力专用分组密码算法和公钥密码算法，支持身份鉴别，信息加密，数字签名和密钥生成与保护。 经过大量的测试表明，加密认证装置具有足够的抗密码分析攻击的能力。 报文加密速度快 通过采用硬件加密技术、密码专用芯片技术、实时操作系统技术和明密信息传递通道扩展技术，有效地降低了系统时延，在电力调度数据网上可以实现高速加密，充分保证电力实时数据通信的实时性。 完善的密钥管理机制 NetKeeper2020 纵向加密认证 网关提供基于 RSA 公私密钥对的数字签名和采用专用加密算法进行数字加密的功能。 进行 RSA 运算时，为了保证密钥的安全性，提供已密钥的 ID 号使用密钥的功能，密钥仅存在与纵向加密认证网关的安全存储区中，与应用系统隔离，不能通过任何非法手段进行访问，极大的提高了数据交换的安全性。 系统安全特性好 采用专用嵌入式安全操作系统，系统无 TCP/IP 协议栈。 采用高效的基于流过滤的状态检测技术和黑洞式防火墙机制，具有硬件防火墙的基本功能；集成应用层安全控制功能，可以对电力特殊应用协议进行选择性保护，充分保证应用系统的安全性。 网络环境适应性强 NetKeeper2020 纵向加密认证网关 对用户完全透明，支持明通和密文传输，内部网无须做任何改变，就可实现各种信息的保护传输。 现有的网络拓扑结构也无须变动，降低了用户管理和使用的复杂程度。 纵向加密网关支持标准的 水电公司二次系统安全防护设计方案 VLAN 封装协议，可以实现不同网段应用无缝透明接入。 集中安全管理 支持对所辖的所有纵向加密认证网关集中管理（ SCM），用户可以非常方便地通过纵向加密认证网关配套的装置安全管理系统以图形化的方式安全高效地更新密钥、查询所有隧道状态，完成证书发放、更换，设置安全策略等 和各种状态信息的监控，如图 13 所示。 图 13 装置安全管理系统 完善的日志审计功能 NetKeeper2020 纵向加密认证网关能依据系统要求记录敏感通信事件和管理事件，同时也能提供网络使用情况的统计数据。 根据日志可以审计加密认证网关隧道建立的情况、设备管理员所进行的操作和加密认证网关所阻断的探测、攻击等非法访问，并为安全策略的进一步完善提供参考。 支持双机热备 对于服务质量要求高的地方，可以采用双机热备技术 ,即通过在同一节点使用两台纵向加密认证网关，实现双机冗余。 如果网关设备中的主节点发生了故障， 水电公司二次系统安全防护设计方案 那么 将由次节点代替它。 次节点通常是主节点的镜像，所以当它代替主节点时，它可以完全接管其身份，并且系统环境对于终端用户是一致的。 基于数字证书的图形化界面 南瑞 NetKeeper2020纵向加密认证网关 提供了基于数字证书的的图形化用户界面，通过纵向加密认证网关的专用智能 IC卡读写器进行身份认证，保证配置管理的安全性； 可以采用本地方式或者远程方式来完成加密认证网关的设置、加密网关隧道的配置及审计信息的浏览，配置界面如图 14所示。 图 14 可视化的管理与配置界面 典型部署 根据电力安全防护的要求， 电力 调度数据网 的 不同业务系统之间必须实现有效的隔离，控制生产类实时业务与非控制生产业务隔离，关键业务系统之间按照需要进行隔离。 NetKeeper2020 纵向加密认证网关支持采用 MPLS VPN 建立的不同虚拟专网之间的数据安全通信， 通过建立多条加密隧道，保证数据传输的实时性、机密性和完整性。 水电公司二次系统安全防护设计方案 网省调加密认证网关接入方案 网、省调的网络设备通过双机冗余技术，增强网络接入环节的可靠性。 加密认证网关的接入方案如图 15 所示 ,此接入方案也可用于大型发电公司与下级直属电厂的接入方案。 从所保护的子网中的通信机到 本地接入路由器之间的路径上，任何环节，包括设备或链路出现故障， IP 加密装置都应该正确识别，配合实现路径切换。 当某一区域主加密设备出现故障时，能够快速将认证和加密传输处理工作切换至备用装置中，保障通信连续性。 图 15 网省调加密装置接入方案 地县调加密认证装置接入方案 汇聚层在实时控制区和非控制生产区分别接入一台 IP 加密认证装置， IP 加密认证装置需支持“一进两出 ”，出口分别连接到实时控制区和非实时控制区的两台路由器上。 当路由器出现故障时，能够快速将认证和加密传输处理工作切换至另一台路由器上中， 保障通信连续性。 水电公司二次系统安全防护设计方案 图 16 地县调加密装置接入方案 厂站端加密认证装置接入方案 接入层在实时控制区和非控制生产区分别接入一台 IP 加密认证装置，实时控制区和非控制生产区的 IP 加密认证装置出口连接在同一台路由器上。 如果接入层只有一台交换机， 可以在交换机和路由器之间采用 MPLS VPN 为实时和非实时系统划分不同的 VLAN 网段，实现通信的机密性和完整性。 水电公司二次系统安全防护设计方案 图 17 厂站端加密装置接入方案 装置管理 根据电力二次系统安全防护的规定和纵向加密认证装置的管理体制，南瑞信息系统分公司自 主研制开发了 DMS2020 纵向加密认证装置管理系统，为调度中心所辖的加密认证装置提供远程安全管理服务。 调度中心的加密装置及下 属的加密装置由装置管理系统直接管理，见图： 图 18 加密认证装置的管理模式 水电公司二次系统安全防护设计方案 此时，装置管理系统 (管理中心 )与加密装置是网络上通信的实体。 装置管理系统通过经过认证加密的管理报文实现对纵向加密认证装置的监测。 监测采用在线方式，装置管理系统直接将管理报文发到纵向加密认证装置，纵向加密认证装置自动响应并处理来自装置管理系统的监控请求并将执行结果返回装置管理系统。 南瑞 DMS2020 纵向加密装置管理系统严格按照国调中心《 IP 加密认证装置技术规范的要求》，可以实现对不同厂家的纵向认证加密装置进行管理和监控。 监控的内容包括：  纵向加密认证装置的工作状态查询；  纵向加密认证装置的安全策略查询；  纵向加密认证装置的工作模式查询与设置；  纵向加密认证装置安全策略和数字证书下发  所辖纵向加密认证装置实时监控（流量、链路信息等）  对纵向加密认证装置的日志信息进行集中管理和审计 DMS2020 装置管理系统对所辖的纵向加密认证装置进行统一管理，装置管理系统通过在线方式直接 对纵向加密认证装置进行监控管理，通过离线方式由。