縱向加密認證裝置的作用

安全I區(qū)和安全II區(qū)所連接的網(wǎng)為國家電力調(diào)度數(shù)據(jù)網(wǎng)。國家電力調(diào)度數(shù) 據(jù)網(wǎng)為安全I區(qū)和安全lI區(qū)分別提供二個邏輯隔離的．安全IlI區(qū)所 連接的廣域網(wǎng)為國家電力數(shù)據(jù)通訊網(wǎng)，安全1II區(qū)接入國家電力數(shù)據(jù)通訊網(wǎng)也應(yīng)配 置硬件防火墻。國家電力數(shù)據(jù)通訊網(wǎng)與國家電力調(diào)度數(shù)據(jù)網(wǎng)物理隔離。 電力調(diào)度安全I區(qū)和安全II區(qū)接入國家電力調(diào)度數(shù)據(jù)網(wǎng)時，即縱向出口僅 僅部署了防火墻(I區(qū)三級網(wǎng)防火墻、II區(qū)三級網(wǎng)防火墻、I區(qū)四級網(wǎng)防火墻、II 區(qū)四級網(wǎng)防火墻)，在各廠站的接入路由器實施了列表控制，確保主站與廠 站之間的正常通訊，防止惡意TCP通訊。 地調(diào)與各縣調(diào)之間的互聯(lián)也采用了防火墻作為主要安全防護措施。 根據(jù)電監(jiān)會5號令的要求，應(yīng)配置縱向加密認證裝置，實現(xiàn)遠方通信的雙向身 份認證和數(shù)據(jù)加密。 防火墻與縱向加密的區(qū)別： 防火墻與縱向加密區(qū)別在于前者不具備數(shù)據(jù)傳輸?shù)募用芄δ?，而后者?供數(shù)據(jù)傳輸?shù)恼J證和加密服務(wù)。 工作原理不同：防火墻通過監(jiān)視、限制、更改跨越它的數(shù)據(jù)流來保護內(nèi)部網(wǎng)絡(luò) 的安全。

縱向加密認證裝置部署方案

主站側(cè)有多個系統(tǒng)，包括調(diào)度技術(shù)支持系統(tǒng)、監(jiān)控支持系統(tǒng)、配電網(wǎng)信息系統(tǒng)、電量采集系統(tǒng)等，需要采集數(shù)據(jù)的業(yè)務(wù)主機較多，不適合將縱向加密裝置部署在業(yè)務(wù)主機和交換機之間。主站側(cè)采用縱向加密裝置部署在交換機與路由器之間的方式，實際應(yīng)用時縱向加密裝置放置在Ⅰ/Ⅱ區(qū)交換機和骨干網(wǎng)交換機之間，采用借用1－N工作模式，部署2臺縱向加密裝置，每臺裝置均配置VLAN10、VLAN20、VLAN30、VLAN40等4個VLAN業(yè)務(wù)地址，實現(xiàn)雙機熱備用，提高系統(tǒng)冗余程度。主站側(cè)縱向加密裝置網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示，配置明細如表1所示。圖2主站側(cè)縱向加密裝置網(wǎng)絡(luò)結(jié)構(gòu)表1主站側(cè)縱向加密裝置配置明細部署位置主站主站設(shè)備名稱縱密A縱密BETH0－－ETH1地址A1地址B1工作模式借用1－N借用1－NVLAN標識802.1q802.1qVLAN號10、2010、20ETH2－－ETH3地址A2地址B2工作模式借用1－N借用1－NVLAN標識802.1q802.1qVLAN號30、4030、402.2.2廠站側(cè)部署方案廠站側(cè)通常在Ⅰ區(qū)有2臺通信網(wǎng)關(guān)機設(shè)備，1臺安全監(jiān)測裝置，即VLAN101有3個業(yè)務(wù)地址;Ⅱ區(qū)通常有2臺電量裝置和1臺安全監(jiān)測裝置。但是由于Ⅱ區(qū)主要采集傳輸電量相關(guān)數(shù)據(jù)，實時性不高，故有部分廠站只有1臺電量裝置，所以廠站側(cè)VLAN201中的業(yè)務(wù)地址數(shù)量為2～3個。

縱向加密認證裝置產(chǎn)品功能

1.縱向加密認證裝置支持對多種電力協(xié)議如：IEC104、DL47692等進行安全解析，對不同功能的報文采取不同的應(yīng)用策略：對監(jiān)視和查詢報文分別以明通方式通信，而對控制報文以及控制報文的參數(shù)進行加密，保證重要實時命令的完整性。

2.支持多種靈活接入方式：對用戶完全透明，現(xiàn)有的網(wǎng)絡(luò)拓撲結(jié)構(gòu)無須任何改動?？梢詫崿F(xiàn)多種應(yīng)用環(huán)境下實時業(yè)務(wù)的無縫接入，充分降低用戶管理和使用的復(fù)雜程度。

3.安全綜合防護功能：集成基于應(yīng)用的內(nèi)容過濾和硬件防火墻技術(shù)。

4.系統(tǒng)高可靠運行保障技術(shù)：采用多種高可靠性保障技術(shù)，包括：雙機冗余備份技術(shù)、硬件自動旁路技術(shù)、雙電源冗余技術(shù)等，使得系統(tǒng)達到99.99%以上的不間斷運行水平。

5.高可靠性硬件設(shè)計：充分考慮電廠和變電站的特殊運行環(huán)境，整體硬件設(shè)計分布均勻、布局合理，硬件電源采用雙電源設(shè)計，電源模塊全部采用國外進口工控電源，有效地提高系統(tǒng)平均無故障工作時間。

6.嚴格的生產(chǎn)流程控制：嚴格遵循ISO9000 2000版質(zhì)量認證體系對每一臺產(chǎn)品的關(guān)鍵芯片和元器件進行產(chǎn)品老化試驗。所有產(chǎn)品在出廠前必須經(jīng)過240小時連續(xù)通電和大流量通信測試，檢測合格后會頒發(fā)產(chǎn)品合格證并備案，確?，F(xiàn)場每一臺產(chǎn)品運行的穩(wěn)定性和硬件的高可靠性。

7.豐富的現(xiàn)場使用經(jīng)驗：通過多個現(xiàn)場環(huán)境的實際使用和接入，積累了豐富的現(xiàn)場實施經(jīng)驗，能夠適應(yīng)多種復(fù)雜的接入網(wǎng)絡(luò)環(huán)境，能夠確保用戶調(diào)度數(shù)據(jù)網(wǎng)的運行。

電力縱向加密認證裝置

電力縱向加密認證裝置采用嵌入式RISC體系結(jié)構(gòu)嵌入式PowerPC硬件開發(fā)平臺，Linux為操作系統(tǒng)，用于保護電力調(diào)度數(shù)據(jù)網(wǎng)路由器和電力系統(tǒng)局域網(wǎng)之間通信安全的電力網(wǎng)關(guān)設(shè)備。該設(shè)備提供保護上下級控制系統(tǒng)之的廣域網(wǎng)通信提供認證與加密服務(wù)，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性、完整性保護。此外，電力縱向加密認證裝置實現(xiàn)了對電力系統(tǒng)的應(yīng)用層通信協(xié)議(IEC-104，DL476-92等)轉(zhuǎn)換功能，以便于實現(xiàn)端到端的選擇性保護。

系統(tǒng)提供了對通信中的對等實體和數(shù)據(jù)來源進行鑒別的技術(shù);提供了防止未經(jīng)受權(quán)的用戶訪問系統(tǒng)資源的訪問控制技術(shù);對數(shù)據(jù)提供機密保護技術(shù)，防止非授權(quán)地泄露;同時，提供了確保數(shù)據(jù)完整性技術(shù)，防止實體(用戶)的主動攻擊，以保證接收方收到的信息與發(fā)送方發(fā)送的信息完全一致。通過對操作系統(tǒng)內(nèi)核的大規(guī)模裁減，剔除不安全模塊,大大加強了系統(tǒng)內(nèi)核的安全性和抗攻擊能力，而且操作系統(tǒng)固化在電力縱向加密認證裝置中，避免了因操作系統(tǒng)故障而導致設(shè)備工作異常