1、电力二次系统安全防护装置介绍,1、横向安全隔离是电力二次系统安全防护体系的横向防线,是二次系统安全防护体系的重要技术措施。2、控制区与非控制区采用防火墙等设施实现逻辑隔离,生产控制大区与管理信息大区采用电力专用正、反向隔离装置实现强隔离。,横向隔离技术,正、反向隔离装置部署示意图,应用服务器信源C1,应用服务器信源C2,UDP,(1/0),UDP,(1/0),纯数据,G1,G2,CPU1,CPU2,正向隔离装置,反向隔离装置,G1,G2,CPU1,CPU2,单向传输,单向UDP,单向UDP,纯文本 E语言,纯文本E语言,单向传输,非网络数据交换,内外两个处理系统不同时连通。数据完全单向传输。透
2、明工作模式,虚拟主机IP地址、隐藏MAC地址基于MAC/IP/Port/协议的综合报文过滤与访问控制,支持NAT。割断穿透性TCP连接应用层解析功能,支持标记识别安全方便的维护管理,支持数字证书的管理人员认证,正向隔离装置基本功能,应用网关功能,实现数据的接收与转发。具有数字证书的签名/解签名功能纯文本编码检查与转换功能基于E语言纯文本文件的强过滤功能透明工作方式,虚拟主机IP地址、隐藏MAC地址。基于MAC/IP/Port/协议的综合报文过滤与访问控制,支持NAT。割断穿透性TCP连接安全方便的维护管理,支持数字证书的管理人员认证,反向隔离装置基本功能,1、加密认证技术是电力调度数据网安全防
3、护体系的重要技术支撑手段。2、在各级调度中心(网省、地县与厂站)的控制区与调度数据网络的边界应逐步部署电力专用纵向加密认证装置或加密认证网关。,加密认证技术,纵向加密装置功能,电力调度数据网,上级调度中心,下级调度中心,直属电厂,直属变电站,采用电力专用密码与认证技术,保证上下级调度中心与厂站纵向数据通信机密性和完整性。,纵向加密装置部署位置,国调,网调,厂站,省调,加密认证装置,地调,厂站,国家电力调度数据网,省级电力调度数据网,管理中心,县调,按照分级管理要求,纵向加密认证装置部署在各级电力调度通信中心及下属的各厂站,根据电力调度关系建立加密隧道。各级装置管理系统完成对所辖的多厂商的设备进
4、行统一管理,纵向装置管理系统,体系结构:软硬件向结合,包括装置控管理机和控制软件。,主要功能,支持对全网加密认证网关的安全策略 进行查询与设置;支持对全网加密认证网关进行密钥初 始化和数字证书管理;支持对全网加密认证网关的工作模式 进行查询与设置;支持对全网加密认证网关的隧道状态 进行查询与设置;实时监控全网任意一台加密认证网关 的流量、链路信息等;支持对全网加密认证网关的日志信息 进行集中管理和审计;,1、电力调度数字证书系统是电力二次系统安全防护的基础安全设施。2、基于公钥技术的分布式数字证书系统,为生产控制大区的关键应用、关键用户和关键设备提供数字证书服务。,电力调度数字证书,调度数字证
5、书体系,国调,华东网调,西北网调,上海市调,江苏省调,.,1级调度CA,2级调度CA,人员证书,设备证书,程序证书,地调,3级调度CA,1、统一规划证书信任体系。电监会调度CA作为总根, 国调CA作为1级CA,各网、省调CA作为二级CA;各地调CA作为三级CA,上下级调度CA通过证书信任链构成认证体系。2、采用统一的数字证书格式和加密算法。格式遵循X.509 V3标准。3、电力调度数字证书的生成、发放、管理以及密钥的生成、管理应当脱离网络,独立运行基于,调度证书系统建设原则1,4、提供规范的应用接口,支持相关应用系统和安全专用设备嵌入电力调度数字证书服务。5、电力调度数字证书系统应按照电力调度
6、管理体系进行配置,省级以上调度中心和有实际业务需要的地区调度中心应逐步建立电力调度数字证书系统。6、现有应用系统应当逐步进行相应改造,利用数字证书技术提高安全强度,新建设的电力监控系统应当支持电力调度数字证书的应用。,调度证书系统建设原则2,1.安全产品类:反向隔离、加密装置、安全拨号装置、VPN等。2. 电力系统各种业务的安全改造:三公调度、EMS、OMS、安全web改造、移动办公等客户端验证、签名、验签、加密、解密、时间戳等。,证书应用,1、安全拨号认证技术是电力系统安全远程接入访问的重要防护手段。2、在各级调度中心(网省、地县 与厂站)的拨号应用场合应逐步部署安全拨号认证装置对来自公用电
7、话网的接入用户进行安全认证和数据加密传输。,安全拨号认证技术,安全拨号认证装置的部署位置,生产控制大区,管理信息大区,正向隔离装置,反向隔离装置,PSTN,PSTN,PSTN,电力数字证书,远程拨号用户,防火墙,安全拨号认证装置,安全拨号认证装置,安全拨号认证装置部署在电力系统内网与公用电话交换网之间。对拨号人员采用智能卡或文件证书认证,并进行数据传输加密,客户端安全检查。采用安全操作系统,并结合数字证书进行登陆认证。线路加密。对拨号线路的数据采用高强度加密算法进行保护。访问控制。对远程拨号用户进行基于地址、端口、时间、协议等综合过滤。支持对关键访问资源的读、写、执行权限进行细粒度的控制。日志审计。完善的日志审计功能,记录远程拨号用户所有的登陆行为,支持Syslog日志输出。,安全拨号认证装置功能,
