【正文】 于正向隔離裝置是單向傳輸?shù)模瑢崟r數(shù)據(jù)必須由 I/區(qū)主動發(fā)送到 III 區(qū)，因此原來的 SCADA/EMS 系統(tǒng)的工作模式需要進行改造；專用正向隔離裝置在物理上控制反向的應(yīng)用層應(yīng)答字節(jié)數(shù)最多為 4 個，所以 III 區(qū)的應(yīng)用程序的應(yīng)答報文必須不超過 4 個字節(jié)，這 4 個字節(jié)可以作為出錯應(yīng)答或者狀態(tài)應(yīng)答報文。 1) 文件傳輸 文件傳輸是一種非常普遍的數(shù)據(jù)傳輸方式，在應(yīng)用改造之前，通常采用標(biāo)準(zhǔn)的 FTP 命令進行數(shù)據(jù)轉(zhuǎn)發(fā)。在連接兩個交換機時，如果需要進行報文標(biāo)簽封裝，建議采用標(biāo)準(zhǔn)的 協(xié)議（在報文 MAC 頭后增加 4 個字節(jié)標(biāo)記）進行封裝，不宜采用 ISL 協(xié)議（在報文 MAC 頭前增加 26 個字節(jié)標(biāo)記，報文尾增加 4 個字節(jié) CRC 校驗）進行封裝。 保證橫向網(wǎng)絡(luò)安全隔離裝置的可部署性。 圖 25 ST3000 安全傳輸運行狀態(tài)監(jiān)控示意圖 嚴(yán)格的安全控 制 ST3000 安全傳輸平臺通過一整套的用戶管理和安全策略，嚴(yán)格控制用戶對平臺的訪問，所有操作都必須是授權(quán)用戶才可進行。 通過在安全區(qū) I/II 和安全區(qū) III 分別部署 ST3000 安全傳輸內(nèi)平臺和外平臺， 實現(xiàn)來自不同廠家的、異構(gòu)、分散數(shù)據(jù)的交換和整合，如大量的文件數(shù)據(jù)和數(shù)據(jù)庫數(shù)據(jù)，并對進出數(shù)據(jù)進行統(tǒng)一集中管理，進一步保障系統(tǒng)間數(shù)據(jù)交換的安全性，可廣泛應(yīng)用于電力二次系統(tǒng)安全區(qū) I/II 與安全區(qū) III 之間的安全數(shù)據(jù)交換。 圖 19 加密認(rèn)證裝置管理系統(tǒng)配置界面 水電公司二次系統(tǒng)安全防護設(shè)計方案 五、南瑞 ST－ 3000 安全傳輸軟件介紹 概述 依據(jù)國家經(jīng)貿(mào)委 [2020]第 30 號令《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護的規(guī)定》，及國家電力調(diào)度通信中心制訂的《全國電力二次系統(tǒng)安全防護總體方案》，調(diào)度中心的不同業(yè)務(wù)系統(tǒng)根據(jù)系統(tǒng)的安全等級的不同，要求部署在不同的安全區(qū)域，對調(diào)度中心的應(yīng)用系統(tǒng)的使用及數(shù)據(jù)使用提出了安全上的更高要求。 南瑞 DMS2020 縱向加密裝置管理系統(tǒng)嚴(yán)格按照國調(diào)中心《 IP 加密認(rèn)證裝置技術(shù)規(guī)范的要求》，可以實現(xiàn)對不同廠家的縱向認(rèn)證加密裝置進行管理和監(jiān)控。 圖 15 網(wǎng)省調(diào)加密裝置接入方案 地縣調(diào)加密認(rèn)證裝置接入方案 匯聚層在實時控制區(qū)和非控制生產(chǎn)區(qū)分別接入一臺 IP 加密認(rèn)證裝置， IP 加密認(rèn)證裝置需支持“一進兩出 ”，出口分別連接到實時控制區(qū)和非實時控制區(qū)的兩臺路由器上。次節(jié)點通常是主節(jié)點的鏡像，所以當(dāng)它代替主節(jié)點時，它可以完全接管其身份，并且系統(tǒng)環(huán)境對于終端用戶是一致的。 網(wǎng)絡(luò)環(huán)境適應(yīng)性強 NetKeeper2020 縱向加密認(rèn)證網(wǎng)關(guān) 對用戶完全透明，支持明通和密文傳輸，內(nèi)部網(wǎng)無須做任何改變，就可實現(xiàn)各種信息的保護傳輸。 硬件優(yōu)化設(shè)計 充分考慮電廠和變電站的特殊運行環(huán)境， NetKeeper－ 2020 縱向加密認(rèn)證網(wǎng)關(guān)設(shè)計遵循分布均勻、布局合理的原則，風(fēng)扇處增加了防塵罩，而且緊靠散熱源，起過濾作用，避免灰塵和濕氣；機箱散熱風(fēng)扇也采用滾軸風(fēng)扇，保證了風(fēng)扇的長期可靠運行；通過增加專用轉(zhuǎn)接板，起到了更好的加固和抗震作用；即 使在長途 水電公司二次系統(tǒng)安全防護設(shè)計方案 的運輸過程中，也能充分地保障設(shè)備內(nèi)部的完整性和可用性能。 ? 完善的日志審計功能 日志在南瑞 SysKeeper2020 反向隔離設(shè)備每天的運行中起著很重要的作用 ,由于許多攻擊 ﹑ 系統(tǒng)漏洞不具備機器可分析的特征，或者新的攻擊的特征還不為人所知，因此，日志是發(fā)現(xiàn)攻擊 ﹑ 發(fā)現(xiàn)系統(tǒng)漏洞和記錄攻擊證據(jù)的重要手段。 ? 割斷穿透性的 TCP 連接 南瑞網(wǎng)絡(luò)安全隔離產(chǎn)品 (反向型 )采用截斷 TCP 連 接的方法， 剝離數(shù)據(jù)包中的 TCP/IP 頭 ， 將外網(wǎng)的純數(shù)據(jù)通過反向安全通道發(fā)送到內(nèi)網(wǎng)，同時只允許應(yīng)用層不帶任何數(shù)據(jù)的 TCP 包的控制信息傳輸?shù)酵饩W(wǎng)，保護內(nèi)網(wǎng)監(jiān)控系統(tǒng)的安全性。 反向型產(chǎn)品特點 ? 安全裁剪內(nèi)核，系統(tǒng)的安全性和抗攻擊能力強 為了保證系統(tǒng)安全的最大化，南瑞網(wǎng)絡(luò)安全隔離產(chǎn)品（反向型）已經(jīng)將嵌入式內(nèi)核進行了裁剪和優(yōu)化。 ? 獨特的自適應(yīng)技術(shù) 南瑞網(wǎng)絡(luò)安全隔離系列產(chǎn)品采用獨特的自適應(yīng)技術(shù)， 隔離設(shè)備沒有 IP地址，隱藏 MAC 地址，非法用戶無法對隔離設(shè)備進行網(wǎng)絡(luò)攻擊，有效的提高了系統(tǒng)的安全性能。 ? 支持雙機熱備 在實際應(yīng)用中，可以設(shè)置有雙機備份，一臺工作在主機位置，一臺工作于備用位置，兩臺機器時刻進行通信并進行信息備份，一旦 當(dāng)主用設(shè)備出現(xiàn)故障 （包括掉電、連接的網(wǎng)絡(luò)線路至少有一根出現(xiàn)故障） 時 ，或者處于看門狗復(fù)位階段，備機可以以承擔(dān)起主機的工作，以避免重要數(shù)據(jù)的丟失。 水電公司二次系統(tǒng)安全防護設(shè)計方案 ? 高可靠性硬件設(shè)計 SysKeeper2020 網(wǎng)絡(luò)安全隔離系列產(chǎn)品硬件供電采用的是國外進口開關(guān)電源，符合 EN55022 class B,IEC8012,3,4,5, EN605552,3 EMC 標(biāo)準(zhǔn)，平均無故障時間達 64223 小時。同時對不同安全域之間和縱向上下級之間的訪問進行嚴(yán)密的監(jiān)測和控制，取消不必要的、不符合安全要求的外部接口。 水電公司二次系統(tǒng) 安全防護設(shè)計方案與南瑞安 全隔離技術(shù)與產(chǎn)品介紹 2020年 4月 目 錄 一、方案概述 ................................................................................................................ 4 設(shè)計目標(biāo) ........................................................................................................... 4 設(shè)計原則 ........................................................................................................... 4 設(shè)計范圍 ........................................................................................................... 5 二、 水電公司網(wǎng)絡(luò)改造設(shè)計方案 ........................................................................... 5 網(wǎng)絡(luò)現(xiàn)狀分析 ................................................................................................... 5 建議方案 ........................................................................................................... 5 三、南瑞 SYSKEEPER－ 2020 電力專用安全隔離裝置介紹 .................................. 7 硬件特色 ........................................................................................................... 7 正向型產(chǎn)品特點 ............................................................................................. 9 反向型產(chǎn)品特點 ............................................................................................. 11 四、南瑞 NETKEEPER2020 縱向加密認(rèn)證網(wǎng)關(guān)介紹 ......................................... 15 產(chǎn)品特點 ......................................................................................................... 15 典型部署 ......................................................................................................... 18 網(wǎng)省調(diào)加密認(rèn)證網(wǎng)關(guān)接入方案 ............................................................... 19 地縣調(diào)加密認(rèn)證裝置接入方案 ............................................................... 19 廠站端加密認(rèn)證裝置接入方案 ............................................................... 20 裝置管理 ......................................................................................................... 21 策略管理 ................................................................................................... 22 監(jiān)控管理 ................................................................................................... 22 審計管理 ................................................................................................... 23 安全管理 ................................................................................................... 23 五、南瑞 ST－ 3000 安全傳輸軟件介紹 ................................................................... 24 概述 ................................................................................................................. 24 ST3000 安全傳輸平臺功能特點 ......................................