【文章內(nèi)容簡(jiǎn)介】 有效的提高了系統(tǒng)的安全性能。 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 ? 采用專用加密算法進(jìn)行數(shù)據(jù)加密和數(shù)字簽名 南瑞 SysKeeper2020 反向型隔離設(shè)備采用 motorola 高性能 RISC 體系結(jié)構(gòu) CPU，采用對(duì)稱加密算法、 RSA 公私密鑰算法實(shí)現(xiàn)數(shù)據(jù)加、解密、數(shù)字簽名、身份認(rèn)證等功能，保證數(shù)據(jù)的安全傳輸。在 1024 位模長(zhǎng)下， RSA 數(shù)字簽名速度為 150 次 /秒，密文數(shù)據(jù)包通吐量 20Mbps（ 50 條安全策略， 1024字節(jié) 報(bào)文長(zhǎng)度） 。 ? 提供專用配套反向文件傳輸軟件 為了使隔離設(shè)備達(dá)到預(yù)期的安全效果，經(jīng)過反向型隔離設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)能浖仨毎凑铡度珖?guó)電力二次系統(tǒng)安全防護(hù)總體方案》的規(guī)定進(jìn)行開發(fā)。針對(duì) III 區(qū)到 I/II 區(qū)通信內(nèi)容規(guī)定，南瑞 SysKeeper2020 網(wǎng)絡(luò)安全隔離設(shè)備（反向型）提供專用文件傳輸軟件（實(shí)現(xiàn)數(shù)字簽名、編碼轉(zhuǎn)換、內(nèi)容有效性檢查和數(shù)字簽名功能），方便用戶進(jìn)行二次系統(tǒng)安全隔離改造。 ? 支持第三方病毒查殺引擎 南瑞 SysKeeper2020 反向型網(wǎng)絡(luò)安全隔離裝置的配套文件傳輸軟件支持調(diào)用本地殺毒軟件的防毒引擎，在發(fā)送非文本文 件時(shí)，對(duì)數(shù)據(jù)內(nèi)容進(jìn)行防病毒檢查，防止帶有病毒的文件進(jìn)入內(nèi)網(wǎng)。 ? 完善的日志審計(jì)功能 日志在南瑞 SysKeeper2020 反向隔離設(shè)備每天的運(yùn)行中起著很重要的作用 ,由于許多攻擊 ﹑ 系統(tǒng)漏洞不具備機(jī)器可分析的特征，或者新的攻擊的特征還不為人所知，因此，日志是發(fā)現(xiàn)攻擊 ﹑ 發(fā)現(xiàn)系統(tǒng)漏洞和記錄攻擊證據(jù)的重要手段。隔離設(shè)備內(nèi)、外網(wǎng)各板載安全存儲(chǔ)區(qū)用于系統(tǒng)日志的記載，循環(huán)更新保持最新的系統(tǒng)日志。 ? 基于數(shù)字證書的圖形化用戶界面 南瑞 SysKeeper2020 網(wǎng)絡(luò)安全隔離設(shè)備（反向型） 提供了基于數(shù)字證書 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 的的圖形化用戶界面，通過 反向隔離設(shè)備的專用智能 IC 卡讀寫器進(jìn)行身份認(rèn)證，保證配置管理的安全性。 整個(gè)界面使用全中文化的設(shè)計(jì)，通過友好的圖形化界面，網(wǎng)絡(luò)管理員可以很容易地定制安全策略和對(duì)系統(tǒng)進(jìn)行維護(hù)管理，用戶只需進(jìn)行簡(jiǎn)單的培訓(xùn)就可以完成對(duì)隔離設(shè)備的管理與配置。 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 四、南瑞 NetKeeper2020 縱向加密認(rèn)證網(wǎng)關(guān)介紹 為滿足 電力系統(tǒng)二次安全防護(hù)的需要， 南瑞信息系統(tǒng)分公司所依托在網(wǎng)絡(luò)安全產(chǎn)品中的廣泛技術(shù)積累和成功開發(fā)電力系統(tǒng)專用安全隔離裝置的應(yīng)用實(shí)踐經(jīng)驗(yàn)，以安全性 ﹑ 可靠性 ﹑易用性為電力專用縱向加密認(rèn)證裝置的設(shè)計(jì)原則，自主研制并推出 NetKeeper2020 縱向加密認(rèn)證網(wǎng)關(guān)， 如圖 12 所示 。經(jīng)過國(guó)家主管部門評(píng)測(cè)機(jī)構(gòu)和長(zhǎng)時(shí)間的測(cè)試表明： NetKeeper2020 縱向加密認(rèn)證網(wǎng)關(guān)可以為電力調(diào)度數(shù)據(jù)網(wǎng)通信提供具有認(rèn)證、與加密功能的 VPN，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。 NetKeeper2020 縱向加密認(rèn)證網(wǎng)關(guān)的主要特點(diǎn)如下： 圖 1 2 NetKeeper2020 縱向加密認(rèn)證網(wǎng)關(guān) 產(chǎn)品特點(diǎn) 高可靠性硬件設(shè)計(jì) 縱向加密認(rèn)證網(wǎng)關(guān)硬件供電采用的是國(guó)外進(jìn)口開關(guān)電源，符合 EN55022 class B,IEC8012,3,4,5, EN605552,3 EMC 標(biāo)準(zhǔn)，平均無故障時(shí)間達(dá) 60000 小時(shí)。在 PCB 板的設(shè)計(jì)中，加有線性穩(wěn)壓及濾波裝置，并嚴(yán)格按照 EDA 對(duì)高頻電路設(shè)計(jì)的要求，設(shè)計(jì)了單獨(dú)的電源層與地層，進(jìn)一步保證了整個(gè)板上電源的穩(wěn)定性。 硬件優(yōu)化設(shè)計(jì) 充分考慮電廠和變電站的特殊運(yùn)行環(huán)境， NetKeeper－ 2020 縱向加密認(rèn)證網(wǎng)關(guān)設(shè)計(jì)遵循分布均勻、布局合理的原則，風(fēng)扇處增加了防塵罩，而且緊靠散熱源，起過濾作用，避免灰塵和濕氣；機(jī)箱散熱風(fēng)扇也采用滾軸風(fēng)扇，保證了風(fēng)扇的長(zhǎng)期可靠運(yùn)行；通過增加專用轉(zhuǎn)接板，起到了更好的加固和抗震作用；即 使在長(zhǎng)途 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 的運(yùn)輸過程中，也能充分地保障設(shè)備內(nèi)部的完整性和可用性能。 密碼保護(hù)強(qiáng)度高 采用國(guó)家密碼委員會(huì)推薦的電力專用分組密碼算法和公鑰密碼算法，支持身份鑒別，信息加密，數(shù)字簽名和密鑰生成與保護(hù)。經(jīng)過大量的測(cè)試表明，加密認(rèn)證裝置具有足夠的抗密碼分析攻擊的能力。 報(bào)文加密速度快 通過采用硬件加密技術(shù)、密碼專用芯片技術(shù)、實(shí)時(shí)操作系統(tǒng)技術(shù)和明密信息傳遞通道擴(kuò)展技術(shù)，有效地降低了系統(tǒng)時(shí)延，在電力調(diào)度數(shù)據(jù)網(wǎng)上可以實(shí)現(xiàn)高速加密，充分保證電力實(shí)時(shí)數(shù)據(jù)通信的實(shí)時(shí)性。 完善的密鑰管理機(jī)制 NetKeeper2020 縱向加密認(rèn)證 網(wǎng)關(guān)提供基于 RSA 公私密鑰對(duì)的數(shù)字簽名和采用專用加密算法進(jìn)行數(shù)字加密的功能。進(jìn)行 RSA 運(yùn)算時(shí)，為了保證密鑰的安全性，提供已密鑰的 ID 號(hào)使用密鑰的功能，密鑰僅存在與縱向加密認(rèn)證網(wǎng)關(guān)的安全存儲(chǔ)區(qū)中，與應(yīng)用系統(tǒng)隔離，不能通過任何非法手段進(jìn)行訪問，極大的提高了數(shù)據(jù)交換的安全性。 系統(tǒng)安全特性好 采用專用嵌入式安全操作系統(tǒng)，系統(tǒng)無 TCP/IP 協(xié)議棧。采用高效的基于流過濾的狀態(tài)檢測(cè)技術(shù)和黑洞式防火墻機(jī)制，具有硬件防火墻的基本功能；集成應(yīng)用層安全控制功能，可以對(duì)電力特殊應(yīng)用協(xié)議進(jìn)行選擇性保護(hù)，充分保證應(yīng)用系統(tǒng)的安全性。 網(wǎng)絡(luò)環(huán)境適應(yīng)性強(qiáng) NetKeeper2020 縱向加密認(rèn)證網(wǎng)關(guān) 對(duì)用戶完全透明，支持明通和密文傳輸，內(nèi)部網(wǎng)無須做任何改變，就可實(shí)現(xiàn)各種信息的保護(hù)傳輸?，F(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也無須變動(dòng)，降低了用戶管理和使用的復(fù)雜程度。縱向加密網(wǎng)關(guān)支持標(biāo)準(zhǔn)的 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 VLAN 封裝協(xié)議，可以實(shí)現(xiàn)不同網(wǎng)段應(yīng)用無縫透明接入。 集中安全管理 支持對(duì)所轄的所有縱向加密認(rèn)證網(wǎng)關(guān)集中管理（ SCM），用戶可以非常方便地通過縱向加密認(rèn)證網(wǎng)關(guān)配套的裝置安全管理系統(tǒng)以圖形化的方式安全高效地更新密鑰、查詢所有隧道狀態(tài)，完成證書發(fā)放、更換，設(shè)置安全策略等 和各種狀態(tài)信息的監(jiān)控，如圖 13 所示。 圖 13 裝置安全管理系統(tǒng) 完善的日志審計(jì)功能 NetKeeper2020 縱向加密認(rèn)證網(wǎng)關(guān)能依據(jù)系統(tǒng)要求記錄敏感通信事件和管理事件，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。根據(jù)日志可以審計(jì)加密認(rèn)證網(wǎng)關(guān)隧道建立的情況、設(shè)備管理員所進(jìn)行的操作和加密認(rèn)證網(wǎng)關(guān)所阻斷的探測(cè)、攻擊等非法訪問，并為安全策略的進(jìn)一步完善提供參考。 支持雙機(jī)熱備 對(duì)于服務(wù)質(zhì)量要求高的地方，可以采用雙機(jī)熱備技術(shù) ,即通過在同一節(jié)點(diǎn)使用兩臺(tái)縱向加密認(rèn)證網(wǎng)關(guān)，實(shí)現(xiàn)雙機(jī)冗余。 如果網(wǎng)關(guān)設(shè)備中的主節(jié)點(diǎn)發(fā)生了故障， 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 那么 將由次節(jié)點(diǎn)代替它。次節(jié)點(diǎn)通常是主節(jié)點(diǎn)的鏡像，所以當(dāng)它代替主節(jié)點(diǎn)時(shí)，它可以完全接管其身份，并且系統(tǒng)環(huán)境對(duì)于終端用戶是一致的。 基于數(shù)字證書的圖形化界面 南瑞 NetKeeper2020縱向加密認(rèn)證網(wǎng)關(guān) 提供了基于數(shù)字證書的的圖形化用戶界面，通過縱向加密認(rèn)證網(wǎng)關(guān)的專用智能 IC卡讀寫器進(jìn)行身份認(rèn)證，保證配置管理的安全性； 可以采用本地方式或者遠(yuǎn)程方式來完成加密認(rèn)證網(wǎng)關(guān)的設(shè)置、加密網(wǎng)關(guān)隧道的配置及審計(jì)信息的瀏覽，配置界面如圖 14所示。 圖 14 可視化的管理與配置界面 典型部署 根據(jù)電力安全防護(hù)的要求， 電力 調(diào)度數(shù)據(jù)網(wǎng) 的 不同業(yè)務(wù)系統(tǒng)之間必須實(shí)現(xiàn)有效的隔離，控制生產(chǎn)類實(shí)時(shí)業(yè)務(wù)與非控制生產(chǎn)業(yè)務(wù)隔離，關(guān)鍵業(yè)務(wù)系統(tǒng)之間按照需要進(jìn)行隔離。 NetKeeper2020 縱向加密認(rèn)證網(wǎng)關(guān)支持采用 MPLS VPN 建立的不同虛擬專網(wǎng)之間的數(shù)據(jù)安全通信， 通過建立多條加密隧道，保證數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性、機(jī)密性和完整性。 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 網(wǎng)省調(diào)加密認(rèn)證網(wǎng)關(guān)接入方案 網(wǎng)、省調(diào)的網(wǎng)絡(luò)設(shè)備通過雙機(jī)冗余技術(shù)，增強(qiáng)網(wǎng)絡(luò)接入環(huán)節(jié)的可靠性。加密認(rèn)證網(wǎng)關(guān)的接入方案如圖 15 所示 ,此接入方案也可用于大型發(fā)電公司與下級(jí)直屬電廠的接入方案。 從所保護(hù)的子網(wǎng)中的通信機(jī)到 本地接入路由器之間的路徑上，任何環(huán)節(jié)，包括設(shè)備或鏈路出現(xiàn)故障， IP 加密裝置都應(yīng)該正確識(shí)別，配合實(shí)現(xiàn)路徑切換。當(dāng)某一區(qū)域主加密設(shè)備出現(xiàn)故障時(shí)，能夠快速將認(rèn)證和加密傳輸處理工作切換至備用裝置中，保障通信連續(xù)性。 圖 15 網(wǎng)省調(diào)加密裝置接入方案 地縣調(diào)加密認(rèn)證裝置接入方案 匯聚層在實(shí)時(shí)控制區(qū)和非控制生產(chǎn)區(qū)分別接入一臺(tái) IP 加密認(rèn)證裝置， IP 加密認(rèn)證裝置需支持“一進(jìn)兩出 ”，出口分別連接到實(shí)時(shí)控制區(qū)和非實(shí)時(shí)控制區(qū)的兩臺(tái)路由器上。當(dāng)路由器出現(xiàn)故障時(shí)，能夠快速將認(rèn)證和加密傳輸處理工作切換至另一臺(tái)路由器上中， 保障通信連續(xù)性。 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 圖 16 地縣調(diào)加密裝置接入方案 廠站端加密認(rèn)證裝置接入方案 接入層在實(shí)時(shí)控制區(qū)和非控制生產(chǎn)區(qū)分別接入一臺(tái) IP 加密認(rèn)證裝置，實(shí)時(shí)控制區(qū)和非控制生產(chǎn)區(qū)的 IP 加密認(rèn)證裝置出口連接在同一臺(tái)路由器上。如果接入層只有一臺(tái)交換機(jī)， 可以在交換機(jī)和路由器之間采用 MPLS VPN 為實(shí)時(shí)和非實(shí)時(shí)系統(tǒng)劃分不同的 VLAN 網(wǎng)段，實(shí)現(xiàn)通信的機(jī)密性和完整性。 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 圖 17 廠站端加密裝置接入方案 裝置管理 根據(jù)電力二次系統(tǒng)安全防護(hù)的規(guī)定和縱向加密認(rèn)證裝置的管理體制，南瑞信息系統(tǒng)分公司自 主研制開發(fā)了 DMS2020 縱向加密認(rèn)證裝置管理系統(tǒng)，為調(diào)度中心所轄的加密認(rèn)證裝置提供遠(yuǎn)程安全管理服務(wù)。調(diào)度中心的加密裝置及下 屬的加密裝置由裝置管理系統(tǒng)直接管理，見圖： 圖 18 加密認(rèn)證裝置的管理模式 水電公司二次系統(tǒng)安全防護(hù)設(shè)計(jì)方案 此時(shí)，裝置管理系統(tǒng) (管理中心 )與加密裝置是網(wǎng)絡(luò)上通信的實(shí)體。裝置管理系統(tǒng)通過經(jīng)過認(rèn)證加密的管理報(bào)文實(shí)現(xiàn)對(duì)縱向加密認(rèn)證裝置的監(jiān)測(cè)。監(jiān)測(cè)采用在線方式，裝置管理系統(tǒng)直接將管理報(bào)文發(fā)到縱向加密認(rèn)證裝置，縱向加密認(rèn)證裝置自動(dòng)響應(yīng)并處理來自裝置管理系統(tǒng)的監(jiān)控請(qǐng)求并將執(zhí)行結(jié)果返回裝置管理系統(tǒng)。 南瑞 DMS2020 縱向加密裝置管理系統(tǒng)嚴(yán)格按照國(guó)調(diào)中心《 IP 加密認(rèn)證裝置技術(shù)規(guī)范的要求》，可以實(shí)現(xiàn)對(duì)不同廠家的縱向認(rèn)證加密裝置進(jìn)行管理和監(jiān)控。 監(jiān)控的內(nèi)容包括： ? 縱向加密認(rèn)證裝置的工作狀態(tài)查詢； ? 縱向加密認(rèn)證裝置的安全策略查詢； ? 縱向加密認(rèn)證裝置的工作模式查詢與設(shè)置； ? 縱向加密認(rèn)證裝置安全策略和數(shù)字證書下發(fā) ? 所轄縱向加密認(rèn)證裝置實(shí)時(shí)監(jiān)控（流量、鏈路信息等） ? 對(duì)縱向加密認(rèn)證裝置的日志信息進(jìn)行集中管理和審計(jì) DMS2020 裝置管理系統(tǒng)對(duì)所轄的縱向加密認(rèn)證裝置進(jìn)行統(tǒng)一管理，裝置管理系統(tǒng)通過在線方式直接 對(duì)縱向加密認(rèn)證裝置進(jìn)行監(jiān)控管理，通過離線方式由