南京专业科东加密PSTunnel-2000

部署位置以及和管理中心的关系
按照“分级管理”要求,纵向加密认证装置部署在各级调度中心及下属的各厂站,根据电力调度通信关系建立加密隧道(原则上只在上下级之间建立加密隧道),加密隧道拓扑结构是部分网状结构。如图:
型号说明
产品型号:PSTunnel-2000G?电力专用纵向加密认证装置——千兆型
产品型号:PSTunnel-2000?电力专用纵向加密认证装置——百兆增强型
产品型号:PSTunnel-2000L?电力专用纵向加密认证装置——百兆低端型
产品型号:PSTunnel-2000M?电力专用纵向加密认证装置——微型
国密局批复型号:SJY99加密网关
产品外观:

图4-6?设备前视图
接口说明
南京专业科东加密PSTunnel-2000
研发背景
在电力二次系统调度数据网络上部署应用纵向加密认证装置是国家电网公司为了贯彻落实国家经贸委关于《电网和电厂计算机监控系统及调度数据网络安全防护规定》([2002]第30号令)和国家电力监管委员会第5号令《电力二次系统安全防护规定》等文件精神,确保国家电网的安全稳定运行而开展的,是依据《电力二次系统安全防护总体方案》(电监安全[2006]34号)的要求提出并制定相应计划和方案的。部署纵向加密认证装置是上述规定及方案中,为实现对电力调度数据在广域网传输过程中的真实性、机密性、完整性保护而需要采取的一项重要措施。
研发目的
电力二次系统网络安全防护的重点是抵御病毒、黑客等通过各种形式对系统发起的恶意破坏和攻击,尤其是抵御集团式攻击,重点保护电力实时闭环监控系统及调度数据网络的安全,防止由此引起电力系统故障。
安全分区
根据电力二次系统的特点,各相关业务系统的重要程度、系统配备、数据流程、目前状况和安全要求,电力二次系统划分为生产控制大区和管理信息大区。
生产控制大区分为控制区(安全区I)和非控制区(安全区II);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各电力企业具体安全要求划分安全区。电网企业的管理信息大区一般可分为生产管理区(安全区III)和管理信息区(安全区IV)。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。生产控制大区的安全等级高于管理信息大区,其中生产控制大区中的安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。
广域网络通信方面,生产控制大区采用电力调度数据网络(SPDnet),管理信息大区采用电力企业数据网络(如电网企业的电力数据通信网络SPTnet)及外部公共信息网。
上述工作在全国各级电网二次系统安全防护工程中已基本完成。

网络专用
南京专业科东加密PSTunnel-2000
横向隔离
生产控制大区与管理信息大区之间采用专用安全隔离装置,达到或接近于物理隔离强度。生产控制大区内两个安全区之间的安全隔离应该达到逻辑隔离强度。具体隔离设备的选择不仅需要考虑网络安全的要求,还需要考虑带宽及实时性的要求。生产控制大区的隔离设备必须是经过国家指定部门检测认证的国产设备。
一般在安全大区内部隔离设备选择防护墙产品,安全大区间采用具有物理隔离能力的电力专用网络安全隔离设备,如现在无管理信息大区系统,则暂时不需要部署网络安全隔离设备。
上述工作在全国各级电网二次系统安全防护工程中已基本完成。
纵向认证
生产控制大区连接的广域网为电力调度数据网。管理信息大区连接的广域网为电力企业数据网络或外部互联网。电力调度数据网与电力企业数据网之间应该物理隔离,可通过基于SDH/PDH上的不同通道、不同光波长、不同纤芯等方式进行隔离。
生产控制大区接入调度数据网时,须采用国家指定部门检测认证的电力专用纵向加密认证装置及相应设施,实现网络层双向身份认证、数据加密和访问控制。如暂时不具备条件,可以用硬件防火墙或ACL技术的访问控制代替。管理信息大区应采用硬件防火墙或更高安全强度的设备接入电力企业数据网。
处于外部网络边界的通信网关的操作系统应进行安全加固。根据具体业务的重要程度及信息的敏感程度,对生产控制大区的外部通信网关应该增加加密、认证和过滤的功能。
传统的基于专用通道的通信不涉及网络安全问题,可采用线路加密技术保护关键厂站及关键业务。
采用纵向加密认证装置可实现基于电力调度证书的身份验证、基于隧道技术及电力专用加密算法的数据加密传输。
参考的安全标准和规范
UL?1950
EN?41003
AS/NZS?3260
AS/NZS?3548?Class?A
CSA?Class?A
FCC?Class?A
EN?60552-2
VCCI(ClassII)
系统结构
硬件结构

图4-4?硬件结构图
硬件平台
南京专业科东加密PSTunnel-2000
硬件功能
千兆设备具有6个网络接口,其中4个10/100/1000M?网络电口(2个光网络接口与2个千兆网络电口复用);另外还具有2个不同功能接口10/100M自适应的网卡,?用于配置和扩展,保证网络传输的高速稳定。
百兆设备共有5个网络接口,采用RJ45型接口,10/100M自适应,2个内网网口,2个外网网口,1个配置口,心跳口与其他网络接口复用。
微型设备具有3个网络接口,10/100M自适应,1个内网网口,1个外网网口,1个配置口,心跳口与其他网络接口复用。
物理锁具。保证加密装置内部安全模块的安全,没有特定的钥匙,不能打开机箱外壳,不能看见“加密认证装置”密码装置内部的结构和安全密码卡的结构。保证“加密认证装置”密码装置的物理安全。
采用USBKey作为该装置的管理人员的“人机卡三方认证”的登录安全介质。
该网关外形为1U标准的机箱;重量为4kg,上架方式为面板前方左右两侧的钢质耳朵。
有蜂鸣器装置作为声音报警装置,一旦系统发生紧急情况,可以由该系统的报警模块出发,作为提示系统管理人员的声音警示。
可以手动解除解除报警蜂鸣器工作的按钮。
面板前后方分别有多个指示灯,分别代表系统电源状态(Power),系统运行(Run),内外网口连接(eth0/?eth1,eth2/eth3),网络连接状态(ACK),外接的系统信息串口状态,报警模块外部接口的状态(Alarm?/?复归),内部处理模块状态,安全加密解密模块等系统关键部件的运行状态。
内置硬件Wacthdog,用以监视系统的运行状态,保证整个硬件电路的安全稳定、可靠。
内置RTC时钟模块,保证系统时间的精准。
采用双电源(微型采用单电源)保证系统供电模块的可靠性;电源交流100V-260V/50HZ。
涉密资质
生产资质
按照国家相关规定,在研制开发纵向加密认证装置前,我公司申请并获得了国家密码管理局“国家密码产品定点生产单位”和“国家密码产品定点销售单位”资质认定,并定期接受国家密码管理局和北京市国家密码管理委员会的审查。
加密芯片
按照电力二次系统安全防护方案的相关要求及国调指示精神,电力系统安全防护工作中需要用到电力专用加密算法芯片时,必须使用国家密码管理局指定的密码算法芯片,我公司特向国密局提出配用电力系统专用算法芯片研制电力专用纵向加密认证装置的申请,获得国密局的批准,国家密码管理局批复允许我公司使用的SSX06密码芯片。
加密算法
纵向加密认证装置使用的密码算法包括对称加密算法、非对称算法、散列算法和随机数生成算法,其中的对称算法是经过国密办批复的专为电力系统使用的加密算法。其他算法都是国密办指定的算法。
设备型号
我公司向国密局前身国家密码管理委员会办公室申请开发电力专用网关机、电力专用网络安全隔离设备(反向型),获得国家密码管理委员会办公室批准立项,项目名分别为“SJY99加密网关”?、“SJY100安全隔离装置(反向型)”,并获准在装置中配用电力系统专用算法密码芯片,项目批文号为:国密办字[2004]292号。
技术鉴定
2006年6月,我公司研制的“SJY99加密网关”?、“SJY100安全隔离装置(反向型)”?顺利通过了国家密码管理局组织的产品技术鉴定。鉴定会上包括中国工程院院士周仲义、沈昌祥院士在内的多位专家对设备给予了充分肯定。我们的设备获得对应的国家密码管理局颁发的设备型号证书。
南京专业科东加密PSTunnel-2000
必博彩票平台 宝赢彩票APP下载 博悦彩票平台 百万彩票APP 伯乐彩票APP下载 河北快3走势图 泊利彩票APP下载 泊利彩票平台 博亿彩票APP下载 必博彩票APP下载