电力专用纵向加密认证网关工作原理

智能电网

335人已加入

描述

电力专用纵向加密认证网关的定义

     “电力专用纵向加密认证网关”是用于保护电力调度数据网路由器和电力系统的局域网之间通信安全的电力专用网关机。该设备为保护上下级控制系统之间的广域网通信提供了认证与加密服务,实现了数据传输的机密性、完整性。此外,电力专用纵向加密认证网关实现了对电力系统专用的应用层通信协议(IEC- 104 , DL476-92 等)转换功能,以便于实现端到端的选择性保护。

电力专用纵向加密认证网关的总体部署位置

        按照“分级管理”要求,纵向加密认证装置部署在各级调度中心及下属的各厂站,根据电力调度通信关系建立加密隧道(原则上只在上下级之间建立加密隧道),加密隧道拓扑结构是部分网状结构。如图:

TCP

TCP

工作原理

电力专用加密认证网关,专有的加密协议

电力专用纵向加密认证网关间通信协议为国调组织多位专家联合设计,并经权威机构的多位院士审查论证,通信协议内容同样高度保密。

电力专用纵向加密认证网关采用基于公钥体制的工作密钥的自动协商和交换。

证书

采用电力调度证书服务系统签发的电力专用符合标准的证书文件。

加密算法

电力专用纵向加密认证网关的密钥生成、数据加密都是由专用高速数据加密卡完成,该加密卡为国调、国密局共同指定的厂家研制开发,对称加密基于专用加密算法芯片,非对称加密遵循国际标准,加密速度快,抗攻击能力强。

安全隧道

彼此通信的加密装置之间建立的连接隧道。

安全策略

基于安全隧道的彼此通信的主机之间的安全规则,称为安全策略。

部署位置实例

TCP

接入纵向加密认证装置后,典型网络拓扑之一

TCP

接入纵向加密认证装置后,典型网络拓扑之二

TCP

为什么电厂要用横向隔离装置和纵向加密装置?

纵向加密装置针对的是上下级调度之间进执行的,比如你电厂侧的二次业务数据需要上传到地方电力调度中心或者省级电力调度中心,这个传输的过程必须是加密的,否则会容易被黑客获取而进行破解,一旦加密后,秘钥与公钥就是唯一的,即便被黑客获取也破解不了数据这样就保证了相对的安全。

横向隔离装置针对的是一区二区与三区之间传输间才用到的,横向隔离装置相当于是安全网闸,数据只能单向传输,不能双向。比如一区二区的业务需要访问三区外网的话那就加正向隔离装置,如果反过到三区外网业务需要访问一区二区内网业务的话那就用反向隔离装置,这样黑客即便入侵也没有反回的数据,所以无法进行窃取数据,在一定程度上保护了电力网络的网络安全。

TCP

纵向加密装置针对的是上下级调度之间进行的,比如你电厂侧的二次业务数据需要上传到地方电力调度中心或者省级电力调度中心,这个传输的过程必须是加密的,否则会容易被黑客获取而进行破解,一旦加密后,秘钥与公钥就是唯一的,即便被黑客获取也破解不了数据这样就保证了相对的安全。

横向隔离装置针对的是一区二区与三区之间传输间才用到的,横向隔离装置相当于是安全网闸,数据只能单向传输,不能双向。比如一区二区的业务需要访问三区外网的话那就加正向隔离装置,如果反过来三区外网业务需要访问一区二区内网业务的话那就用反向隔离装置,这样黑客即便入侵也没有反回的数据,所以无法进行窃取数据,在一定程度上保护了电力网络的网络安全。

电力系统专用网络隔离装置是按照国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》及国家电监会5号令《电力二次系统安全防护规定》的要求,根据《国家电力二次安全防护总体方案 》的部署,针对电力二次系统安全防护体系中安全区I、II与安全区III连接的单向专用安全隔离设备。

装置除采用基本的防火墙、代理服务器等安全防护技术之外,关键采用了“双机非网”的物理隔离技术,即装置可以阻断网络直接连接,两个网络不同时连接在设备上;可以阻断网络逻辑连接,即TCP/IP必须被剥离,将原始数据非网方式传送;隔离传输机制具有不可编程性;任何数据都是通过两级代理方式完成;具备对数据的审查功能,数据不具有攻击及有害的特性;具有强大的管理与控制功能,从而实现了国调中心的安全防护要求的两种通讯模式:

完全单向通讯方式(UDP);

单向数据4字节(或1Bit)返回方式(TCP);

使用场合

隔离装置主要是负责电力监控系统的防护,包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。

纵向加密认证装置一般装在各个高压变电所的所内监控系统与地调,省调之间的网络接口的地方。用于变电所二次系统安全防护,满足电监会的相关规定。

纵向加密认证装置:位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,用于安全区I/II的广域网边界保护,可为本地安全区I/II 提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。

纵向加密认证网关:位于安全区I/II中应用系统的边界,用于为一个或多个控制系统提供认证与加密服务,除了要求符合本规范外,还要求满足应用层通信协议转换功能,以便于实现端到端的电力应用保护。

调度证书服务系统:为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务,以解决网络应用中的机密性、完整性、不可否认性等安全问题。

装置管理系统:位于电力调度中心,完成对所辖的多厂网的装置进行统一管理的计算机系统。

审核编辑:黄飞

 

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分