二次安全防护专用技术与产品.ppt

电力二次系统安全防护装置介绍 1、横向安全隔离是电力二次系统安全防护体系的横向防线，是二次系统安全防护体系的重要技术措施。 2、控制区与非控制区采用防火墙等设施实现逻辑隔离，生产控制大区与管理信息大区采用电力专用正、反向隔离装置实现强隔离。 正、反向隔离装置部署示意图 非网络数据交换，内外两个处理系统不同时连通。 数据完全单向传输。 透明工作模式，虚拟主机IP地址、隐藏MAC地址 基于MAC/IP/Port/协议的综合报文过滤与访问控制，支持NAT。 割断穿透性TCP连接 应用层解析功能，支持标记识别 安全方便的维护管理，支持数字证书的管理人员认证 应用网关功能，实现数据的接收与转发。 具有数字证书的签名/解签名功能 纯文本编码检查与转换功能 基于E语言纯文本文件的强过滤功能 透明工作方式，虚拟主机IP地址、隐藏MAC地址。 基于MAC/IP/Port/协议的综合报文过滤与访问控制，支持NAT。 割断穿透性TCP连接 安全方便的维护管理，支持数字证书的管理人员认证 1、加密认证技术是电力调度数据 网安全防护体系的重要技术支撑手 段。 2、在各级调度中心（网省、地县 与厂站））的控制区与调度数据网 络的边界应逐步部署电力专用纵向 加密认证装置或加密认证网关。 1、电力调度数字证书系统是电力 二次系统安全防护的基础安全设施。 2、基于公钥技术的分布式数字证 书系统，为生产控制大区的关键应 用、关键用户和关键设备提供数字 证书服务。 1、统一规划证书信任体系。电监会调度 CA作为总根， 国调CA作为1级CA,各网、 省调CA作为二级CA；各地调CA作为三 级CA,上下级调度CA通过证书信任链构 成认证体系。 2、采用统一的数字证书格式和加密算法。 格式遵循X.509 V3标准。 3、电力调度数字证书的生成、发放、管 理以及密钥的生成、管理应当脱离网络， 独立运行基于 4、提供规范的应用接口，支持相关应用 系统和安全专用设备嵌入电力调度数字证 书服务。 5、电力调度数字证书系统应按照电力调 度管理体系进行配置，省级以上调度中心 和有实际业务需要的地区调度中心应逐步 建立电力调度数字证书系统。 6、现有应用系统应当逐步进行相应改造 ，利用数字证书技术提高安全强度，新 建设的电力监控系统应当支持电力调度数 字证书的应用。 1.安全产品类：反向隔离、加密装置、安全拨号装置、VPN等。 2. 电力系统各种业务的安全改造：三公调度、EMS、OMS、安全web改造、移动办公等客户端验证、签名、验签、加密、解密、时间戳等。 1、安全拨号认证技术是电力系统安全远程接入访问的重要防护手段。 2、在各级调度中心（网省、地县 与厂站））的拨号应用场合应逐步部署安全拨号认证装置对来自公用电话网的接入用户进行安全认证和数据加密传输。 客户端安全检查。采用安全操作系统，并结合数字证书进行登陆认证。 线路加密。对拨号线路的数据采用高强度加密算法进行保护。 访问控制。对远程拨号用户进行基于地址、端口、时间、协议等综合过滤。支持对关键访问资源的读、写、执行权限进行细粒度的控制。 日志审计。完善的日志审计功能，记录远程拨号用户所有的登陆行为，支持Syslog日志输出。 * 横向隔离技术 应用服务器 信源C1 应用服务器 信源C2 UDP （1/0） UDP （1/0） 纯数据 G1 G2 CPU1 CPU2 正向隔离装置 反向隔离装置 G1 G2 CPU1 CPU2 单向传输 单向UDP 单向UDP 纯文本 E语言 纯文本 E语言 单向传输 正向隔离装置基本功能 反向隔离装置基本功能 加密认证技术 纵向加密装置功能 加密隧道 加密隧道 加密隧道 电力调度数据网 上级调度中心 下级调度中心 直属电厂 直属变电站 采用电力专用密码与认证技术，保证上下级调度中心与厂站纵向数据通信机密性和完整性。 纵向加密装置部署位置 国调 网调 厂站 省调 加密认证装置 地调 厂站 国家电力调度数据网 省级电力调度数据网 管理中心 县调 按照分级管理要求，纵向加密认证装置部署在各级电力调度通信中心及下属的各厂站，根据电力调度关系建立加密隧道。 各级装置管理系统完成对所辖的多厂商的设备进行统一管理 纵向装置管理系统 体系结构：软硬件向 结合，包括装置控管 理机和控制软件。 主要功能 □支持对全网加密认证网关的安全策略 进行查询与设置； □支持对全网加密认证网关进行密钥初 始化和数字证书管理； □支持对全网加密认证网关的工作模式 进行查询与设置； □支持对全网加密认证网关的隧道状态 进行查询与设置； □实时监控全网任意一台加密认证网关 的流量、链路信息等； □支持对全网加密认证网关的日志信息