江苏科东加密PSTunnel-2000百兆高端 安全防护强度高

研发背景
在电力二次系统调度数据网络上部署应用纵向加密认证装置是国家电网公司为了贯彻落实国家经贸委关于《电网和电厂计算机监控系统及调度数据网络安全防护规定》([2002]第30号令)和国家电力监管委员会第5号令《电力二次系统安全防护规定》等文件精神,确保国家电网的安全稳定运行而开展的,是依据《电力二次系统安全防护总体方案》(电监安全[2006]34号)的要求提出并制定相应计划和方案的。部署纵向加密认证装置是上述规定及方案中,为实现对电力调度数据在广域网传输过程中的真实性、机密性、完整性保护而需要采取的一项重要措施。
研发目的
电力二次系统网络安全防护的重点是抵御病毒、黑客等通过各种形式对系统发起的恶意破坏和攻击,尤其是抵御集团式攻击,重点保护电力实时闭环监控系统及调度数据网络的安全,防止由此引起电力系统故障。
安全分区
根据电力二次系统的特点,各相关业务系统的重要程度、系统配备、数据流程、目前状况和安全要求,电力二次系统划分为生产控制大区和管理信息大区。
生产控制大区分为控制区(安全区I)和非控制区(安全区II);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各电力企业具体安全要求划分安全区。电网企业的管理信息大区一般可分为生产管理区(安全区III)和管理信息区(安全区IV)。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。生产控制大区的安全等级高于管理信息大区,其中生产控制大区中的安全区Ⅰ的安全等级高,安全区II次之,其余依次类推。
广域网络通信方面,生产控制大区采用电力调度数据网络(SPDnet),管理信息大区采用电力企业数据网络(如电网企业的电力数据通信网络SPTnet)及外部公共信息网。
上述工作在全国各级电网二次系统安全防护工程中已基本完成。

网络专用
部署位置以及和管理中心的关系
按照“分级管理”要求,纵向加密认证装置部署在各级调度中心及下属的各厂站,根据电力调度通信关系建立加密隧道(原则上只在上下级之间建立加密隧道),加密隧道拓扑结构是部分网状结构。如图:
江苏科东加密PSTunnel-2000百兆高端
安全特性
采用国密办为电力行业专用的加密芯片
电力专用纵向加密认证装置的核心技术是加密算法,它决定着装置的加密强度,抗攻击能力。PSTunnel-2000?系列电力专用纵向加密认证装置采用国密办专为电力系统设计的加密算法,算法相关信息高度机密,不向任何单位公开,通过将算法封装在加密算法芯片中提供给用户,确保算法的安全可靠,这从根本上保证了装置的加密强度。
采用多核加密技术的高速加密卡
PSTunnel-2000?系列电力专用纵向加密认证装置的密钥生成、数据加密都是由专用高速数据加密卡完成,该加密卡经国调、国密办共同检测,由我方自行研制开发多核加密卡,对称加密基于专用加密算法芯片,非对称加密遵循国际标准,加密速度快,抗功击能力强。
采用专门设计的加密认证通信协议
PSTunnel-2000系列电力专用纵向加密认证装置间通信协议为国调组织多位专家联合设计,基于IPSec,不照搬IPSec,结合了电力系统的应用及管理特点,对IPSec进行了有效的简化,并经权威机构的多位院士审查论证,通信协议内容同样高度保密。
PSTunnel-2000?系列电力专用纵向加密认证装置采用基于公钥体制的工作密钥的自动协商和交换。
状态监视
可以通过管理工具监视当前设备中存在的安全通道的状态信息包括:流过的包数量、超时次数、出错重协商次数、密钥协商状态等信息。
实时管理
网关设备支持通过配置管理工具实时进行包括隧道重置、设备重置、添加删除策略等工作,便于用户根据实际网络情况,动态调整设备运行方式、规则配置等信息,并可以进行实时切断运行隧道。
高强度的抗攻击能力
通过特殊的硬件结构和加固的操作系统的内核以及电力专用纵向加密认证装置本身没有IP地址,使得电力专用纵向加密认证装置本身的抗攻击能力的强度极高。黑客对设备的攻击无从下手。
性能优化技术
电力专用纵向加密认证装置性能的优劣影响到用户的使用也同时影响了系统的安全和稳定性,我们采用了多种性能优化技术,通过采用多个加密芯片协同运算等方式,大大改善了电力专用纵向加密认证装置的性能。
硬件功能
千兆设备具有6个网络接口,其中4个10/100/1000M?网络电口(2个光网络接口与2个千兆网络电口复用);另外还具有2个不同功能接口10/100M自适应的网卡,?用于配置和扩展,保证网络传输的高速稳定。
百兆设备共有5个网络接口,采用RJ45型接口,10/100M自适应,2个内网网口,2个外网网口,1个配置口,心跳口与其他网络接口复用。
微型设备具有3个网络接口,10/100M自适应,1个内网网口,1个外网网口,1个配置口,心跳口与其他网络接口复用。
物理锁具。保证加密装置内部安全模块的安全,没有特定的钥匙,不能打开机箱外壳,不能看见“加密认证装置”密码装置内部的结构和安全密码卡的结构。保证“加密认证装置”密码装置的物理安全。
采用USBKey作为该装置的管理人员的“人机卡三方认证”的登录安全介质。
该网关外形为1U标准的机箱;重量为4kg,上架方式为面板前方左右两侧的钢质耳朵。
有蜂鸣器装置作为声音报警装置,一旦系统发生紧急情况,可以由该系统的报警模块出发,作为提示系统管理人员的声音警示。
可以手动解除解除报警蜂鸣器工作的按钮。
面板前后方分别有多个指示灯,分别代表系统电源状态(Power),系统运行(Run),内外网口连接(eth0/?eth1,eth2/eth3),网络连接状态(ACK),外接的系统信息串口状态,报警模块外部接口的状态(Alarm?/?复归),内部处理模块状态,安全加密解密模块等系统关键部件的运行状态。
内置硬件Wacthdog,用以监视系统的运行状态,保证整个硬件电路的安全稳定、可靠。
内置RTC时钟模块,保证系统时间的精准。
采用双电源(微型采用单电源)保证系统供电模块的可靠性;电源交流100V-260V/50HZ。
产品技术性能
概述
PSTunnel-2000?系列电力专用纵向加密认证装置是由北京科东电力控制系统有限责任公司自主开发研制,IP认证加密装置用于安全区I/II的广域网边界防护,作用之一是为本地安全区I/II提供一个网络屏障,类似包过滤防火墙的功能,作用之二是为网关机之间的广域网通信提供认证与加密功能,实现数据传输的真实性、机密性、完整性、不可抵赖性,以及抗重放攻击功能。具有操作简便、高性能、高可靠性等特点。
电力专用纵向加密认证装置采用软、硬结合的安全措施,在硬件上使用数字加密卡实现数据的加密和解密及签名和认证;在软件上,采用综合过滤、访问控制、动态密钥协商、非对称加密等技术实现电力专用加密隧道功能。
开发的依据和功能规范
国家电网调度中心发布《全国电力二次系统安全防护方案(新版)》
国家电网调度中心制定《电力系统专用纵向加密认证装置技术规范(新版)》
人民共和国国家标准GB/T?17900-1999?《网络代理服务器的安全技术要求》
《关于维护网络安全和信息安全的决议》,全国人大常委会2000年10月审议通过;
《人民共和国计算机信息系统安全保护条例》,国务院1994年发布;
《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》,国家保密局1998年发布;
?
科东产品信息
纵向加密装置(型号PSTUNNEL-2000L)

2.基本介绍
PSTunnel-2000?IP?加密认证装置是位于电力控制系统的内部局域网与电力调
度数据网络的路由器之间,用于安全区I/II?的广域网边界保护,可为本地安全区
I/II?提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加
密服务,实现数据传输的机密性、完整性保护。PSTunnel-2000L?加密认证装置是位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,用于安全区I/II?的广域网边界保护,可为本地安全区I/II?提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。