江苏科东加密PSTunnel-2000百兆低端

参考的安全标准和规范

UL1950

EN41003

AS/NZS3260

AS/NZS3548ClassA

CSAClassA

FCCClassA

EN60552-2

VCCI(ClassII)

系统结构

硬件结构

图4-4硬件结构图

硬件平台

横向隔离

生产控制大区与管理信息大区之间采用专用安全隔离装置,达到或接近于物理隔离强度。生产控制大区内两个安全区之间的安全隔离应该达到逻辑隔离强度。具体隔离设备的选择不仅需要考虑网络安全的要求,还需要考虑带宽及实时性的要求。生产控制大区的隔离设备必须是经过国家指定部门检测认证的国产设备。

一般在安全大区内部隔离设备选择防护墙产品,安全大区间采用具有物理隔离能力的电力专用网络安全隔离设备,如现在无管理信息大区系统,则暂时不需要部署网络安全隔离设备。

上述工作在全国各级电网二次系统安全防护工程中已基本完成。

纵向认证

生产控制大区连接的广域网为电力调度数据网。管理信息大区连接的广域网为电力企业数据网络或外部互联网。电力调度数据网与电力企业数据网之间应该物理隔离,可通过基于SDH/PDH上的不同通道、不同光波长、不同纤芯等方式进行隔离。

生产控制大区接入调度数据网时,须采用国家指定部门检测认证的电力专用纵向加密认证装置及相应设施,实现网络层双向身份认证、数据加密和访问控制。如暂时不具备条件,可以用硬件防火墙或ACL技术的访问控制代替。管理信息大区应采用硬件防火墙或更高安全强度的设备接入电力企业数据网。

处于外部网络边界的通信网关的操作系统应进行安全加固。根据具体业务的重要程度及信息的敏感程度,对生产控制大区的外部通信网关应该增加加密、认证和过滤的功能。

传统的基于专用通道的通信不涉及网络安全问题,可采用线路加密技术保护关键厂站及关键业务。

采用纵向加密认证装置可实现基于电力调度证书的身份验证、基于隧道技术及电力专用加密算法的数据加密传输。