南京现货科东加密PSTunnel-2000 安全防护强度高

开发的依据和功能规范
国家电网调度中心发布《全国电力二次系统安全防护方案(最新版)》
国家电网调度中心制定《电力系统专用纵向加密认证装置技术规范(最新版)》
中华人民共和国国家标准GB/T 17900-1999 《网络代理服务器的安全技术要求》
《关于维护网络安全和信息安全的决议》,全国人大常委会2000年10月审议通过;
《中华人民共和国计算机信息系统安全保护条例》,国务院1994年发布;
《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》,国家保密局1998年发布;
p
《计算机信息网络国际联网安全保护管理办法》,公安部1998年发布;
《计算机信息系统安全保护等级划分准则》(GB 17859-1999),公安部1999年发布;
《电网和电厂计算机监控系统及调度数据网络安全防护规定》,国家经贸委[2002]第30号令;
《电力工业中涉及的国家秘密及具体范围的规定》,电力工业部和国家保密局1996年发布。
GB/T 14598.9-1995 辐射电磁场抗扰度标准
GB/T 14598.10-1996 快速瞬变抗扰度标准
GB/T 14598.13-1998 脉冲群抗扰度标准
GB/T 14598.14-1998 静电放电抗扰度标准
GB/T 17626.5-1999 浪涌(冲击)抗扰度标准
GB/T 17626.6-1998 射频场感应的传导骚扰抗扰度标准
GB/T 11287-2000 机械振动响应标准
《计算机信息网络国际联网安全保护管理办法》,公安部1998年发布;
《计算机信息系统安全保护等级划分准则》(GB 17859-1999),公安部1999年发布;
《电网和电厂计算机监控系统及调度数据网络安全防护规定》,国家经贸委[2002]第30号令;
《电力工业中涉及的国家秘密及具体范围的规定》,电力工业部和国家保密局1996年发布。
GB/T 14598.9-1995 辐射电磁场抗扰度标准
GB/T 14598.10-1996 快速瞬变抗扰度标准
GB/T 14598.13-1998 脉冲群抗扰度标准
GB/T 14598.14-1998 静电放电抗扰度标准
GB/T 17626.5-1999 浪涌(冲击)抗扰度标准
GB/T 17626.6-1998 射频场感应的传导骚扰抗扰度标准
GB/T 11287-2000 机械振动响应标准
电气性能
电源
我方提供的电源模块为交流电源,交流电压范围100V-260V/50HZ,直流100V-374V。
环境规范
运行温度:-0℃ -- +45℃
储运温度:-40℃ -- +55℃
操作湿度:5% -- 95%@40摄氏度,非冷凝
大气压力:70kPa~106kPa
几何及物理特性
尺寸:标准1U机箱
重量:4kg
抗干扰性
辐射电磁场抗扰度 :能承受GB/T15153.1中规定的严酷等级为3级(6V/m)的辐射电磁场干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
快速瞬变抗扰度:电源和信号都能承受GB/T15153.1中规定的严酷等级为3级的快速瞬变干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
脉冲群抗扰度装置: 能承受GB/T15153.1中规定的严酷等级为3级的1MHz和100kHz的脉冲群干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
静电放电抗扰度: 能承受GB/T15153.1中规定的严酷等级为3级的静电放电干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
浪涌(冲击)抗扰度: 能承受GB/T15153.1中规定的严酷等级为3级的浪涌(冲击)干扰实验,符合GB/T17626.1总则9中“a)”规定的要求.
机械振动装置: 能承受GB/T11287-2000中3.2中规定的严酷等级为1级振动实验,性能符合该标准5中规定的要求。
工频磁场装置: 能承受GB/T15153.1中规定的严酷等级为4级的工频磁场干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
介质强度装置: 能承受GB/T15153.1中规定的严酷等级为3级的绝缘强度(不小于5MΩ)和耐压强度(电源输入回路不小于1500V)实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
稳定性装置: 能承受GB/T13729中3.9规定的稳定性实验;
其他参考标准
IEC-1000-4-2 (ESD)
IEC-1000-4-3 (辐射敏感性)
IEC-1000-4-4 (电快速瞬变)
IEC-1000-4-5 (电涌)
IEC-1000-4-6 (谐波)
参考的安全标准和规范
UL 1950
EN 41003
AS/NZS 3260
AS/NZS 3548 Class A
CSA Class A
FCC Class A
EN 60552-2
VCCI(ClassII)
系统结构
硬件结构

图4-4 硬件结构图
硬件平台
南京现货科东加密PSTunnel-2000
研发背景
在电力二次系统调度数据网络上部署应用纵向加密认证装置是国家电网公司为了贯彻落实国家经贸委关于《电网和电厂计算机监控系统及调度数据网络安全防护规定》([2002]第30号令)和国家电力监管委员会第5号令《电力二次系统安全防护规定》等文件精神,确保国家电网的安全稳定运行而开展的,是依据《电力二次系统安全防护总体方案》(电监安全[2006]34号)的要求提出并制定相应计划和方案的。部署纵向加密认证装置是上述规定及方案中,为实现对电力调度数据在广域网传输过程中的真实性、机密性、完整性保护而需要采取的一项重要措施。
研发目的
电力二次系统网络安全防护的重点是抵御病毒、黑客等通过各种形式对系统发起的恶意破坏和攻击,尤其是抵御集团式攻击,重点保护电力实时闭环监控系统及调度数据网络的安全,防止由此引起电力系统故障。
安全分区
根据电力二次系统的特点,各相关业务系统的重要程度、系统配备、数据流程、目前状况和安全要求,电力二次系统划分为生产控制大区和管理信息大区。
生产控制大区分为控制区(安全区I)和非控制区(安全区II);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各电力企业具体安全要求划分安全区。电网企业的管理信息大区一般可分为生产管理区(安全区III)和管理信息区(安全区IV)。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。生产控制大区的安全等级高于管理信息大区,其中生产控制大区中的安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。
广域网络通信方面,生产控制大区采用电力调度数据网络(SPDnet),管理信息大区采用电力企业数据网络(如电网企业的电力数据通信网络SPTnet)及外部公共信息网。
上述工作在全国各级电网二次系统安全防护工程中已基本完成。

网络专用
软件结构

图5 软件结构图
操作系统
采用处理器专用的、代码可控的、经过内核裁减的、实时Linux 作为操作系统。该操作系统取消所有网络功能;取消大部分系统服务,只保留系统稳定运行需要的进程。
报文监听
电力专用纵向加密认证网关作为代理从外网的网络访问包中抽取出数据然后通过内网接口转入内网,完成数据中转。装置将接收网络上的所有报文,将报文提交给上一层,进行过滤分析、检测。
报文综合过滤
在数据中转过程中,电力专用纵向加密认证装置首先对抽取的数据报文的IP地址、端口号、协议等实施综合过滤控制,根据需要进行可信的两个主机间的工作密钥协商及工作密钥交换,在两个主机间建立起一个安全可靠的会话,然后对可以通过上述过滤的报文根据规则确定是禁止通过、直接传输还是加密传输,对需要加密的进行加密,然后对允许通过的报文进行签名后通过内网接口转入内网。有了上述的约束条件,可以保证数据在非安全的通道上安全可靠地传输。
状态检测
状态检测技术:基于电力专用纵向加密认证装置所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤使用的过滤规则是静态的。而采用状态检测技术的电力专用纵向加密认证装置在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后电力专用纵向加密认证装置根据状态表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。
报文分类调度
根据不同报文的类型提交给不同的模块处理,如果是需要加解密报文则将该报文提交给报文加密处理模块,如果是协商认证报文则提交给协商认证模块,装置之间进行协商认证处理,如果是配置报文则提交给配置管理模块处理。
配置软件
南京现货科东加密PSTunnel-2000