二次安全防护专用技术与产品

电力二次系统安全防护

装置介绍1、横向安全隔离是电力二次系统安全防护体系的横向防线，是二次系统安全防护体系的重要技术措施。2、控制区与非控制区采用防火墙等设施实现逻辑隔离，生产控制大区与管理信息大区采用电力专用正、反向隔离装置实现强隔离。横向隔离技术正、反向隔离装置部署示意图应用服务器信源C1应用服务器信源C2UDP（1/0）UDP（1/0）纯数据G1G2CPU1CPU2正向隔离装置反向隔离装置G1G2CPU1CPU2单向传输单向UDP单向UDP

纯文本

E语言纯文本E语言单向传输非网络数据交换，内外两个处理系统不同时连通。数据完全单向传输。透明工作模式，虚拟主机IP地址、隐藏MAC地址基于MAC/IP/Port/协议的综合报文过滤与访问控制，支持NAT。割断穿透性TCP连接应用层解析功能，支持标记识别安全方便的维护管理，支持数字证书的管理人员认证正向隔离装置基本功能应用网关功能，实现数据的接收与转发。具有数字证书的签名/解签名功能纯文本编码检查与转换功能基于E语言纯文本文件的强过滤功能透明工作方式，虚拟主机IP地址、隐藏MAC地址。基于MAC/IP/Port/协议的综合报文过滤与访问控制，支持NAT。割断穿透性TCP连接安全方便的维护管理，支持数字证书的管理人员认证反向隔离装置基本功能1、加密认证技术是电力调度数据网安全防护体系的重要技术支撑手段。2、在各级调度中心（网省、地县与厂站））的控制区与调度数据网络的边界应逐步部署电力专用纵向加密认证装置或加密认证网关。加密认证技术纵向加密装置功能加密隧道加密隧道加密隧道电力调度数据网上级调度中心下级调度中心直属电厂直属变电站采用电力专用密码与认证技术，保证上下级调度中心与厂站纵向数据通信机密性和完整性。纵向加密装置部署位置国调网调厂站省调加密认证装置地调厂站国家电力调度数据网省级电力调度数据网管理中心县调按照分级管理要求，纵向加密认证装置部署在各级电力调度通信中心及下属的各厂站，根据电力调度关系建立加密隧道。各级装置管理系统完成对所辖的多厂商的设备进行统一管理纵向装置管理系统体系结构：软硬件向结合，包括装置控管理机和控制软件。主要功能□支持对全网加密认证网关的安全策略进行查询与设置；□支持对全网加密认证网关进行密钥初始化和数字证书管理；□支持对全网加密认证网关的工作模式进行查询与设置；□支持对全网加密认证网关的隧道状态进行查询与设置；□实时监控全网任意一台加密认证网关的流量、链路信息等；□支持对全网加密认证网关的日志信息进行集中管理和审计；

1、电力调度数字证书系统是电力二次系统安全防护的基础安全设施。2、基于公钥技术的分布式数字证书系统，为生产控制大区的关键应用、关键用户和关键设备提供数字证书服务。电力调度数字证书调度数字证书体系国调华东网调西北网调上海市调江苏省调…..1级调度CA2级调度CA人员证书设备证书程序证书地调…………3级调度CA1、统一规划证书信任体系。电监会调度CA作为总根，国调CA作为1级CA,各网、省调CA作为二级CA；各地调CA作为三级CA,上下级调度CA通过证书信任链构成认证体系。2、采用统一的数字证书格式和加密算法。格式遵循X.509V3标准。3、电力调度数字证书的生成、发放、管理以及密钥的生成、管理应当脱离网络，独立运行基于调度证书系统建设原则14、提供规范的应用接口，支持相关应用系统和安全专用设备嵌入电力调度数字证书服务。5、电力调度数字证书系统应按照电力调度管理体系进行配置，省级以上调度中心和有实际业务需要的地区调度中心应逐步建立电力调度数字证书系统。6、现有应用系统应当逐步进行相应改造，利用数字证书技术提高安全强度，新建设的电力监控系统应当支持电力调度数字证书的应用。调度证书系统建设原则21.安全产品类：反向隔离、加密装置、安全拨号装置、VPN等。2.电力系统各种业务的安全改造：三公调度、EMS、OMS、安全web改造、移动办公等客户端验证、签名、验签、加密、解密、时间戳等。证书应用1、安全拨号认证技术是电力系统安全远程接入访问的重要防护手段。2、在各级调度中心（网省、地县与厂站））的拨号应用场合应逐步部署安全拨号认证装置对来自公用电话网的接入用户进行安全认证和数据加密传输。安全拨号认证技术安全拨号认证装置的部署位置生产控制大区管理信息大区正向隔离装置反向隔离装置PSTNPSTNPSTN电力数字证书远程拨号用户防火墙安全拨号认证装置安全拨号认证装置安全拨号认证装置部署在电力系统内网与公用电话交换网之间。对拨号人员采用智能卡或文件证书认证，并进行数据传输加密客户端安全检查。采用安全操作系统，并结合数字证书进行登陆认证。线路加密。对拨号线路的数据采用高强度加密算法进行保护。访