电力调度数据网与纵向加密认证装置

全国电力二次系统平安防护电力调度数据网与纵向加密认证网关内部资料注意保密中国电力科学研究院刘刚1/29/20251北京科东电力控制系统有限责任公司提纲1/29/20252北京科东电力控制系统有限责任公司近年世界上大停电事故反映出电力二次系统的脆弱性和重要性。电力二次系统平安事件

1/29/20253北京科东电力控制系统有限责任公司二次系统平安防护的由来1/29/20254北京科东电力控制系统有限责任公司二次系统平安防护的由来2003年8月14日美国加拿大的停电事故震惊世界，事故扩大的直接原因是两个控制中心的自动化系统故障。假设黑客攻击将会引起同样的灾难性后果。这次“814〞美国、加拿大大停电造成300亿美圆的损失及社会的不安定。由此可说明电力系统的重要性。2003年12月龙泉、政平、鹅城、荆州等换流站受到计算机病毒的攻击。几年来我国不少基于WINDOWS-NT的电力二次系统的计算机系统,程度不同的受到计算机病毒的攻击。造成了业务损失和经济损失。值得我们严重的关注。有攻击就必须有防护1/29/20255北京科东电力控制系统有限责任公司主要风险调度数据网上：明文数据；104规约等的识别，着重保护“控制报文〞；物理等原因造成的数据中断不是最危险的；最危险的是旁路控制。窃听篡改伪造1/29/20256北京科东电力控制系统有限责任公司优先级风险说明/举例0旁路控制（BypassingControls）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏（IntegrityViolation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。2违反授权（AuthorizationViolation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（IllegitimateUse）非授权使用计算机或网络资源。6信息泄漏（InformationLeakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web服务欺骗攻击；IP欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务（Availability,e.g.DoS）向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。10窃听（Eavesdropping,e.g.DataConfidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。电力二次系统主要平安风险1/29/20257北京科东电力控制系统有限责任公司提纲1/29/20258北京科东电力控制系统有限责任公司系列文件?电力二次系统平安防护规定?配套文件：?电力二次系统平安防护总体方案??省级及以上调度中心二次系统平安防护方案??地、县级调度中心二次系统平安防护方案??变电站二次系统平安防护方案??发电厂二次系统平安防护方案??配电二次系统平安防护方案?1/29/20259北京科东电力控制系统有限责任公司提纲1/29/202510北京科东电力控制系统有限责任公司总体平安防护策略在对电力二次系统进行了全面系统的平安分析根底上，提出了十六字总体平安防护策略。平安分区、网络专用、横向隔离、纵向认证1/29/202511北京科东电力控制系统有限责任公司平安分区1/29/202512北京科东电力控制系统有限责任公司网络专用1/29/202513北京科东电力控制系统有限责任公司网络专用

SDH（N×2M）SDH（155M）SPDnetSPTnet实时控制在线生产调度生产管理电力综合信息实时VPN非实时VPN调度VPN信息VPN语音视频VPNIP语音视频SDH/PDH传输网电力调度数据网电力企业数据网1/29/202514北京科东电力控制系统有限责任公司横向隔离物理隔离装置〔正向型/反向型〕1/29/202515北京科东电力控制系统有限责任公司纵向认证1/29/202516北京科东电力控制系统有限责任公司提纲1/29/202517北京科东电力控制系统有限责任公司平安区与远方通信的平安防护要求(一)1/29/202518北京科东电力控制系统有限责任公司平安区与远方通信的平安防护要求(二)处于外部网络边界的通信网关〔如通信效劳器等〕操作系统应进行平安加固，并配置数字证书。传统的远动通道的通信目前暂不考虑网络平安问题。个别关键厂站的远动通道的通信可采用线路加密器，但需由上级部门认可。经SPDnet的RTU网络通道原那么上不考虑传输中的认证加密。个别关键厂站的RTU网络通信可采用认证加密，但需由上级部门认可。禁止平安区Ⅰ的纵向WEB，允许平安区II的纵向WEB效劳。平安区I和平安区II的拨号访问效劳原那么上需要认证、加密和访问控制。1/29/202519北京科东电力控制系统有限责任公司纵向加密认证装置/网关1/29/202520北京科东电力控制系统有限责任公司纵向加密认证网关部署位置1/29/202521北京科东电力控制系统有限责任公司纵向加密认证网关和管理中心的部署路由器国家电力调度数据网络国家电力调度数据网络I/III/II级级调度中心调度中心管理终端纵向加密认证装置国家电力调度数据网络调度中心调度中心管理中心1/29/202522北京科东电力控制系统有限责任公司与传统IPsecVPN区别1/29/202523北京科东电力控制系统有限责任公司与传统IPsecVPN区别1/29/202524北京科东电力控制系统有限责任公司密钥协商简化的依据电力专用加密网关之间平安通信所采用的加密算法、工作方式和通信协议等已经确定，无须协商。全网加密网关使用的数字证书由调度证书效劳系统统一签发，不考虑交叉认证。加密网关是部署在调度系统机房内的固定设备，不需要考虑在线的身份验证问题。---相对于传统的通用的VPN1/29/202525北京科东电力控制系统有限责任公司提纲1/29/202526北京科东电力控制系统有限责任公司在密码学中，有一个五元组：{明文、密文、密钥、加密算法、解密算法}，对应的加密方案称为密码体制〔或密码〕。明文：是作为加密输入的原始信息，即消息的原始形式。密文：是明文经加密变换后的结果，即消息被加密处理后的形式。密钥：是参与密码变换的参数，。加密算法：是将明文变换为密文的变换函数。解密算法：是将密文恢复为明文的变换函数，相应的变换过程称为解密，即译码的过程。1/29/202527北京科东电力控制系统有限责任公司对称密钥体制：是指加密密钥和解密密钥为同一密钥的密码体制。因此，信息发送者和信息接收者在进行信息的传输与处理时，必须共同持有该密码〔称为对称密码〕。通常,密钥简短，使用的加密算法比较简便高效。对称密码体制也称为秘密密钥密码体制、单密钥密码体制或常规密码体制。主要用于大量通信数据加密解密。1/29/202528北京科东电力控制系统有限责任公司非对称密码体制不对称密钥体制〔公钥体制〕：用户产生一对公/私密钥，向外界公开的密钥为公钥；自己保存的密钥为私钥。经公钥加密的数据，只有通过私钥才能解密，经私钥加密的数据，只有通过公钥才能解密。利用这个特点，用户间可以进行平安的数据交换。比较费时，效率不高。主要用于身份认证。1/29/202529北京科东电力控制系统有限责任公司PKI--公钥根底设施1/29/202530北京科东电力控制系统有限责任公司1/29/202531北京科东电力控制系统有限责任公司1/29/202532北京科东电力控制系统有限责任公司电力专用密码算法与芯片国家密码局批复电力系统专用的SSX06密码算法芯片:可以用于PCI加密卡或者单板机.其中提供的对称算法是电力系统专用对称算法.非对称算法是国际标准的通用RSA算法.1/29/202533北京科东电力控制系统有限责任公司提纲1/29/202534北京科东电力控制系统有限责任公司硬件架构〔1〕采用非Intel指令集的处理器，保证了硬件平台的高速稳定运转；接口10/100M自适应网口的网卡；采用代码可控的平安操作系统；串口作为系统信息的输出口；内置智能卡读卡器的接口；采用国家电力调度通信中心指定的智能卡生产厂家的智能卡，作为该装置的管理人员的“人机卡三方认证〞的登陆平安介质；1/29/202535北京科东电力控制系统有限责任公司硬件架构(2)采用双电源220V/50HZ供电，保证系统供电模块的可靠性；采用蜂鸣器装置作为声音报警装置；装置外部提供硬件旁路接口，通过该旁路接口可以在设备故障情况下，短接网络，使网络旁路运行。内置硬件Watchdog，用以监视系统的运行状态，保证整个硬件电路的平安稳定、可靠。内置RTC时钟模块，保证系统时间的精准。1/29/202536北京科东电力控制系统有限责任公司电力专用密码卡，同时结合RSA公钥算法来完成数据加密、解密、签名、验证等任务，其主要功能为：数据加密/解密；单向散列；数字签名与数字验证；用户访问权限控制。支持的密码算法主要包括：对称密码算法：电力专用SSX06密码算法；公开密钥算法：RSA公钥算法；散列算法：基于SSX06算法封装的散列算法；保护算法：电力专用SSX06密码算法；1/29/202537北京科东电力控制系统有限责任公司网络报文综合过滤功能具有双向报文过滤功能，与加密机制别离，独立工作，在实施加密之前进行。过滤规那么支持：源IP地址〔范围〕控制目的IP地址〔范围〕控制源IP〔范围〕＋目的IP地址〔范围〕控制协议控制TCP、UDP协议＋端口〔范围〕控制源IP地址〔范围〕＋TCP、UDP协议＋端口〔范围〕控制目标IP地址〔范围〕＋TCP、UDP协议＋端口〔范围〕控制1/29/202538北京科东电力控制系统有限责任公司提纲1/29/202539北京科东电力控制系统有限责任公司电力纵向加密认证网关应用流程初始化配置运行管理监视1/29/202540北京科东电力控制系统有限责任公司系统应用流程——初始化作为密码设备，应用第一步都是进行初始化操作。生成操作员和本装置的设备公私钥，并填写必要信息，生成证书请求文件〔csr文件〕，提交本级调度证书效劳系统签发；设备公私钥由电力专用加密卡芯片完成；操作员公私钥由IC卡介质内的芯片完成。。1/29/202541北京科东电力控制系统有限责任公司初始化—生成证书请求文件初始化工作由专责人员〔操作员〕通过图形或者命令行的管理工具在本地操作完成。证书请求文件包含以下信息：国家省/市/自治区部门纵向设备名称纵向设备公钥；证书请求文件会保存在本地硬盘上。然后通过U盘拷贝或者其他方式交给本级的调度证书系统。1/29/202542北京科东电力控制系统有限责任公司初始化--调度证书系统签发证书录入操作员导入证书请求文件〔csr文件〕；审核操作员对证书请求文件内容信息进行审核；签发操作员签发证书〔cer文件〕。证书文件通过U盘拷贝或者其他方式交给纵向设备的操作员。1/29/202543北京科东电力控制系统有限责任公司初始化--证书的安装和导入必备的五种证书的导入：调度证书效劳系统根证书〔国调根证书、网省根证书，建立证书信任链〕；本装置设备证书〔本级签发，根证书验证〕；本装置的操作员证书〔使用IC卡介质，本级签发，根证书验证〕；装置管理系统证书〔本级签发，根证书验证〕；与本装置通信的对端设备证书〔协调交换〕；1/29/202544北京科东电力控制系统有限责任公司配置--本地根本信息的配置本地协商IP地址的分配〔本地局域网内的IP地址，不占用调度数据网上的地址〕；与通信远端静态路由地址表的配置；〔内部实现放行OSPF协议〕操作员IC卡登陆用户名、密码的修改；1/29/202545北京科东电力控制系统有限责任公司配置--平安隧道平安隧道——调度数据网上纵向加密认证网关之间通过协商建立；隧道协商参数的配置：多个对端纵向设备的协商IP地址，多个证书的隧道匹配；隧道的主备关系；每条隧道协商时间，协商超时的时间，隧道重新协商满足的条件〔数据包个数/时间范围〕等；1/29/202546北京科东电力控制系统有限责任公司配置—平安策