国南通信设备

咨询电话:181-2373-3575

◆电力通信网是为了保证电力系统的安全稳定运行而应运而生的。它同电力系统的继电保护及安全稳定控制系统、调度自动化系统被人们合称为电力系统安全稳定运行的三大支柱。目前,它更是电网调度自动化、网络运营市场化和管理现代化的基础;是确保电网安全、稳定、经济运行的重要手段;是电力系统的重要基础设施。电力通信利用其独特的发展优势越来越被社会所重视:

(1) 近67万km的35kV及以上输电线路是架设电力特殊光缆的极好资源,经济、快速、安全、可靠; (2) 遍布全国各大城市的电缆管道和电杆是建设光纤接入网的极好资源; (3) 电力线通信(PLC)技术的日益成熟,为用户接入提供了首选手段; (4) 其它具有电力特色的技术,如无源光纤接入、无线宽带、多点扩频系统等,使电力资源得到充分有效的利用和发挥。

◆MSTP(Multi-Service Transfer Platform)(基于SDH 的多业务传送平台)是指基于SDH 平台同时实现TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。多生成树(MST)使用修正的快速生成树(RSTP)协议,叫做多生成树协议(MSTP);MSTP(Multiple Spanning Tree Protocol,多生成树协议)

电力专用纵向加密装置产品简介

315

1、背景介绍

电力系统是国家政治、经济活动的基础和支柱,一旦电力系统发生故障和安全问题,将严重影响国民经济发展和人民生活的正常秩序,在非常时期还可能造成对国家安全,以及人民生命和财产安全的严重损失。

为了保障电力系统的安全,需要建立电力系统安全性评价体系,建立有效的人员和设备管理制度,完善安全审计管理,明确各级人员的安全职责。同时,还需要充分利用现代科学手段,专门开发安全防护技术,从技术上保证电力系统的安全。


电力系统安全防护重点在控制系统,安全防护的目标是抵御病毒、黑客等通过各种形式发起的恶意破坏和攻击,尤其是集团式攻击,重点保护电力实时闭环监控系统及调度数据网络的安全,防止由此引起电力系统事故。

电力专用纵向加密认证装置(以下简称“装置”)是按照国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》及国家电监会5号令《电力二次系统安全防护规定》的要求,根据《电力二次系统安全防护总体方案》的部署,针对电力二次安全防护体系中电力调度数据保密通信的专用密码设备,是电力二次系统安全防护的核心关键设备,实现了《电力二次系统安全防护总体方案》中要求的安全防护功能,满足二次系统安全防护的要求。

2、装置在国家电力调度数据网中的位置

电力专用纵向加密认证装置位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,如下图所示,用于安全区I/II的广域网边界保护,可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。按照“分级管理”要求,纵向加密认证装置部署在各级调度中心及下属的各厂站,根据电力调度通信关系建立加密隧道。


3、产品功能

Ø通过了国家主管部门的审批和技术鉴定,采用国家主管部门审批通过的专用密码算法

Ø密钥管理采用公私钥体制,符合X.509标准,使用BASE-64编码,由调度证书服务系统一签发

Ø五类安全证书机制:根证书、操作员证书、管理中心证书、纵向认证设备证书、对机证书

Ø三级密钥管理:主密钥、设备公私钥(设备公钥以证书请求方式导出,由证书服务系统签发成设备证书并发布)、工作密钥


Ø密钥同步的双方首先相互验证身份

Ø双方以RSA算法加密传送实时产生的工作密钥

Ø工作密钥定期自动更换

Ø“装置”可使用符合《电力专用纵向加密认证装置技术规范》要求的证书服务系统下发的数字证书和操作员卡

ØIP层通信加密,符合IPSec,密文采用封装安全载荷(ESP)

Ø“装置”采用透明网桥模式,“装置”的引入不影响原有网络和终端设备的配置,系统扩展性好

Ø一对多加密模式,适应所有广域网络,扩展性好,灵活性高

Ø“装置”具有完善的自检、告警、自愈、审计功能

Ø“装置”在启动和运行过程中,发生的事件和错误都有日志记录,可以通过配置管理软件查看事件和定位故障。操作员对“装置”进行的操作也有日志记录,便于对其进行归纳和分析。日志文件存在“装置”中

Ø具有声光组合告警提示

Ø支持双机热备功能

Ø支持本地设置和远程管理

Ø基于Windows图形界面的专用配置管理软件对“装置”进行各类配置管理工作,界面友好,操作便捷

Ø本地配置管理:证书管理、隧道管理、策略管理、系统配置和日志管理

Ø支持“装置”软件的备份、恢复和增量升级

Ø支持SM2加密算法

4、产品特点

4.1、完善的自主安全防护措施

无论是“装置”带电工作或是不带电的情况下,打开机壳,主密钥就会被销毁,增强了系统的安全性。

只有操作员把初始化物理保护开关拨到‘初始态’时,才能对“装置”进行初始化操作,这可以有效避免操作员在进行“装置”管理时的误操作。

4.2、智能卡身份认证

支持握奇公司生产的SIC03智能卡(TimeCOS/PK 32K),该系列的智能卡具有以下主要特征:支持RSA算法,能快速完成RSA签名、签名验证、加解密运算;支持认证功能和口令保护;在通讯过程中支持信息的机密性和完整性保护;支持电子钱包和电子功能;支持字符传送和块传送通讯协议。

4.3、安全加固内核

“装置”使用的Linux内核打上了最新的安全补丁,这除了有利于增强内核的稳定性之外,还可以有效防范最新的攻击手段。

同时修改了协议栈,对于网络数据的处理完全可控,只有符合本机安全策略的数据才能到达“装置”本机网络层以上协议。

“装置”中涉及到的安全协议全部都是定制的,专门定制的协议带来了很高的安全性,可以更有效地防御攻击。

4.4、可靠性与自愈能力

硬件结构:采用工业电源、嵌入式设计,性能稳定,可靠性高。

为提高整个系统的可靠性,系统专门设计了一个监控进程。监控进程负责对密码模块、远程管理进程和密钥同步进程等进行监控,一旦发现软、硬件异常情况,监控进程将予以审计记录,同时尝试进行修复。因此,“装置”具有很好的自愈能力,满足高可用性要求。

当与“装置”相连的链路状态出现故障时,“装置”会发出声光告警,以提醒用户检查并排除链路故障。

4.5、环境适宜性

符合《电力专用纵向加密认证装置技术规范》要求。

通过国家权威机构的电磁兼容认证,与电力系统电磁兼容4级标准相当。

“装置”可以适应电力系统的应用环境的特殊要求。环境:-5~55℃,湿度95%,-40℃,厂站,户外,恶劣环境。

4.6、支持双算法芯片

在密码模块的设计过程中,充分考虑了用户潜在的提速和扩容需求,赋予了密码模块良好的可扩展性,支持两块SSX06算法芯片并行工作,使密码模块处理能力线性增加,可以保证系统平滑地提速和扩容。

兼顾性能和灵活性,可根据用户要求选配单芯卡或双芯卡。

4.7、网络适应性强

作为内嵌密码模块的双网口透明网桥设备,“装置”对其他主机而言是透明的,只需占用一个IP地址,不影响原有网络拓扑结构,也无须更改网络设备或局域网计算机的设置,它所提供的密通道对局域网内的计算机是透明的,这一特性极大地方便了最终用户。

4.8、支持双机互备

“装置”支持双机互备运行模式,即同一网点的两台“装置”互为主备机,在出现链路等故障时,主备机会快速自动切换,保障通信连续性。

从所保护的局域网中的通信机到本地接入路由器之间的路径上,任何环节(包括设备或链路出现故障),“装置”都能正确识别,实现路径切换。

下一篇MSTP简述
分享到:


江苏国南通讯技术有限公司面向全国/全球销售传输网络、交换网络、有线固定接入网络和数据通信网络及无线终端产品。提供通信系统的端到端的解决方案,从方案到设备都致力于给客户提供更稳定,更高效的服务。

华为光传输设备(MSTP)华为光端机METRO系列 | 华为光端机NGSDH系列 | 华为PTN光传输设备系列 | 华为OTN光传输设备系列

中兴光传输设备(MSTP)中兴SDH光端机系列 | 中兴波分OTN/DWDM设备系列 | 中兴IP传送平台系列设备

版权所有@江苏国南通讯技术有限公司

彭先生:181-2373-3575

在线客服
 
 
 联系方式
彭先生:181-2373-3575