《调度安全防护体系-总体培训讲学.ppt》由会员分享,可在线阅读,更多相关《调度安全防护体系-总体培训讲学.ppt(73页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、调度安全防护体系-总体 全全国国电电力力二二次次系系统统安安全全防防护护总总体体方方案案是是依依据据中中华华人人民民共共和和国国国国家家经经济济贸贸易易委委员员会会第第3030号号令令电电网网和和电电厂厂计计算算机机监监控控系系统统及及调调度度数数据据网网络络安安全全防防护护的的规规定定(以以下下简简称称规规定定)的的要要求求,并并根根据据我我国国电电力力调调度度系系统统的的具具体体情情况况编编制制的的,目目的的是是防防范范对对电电网网和和电电厂厂计计算算机机监监控控系系统统及及调调度度数数据据网网络络的的攻攻击击侵侵害害及及由由此此引引起起的的电电力力系系统统事事故故,规规范范和和统统一一我
2、我国国电电网网和和电电厂厂计计算算机机监监控控系系统统及及调调度度数数据据网网络络安安全全防防护护的的规规划划、实实施施和和监监管管,以以保保障障我我国国电电力力系系统统的的安安全全、稳稳定定、经济运行,保护国家重要基础设施的安全。经济运行,保护国家重要基础设施的安全。电力二次系统逻辑结构电力二次系统逻辑结构本安全防护总体方案的基本防护原则适用于本安全防护总体方案的基本防护原则适用于本安全防护总体方案的基本防护原则适用于本安全防护总体方案的基本防护原则适用于电力二次系统中各类应用和网络系统,总体电力二次系统中各类应用和网络系统,总体电力二次系统中各类应用和网络系统,总体电力二次系统中各类应用和
3、网络系统,总体方案直接适用于与电力生产和输配过程直接方案直接适用于与电力生产和输配过程直接方案直接适用于与电力生产和输配过程直接方案直接适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络。电相关的计算机监控系统及调度数据网络。电相关的计算机监控系统及调度数据网络。电相关的计算机监控系统及调度数据网络。电力通信系统、电力信息系统可参照电力二次力通信系统、电力信息系统可参照电力二次力通信系统、电力信息系统可参照电力二次力通信系统、电力信息系统可参照电力二次系统安全防护总体方案制定具体安全防护方系统安全防护总体方案制定具体安全防护方系统安全防护总体方案制定具体安全防护方系统安全防护总体
4、方案制定具体安全防护方案。案。案。案。安全防护总体方案的适用范围安全防护总体方案的适用范围电网调度系统安全防护的重点是抵御病毒、电网调度系统安全防护的重点是抵御病毒、电网调度系统安全防护的重点是抵御病毒、电网调度系统安全防护的重点是抵御病毒、黑客等通过各种形式发起的恶意破坏和攻击,黑客等通过各种形式发起的恶意破坏和攻击,黑客等通过各种形式发起的恶意破坏和攻击,黑客等通过各种形式发起的恶意破坏和攻击,尤其是集团式攻击,尤其是集团式攻击,尤其是集团式攻击,尤其是集团式攻击,重点保护电力实时闭环重点保护电力实时闭环重点保护电力实时闭环重点保护电力实时闭环监控系统及调度数据网络的安全,监控系统及调度数
5、据网络的安全,监控系统及调度数据网络的安全,监控系统及调度数据网络的安全,防止由此防止由此防止由此防止由此引起电力系统事故引起电力系统事故引起电力系统事故引起电力系统事故,从而保障电力系统的安从而保障电力系统的安从而保障电力系统的安从而保障电力系统的安全稳定运行,保证国家重要基础设施的安全,全稳定运行,保证国家重要基础设施的安全,全稳定运行,保证国家重要基础设施的安全,全稳定运行,保证国家重要基础设施的安全,要从国家安全战略的高度充分认识电力安全要从国家安全战略的高度充分认识电力安全要从国家安全战略的高度充分认识电力安全要从国家安全战略的高度充分认识电力安全防护的重大意义。防护的重大意义。防护
6、的重大意义。防护的重大意义。电网调度系统安全防护的目标与重点电网调度系统安全防护的目标与重点电力二次系统主要安全风险(电力二次系统主要安全风险(1)随着通信技术和网络技术的发展,随着通信技术和网络技术的发展,接入国家电力调度数据网的电力接入国家电力调度数据网的电力控制系统越来越多控制系统越来越多。特别是随着。特别是随着电力改革的推进和电力市场的建立电力改革的推进和电力市场的建立,要求要求在调度中心、电厂、用户等之间进行的数据交换也越来越频繁在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电站电力一次设备的改善使得其可控性能满足闭环
7、的要求。电厂、变电站减人增效,减人增效,大量采用远方控制大量采用远方控制,对电力控制系统和数据网络的安全性、,对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。可靠性、实时性提出了新的严峻挑战。因特网和因特网和Internet技术技术已得到广泛使用,已得到广泛使用,E-mail、Web和和PC的应用的应用也也日益普及,但同时日益普及,但同时病毒和黑客病毒和黑客也日益猖獗。也日益猖獗。目前有一些调度中心、发电厂、目前有一些调度中心、发电厂、变电站在规划、设计、建设控制系统变电站在规划、设计、建设控制系统和数据网络时,对网络安全问题重视不够和数据网络时,对网络安全问题重视不够,使
8、得具有实时远方控制功,使得具有实时远方控制功能的监控系统,在没有进行有效安全隔离的情况下与当地的能的监控系统,在没有进行有效安全隔离的情况下与当地的MIS系统系统或其他数据网络互连,构成了对电网安全运行的严重隐患。或其他数据网络互连,构成了对电网安全运行的严重隐患。优先级优先级风险风险说明说明/举例举例0旁路控制旁路控制(BypassingControls)入侵者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。1完整性破坏完整性破坏(IntegrityViolation)非授权修改电力控制系统配置或程序;非授权修改电力交易中的敏感数据。2违反授权违反授权(Authorizat
9、ionViolation)电力控制系统工作人员利用授权身份或设备,执行非授权的操作。3工作人员的随意行为工作人员的随意行为(Indiscretion)电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等。4拦截拦截/篡改篡改(Intercept/Alter)拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用非法使用(IllegitimateUse)非授权使用计算机或网络资源。6信息泄漏信息泄漏(InformationLeakage)口令、证书等敏感信息泄密。7欺骗欺骗(Spoof)Web服务欺骗攻击;IP 欺骗攻击。8伪装伪装(Masqu
10、erade)入侵者伪装合法身份,进入电力监控系统。9拒绝服务拒绝服务(Availability,e.g.DoS)向电力调度数据网络或通信网关发送大量雪崩数据,造成拒绝服务。10窃听窃听(Eavesdropping,e.g.DataConfidentiality)黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击准备数据。电电力力二二次次系系统统主主要要安安全全风风险险(2)1)1)系统性原则(木桶原理);系统性原则(木桶原理);2)2)简单性原则;简单性原则;3)3)实时、连续、安全相统一的原则;实时、连续、安全相统一的原则;4)4)需求、风险、代价相平衡的原则;需求、风险、代
11、价相平衡的原则;5)5)实用与先进相结合的原则;实用与先进相结合的原则;6)6)方便与安全相统一的原则;方便与安全相统一的原则;7)7)全全面面防防护护、突突出出重重点点(实实时时闭闭环环控控制制部部分分)的的原则原则8)8)分层分区、强化边界的原则;分层分区、强化边界的原则;9)9)整体规划、分步实施的原则;整体规划、分步实施的原则;10)10)责任到人,分级管理,联合防护的原则。责任到人,分级管理,联合防护的原则。二次系统安全防护总体原则二次系统安全防护总体原则安全防护模型安全防护模型PolicyolicyProtectionrotectionDetectionetectionRespon
12、seesponse防护防护防护防护检测检测检测检测反应反应反应反应策略策略策略策略以安全策略为核以安全策略为核以安全策略为核以安全策略为核心心心心相关的安全法律法规相关的安全法律法规中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行中华人民共和国计算机信息网络国际联网管理暂行规定规定 计算机信息系统保密管理暂行规定计算机信息系统保密管理暂行规定 涉及国家秘密的通信、办公自动化和计算机信息系涉及国家秘密的通信、办公自动化和计算机信息系统审统审 批暂行办法批暂行办法 计算机信息系统国际联网保密管理规定计算机信息系统国际联网
13、保密管理规定 计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法 关于维护网络安全和信息安全的决议关于维护网络安全和信息安全的决议 电网和电厂计算机监控系统及调度数据网络安全防电网和电厂计算机监控系统及调度数据网络安全防护的规定护的规定电力二次系统安全防护总体策略电力二次系统安全防护总体策略分区防护、突出重点分区防护、突出重点。根据系统中业务的重要性和对。根据系统中业务的重要性和对一次系统的影响程度进行分区,所有系统都必须置于一次系统的影响程度进行分区,所有系统都必须置于相应的安全区内,重点保护实时控制系统以及生产业相应的安全区内,重点保护实时控制系统以及生产业务系统
14、;务系统;安全区隔离安全区隔离。采用不同强度的网络安全设备使各安全。采用不同强度的网络安全设备使各安全区中的业务系统得到有效保护;区中的业务系统得到有效保护;网络隔离网络隔离。在专用通道上建立调度专用数据网络,实。在专用通道上建立调度专用数据网络,实现与其他数据网络物理隔离。并通过采用现与其他数据网络物理隔离。并通过采用MPLS-VPN或或IPsec-VPN在专网上形成多个相互逻辑隔离的在专网上形成多个相互逻辑隔离的VPN,实现多层次的保护;实现多层次的保护;纵向防护。纵向防护。采用认证、加密等手段实现数据的远方安采用认证、加密等手段实现数据的远方安全传输。全传输。电力二次系统的安全区划分电力
15、二次系统的安全区划分(一一)根根据据电电力力二二次次系系统统的的特特点点、目目前前状状况况和和安安全全要要求求,整整个个二二次次系系统统分分为为四四个个安安全全工工作作区区:实实时时控控制制区区、非非控控制制生生产产区区、生生产产管管理理区、区、管理信息管理信息区区。安全区安全区安全区安全区为实时控制区,为实时控制区,为实时控制区,为实时控制区,安全保护的重点与核心安全保护的重点与核心。凡是具有实时监控功能的系统或其中的监控功能部分均应属于凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区安全区。如:调度自动化系统和相量同步测量系统、配电自如:调度自动化系统和相量同步测量系统、配电自
16、动化系统、变电站自动化系统、发电厂自动监控系统动化系统、变电站自动化系统、发电厂自动监控系统或火电厂或火电厂的管理信息系统(的管理信息系统(SIS)中)中AGC功能等。功能等。其面向的使用者为调其面向的使用者为调度员和运行操作人员,数据实时性为秒级,外部边界的通信均度员和运行操作人员,数据实时性为秒级,外部边界的通信均经由电力调度数据网。经由电力调度数据网。区中还包括采用区中还包括采用专用通道的控制系统专用通道的控制系统,如:继电保护、安全自动控制系统、低频如:继电保护、安全自动控制系统、低频/低压自动减载系统、低压自动减载系统、负荷控制系统等,负荷控制系统等,这类系统对数据通信的实时性要求为
17、毫秒级这类系统对数据通信的实时性要求为毫秒级或秒级或秒级,是电力二次系统中最重要系统,安全等级最高。,是电力二次系统中最重要系统,安全等级最高。电力二次系统的安全区划分电力二次系统的安全区划分(二二)安全区安全区安全区安全区为非控制生产区为非控制生产区为非控制生产区为非控制生产区,原则上原则上不具备控制功能的不具备控制功能的生产业务和批发交易业务系统,或者系统中不进行控生产业务和批发交易业务系统,或者系统中不进行控制的部分均属于安全区制的部分均属于安全区。如:水调自动化系统、电如:水调自动化系统、电能量计量系统、发电侧电力市场交易系统等能量计量系统、发电侧电力市场交易系统等。其面向其面向的使用
18、者为运行方式、运行计划工作人员及发电侧电的使用者为运行方式、运行计划工作人员及发电侧电力市场交易员等。数据的实时性是分级、小时级。该力市场交易员等。数据的实时性是分级、小时级。该区的外部通信边界为电力调度数据网。区的外部通信边界为电力调度数据网。安全区安全区安全区安全区为生产管理区为生产管理区为生产管理区为生产管理区,该区的系统为进行生产管理该区的系统为进行生产管理的系统,的系统,如:雷电监测系统、气象信息接入等如:雷电监测系统、气象信息接入等。该区该区的外部通信边界为电力数据通信网(的外部通信边界为电力数据通信网(SPTnet)。)。安全区安全区安全区安全区IVIVIVIV为管理信息区为管理
19、信息区为管理信息区为管理信息区,该区包括办公管理信息系统、该区包括办公管理信息系统、客户服务等。客户服务等。该区的外部通信边界为该区的外部通信边界为SPTnet及因特网。及因特网。电力二次系统安全防护总体示意图电力二次系统安全防护总体示意图上级调度上级调度/控制中心控制中心下级调度下级调度/控制中心控制中心上级信息中心上级信息中心下级信息中心下级信息中心实时VPN SPDnet 非实时VPNIP认证加密装置安全区安全区I(实时控制区实时控制区)安全区安全区II(非控制生产区非控制生产区)安全区安全区III(生产管理区生产管理区)安全区安全区IV(管理信息区管理信息区)外部公共因特网生产VPNS
20、PTnet 管理VPN防火墙防火墙IP认证加密装置IP认证加密装置IP认证加密装置防火墙防火墙安全区安全区I(实时控制区实时控制区)防火墙安全区安全区II(非控制生产区非控制生产区)安全区安全区III(生产管理区生产管理区)防火墙 防火墙安全区安全区IV(管理信息区管理信息区)专线正向专用安全隔离装置反向专用安全隔离装置正向专用安全隔离装置反向专用安全隔离装置 防火墙 防火墙 防火墙业务系统置于安全区的规则业务系统置于安全区的规则(一一)根据该系统根据该系统的实时性、使用者、功能、场所、各的实时性、使用者、功能、场所、各业务业务系统的相互关系、广域网通信的方式以及受系统的相互关系、广域网通信的
21、方式以及受到攻击之后所产生的影响,将其分置于四个安全到攻击之后所产生的影响,将其分置于四个安全区之区之中。中。实时控制系统或未来可能有实时控制功能的系统实时控制系统或未来可能有实时控制功能的系统需置于需置于安全区安全区。电力二次系统中不允许把本属于高电力二次系统中不允许把本属于高安全区的业务安全区的业务系统迁移到低安全区。系统迁移到低安全区。允许把属于允许把属于低安全区的业低安全区的业务系统的终端设备放置于高安全区,由务系统的终端设备放置于高安全区,由属于属于高安高安全区的人员使用。全区的人员使用。业务系统置于安全区的规则业务系统置于安全区的规则(二二)某些某些业务系统的次要功能业务系统的次要
22、功能与根据与根据主要功能主要功能所选定的安所选定的安全区不一致时,可将全区不一致时,可将业务系统根据不同的功能模块分业务系统根据不同的功能模块分为若干子系统分置于各为若干子系统分置于各安全区中,各子系统经过安全安全区中,各子系统经过安全区之间的通信来构成整个区之间的通信来构成整个业务业务系统。系统。自我封闭的业务系统为孤立业务系统,其划分规则不自我封闭的业务系统为孤立业务系统,其划分规则不作要求,但需遵守所在安全区的安全防护规定。作要求,但需遵守所在安全区的安全防护规定。各电力二次系统原则上均应划分为四安全区的电力二各电力二次系统原则上均应划分为四安全区的电力二次系统安全防护方案,但并非四安全
23、区都必须存在次系统安全防护方案,但并非四安全区都必须存在。某安全区不存在的条件是(某安全区不存在的条件是(1 1)其本身不存在该安全区)其本身不存在该安全区的业务。(的业务。(2 2)与其它电网二次系统在该安全区不存在)与其它电网二次系统在该安全区不存在“纵向纵向“互联。互联。安全区之间的隔离要求(一)安全区之间的隔离要求(一)在在各各安安全全区区之之间间均均需需选选择择适适当当安安全全强强度度的的隔隔离离装装置置。具具体体隔隔离离装装置置的的选选择择不不仅仅需需要要考考虑虑网网络络安安全全的的要要求求,还还需需要要考考虑虑带带宽宽及及实实时时性性的的要要求求。隔隔离离装装置置必必须须是是国国
24、产产并并经经过国家或电力系统有关部门认证。过国家或电力系统有关部门认证。安全区安全区与安全区与安全区之间的隔离要求:之间的隔离要求:允允许许采采用用经经有有关关部部门门认认定定核核准准的的硬硬件件防防火火墙墙,应应禁禁止止E-mail、Web、Telnet、Rlogin等访问。等访问。安全区安全区III与安全区与安全区IV之间的隔离要求:之间的隔离要求:、区区之之间间应应采采用用经经有有关关部部门门认认定定核核准准的的硬硬件件防防火墙;火墙;安全区之间的隔离要求(二)安全区之间的隔离要求(二)安全区安全区、与安全区与安全区、之间的隔离要求:之间的隔离要求:安安全全区区、不不得得与与安安全全区区
25、直直接接联联系系,安安全全区区、与与安安全全区区之之间间必必须须采采用用经经有有关关部部门门认认定定核核准准的的专专用用隔隔离离装装置置。专专用用隔隔离离装装置置分分为为正正向向隔隔离离装装置置和和反反向向隔隔离离装装置置,从从安安全全区区、往往安安全全区区单单向向传传输输信信息息须须采采用用正正向向隔隔离离装装置置,由由安安全全区区往往安安全全区区甚甚至至安安全全区区的的单单向向数数据据传传输输必必须须采采用用反反向向隔隔离离装装置置。反反向向隔隔离离装装置置采采取取签签名名认认证证和和数数据据过过滤滤措措施施。专专用用隔隔离离装装置置应应禁禁止止E-MAIL、WEB、TELnet、Rlog
26、in等等访访问问。安全区与远方通信的安全防护要求(一)安全区与远方通信的安全防护要求(一)外部边界网络:外部边界网络:安安全全区区、所所连连接接的的广广域域网网为为国国家家电电力力调调度度数数据据网网SPDnet。采采用用MPLS-MPLS-VPN技技术术构构造造的的SPDnet为为安安全全区区、分分别别提提供供二二个个逻逻辑辑隔隔离离的的MPLS-MPLS-VPN。对对不不具具备备MPLS-VPN的的某某些些省省、地地区区调调度度数数据据网网络络,可可通通过过IPSec构构造造VPN子子网网,VPN子网可子网可提供提供二个二个逻辑隔离的逻辑隔离的子网。子网。安安 全全 区区 所所 连连 接接
27、 的的 广广 域域 网网 为为 国国 家家 电电 力力 数数 据据 通通 信信 网网(SPTnet)。)。安全区与外部边界网络的隔离要求:安全区与外部边界网络的隔离要求:安安全全区区、接接入入SPDnet时时,应应配配置置IP认认证证加加密密装装置置,实实现现网网络络层层双双向向身身份份认认证证、数数据据加加密密和和访访问问控控制制。如如暂暂时时不不具备条件或业务无此项要求,可以用硬件防火墙代替。具备条件或业务无此项要求,可以用硬件防火墙代替。安全区安全区接入接入SPTnet应配置硬件防火墙。应配置硬件防火墙。安全区与远方通信的安全防护要求(二)安全区与远方通信的安全防护要求(二)处于外部网络
28、边界的通信网关的操作系统应进行安全处于外部网络边界的通信网关的操作系统应进行安全加固,对加固,对I、II区的外部通信网关建议配置数字证书。区的外部通信网关建议配置数字证书。传统的远动通道的通信目前暂不考虑网络安全问题。传统的远动通道的通信目前暂不考虑网络安全问题。个别关键厂站的远动通道的通信可采用线路加密器。个别关键厂站的远动通道的通信可采用线路加密器。经经SPDnetSPDnet的的RTU网络网络通道原则上通道原则上不考虑不考虑传输中的认证传输中的认证加密。个别关键厂站的加密。个别关键厂站的RTU网络网络通信可采用认证加密。通信可采用认证加密。各安全区内部安全防护的基本要求(一)各安全区内部
29、安全防护的基本要求(一)对安全区对安全区及安全区及安全区的的要求:要求:禁止安全区禁止安全区/内部的内部的E-MAIL服务。安全区服务。安全区不允不允许存在许存在WEB服务器及服务器及客户端。客户端。允许安全区允许安全区内部内部及纵向(即上下级间)及纵向(即上下级间)WEB服务。服务。但但WEB浏览工作站与浏览工作站与II区业务系统工作站不得共用,区业务系统工作站不得共用,而且必须业务系统向而且必须业务系统向WEB服务器单向主动传送数据。服务器单向主动传送数据。安全区安全区/的重要业务(如的重要业务(如SCADA、电力交易)应该、电力交易)应该采用认证加密机制。采用认证加密机制。安全区安全区/
30、内的相关系统间内的相关系统间必须采取访问控制等安全必须采取访问控制等安全措施。措施。对安全区对安全区/进行拨号访问服务,进行拨号访问服务,必须采取认证、加必须采取认证、加密、访问控制等安全防护措施。密、访问控制等安全防护措施。安全区安全区/应该部署安全审计措施,如应该部署安全审计措施,如IDS等。等。安全区安全区/必须采取防恶意代码措施。必须采取防恶意代码措施。各安全区内部安全防护的基本要求(二)各安全区内部安全防护的基本要求(二)对安全区对安全区要求:要求:安全区安全区允许开通允许开通EMAIL、WEB服务。服务。对安全区对安全区拨号访问服务拨号访问服务必须采取访问控制等安全防必须采取访问控
31、制等安全防护措施。护措施。安全区安全区应该部署安全审计措施,如应该部署安全审计措施,如IDS等。等。安全区安全区必须采取防恶意代码措施。必须采取防恶意代码措施。说明:说明:本方案假设某电力二次系统都是局域范围,如某系统本方案假设某电力二次系统都是局域范围,如某系统内部具有广域网通信,其安全防护需要参照执行。内部具有广域网通信,其安全防护需要参照执行。个别业务系统,如因其业务的特殊性个别业务系统,如因其业务的特殊性需要附加的安全需要附加的安全防护,参照上述原则。防护,参照上述原则。本方案对安全区本方案对安全区不做详细不做详细要求。要求。电力二次系统四安全区拓扑结构电力二次系统四安全区拓扑结构电力
32、二次系统四安全区的拓扑结构有三种电力二次系统四安全区的拓扑结构有三种结构,这三种结构均能满足结构,这三种结构均能满足电力二次系统安全电力二次系统安全防护体系的要求。防护体系的要求。如图链式结构、三角结构和如图链式结构、三角结构和星形结构。星形结构。电力二次系统安全防护技术电力二次系统安全防护技术PKI技术的介绍技术的介绍对对称称密密钥钥体体制制:是是指指加加密密密密钥钥和和解解密密密密钥钥为为同同一一密密钥钥的的密密码码体体制制。因因此此,信信息息发发送送者者和和信信息息接接收收者者在在进进行行信信息息的的传传输输与与处处理理时时,必必须须共共同同持持有有该该密密码码(称称为为对对称称密密码码
33、)。通通常常,密钥简短,使用的加密算法比较简便高效。密钥简短,使用的加密算法比较简便高效。不不对对称称密密钥钥体体制制(公公钥钥体体制制):用用户户产产生生一一对对公公/私私密密钥钥,向外界公开的密钥为公钥;自己保留的密钥为私钥。向外界公开的密钥为公钥;自己保留的密钥为私钥。加加密密过过程程:信信息息发发送送者者以以信信息息接接收收者者的的公公钥钥加加密密信信息息,信信息息接收者以其私钥解密这加密信息。又称为公钥加密技术。接收者以其私钥解密这加密信息。又称为公钥加密技术。认认证证过过程程:信信息息发发送送者者以以自自己己的的私私钥钥加加密密信信息息,信信息息接接收收者者以以信信息息发发送送者者
34、的的公公钥钥解解密密这这加加密密信信息息。因因为为任任何何人人都都可可以以用用信信息息发发送送者者的的公公钥钥解解密密这这加加密密信信息息,但但只只有有知知道道信信息息发送者私钥的人才能发出此加密信息。发送者私钥的人才能发出此加密信息。数字签名和数字信封数字签名是指原始信息经单向散列函数数字签名是指原始信息经单向散列函数(hash)所得原所得原始信息的摘要。用私钥对摘要进行加密得数字签名。始信息的摘要。用私钥对摘要进行加密得数字签名。信息接收者使用信息发送者的公钥对附在原始信息后信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密获取摘要信息,并通过与自己收的数字签名进行解密获取摘
35、要信息,并通过与自己收到的原始信息用同一单向散列函数所产生的信息摘要到的原始信息用同一单向散列函数所产生的信息摘要作对照,便可确信原始信息是否被篡改。作对照,便可确信原始信息是否被篡改。数字信封中采用了对称密钥和公钥体制。信息发送者数字信封中采用了对称密钥和公钥体制。信息发送者首先利用随机产生的对称密钥加密信息体,再利用接首先利用随机产生的对称密钥加密信息体,再利用接收者的公钥加密对称密钥,被公钥加密的对称密钥称收者的公钥加密对称密钥,被公钥加密的对称密钥称为数字信封。在通信时,信息接收者要解密信息体,为数字信封。在通信时,信息接收者要解密信息体,必须先用自己的私钥解密数字信封,得到对称密钥,
36、必须先用自己的私钥解密数字信封,得到对称密钥,再利用对称密码解密得到信息体。再利用对称密码解密得到信息体。数字证书与认证数字证书与认证数字证书与认证数字证书与认证PKI是是一一个个利利用用现现代代密密码码学学中中的的公公钥钥密密码码技技术术在在开开放放的的网网络络环环境境中中提供数据加密以及数字签名服务的统一的技术框架。提供数据加密以及数字签名服务的统一的技术框架。PKI技技术术中中最最主主要要的的安安全全技技术术包包括括两两个个方方面面:公公钥钥加加密密技技术术、数数字字签名技术。签名技术。公公钥钥加加密密技技术术可可以以提提供供信信息息的的保保密密性性和和访访问问控控制制的的有有效效手手段
37、段,而而数数字字签签名名技技术术则则提提供供了了在在网网络络通通信信之之前前相相互互认认证证的的有有效效方方法法、在在通通信信过过程程中中保保证证信信息息完完整整性性的的可可靠靠手手段段,以以及及在在通通信信结结束束之之后后防防止止双双方方抵抵赖赖的的有有效机制效机制。基于认证中心基于认证中心CA(CertificateAuthority)的身份认证方案:的身份认证方案:采采用用公公钥钥认认证证技技术术。使使用用公公钥钥方方式式进进行行身身份份认认证证时时需需要要首首先先知知道道对对方方的的公公钥钥。实实际际网网络络环环境境中中公公钥钥随随着着由由CA颁颁发发的的数数字字证证书书(Digita
38、lCertificate)的发放而被分发。)的发放而被分发。CA扮演可信第三方的角色。扮演可信第三方的角色。证证书书是是一一段段特特殊殊格格式式的的数数据据记记录录,它它包包含含有有公公钥钥、有有效效期期、证证书书申申请请人人、CA的的数数字字签签名名、CA名名称称等等信信息息。证证书书由由ITUITU的的X.509标标准准规规定定的的证证书书格格式式,可可以以用用文文件件的的形形式式存存储储,由由颁颁发发者者的的签签名名来来确确保保证证书书的的完完整性。整性。数字证书提供以下安全功能:数字证书提供以下安全功能:支持身份认证功能、支持基于证书的密钥分发与加密、支持身份认证功能、支持基于证书的密
39、钥分发与加密、支持基于证书的签名以及基于证书扩展属性的权限管理。支持基于证书的签名以及基于证书扩展属性的权限管理。电力调度业务系统及数据网络中需要发放数字证书的对电力调度业务系统及数据网络中需要发放数字证书的对象:象:关键应用:关键应用:关键应用:关键应用:主要包括主要包括SCADA系统、电力市场交易系统;系统、电力市场交易系统;关关关关键键键键人人人人员员员员:主主要要包包括括关关键键应应用用系系统统的的用用户户与与管管理理维维护护人人员;员;关关关关键键键键设设设设备备备备:主主要要包包括括通通信信网网关关、IP认认证证加加密密装装置置、专专用用安全隔离装置、以及部分网络设备。安全隔离装置
40、、以及部分网络设备。电力二次系统的电力二次系统的数字证书数字证书专用安全隔离装置专用安全隔离装置电电力力专专用用安安全全隔隔离离装装置置作作为为安安全全区区I/II与与安安全全区区III的的必必备备边边界界,要要求求具具有有最高的安全防护强度,是安全区最高的安全防护强度,是安全区I/II横向防护的要点。横向防护的要点。其其中中,安安全全隔隔离离装装置置(正正向向)用用于于安安全全区区I/II到到安安全全区区III的的单单向向数数据据传传递递;安全隔离装置(反向)用于安全区安全隔离装置(反向)用于安全区III到安全区到安全区I/II的单向数据传递的单向数据传递。专用专用安全隔离装置部署:安全隔离
41、装置部署:隔离设备隔离设备隔离设备隔离设备实时实时控制控制系统系统调度调度生产生产系统系统接接接接口口口口机机机机A A接接接接口口口口机机机机B B安全岛安全岛安全岛安全岛关键技术关键技术-正向型专用安全隔离装置正向型专用安全隔离装置内网内网外网外网内部应用网关内部应用网关外部应用网关外部应用网关1 1、采用非、采用非INTELINTEL指令系统的(及兼容)双微处理器指令系统的(及兼容)双微处理器。2 2、特别配置、特别配置LINUXLINUX内核,取消所有网络功能,内核,取消所有网络功能,安全、固化的的操作系统。抵安全、固化的的操作系统。抵御除御除DoS以外的已知的网络攻击以外的已知的网络
42、攻击。3 3、非网络方式的内部通信,支持安全岛、非网络方式的内部通信,支持安全岛,保证装置内外两个处理系统不同保证装置内外两个处理系统不同时连通。时连通。4 4、透明监听方式,、透明监听方式,虚拟主机虚拟主机IP地址、隐藏地址、隐藏MAC地址,地址,支持支持NATNAT5 5、内设、内设MAC/IP/PORT/PROTOCOL/DIRECTIONMAC/IP/PORT/PROTOCOL/DIRECTION等综合过滤等综合过滤与访问控制与访问控制6 6、防止穿透性、防止穿透性TCPTCP联接。联接。内外应用网关间的内外应用网关间的TCP联接分解成两个应用网关分联接分解成两个应用网关分别到装置内外
43、两个网卡的两个别到装置内外两个网卡的两个TCP虚拟联接。两个网卡在装置内部是非网络虚拟联接。两个网卡在装置内部是非网络连接。连接。7 7、单向联接控制。、单向联接控制。应用层数据完全单向传输应用层数据完全单向传输,TCP应答禁止携带应用数据。应答禁止携带应用数据。8 8、应用层解析,支持应用层特殊标记识别、应用层解析,支持应用层特殊标记识别9 9、支持身份认证、支持身份认证1010、灵活方便的维护管理界面、灵活方便的维护管理界面正向正向正向正向专用隔离装置专用隔离装置专用隔离装置专用隔离装置反向型专用安全隔离装置反向型专用安全隔离装置反向型专用安全隔离装置反向型专用安全隔离装置安全区安全区II
44、I到安全区到安全区I/II的的唯一唯一数据传递途径。数据传递途径。反向型专用隔离装置集中接收安全区反向型专用隔离装置集中接收安全区III发向安全区发向安全区I/II的数据,进行的数据,进行签名验证、内容过滤、有效性检查等处理。处理后,转发给安全区签名验证、内容过滤、有效性检查等处理。处理后,转发给安全区I/II内部的接收程序。内部的接收程序。具体过程如下:具体过程如下:1.安安全全区区III内内的的数数据据发发送送端端首首先先对对需需发发送送的的数数据据签签名名,然然后后发发给给反反向型专用隔离装置;向型专用隔离装置;2.专专用用隔隔离离装装置置接接收收数数据据后后,进进行行签签名名验验证证,
45、并并对对数数据据进进行行内内容容过过滤滤、有效性检查等处理;有效性检查等处理;3.将处理过的数据转发给安全区将处理过的数据转发给安全区I/II内部的接收程序。内部的接收程序。反向型专用安全隔离装置反向型专用安全隔离装置反向型专用安全隔离装置反向型专用安全隔离装置反向型专用隔离装置,反向型专用隔离装置,其本质是堡垒机形式的应用网关与其本质是堡垒机形式的应用网关与正向型专正向型专用安全隔离装置的串连用安全隔离装置的串连。功能要求:功能要求:1 1、采用非、采用非INTELINTEL指令系统的(及兼容)微处理器指令系统的(及兼容)微处理器。2 2、特别配置、特别配置LINUXLINUX内核,取消所有
46、网络功能,内核,取消所有网络功能,安全、固化的的操作系统。抵安全、固化的的操作系统。抵御除御除DoS以外的已知的网络攻击。以外的已知的网络攻击。3、固化的专用应用网关程序,固化的专用应用网关程序,具有应用网关功能,实现应用数据的接收与具有应用网关功能,实现应用数据的接收与转发且不允许常传输连接;转发且不允许常传输连接;4、具有应用数据内容有效性检查功能;、具有应用数据内容有效性检查功能;5、具有基于数字证书的数据签名、具有基于数字证书的数据签名/解签名功能。解签名功能。完成接入认证和对数据源端完成接入认证和对数据源端的认证;的认证;6、实现两个安全区之间的非网络方式的安全的数据传递;、实现两个
47、安全区之间的非网络方式的安全的数据传递;7 7、透明监听方式,、透明监听方式,虚拟主机虚拟主机IP地址、隐藏地址、隐藏MAC地址,地址,支持支持NATNAT8 8、内设、内设MAC/IP/PORT/PROTOCOL/DIRECTIONMAC/IP/PORT/PROTOCOL/DIRECTION等综合过滤等综合过滤与访问控制与访问控制9 9、防止穿透性、防止穿透性TCPTCP联接。联接。1010、单向联接控制。、单向联接控制。应用层数据完全单向传输应用层数据完全单向传输,TCP应答禁止携带应用数据。应答禁止携带应用数据。1111、应用层解析,支持应用层特殊标记识别。、应用层解析,支持应用层特殊标
48、记识别。纵向通信认证示意纵向通信认证示意纵向通信认证示意纵向通信认证示意IPIPIPIP认证加密装置认证加密装置认证加密装置认证加密装置对于纵向通信过程,主要考虑是两个系统之间的认证,对于纵向通信过程,主要考虑是两个系统之间的认证,具体实现可以由两个通信网关之间的认证实现,或者两具体实现可以由两个通信网关之间的认证实现,或者两处处IP认证加密装置之间的认证来实现。建议采用对认证加密装置之间的认证来实现。建议采用对IP认认证加密装置之间的认证。证加密装置之间的认证。IP认证加密装置用于安全区认证加密装置用于安全区I/II的广域网边界保护。的广域网边界保护。为本地安全区为本地安全区I/II提供类似
49、包过滤防火墙的功能。提供类似包过滤防火墙的功能。为通信网关间的广域网通信提供具有认证与加密功能为通信网关间的广域网通信提供具有认证与加密功能的的VPN,实现数据传输的机密性、完整性保护。,实现数据传输的机密性、完整性保护。IPIPIPIP认证加密装置功能认证加密装置功能认证加密装置功能认证加密装置功能1.IP认证加密装置之间支持基于数字证书的认证;认证加密装置之间支持基于数字证书的认证;2.对对传传输输的的数数据据通通过过数数据据签签名名与与加加密密进进行行数数据据机机密密性性、完完整性保护;整性保护;3.支持透明工作方式与网关工作方式;支持透明工作方式与网关工作方式;4.具具有有基基于于IP
50、、传传输输协协议议、应应用用端端口口号号的的综综合合报报文文过过滤滤与与访问控制功能;访问控制功能;5.实现装置之间智能协调,动态调整安全策略;实现装置之间智能协调,动态调整安全策略;6.具有具有NAT功能;功能;7.7.性能要求:性能要求:10M/100M线速转发,支持线速转发,支持100个并发会话;个并发会话;8.8.多家开发的设备可以互联互通。多家开发的设备可以互联互通。由于现代密码学技术并不基于密码算法的保密,而是基于密钥的由于现代密码学技术并不基于密码算法的保密,而是基于密钥的保密,因此不论是共享密钥认证还是公开密钥认证,都会涉及密钥保密,因此不论是共享密钥认证还是公开密钥认证,都会