热购彩票

咨询电话:13675182723

行业知识

纵向加密装置在电网二次系统安全防护中的应用

   在信息技术时代,电力系统中的业务信息网络的重要性不断凸显。电力调度数据网作为电力企业传输信息的载体,已成为电力调度生产和服务不可或缺的重要组成部分。随着计算机病毒、木马、黑客等恶意网络攻击的日益猖獗,对电力系统安全稳定运行带来严重影响。为了保障电力企业业务数据传输的安全性和稳定性,国家电网公司构建了电力二次系统安全防护体系,而纵向加密装置技术作为其中的重要一环,保证了电力企业业务数据信息传输的安全性,对于保障电网安全稳定运行具有重要意义。

  1、电力二次系统安全防护体系

  为贯彻落实国家电力监管委员会第5号令《电力二次系统安全防护规定》和原国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》,构建了电力二次系统安全防护体系,保障电力二次系统的安全,从而保障电力系统的安全稳定运行[1]。在对电力二次系统进行全面系统的安全分析基础上,提出了“安全分区、网络专用、横向隔离、纵向认证”十六字的安全防护原则。纵向加密技术作为电力二次系统安全防护体系的核心,能够保证电力生产及调度业务信息的加密传输,避免了数据的丢失和信息的泄密等,提高了数据传输的稳定性、安全性和可靠性。

  2、纵向加密技术

  2.1加密与认证

  加密是将数据信息进行加密,使得非法用户即使取得加密过的信息,也无法获取正确的信息内容,其重点在于数据的安全性。身份认证是用来判断某个身份的真实性,确认身份后,系统才可以依不同的身份给予不同的权限,其重点在于用户的真实性。

  2.2纵向加密技术算法介绍

  纵向加密认证装置使用对称算法、非对称算法、散列算法;通信双方先使用非对称算法、散列算法协商出会话秘钥,再使用对称短发对通信报文进行加密传输。

  对称加密算法是指加密秘钥和解密秘钥为同一秘钥的加密技术,信息发送者使用加密秘钥对信息进行加密,而信息接收者使用解密秘钥对加密的信息进行解密[2]。因此在对称加密算法中,要求信息发送者和信息接收者共同持有该密码。通常密钥简短,使用额加密算法比较简便高效,但安全性较低,所以密钥的保密性对通信的安全性至关重要。

  不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙——公钥和私钥。在使用不对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。不对称加密算法的基本原理是,信息发送者必须首先知道信息接受者的公钥,然后利用信息接受者的公钥来加密原文;信息接受者收到加密密文后,使用自己的私钥才能解密密文。比较著名的公钥算法有RSA、背包密码、ECC密码(SM2)等。最有影响的是公钥密码算法是RSA算法,它能抵抗到目前为止已知的所有的密码攻击。公钥密码的优点是可以适应网络的开放性要求,但速度比较慢,不太适合对文件进行加密。

  散列算法是FIPS所认证的安全散列算法,它能对不同长度的输入消息,产生固定长度的输出,保证了在信息安全技术中,验证信息完整性的需要[3]。

  2.3纵向加密装置安全认证与密钥协商

  在加密认证系统的设计中,采用如下简化的安全认证协商机制,系统I为发起方,系统II为应答方,安全认证与密钥协商过程如图1所示。

  图1安全认证与密钥协商过程

  1)装置Ⅰ随机产生信息R1,用装置Ⅱ的公钥对随机信息进行加密,同时使用自己的私钥进行签名,作A=Ecert2(R1)||EskeyI(H(R1)),将A发给通信装置Ⅱ;

  2)装置Ⅱ在收到加密信息A后,用自己的私钥进行解密并验证装置I的签名;如果验证签名成功,产生随机数R2,用装置II的公钥对随机信息进行加密,同时使用自己的私钥进行签名,作B=Ecertl(R2)||Es-key2(H(R2)),将B发给通信装置Ⅰ;

  3)装置Ⅰ收到加密信息B后,用自己的私钥进行解密并验证装置Ⅱ的签名,如果验证签名成功,合成会话密钥DK=R1(2),并作哈希运算C=H(R1R2)发给通信装置Ⅱ;

  4)装置Ⅱ同样对合成密钥作哈希运算,作D=H(R1R2),比较C与D是否相同,如果相同,则密钥协商与认证完成,进入正常通信阶段。

  3、纵向加密装置安装实施过程

  3.1证书请求及签发

  纵向加密装置在部署之前,需要签发操作员证书请求和隧道证书请求。并由主站证书签发系统完成对证书请求进行录入、审核和签发等一系列重要过程。相关过程负责人保证证书系统部署的准确性、保密性和有效性,以便在设备建立通道时证书能够进行有效的合理性校验。

  3.2纵向加密装置部署及调试

  纵向加密认证装置位于电力控制系统的内部局域网与电力调度数据网的路由器之间,用于安全区Ⅰ/Ⅱ的广域网边界保护,可为本地安全区Ⅰ/Ⅱ提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。

  纵向加密装置在上架之前,需对装置进行配置。首先依次导入国调一级根证书、省调一级根证书、装置管理证书以及主站加密装置证书,并对设备IP地址以及路由进行相应配置,添加对端纵向加密装置隧道以及业务策略。在厂站数据网中接入已经配置好的设备,并对加密隧道进行检查,确保协商成功后,对业务信息进行测试,最终完成加密装置的安装和确认工作。

  3.3内网监控平台部署

  电力二次系统内网监控平台的建设,实现了电力二次系统安全防护体系由边界向纵深防御的發展,是解决自动化系统对关键安全设备的日志采集和统一管理的问题,实现了对安全设备的实时告警与运行状态监测。纵向加密设备作为安全设备中的一种,需要接入内网监控平台中,实现内网监控平台对于纵向加密装置在线率和密通率的实时监控,抵御病毒、黑客等通过各种形式发起的恶意破坏和攻击,保护电力实时闭环监控系统及调度数据网的安全

产品中心
南瑞
科东
卫士通
兴唐
珠海鸿瑞
东方京海
二次安防
纵向加密装置
南瑞纵向加密装置
科东纵向加密装置
卫士通纵向加密装置
兴唐纵向加密装置
隔离装置
南瑞正向隔离装置
南瑞反向隔离装置
科东正向型隔离装置
科东反向隔离装置
珠海鸿瑞正向隔离
新闻资讯
公司新闻
行业资讯
关于我们
联系我们
在线反馈
网站地图
百度地图

热购彩票官网sandyyow.com版权所有 2015 纵向加密装置:www.sandyyow.com

客户服务热线

13675182723

在线客服
友情链接:幸运农场  十分六合彩  十分六合彩官网  幸运农场  幸运农场官网  幸运农场  热购彩票  

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!