产品及方案咨询:18351955025

百兆低端型纵向加密认证装置性能指标:

网络接口100M网卡接口≥4个
外设接口终端接口(RS232)1个,智能IC卡接口(包含USBKey等安全介质)1个
设备尺寸440×358×44mm
电源参数
电源数量双电源
额定输入电压(AC)220V
最大并发加密隧道数: 1024 条
明文数据包吞吐量: 1900Mbps (50 条安全策略, 1024 报文长度)
密文数据包吞吐量: 200Mbps (50 条安全策略, 1024 报文长度)
数据包转发延迟:<1ms
100M LAN 环境下,加密隧道建立延迟:0ms
满负荷数据包丢弃率: 0

相关阅读:
2015年12月乌克兰能源部黑客攻击事件,让饱受战争蹂躏的乌克兰在隆科时节有超过22.5万民众失去电力供应,“前车之鉴,后事之师”,国家电网大力发展调度业务网络化的同时,必定要加强网络安全的管理,否则黑客分子从数据网的一点入侵就可以实现对调度专网全局的控制,从而造成大面积电力瘫痪,对国民经济形成致命的打击。
为此国网调度控制中心提出“网络分区、专网专用、纵向加密、横向隔离”的工作方针。该理念也是内网安全监视平台维护工作的指导思想。根据实际工作,将十六字工作方针进行细化,提出“调度业务加密,加密装置可控,加密通道优先,明通通道专用,地址端口精准,统一模板配置”的工作原则,即:凡是站内专网业务都要经过加密装置加密才可以和地调互联互通;凡是调度专网内的加密装置都要接入内网监视平台,实现远程控制管理;所有业务能走加密通道,就不走明通通道;走不了加密通道,必须走明通通道的,就要建立端到端的隧道策略;业务地址范围尽量缩小,ip端口精准访问;隧道策略按照模板统一配置。
内网监视平台以及各变电站站端的加密机都是新安装工程。前期工作主要搭建整个安防监视系统的架构,初步实现了平台对各个加密机的远程管理以及加密机日志上送。但是还有部分遗留问题亟待解决:第一,部分纵向加密装置由于各种原因偶尔会出现离线状况;第二,整个三门峡地区密通率较低,大量数据依旧走的明通通道,导致加密装置形同虚设;第三,平台每日大量重要告警,存在大量不安全隐患,同时也会造成重要告警出现不易及时被发现。
因此,國网公司关于内网安全监视平台下达了三个重要指标:第一:纵向加密装置在线率不低于99%;第二:内网安全监视平台密通率每日不低于95%;第三:内网安全监视平台重要告警平均每日不超过5条。
2实施方案
2.1提高纵向加密装置在线率
首先对离线的加密装置进行统计,分析加密装置离线和不能远程管理的原因,确保“凡是站内专网业务都要经过加密装置加密才可以和地调互联互通;凡是调度专网内的加密装置都要接入内网监视平台,实现远程控制管理”的原则。经过分析,结果如下:
(1)造成装置离线的原因经总结归纳主要有以下几条:1)纵向加密装置电源故障或被断电;2)该厂站通讯网络中断,如:通讯光缆被破坏,站端路由器故障、站端光端机故障等;3)纵向加密装置本身故障;4)站端纵向加密装置内部参数证书等配置错误。
(2)装置在线,但是纵向加密装置不能远程管理的原因有:1)站端与主站侧证书下装不匹配;2)站端管理证书下装错误;3)装置故障或加密卡故障;4)站端调试人员技术问题导致的不能远程管理,如参数配置错误等。
根据分析总结的原因,我们首先检查地调端内网监视平台节点证书隧道策略配置是否正确,然后通过D5000查看该站业务是否中断,最后联系厂站运维人员,将情况说明后,让他们现场进行处理。经过处理后,纵向加密装置日平均在线率达到99%。个别厂站综自改造完成,在线率可提升至100%。
2.2提高内网监视平台密通率
内网监视平台统计密通率平均每日只有50%,这说明大量的业务数据走的是明通通道。因前期工期紧张,未对隧道策略配置做详细规范,造成策略配置混乱,端口开放范围过大,业务ip访问不精准等诸多问题。
要想提高密通率,首先就必须将隧道策略配置模板化和规范化。我们多方咨询厂家再结合省公司下发的模板,制作220kV变电站实时模板、220kV变电站非实时模板、110kV变电站实时模板、110kV变电站非实时模板、县调35kV变电站实时模板。
隧道策略配置采取一人配置,另一人检查的策略。按照模板正确配置隧道策略后,再仔细检查所有厂站业务是否有因为隧道策略配置问题导致的业务中断现象。隧道策略配置完成后,密通率整体上升明显,平均日密通率上升为75%。
隧道策略正确规范化后,工作重点就放在明通通道的配置上。经试验,明通通道断开后,省调模型机业务中断,经查询省调侧模型机未安装纵向加密装置,近期无安装纵向加密装置计划,因此需要建立点到点的明通策略,将端口和IP范围实现精准访问。经过这样处理后,原本走明通通道的业务被强制走密通通道,进一步提升了密通率。待省调模型机装加密装置后,密通率提升至98%,满足国网公司考核指标。
2.3减少内网安全监视平台重要告警
重要告警大多是遗留问题,经过隧道策略标准化配置后,一部分重要告警被处理,但是每日依然还有90多条。
首先我们对重要告警进行梳理,并对消除告警方法进行总结,大致可以分为以下几类:
(1)站内远动业务IP访问通讯网关机ip。处理方案:联系厂家远程对通讯网管机进行参数配置。
(2)站端网络IP地址访问站内设备地址或广播地址。处理方案:这类问题是综自厂家调试远动装置时留下的遗留问题,需联系远动厂家到现场处理。
(3)站端网络IP访问省调侧互联地址。处理方案:这类问题是由于以前规划的省调互联地址现在统一变更为业务互联地址导致,但是前期规划的参数配置没有从交换机中删除,联系省公司调度专网运维组远程登录相关交换机,删除以前的配置即可。