縱向加密認證裝置百兆型
縱向加密認證裝置百兆型參數:
標準1U機架�,冗余電源�;5個10/100/1000M BASE-TX端口��,2個RJ-45串口���,1個IC卡接口�,1個USB口����;最大并發加密隧道數:1024條��,明文數據包吞吐量:2000Mbps��,密文數據包吞吐量:480Mbps
相關閱讀:
廠站電力專用網絡安全設備配置要點
廠站側電力專用網絡安全設備主要包括加密裝置�、正向和反向隔離裝置及橫向NAT防火墻3大類�����。多數廠站安全Ⅱ區與Ⅲ區間因無數據傳輸需求而直接采用物理隔離����,不裝設正向和反向隔離裝置���。圖2所示的加密裝置與橫向防火墻設備直接承載廠站上送的大量業務數據�����,是廠站網絡安全工作的重點�。正確制定并執行此類設備的配置是有效保障業務功能����、防范潛在網絡攻擊的技術基礎����。
廠站側電力專用縱向加密裝置配置要點加密裝置采用電力專用硬件加密算法將各業務系統發來的IP數據包整體加密后�,應用隧道技術將其封裝為在加密裝置間傳輸的IP數據包�,經調度數據網到達對側加密裝置后解密為原數據包并轉發給對側業務系統主機��,從而實現電力生產業務數據的可靠加密傳輸�。對加密裝置進行配置時除應滿足基本的3層路由功能要求外���,更應重點考慮加密隧道和報文過濾策略的配置��。廠站側加密裝置多工作在橋接模式以簡化設備配置過程并降低設備接入及變更對其他網絡設備的影響��。在3層路由配置中應完全覆蓋流經該裝置的廠站各業務系統所有數據流�,且不宜過窄以便后續擴建��。具體配置要素包括目標網段�����、下一跳地址(一般為路由器或交換機相應接口的IP地址)和出接口�。加密隧道應覆蓋流經該裝置的廠站各業務系統所有數據流對側的相應加密裝置����,不得多余或遺漏���。具體配置要素包括本側加密裝置IP地址�����、對側加密裝置IP地址及對側加密裝置數字證書�����。
實施前應將本側地址及已由相應調控機構簽發的本側裝置數字證書以加密且安全的方式提交給與本站存在業務聯系的調度機構及鄰近廠站的網絡安全管理人員�,并獲取對側加密裝置的IP地址及已簽發的數字證書供本側加密隧道配置時使用�。若對側無加密裝置���,則應顯式指定明文隧道�,去向不同的業務數據宜關聯不同的明文隧道并在配置中明確標注以備后續改擴建�。報文過濾策略應覆蓋流經該裝置的廠站各業務系統所有數據流的特征����,不得多余或遺漏�����。具體配置要素包括本側網段�、對側網段�、本側端口�、對側端口和關聯隧道�。報文過濾策略是切實根據業務實際需要�,控制廠站與調度數據網的網絡邊界的核心技術手段�����,應嚴格按各業務實際情況配置���,不應直接按SPDC統一分配的業務網段配置以免增大網絡暴露面�����。以表1為例��,改造后某變電站A平面安全Ⅰ區加密裝置地址為10.10.60.250�,SPDC實時主站加密裝置地址為10.10.1.200�����,調度側3安全Ⅰ區加密裝置地址為10.80.0.250�。在加密裝置地址10.10.60.250上應分別配置地址為10.10.1.200和10.80.0.250的加密隧道a和b�。另一方面��,某變電站A平面安全Ⅱ區加密裝置地址為10.20.60.250��,SPDC非實時主站加密裝置地址為10.20.1.240��,調度側3的安全Ⅱ區仍為防火墻����。在加密裝置10.20.60.250上應配置地址為10.20.60.250的加密隧道c和指向調度側3安全Ⅱ區的明文隧道d��。按SPDC統一部署�,保護信息業務使用廠站側TCP3100端口�,對側端口應配置為全通�����。某變電站該業務實際共接入2臺主機�,IP地址為10.10.60.1和10.10.60.2����,在安全Ⅱ區經NAT轉換后的IP地址為10.20.60.1和10.20.60.2�。某變電站A平面加密裝置上的報文過濾策略如表3所列����。
廠站側NAT防火墻配置要點廠站側橫向NAT防火墻應采用各項性能均滿足電力系統要求的通用型硬件防火墻�,主要用于實現Ⅰ����、Ⅱ區之間的有效隔離及特定數據流互通����。調度側Ⅱ區主站不能與廠站Ⅰ區業務機之間直接3層互通�����,因此必須借助NAT技術[16]將實際存在的廠站Ⅰ區業務機映射為虛擬的Ⅱ區業務機�,僅能通過防火墻的NAT功能進行配置實現����。已給出某變電站NAT防火墻的Eth1��、Eth2接口IP地址�,對防火墻完成3層路由功能配置后����,安全策略應先指定為alldeny以確保隔離所有跨區數據流�,再根據需在Ⅰ�����、Ⅱ區之間傳輸的所有數據流的特征配置相應的permit安全策略及NAT策略��。安全策略的配置較為簡單�����,此處著重論述NAT策略的配置�����。以表1為例�,NAT防火墻應配置源NAT轉換策略將由10.10.60.1/28發往10.20.1.1/28和10.85.0.1/28的報文的源IP地址段映射為10.20.60.1/28����,且固定源端口����;還應配置目的NAT轉換策略����,將由10.20.1.1/28和10.85.0.1/28發至10.20.60.1/28報文的目的IP地址段映射為10.10.60.1/28����,且固定目的端口��。
配置端口固定的目的是確保此類數據流后續不會被相應加密裝置攔截而導致業務中斷����。具體配置方法因不同廠商產品而略有不同�,現場實施過程中應嚴格按產品技術資料執行����。完成縱向加密裝置及NAT防火墻配置后��,若實際業務系統可用則由廠站側人員與調度側人員進行業務聯調聯試����,確保該業務系統數據通信及各有關功能正常�。若實際業務系統尚不具備調試條件���,則可由廠站側人員采用專用調試電腦及傳輸層端口仿真器等工具與調度側人員聯合開展端口測試以驗證相關配置的正確性���。若發現業務數據不通則可借助ping���、traceroute等工具����,或采取監視縱向加密裝置會話表����、防火墻會話表等技術手段進行逐段排查���。
