“PSTunnel—2000电力专用纵向加密认证网关”是中国电力科学研究院电网所、北京科东电力控制系统有限责任公司是受国家电力调度通信中心委托开发的,用于保护电力专用电力调度数据网路由器和电力系统的局域网之间通信安全的电力专用网关机。
1、 型号说明
产品型号:PSTunnel-2000G 电力专用纵向加密认证装置—— 千兆型
产品型号:PSTunnel-2000 电力专用纵向加密认证装置——百兆增强型
产品型号:PSTunnel-2000L 电力专用纵向加密认证装置——百兆型低端型
国密局批复型号:SJY99加密网关
2、 接口说明
1. 千兆设备共有6个网络接口,其中4个10/100/1000M 网络电口(2个光接口与2个电接口复用),另外还具有2个10/100M自适应的网卡, 用于配置和扩展,保证网络传输的高速稳定;
2. 百兆设备共有5个网络接口,采用RJ45型接口,10/100M自适应,功能是2个内网网口,2个外网网口,1个配置/心跳网口;
3. RS-232 CONSOLE的接口,波特率115200bps,采用RJ45型接口;
4. 两个220V/50HZ电源插座;交流电源,交流100V-260V/50HZ,直流 100V-374V。。
5. 两个电源开关;
6. 智能IC卡接口,符合ISO-7816智能IC卡规范。
3、 电气性能
电源
我方提供的电源模块为交流电源,交流电压范围100V-260V/50HZ,直流 100V-374V。
环境规范
运行温度: -5℃ -- +45℃
储运温度:-40℃ -- +55℃
操作湿度:5% -- 95% @40摄氏度,非冷凝
大气压力:70kPa~106kPa
4、 几何及物理特性
? 尺寸:标准1U机箱
? 重量:4kg
5、 抗干扰性
1. 辐射电磁场抗扰度 :能承受GB/T15153.1中规定的严酷等级为3级(6V/m)的辐射电磁场干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
2. 快速瞬变抗扰度:电源和信号都能承受GB/T15153.1中规定的严酷等级为3级的快速瞬变干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
3. 脉冲群抗扰度装置: 能承受GB/T15153.1中规定的严酷等级为3级的1MHz和100kHz的脉冲群干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
4. 静电放电抗扰度: 能承受GB/T15153.1中规定的严酷等级为3级的静电放电干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
5. 浪涌(冲击)抗扰度: 能承受GB/T15153.1中规定的严酷等级为3级的浪涌(冲击)干扰实验,符合GB/T17626.1总则9中“a)”规定的要求.
6. 机械振动装置: 能承受GB/T11287-2000中3.2中规定的严酷等级为1级振动实验,性能符合该标准5中规定的要求。
7. 工频磁场装置: 能承受GB/T15153.1中规定的严酷等级为4级的工频磁场干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
8. 介质强度装置: 能承受GB/T15153.1中规定的严酷等级为3级的绝缘强度(不小于5MΩ)和耐压强度(电源输入回路不小于1500V)实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
9. 稳定性装置: 能承受GB/T13729中3.9规定的稳定性实验;
10. 其他参考标准
IEC-1000-4-2 (ESD)
IEC-1000-4-3 (辐射敏感性)
IEC-1000-4-4 (电快速瞬变)
IEC-1000-4-5 (电涌)
IEC-1000-4-6 (谐波)
6、 性能指标
纵向加密装置百兆增强型:
并发加密隧道数:≥1024条
明通数据传输效率:≥96Mbps(在50条安全策略,1024字节报文长度的情况下)
密通数据传输效率:≥30Mbps(同一厂家运行环境下,50条安全策略,1024字节报文长度)
MTBF:>60000小时(100%负荷)
100M LAN环境下,加密隧道协商建立延迟:<1s
数据包转发延迟:<1ms (50%密文数据包吞吐量)
满负荷数据包丢弃率:0
纵向加密装置千兆型:
并发加密隧道数:≥2048条
明通数据传输效率:≥380Mbps(在100条安全策略,1024字节报文长度的情况下)
密通数据传输效率:≥110Mbps(同一厂家运行环境下,50条安全策略,1024字节报文长度)
MTBF:>100 000小时(100%负荷)
1000M LAN环境下,加密隧道协商建立延迟:<1ms
数据包转发延迟:<1ms (50%密文数据包吞吐量)
满负荷数据包丢弃率:0
调度数据网作为电力调度生产服务中不可或缺的重要组成部分,被应用于电力企业的日常工作中。但由于电力系统间存在复杂的业务数据传输关系,调度数据网作为电力企业信息传输载体,因此应重视纵向加密技术在调度数据网中的应用,以保证电力企业业务数据传输的安全性,提高我国电力企业的综合服务水平。
1、电力二次系统安全防护体系
电力企业的纵向防护体系是一个相对比较复杂的过程。早在前几年,国家电监会对电力二次系统安全防护工作就有明确的规定和要求,以保证电力监控系统和电力调度数据网络的安全,避免电力企业管理过程中意外事故的发生。电力二次系统的防护核心就是纵向加密技术,纵向加密技术实现了对电力数据的安全防护,避免了数据的丢失和信息的外泄等,保证了电力数据传输的稳定性、可靠性和及时性。
2、总体设计方案
目前我国很多地方的电力调度数据网纵向安全防护体系是以纵向加密装置、纵向加密装置管理系统、电力调度证书系统和安全监视平台的建设为前提的,主要如下:
2.1纵向加密装置。纵向加密认证装置的密码包括对称加密算法、非对称加密算法、随机数生成算法等多种形式,以实现数据网络的安全防护。
2.2纵向加密装置管理系统。纵向加密装置的管理系统不仅能设置和查询全网的加密认证网关,且能够实现对数字证书的管理及密钥的初始化,对全网加密认证网关的工作模式、状态等进行查询和设置,并对全网的各个加密装置实施有效的监控和管理。
2.3电力调度证书系统。电力调度的数字证书系统采用的是以公钥技术为前提的分布式证书系统,它不仅为电力调度数据网的各个环节提供数字证书服务,保证调度数据网运行的安全性,同时也实现了身份认证的准确性和行为审计的可靠性等。不同地区电网调度的实际情况不同,相关的电网调度证书系统也是不同的。相关电力人员应该综合考虑相关地区的实际情况,进行数字证书的设置和颁发,以保证该地区调度数据网络运行的质量和效率。
2.4安全监视平台。安全监视平台的目的是保护网络安全,及时对网络系统进行安全防护,提供防火墙的功能,以保证未知的危险因素对网络的侵袭,对于可能出现的危险源进行中断或者终止。对网络系统中的数据库、软件、资源等进行检测,净化网络环境,保证调度数据网的正常运行。相关负责人要根据电力企业的不同情况,采用不能的方法对网络系统进行防护,在电力调度数据网上实现数据的加密和解密,保证数据的安全性和数据运行的时效性。
3、分级部署方案
3.1地方调度的部署方案。由于地方调度接入的业务比较多,对业务的要求也相对较高,因此需要根据情况在调度数据网的接口处部署路由器。下图1为地方调度部署示意图。
3.2变电站的部署方案。由于变电站接入的业务比较单一,加密装置的配置也比较简单。变电站应该在路由器与交换机之间进行纵向加密网关的部署。变电站的接入方式不影响加密装置的功能及正常运行。如图2。
4、系统功能及实施过程
4.1纵向加密装置的部署。在纵向加密装置的部署过程中,相关工作人员应该确定相关业务是否正常通信,然后再进行装置的接入,对相关装置接入完毕后,对设备进行检测,确定其正常运行。保证通信正常后,根据需要进行备份,进而进行测试。纵向加密装置的部署包括装置管理系统的上架、通信测试、加电测试等。
4.2证书系统的部署。证书系统的部署包括制作证书请求文件、录入相关证书请求、审核证书请求以及证书的生成等一系列重要环节。相关负责人要重视证书系统的部署,保证证书系统部署的准确性和完善性,以便在通信过程中对证书进行合理有效的验证。
4.3IPS装置的部署。IPS装置的部署包括装置的上架、加电测试、通信测试和功能测试等。专业人员应该对相关内容进行配置,保证其正常运行,以实现调度数据网的远程管理。
5、结语
随着人们日常用电需求的加大,纵向加密技术越来越多的被应用于调度数据网的日常运行过程中,纵向加密技术是保证调度数据网安全运行不可或缺的重要因素。应重视纵向加密技术在调度数据网运行过程中的重要作用,根据当地电力部门运行的实际情况,将纵向加密技术应用于调度数据网中,并对调度数据网的运行和监测进行合理的部署,保证我国电力企业的快速发展和人们日常用电水平的提高,为纵向加密技术在我国调度数据网运行中的应用提供科学依据。
