縱向加密的目標
電力系統二次系統安全防護的目標
抵御病毒���、黑客等通過各種形式發起的惡意破壞和攻擊�����,尤其是集團式攻擊����,重點保護電力實時閉環監控系統及電力調度數據網絡的安全��。防止由此引起電力系統事故����,保證國家重要基礎設施的安全���。
什么是I區���、II區����、III區���、IV區����?
Ⅰ區:實時控制區:直接實現實時監控功能��。
Ⅱ區:非控制生產區:不具備控制功能�,使用調度數據網絡����,在線運行����,與安全區Ⅰ中聯系緊密�。
Ⅲ區:生產管理區:
Ⅳ區:管理信息區
什么是橫向�����?什么是縱向��?
橫向:本單位內不同安全區之間���。
Ⅰ區與Ⅱ區之間防火墻
Ⅰ/Ⅱ區與Ⅲ區之間橫向隔離裝置
Ⅲ區與Ⅳ區之間信息隔離裝置
縱向:上下級單位之間�����。
生產大區之間上下級單位之間防護采用縱向加密認證裝置
產品組成
縱向加密認證裝置:位于電力控制系統的內部局域網與電力調度數據網絡的路由器之間���,用于安全區I/II的廣域網邊界保護���,可為本地安全區I/II提供一個網絡屏障同時為上下級控制系統之間的廣域網通信提供認證與加密服務���,實現數據傳輸的機密性�����、完整性保護�。
本地管理終端:提供給操作員在當地對裝置進行設置及管理的計算機終端系統����。
調度證書服務系統(CA):為電力調度生產及管理系統與調度數據網上的用戶����、關鍵網絡設備���、服務器提供數字證書服務���,以解決網絡應用中的機密性�����、完整性��、不可否認性等安全問題�。
管理中心系統:位于電力調度中心�����,完成對所轄的多廠商的裝置進行統一管理的計算機系統����。
工作原理
縱向加密認證裝置在網絡中至少存在兩臺才有意義�,常部署于路由器與交換機之間�����。
設備中eth0與eth1為一對�����,eth2與eth3為一對�。eth0與eth2接內網側�����,eth1與eth3接外網側�,即eth0與eth2接交換機��,eth1與eth3接路由器���。
eth4為配置口
訪問過程
主機A訪問主機B全過程————ARP(A側)
①主機A系統發現目的B與自身不在同一網段�,查找路由表尋找網關�。
②主機A發送ARP廣播�,詢問網關192.168.1.xxx的MAC地址�����,發送ARP請求�����。
③縱向裝置eth0口接收到ARP請求�,記錄eth0口學習到192.168.1.1的MAC地址�,并將該報文透傳到eth1口�。
④路由器A接收到ARP請求����,應答該請求�。
⑤縱向裝置eth1口接收到ARP應答���,記錄eth1口學習到192.168.1.xxx的MAC地址���,并將該報文透傳到eth0口���。
⑥主機A接收到ARP應答�����,學習到網關192.168.1.xxx的MAC地址表�����。
主機A方位主機B全過程————IP
①主機A向主機B發送報文 192.168.1.1->192.168.2.1 (TCP協議)
②縱向裝置A在0口接收到該報文�,查找策略為加密策略且隧道OPEN�����,將整個IP報文加密并重新構造IP頭�,源IP為192.168.1.250��,目的IP192.168.2.250���,協議為ESP���。192.168.1.250->192.168.2.250(ESP協議)
③縱向裝置B在1口接收到該報文��,查找對應隧道進行解密還原�,策略判斷����。發送至eth0口��。192.168.1.1->192.168.2.1(TCP協議)
④主機B接收到報文���,產生應答�。
縱向加密認證裝置聯調常見問題
廠站縱密裝置與主站縱密裝置無法連接
裝置無法連接主要表現為廠站縱向加密裝置接入調度數據網后����,調度主站無法連接裝置��,隧道無法成功建立�,這種情況(1)要排除雙方網絡相關配置是否有問題���,若廠站與主站設備之間網絡不通暢�����,就會出現這種情況����。首先檢查主站端路由器配置�,采用PING命令展開測試�����,并關閉網絡連接狀態�,若PING命令無法通過對方的IP地址�����,則需要增加相應的路由;其次檢查廠站側網絡配置狀態����,包括設備管理地址以及路由等��,檢測好網絡協議配置和VlAN后�����,確保裝置接入數據網后可用����。若雙方網絡通暢�����,則進行(2)檢查雙方證書導入是否正確��。若有一方未導入證書����、證書導入不正確或證書本身格式不正確����,都會導致雙方無法連接��。這種情況需要通過設備本身提示出的信息或查看設備日志來判斷是否證書問題�����。如興唐縱向加密認證裝置通過隧道狀態中的錯誤協商包可以進行判斷���,隧道狀態為請求發送����,且其錯誤協商包不為0且與發送協商包數量成正比��,則說明證書有問題���,需要重新導入正確的證書�����,以解決隧道無法打開的問題����。(3)若在聯調過程中出現數據通信中斷問題����,則在主站縱向加密認證裝置上對廠站端縱向加密裝置發送隧道協商探測�����,確定數據通信中斷到底是由于周期太短還是廠站端應用程序數據流量過大所致��。實施多次反復測試后����,再將主站羰縱向加密認證裝置周期擴充到100s��,然后將兩端的數據業務主機系統的MTU值修正到1400�,穩定數據的傳輸和接受��,保證數據傳輸的穩定性���,解決數據中斷問題����。
管理中心無法管理廠站縱密裝置
管理中心是利用電力調度縱向加密認證系統��,在遠程對廠站的縱向加密認證裝置進行監測和管理�。通過管理中心�����,可以對受管控的廠站或主站縱密裝置進行遠程監測和配置�����,如查看或修改隧道以及隧道下的策略���,不用維護人員下站進行操作�,可見管理中心是整個電力運輸的核心區域����。若其對廠站縱向加密不可管理���,就意味著管理中心和廠站之間無法實現安全縱向管理���,也增加維護難度��。(1)檢查兩端網絡配置����,保證網絡通暢����。(2)確保兩端證書導入正確����。由于各地區廠站縱向加密裝置廠家���、型號不統一�、種類較多����,兼容性不高���,因此對于證書格式及認證需要相互協商���,需要一廠家技術人員進行協商和溝通�,對廠站的設備和程序進行修改和升級�����,重新導出證書進行交換���,確保管理中心能夠識別廠站證書且能與之建立連接�����。(3)檢查管理中心平臺配置以及廠站配置是否有遺漏�。嚴格按照管理中心平臺操作流程添加廠站縱密裝置�����,避免某個環節出錯導致無法管理�。對于廠站縱密裝置�,主要是添加管理中心證書以及地址����,不同廠家對添加管理中心的配置及流程不同�����,需要仔細排查以確保管理中心添加正確���。
縱密裝置隧道業務不通
隧道業務不通暢��,廠站縱向加密裝置在數據網接入調度完畢后��,管理中心接入管理廠站設備后���,發現無法實現業務順通�����,隧道建立成功但業務指令無法執行和輸送�。這種現象出現是因為設備本身配置出現問題�,設備能連接意味著廠站設備和管理中心網絡正常連接�,設備管理就說明在證書導入方面不存在矛盾��,隧道建立則對端設備導入也正常��,業務指令無法傳輸和執行�����,就只能是隧道具體策略配置存在問題��,無法正常進行設備運行���。為解決問題�,先要進行策略配置問題排查�,檢查好設備配置的起止地址���,并檢測目的端口限制��,通信方向和源端口限制等���,然后在從設備的明通和密通進行檢查��,看設備是否有明通/密通渠道�,若是一端加密另一端的明通�����,則是數據無法解密還原��,應對兩端解密包數量進行核查�,要是檢查廠站設備內外網口接反���,則設備無法進行加密�,這就需要對縱向加密裝置進行順序匹配���,然后逐一排查編號的所有策略與當前策略交叉情況�����。如果隧道狀態正常��,但加密和解密數據包存在較大差異�,則是數據通信異常�,通信兩端縱向加密認證裝置策略檢查無問題�,應該對兩端相關業務策略進行修改��,將兩端都修改成明通����,然后對廠站端進行光功率預測設備參數進行修改���,確保問題能夠得到有效解決���。
