二次安全防护.ppt_咨信网zixin.com.cn

资源描述

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,二次安全防护,*,PPT,文档演模板,Office,PPT,二次安全防护,2025/6/7 周六,二次安全防护,电力二次系统简介,二次安全防护系统,网络拓扑,项目概况,施工建设注意事项,纵向加密装置操作管理,纵向防火墙操作管理,横向防火墙操作管理,议程,二次安全防护,电力二次系统简介,二次安全防护系统,网络拓扑,项目概况,施工建设注意事项,纵向加密装置操作管理,纵向防火墙配操作管理,横向防火墙配操作管理,议程,二次安全防护,电力二次系统简介,电力一次系统,一次设备（也称主设备）是构成电力系统的主体，它是直接生产、输送和分配电能的设备，包括发电机、电力变压器、断路器、隔离开关、电力母线、电力电缆和输电线路等。,电力二次系统,二次设备是对一次设备进行控制、调节、保护和监测的设备，它包括控制器具、继电保护和自动装置、测量仪表、信号器具等。二次设备通过电压互感器和电流互感器与一次设备取得电的联系。,二次安全防护,电力二次系统简介,二次安全防护系统,网络拓扑,项目概况,施工建设注意事项,纵向加密装置操作管理,纵向防火墙操作管理,横向防火墙操作管理,公司介绍,议程,二次安全防护,二次安全防护系统,项目建设原因,优先级,风险,说明,/,举例,0,旁路控制（,Bypassing Controls,）,入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。,1,完整性破坏（,Integrity Violation,）,非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。,2,违反授权（,Authorization Violation,）,电力控制系统工作人员利用授权身份或设备，执行非授权的操作。,3,工作人员的随意行为（,Indiscretion,）,电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。,4,拦截,/,篡改（,Intercept/Alter,）,拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。,5,非法使用（,Illegitimate Use,）,非授权使用计算机或网络资源。,6,信息泄漏（,Information Leakage,）,口令、证书等敏感信息泄密。,7,欺骗（,Spoof,）,Web,服务欺骗攻击；,IP,欺骗攻击。,8,伪装,(Masquerade),入侵者伪装合法身份，进入电力监控系统。,9,拒绝服务（,Availability,e.g.Denial of Service,）,向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。,10,窃听（,Eavesdropping,e.g.Data Confidentiality,）,黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。,二次安全防护,二次安全防护系统,项目建设目标,防范病毒、木马等恶意代码的侵害,保护电力监控系统和电力调度数据网络的可用性和连续性,保护重要信息在存储和传输过程中的机密性、完整性,实现应用系统和设备接入电力二次系统的身份认证，防止非法接入和非授权访问,实现电力监控系统和调度数据网安全事件可发现、可跟踪和可审计,实现电力监控系统和调度数据网络的安全管理,二次安全防护,二次安全防护系统,安全防护手段,我们通过各种方法对电力二次系统业务进行安全防护，具体如下：,安全分区：,根据电力二次系统业务的重要性及其对电力一次系统的影响程度进行分区，南方电网电力二次系统分为生产控制大区和管理信息大区，其中生产控制大区分为控制区（又称安全区I）和非控制区（又称安全区），生产控制大区是重点保护对象。,网络专用：,南方电网各级电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离。该网可采用MPLS-VPN技术或类似技术划分两个相互逻辑隔离的业务子网，即实时VPN和非实时VPN。,二次安全防护,二次安全防护系统,安全防护手段,我们通过各种方法对电力二次系统业务进行安全防护，具体如下：,横向隔离：,南方电网电力二次系统应采用安全防护设备实现各安全区的隔离，在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向安全隔离装置实现高强度隔离。生产控制大区和管理信息大区内部的安全区之间应采用防火墙或带有访问控制功能的网络设备实现逻辑隔离。,纵向加密：,南方电网各级调度中心和厂站在控制区与调度数据网的纵向连接处应部署经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关以及其它安全设施，为上下级控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务,二次安全防护,二次安全防护系统,网络安全区域划分示意图,二次安全防护,二次安全防护系统,网络安全区域划分示意图,二次安全防护,二次安全防护系统,安全区域划分,控制区（安全区I）：,控制区是电力二次系统各安全区中安全等级最高的分区，是必不可少的分区。该区中的业务系统与电力调度生产直接相关，有对一次系统的在线监视和闭环控制功能，且具有连续性、实时性（毫秒级或秒级）的特点以及高安全性、高可靠性和高可用性的要求。该区通过调度数据网络的实时VPN子网或专线通道与异地相关的安全区互联。,控制区的典型系统包括调度自动化系统（SCADA/EMS）、广域相量测量系统（WAMS）、自动电压控制系统（AVC）、安稳控制系统、在线预决策系统、具有保护定值下发、远方投退功能的保信系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等，还包括使用专用通道的控制系统，如：安全自动控制系统、低频/低压自动减负荷系统、负荷管理系统等。,安全区主要使用者为调度员、继电保护运行管理人员和运行操作人员。,二次安全防护,二次安全防护系统,安全区域划分,非控制区（安全区II）：,本区是电力二次系统各安全区中安全等级仅次于安全区的分区。该区的业务系统功能与电力生产直接相关，但不直接参与控制；系统在线运行，与安全区的有关业务系统联系密切。非控制区的数据采集频度是分钟或小时级，该区使用调度数据网络的非实时VPN子网或专线通道与异地相关的安全区II互联。,非控制区的典型系统包括调度员培训模拟系统、不带控制功能的继电保护和故障录波信息管理系统、水调自动化系统、电能量计量系统、电力市场运营系统、厂站端电能量采集装置、故障录波器和发电厂的报价终端等。,安全区II主要使用者分别为调度员、水电调度员、继电保护人员及电力市场交易员等。,二次安全防护,二次安全防护系统,安全区域划分,管理信息区：,管理信息大区的业务系统主要用于生产管理和办公自动化。管理信息大区的典型业务系统包括调度生产管理系统（DMIS）、管理信息系统（MIS）、办公自动化系统（OA）、电网生产信息查询系统、统计报表系统、雷电监测系统、气象信息、客户服务系统、对外信息发布、Internet访问等。,二次安全防护,二次安全防护系统,云南电网调度数据网业务种类,调度自动化业务（EMS）；,广域相角测量系统（WAMS）；,安全稳定控制系统；,水调自动化业务；,电能量计量数据；,继电保护信息系统；,行波测距系统。,二次安全防护,二次安全防护系统,业务种类VPN划分,序号,业务系统,实时子网,非实时子网,备注,1,调度自动化系统（EMS）,2,广域相角测量系统,（WAMS）,3,安全稳定控制,系统,4,继电保护信息系统,5,电能量计量系统,6,水调自动化,系统,7,行波测距,系统,二次安全防护,电力二次系统简介,二次安全防护系统,网络拓扑,项目概况,施工建设注意事项,纵向加密装置配置讲解,纵向防火墙配置讲解,横向防火墙配置讲解,议程,二次安全防护,网络拓扑,安防改造前（省调/地调/500KV变电站）,二次安全防护,网络拓扑,安防改造后,（省调/地调/500KV变电站）,二次安全防护,网络拓扑,安防改造前（220KV变电站）,二次安全防护,网络拓扑,安防改造后,（220KV变电站）,二次安全防护,网络拓扑,选用动态路由OSPF的优势,采用动态路由，对调度路由器端，无需采用VRRP协议。,采用动态路由，防火墙和加密装置无需配置主备部署方式，只需通过OSPF的Cost值设置主备平面。,若采用静态路由，那么调度路由器端将需要试用VRRP，那么调度路由器需要使用二层桥接，方实现VRRP协议在交换机和调度路由器之间透传，传输VRRP协议。,若采用静态路由，那么纵向防火墙、纵向防火墙将需要浪费一个端口用作热备口。,根据贵州调度数据网二次安全防护项目经验，采用动态路由OSPF的方式，联络故障的时候收敛比“VRRP静态路由”的方式更快。,二次安全防护,网络拓扑,设备用途,控制区（安全I区）交换机:,用于电力二次系统实时业务系统接入：,调度自动化系统（EMS）,广域相角测量系统（WAMS）,安全稳定控制系统,非控制区（安全II区）交换机:,用于电力二次系统实时业务系统接入:,继电保护信息系统,电能量计量系统,水调自动化系统,行波测距系统,二次安全防护,网络拓扑,设备用途,调度数据网路由器:,电力二次系统数据接入到省级调度数据网，实现数据网络通信。,纵向加密装置:,用于对实时业务系统的安全控制、加密传输。,纵向防火墙:,用于对非实时业务系统的安全控制、过滤传输。,横向防火墙:,用于厂站本地实时业务系统被本地非实时业务系统直接调用的安全控制、过滤传输。,二次安全防护,网络拓扑,设备安装,省调/地调/500KV变电站设备连接情况表,序号,纵向互联防火墙1,纵向互联防火墙2,横向互联防火墙1,横向互联防火墙2,纵向加密装置1,纵向加密装置2,1,接口1连,非控制区交换机1,接口1连,非控制区交换机2,接口1连,控制区交换机1；,接口3HA心跳线,接口。,接口1连,控制区交换机2；,接口3HA心跳线,接口。,接口1连,控制区交换机1,接口1连,控制区交换机2,2,接口2连,调度路由器1,接口2连,调度路由器2,接口2连,非控制区交换机1,接口2连,非控制区交换机2,接口2连,调度路由器1,接口2连,调度路由器2,二次安全防护,网络拓扑,设备配置,省调/地调/500KV变电站设备配置,序号,纵向互联防火墙1,纵向互联防火墙2,横向互联防火墙1,横向互联防火墙2,纵向加密装置1,纵向加密装置2,1,基础配置,1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息,基础配置,1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息,基础配置,1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息6.热备冗余配置,基础配置,1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息6.热备冗余配置,基础配置,1.接口配置2.IP配置3.路由配置4.设备命名5.证书申请与导入,基础配置,1.接口配置2.IP配置3.路由配置4.设备命名5.证书申请与导入,2,策略配置,策略配置,策略配置,策略配置,策略配置,策略配置,二次安全防护,网络拓扑,安防改造后（省调/地调/500KV变电站）,二次安全防护,网络拓扑,设备安装,220KV变电站设备连接情况表,序号,纵向互联防火墙,横向互联防火墙,纵向加密装置,1,接口1连非控制区交换机,接口1连控制区交换机,接口1连控制区交换机,2,接口2连调度路由器,接口2连非控制区交换机,接口2连调度路由器,二次安全防护,网络拓扑,安防改造后（220KV变电站）,二次安全防护,网络拓扑,设备安装,220KV变电站设备配置,序号,纵向互联防火墙,横向互联防火墙,纵向加密装置,1,基础配置,1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息,基础配置,1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息,基础配置,1.接口配置2.IP配置3.路由配置4.设备命名5.证书申请与导入,2,策略配置,策略配置,策略配置,二次安全防护,网络拓扑,业务访问原则,二次安全防护,网络拓扑,防火墙策略要求,根据业务系统源目地址、协议号、端口号制定策略。,根据业务数据流方向，制定策略单双向（主动/被动）。,纵向加密装置:,用于对实时业务系统的安全控制、加密传输。,纵向防火墙:,用于对非实时业务系统的安全控制、过滤传输。,横向防火墙:,用于厂站本地实时业务系统被本地非实时业务系统直接调用的安全控制、过滤传输。,二次安全防护,电力二次系统简介,二次安全防护系统,网络拓扑,项目概况,施工建设注意事项,纵向加密装置操作管理,纵向防火墙操作管理,横向防火墙操作管理,议程,二次安全防护,项目概况,项目分包情况,云南电网调度数据网二次安全防护设备项目,1、包一（昆明、楚雄、保山、德宏共4地区）,货物名称,数量,产品厂商,集成商,昆明地区,楚雄地区,保山地区,德宏地区,小计,地调纵向防火墙,2,2,2,2,8,天融信,南京南瑞,地调横向防火墙,2,2,2,2,8,天融信,地调纵向加密装置,2,2,2,2,8,天融信,变电站纵向防火墙,29,6,3,6,44,南瑞,变电站横向防火墙,29,6,3,6,44,南瑞,变电站纵向加密装置,29,6,3,6,44,南瑞,二次安全防护,项目概况,项目分包情况,云南电网调度数据网二次安全防护设备项目,2、包二（曲靖、玉溪、昭通、怒江、临沧、普洱、版纳共7地区）,货物名称,数量,产品厂商,集成商,曲靖地区,玉溪地区,昭通地区,怒江地区,临沧地区,普洱地区,版纳地区,小计,地调纵向防火墙,2,2,2,2,2,2,2,14,天融信,南京南瑞,地调横向防火墙,2,2,2,2,2,2,2,14,天融信,地调纵向加密装置,2,2,2,2,2,2,2,14,天融信,变电站纵向防火墙,18,12,7,3,4,5,1,50,南瑞,变电站横向防火墙,18,12,7,3,4,5,1,50,南瑞,变电站纵向加密装置,18,12,7,3,4,5,1,50,南瑞,二次安全防护,项目概况,云南电网调度数据网二次安全防护设备项目,3、包三（红河、文山、大理、丽江、迪庆、省调共7地区）,货物名称,数量,产品厂商,集成商,红河地区,文山地区,大理地区,丽江地区,迪庆地区,小计,省调,地调纵向防火墙,2,2,2,2,2,10,东软,广州中软,地调横向防火墙,2,2,2,2,2,10,东软,地调纵向加密装置,2,2,2,2,2,10,东软,变电站纵向防火墙,21,5,8,2,2,38,南瑞,变电站横向防火墙,21,5,8,2,2,38,南瑞,变电站纵向加密装置,21,5,8,2,2,38,南瑞,省调纵向防火墙,2,东软,省调横向防火墙,2,东软,省调纵向加密装置,2,东软,省调入侵检测系统,2,东软,省调防病毒系统,1,瑞星,省调漏洞扫描系统,1,启明星辰,省调便携漏洞扫描软件,1,启明星辰,省调加密装置管理系统,1,南瑞,省调综合管理平台,1,东软,综合管理管理服务器,1,IBM,防病毒服务器,1,IBM,综合管理工作站,2,HP,二次安全防护,项目概况,配置清单（包三）省调侧,1、硬件防火墙,序号,货物名称,规格型号,单位,数量,1,省调,纵向互联防火墙,NetEye FW5200-TIII,台,2,2,省调,横向互联防火墙,NetEye FW5200-TIII,台,2,2、纵向加密装置,序号,货物名称,规格型号,单位,数量,1,省调加密认证装置,Netkeeper-2000（千兆型）,台,2,3、加密装置管理系统,序号,货物名称,规格型号,单位,数量,1,电力调度数字证书系统,南瑞PCSS-2000电力数字证书服务系统（软硬件）,套,1,2,加密装置管理系统,南瑞SMC-2000装置管理系统,套,1,二次安全防护,项目概况,配置清单（包三）省调侧,4、入侵检测系统,序号,货物名称,规格型号,单位,数量,1,IDS入侵检测系统,NetEye NetEye IDS2200,台,2,5、防病毒系统,序号,货物名称,规格型号,单位,数量,1,瑞星防病毒网络版2010,包括1套服务端系统，30个台服务器和70个台工作站客户端,套,1,6、漏洞扫描系统,序号,货物名称,规格型号,单位,数量,1,固定式漏洞系统,启明星辰天镜漏洞扫描系统CSNS-1000L(含软硬件),套,1,2,便携式漏洞扫描软件,启明星辰漏洞扫描系统CSNSUNL（windows版本）,套,1,二次安全防护,项目概况,配置清单（包三）省调侧,8、综合管理台式工作站,货物名称,规格型号,单位,数量,综合管理台式工作站,HP 8000Elite CMT WM145PAAB2,台,2,9、综合管理台式工作站,货物名称,规格型号,单位,数量,综合管理台式工作站,Sony VPCZ128GC,台,2,7、综合管理平台系统,货物名称,规格型号,单位,数量,综合管理平台系统,东软 NetEye SOC,套,1,二次安全防护,项目概况,配置清单（包三）省调侧,10、防病毒服务器,货物名称,规格型号,单位,数量,防病毒服务器,IBM System x3850 M2,台,1,300GB 10K 6Gbps SAS 2.5 SFF Slim-HS HDD x3550M2/x3650M2/HS22,块,4,双口10/100/1000千兆网卡 PCI-E x4 TOE(铜介质),块,1,ServeRAID-MR10i SAS/SATA 控制器 256MB缓存/电池可选,块,1,8GB(2x4GB Kit)PC2-3200 DDR2 ECC CL3 RDIMM,块,6,UltraSlim Enhanced CD-RW/DVD-ROM Combo,块,1,Xeon QC E7440 处理器,x3850M2/x3950M2,个,2,二次安全防护,项目概况,配置清单（包三）省调侧,11、防病毒服务器,货物名称,规格型号,单位,数量,防病毒服务器,IBM System x3850 M2,台,1,300GB 10K 6Gbps SAS 2.5 SFF Slim-HS HDD x3550M2/x3650M2/HS22,块,4,双口10/100/1000千兆网卡 PCI-E x4 TOE(铜介质),块,1,ServeRAID-MR10i SAS/SATA 控制器 256MB缓存/电池可选,块,1,8GB(2x4GB Kit)PC2-3200 DDR2 ECC CL3 RDIMM,块,6,UltraSlim Enhanced CD-RW/DVD-ROM Combo,块,1,Xeon QC E7440 处理器,x3850M2/x3950M2,个,2,二次安全防护,项目概况,配置清单（包三）红河地区,1、红河地区配置清单,序号,货物名称,规格型号,单位,数量,一、地调,1,纵向互联千兆防火墙,NetEye FW5200-GD,台,2,2,横向互联千兆防火墙,NetEye FW5200-GD,台,2,3,纵向千兆加密认证装置,南瑞,Netkeeper-2000,（千兆型）,台,2,二、500KV变电站（3个）,1,纵向互联百兆防火墙,NetEye FW5120-GD,台,6,2,横向互联百兆防火墙,NetEye FW5120-GD,台,6,3,纵向百兆加密认证装置,南瑞,Netkeeper-2000,（百兆型）,台,6,三、220KV变电站（,16个,）,1,纵向互联百兆防火墙,NetEye FW5120-GD,台,16,2,横向互联百兆防火墙,NetEye FW5120-GD,台,16,3,纵向百兆加密认证装置,南瑞,Netkeeper-2000,（百兆型）,台,16,二次安全防护,项目概况,配置清单（包三）文山地区,2、文山地区配置清单,序号,货物名称,规格型号,单位,数量,一、地调,1,纵向互联千兆防火墙,NetEye FW5200-GD,台,2,2,横向互联千兆防火墙,NetEye FW5200-GD,台,2,3,纵向千兆加密认证装置,南瑞,Netkeeper-2000,（千兆型）,台,2,二、220KV变电站（5个）,1,纵向互联百兆防火墙,NetEye FW5120-GD,台,5,2,横向互联百兆防火墙,NetEye FW5120-GD,台,5,3,纵向百兆加密认证装置,南瑞,Netkeeper-2000,（百兆型）,台,5,二次安全防护,项目概况,配置清单（包三）大理地区,3、大理地区配置清单,序号,货物名称,规格型号,单位,数量,一、地调,1,纵向互联千兆防火墙,NetEye FW5200-GD,台,2,2,横向互联千兆防火墙,NetEye FW5200-GD,台,2,3,纵向千兆加密认证装置,南瑞,Netkeeper-2000,（千兆型）,台,2,二、500KV变电站（2个）,1,纵向互联百兆防火墙,NetEye FW5120-GD,台,4,2,横向互联百兆防火墙,NetEye FW5120-GD,台,4,3,纵向百兆加密认证装置,南瑞,Netkeeper-2000,（百兆型）,台,4,三、220KV变电站（6个）,1,纵向互联百兆防火墙,NetEye FW5120-GD,台,6,2,横向互联百兆防火墙,NetEye FW5120-GD,台,6,3,纵向百兆加密认证装置,南瑞,Netkeeper-2000,（百兆型）,台,6,二次安全防护,项目概况,配置清单（包三）迪庆地区,4、迪庆地区配置清单,序号,货物名称,规格型号,单位,数量,一、地调,1,纵向互联千兆防火墙,NetEye FW5200-GD,台,2,2,横向互联千兆防火墙,NetEye FW5200-GD,台,2,3,纵向千兆加密认证装置,南瑞,Netkeeper-2000,（千兆型）,台,2,二、220KV变电站（2个）,1,纵向互联百兆防火墙,NetEye FW5120-GD,台,2,2,横向互联百兆防火墙,NetEye FW5120-GD,台,2,3,纵向百兆加密认证装置,南瑞,Netkeeper-2000,（百兆型）,台,2,二次安全防护,项目概况,设备介绍（包三）硬件防火墙,省调防火墙 NetEye FW5200TIII,地调防火墙 NetEye FW5200GD,变电站防火墙 NetEye FW5120GD,二次安全防护,项目概况,设备介绍（包三）硬件防火墙,用途,产品,分类,详细描述,省调千兆硬件防火墙,NetEye FW5200 TIII,接口配置,1U机架式结构；标配4个10/100/1000 Base-T端口（最大配置为10个10/100/1000Base-T端口、或4个10/100/1000 Base-T端口+6个SFP端口）和2个多模光口；支持双机热备功能。,电源类型,1+1交流冗余电源,硬件尺寸,1U标准机架式,系统吞吐量,大于10G,最大并发连接数,200万（可扩展至300万）,每秒新建连接数,大于80000,VPN吞吐量,大于350M,VPN隧道数,1500(可扩展至20000),二次安全防护,项目概况,设备介绍（包三）硬件防火墙,用途,产品,分类,详细描述,地调千兆硬件防火墙,NetEye FW5200-GD,接口配置,配备6个10/100/1000 Base-T接口，具备1个扩展槽位,电源类型,1+1交流冗余电源,硬件尺寸,2U机架式结构,系统吞吐量,大于8G,最大并发连接数,200万（可扩展至300万）,每秒新建连接数,大于50000,VPN吞吐量,大于350M,VPN隧道数,1500(可扩展至20000),二次安全防护,项目概况,设备介绍（包三）硬件防火墙,用途,产品,分类,详细描述,变电站百兆硬件防火墙,NetEye FW5120-GD,接口配置,配备4个10/100/1000 Base-T接口,电源类型,1直流电源接口,硬件尺寸,1U机架式结构,系统吞吐量,大于2G,最大并发连接数,100万（可扩展至300万）,每秒新建连接数,大于25000,VPN吞吐量,大于140M,VPN隧道数,1500(可扩展至20000),二次安全防护,项目概况,设备介绍（包三）硬件防火墙,防火墙功能,支持路由、NAT、透明模式,支持Trunk，支持二层和三层的安全区域划分,支持DNS Client、DNS中继代理、DNS缓存与加速,支持Sflow技术,支持带宽管理,支持IP地址、MAC地址、服务、协议对象分组,支持WebAuth用户认证,支持IP地址、MAC地址、以太帧类型、协议、端口和时间等等进行策略控制,支持静态路由与动态路由,支持NAT,攻击防御,二次安全防护,项目概况,设备介绍（包三）硬件防火墙,防火墙功能,支持组播,支持虚拟防火墙,支持HA热备,二次安全防护,项目概况,设备介绍（包三）硬件防火墙,管理功能,支持WebUI、telnet、ssh、console管理,支持中文与英文界面,支持syslog、snmp trap日志,支持snmp v1、snmp v2c、snmp v3,二次安全防护,项目概况,设备介绍（包三）加密装置,加密装置千兆型,加密装置百兆型,二次安全防护,项目概况,设备介绍（包三）加密装置设备,加密装置设备,序号,货物名称,规格型号,详细描述,1,省调加密认证装置,Netkeeper-2000（千兆型，配光口）,1)网络接口：具备4个10/100/1000M网络接口，具备2个千兆光口（多模）,1个热备接口。2)热备接口：具备双机热备接口；3)外设接口：1个RS232配置接口+1个IC卡读卡器接口；4)设备电源：交流220V双电源；5)装置可安装于19英寸标准机柜。,2,地调加密认证装置,Netkeeper-2000,（千兆型，不配光口）,1)网络接口：具备4个10/100/1000M网络接口，1个热备接口。2)热备接口：具备双机热备接口；3)外设接口：1个RS232配置接口+1个IC卡读卡器接口；4)设备电源：直流48V双电源；5)装置可安装于19英寸标准机柜。,3,纵向百兆加密认证装置,Netkeeper-2000,（百兆型）,1)网络接口：具备4个10/100M网络接口 2)双机热备接口：具备双机热备接口；3)外设接口：1个RS232配置接口+1个IC卡读卡器接口；4)设备电源：直流48V双电源；5)装置可安装于19英寸标准机柜。,4,加密装置管理系统,南瑞SMC-2000装置管理系统,1)网络接口：至少4个1000M网络接口；2)外设接口：1个RS232配置接口+1个IC卡读卡器接口；3)设备电源：双电源接口（支持热插拔）；4)装置可安装于19英寸标准机柜。,二次安全防护,项目概况,设备介绍（包三）加密装置设备,设备性能（省调）,最大并发加密隧道数：2000条,1000M LAN环境下，加密隧道建立延迟：1s,明文数据包吞吐量：300Mbps（200条安全策略，1024字节报文长度）,密文数据包吞吐量：80Mbps（200条安全策略，1024字节报文长度）,数据包转发延迟：2ms（50密文数据包吞吐量）,满负荷数据包丢弃率：0,二次安全防护,项目概况,设备介绍（包三）加密装置设备,设备性能（地调）,最大并发加密隧道数：1000条,1000M LAN环境下，加密隧道建立延迟1s,明文数据包吞吐量：150Mbps（100条安全策略，1024报文长度）,密文数据包吞吐量：40Mbps（100条安全策略，1024报文长度）,数据包转发延迟：2ms（50密文数据包吞吐量）,满负荷数据包丢弃率：0,二次安全防护,项目概况,设备介绍（包三）加密装置设备,设备性能（500KV/220KV变电站）,最大并发加密隧道数：300条,100M LAN环境下，加密隧道建立延迟：1s,明文数据包吞吐量：40Mbps（50条安全策略，1024报文长度）,密文数据包吞吐量：20Mbps（10条安全策略，1024报文长度）,数据包转发延迟：2ms（50密文数据包吞吐量）,满负荷数据包丢弃率：0,二次安全防护,项目概况,设备介绍（包三）加密装置设备,设备功能,支持国家电力专用密码算法对传输数据进行保护、保证数据的真实性、机密性和完整性,支持基于电力数字证书的认证,支持透明模式、网关模式、NAT模式,支持基于协议、应用端口的综合报文过滤与访问控制,支持电力应用协议的特殊报文进行选择性加密保护,符合IP加密认证装置技术规范的技术要求，支持不同厂商设备的互通互联,支持路由协议报文,支持Trunk协议报文,二次安全防护,项目概况,设备介绍（包三）加密装置管理系统,设备功能,支持对全网加密认证网关的安全策略进行查询与设置,支持对全网加密认证网关进行密钥初始化和数字证书管理,支持对全网加密认证网关的工作模式进行查询与设置,支持对全网加密认证网关的隧道状态进行查询与设置,实时监控全网任意一台加密认证网关的流量、链路信息等,支持对全网加密认证网关的日志信息进行集中管理和审计,支持加密认证网关的远程调试与诊断,二次安全防护,项目概况,施工界面示意图,二次安全防护,项目概况,施工界面说明,上图虚线椭圆型所圈设备加密装置设备、防火墙设备为,云南省调度数据网工程：标2：二次安全防护设备中标单位(,南京南瑞、广州中软,),本次实施、调试设备，包含这些设备的安装材料运输、设备上架、设备电源连线、到调度数据网路由器和实时交换机、非实时交换机线缆连接。,上图调度数据网路由器、实时交换机、非实时交换机为,云南省调度数据网工程：标1：云南电网调度数据网工程中标单位(,东华软件,),本次实施、调试设备，包含这些设备的安装材料运输、设备上架、设备电源连线、业务系统设备到调度数据网实时交换机和非实时交换机线缆连接。,云南电网通信分公司负责项目建设相关电源改造、机房环境建设、传输链路建设。,二次安全防护,电力二次系统简介,二次安全防护系统,网络拓扑,项目概况,施工建设注意事项,议程,二次安全防护,施工建设注意事项,协调,调度自动化科、通信分公司、地州负责人、东华软件、广州中软紧密合作协调,调度自动化科、通信分公司、地州负责人做好机房环境、电源、传输联络、施工准入等准备协调工作,地州区域货物是直接发地州的，请做好货物签收和暂存保护工作,安全,实施前，机房电源、电压、电流确认,实施时，设备上电逐一按序加电，切勿同时加电,实施时，实施场地设备做好标识和隔离，以免误碰不相关设备系统,二次安全防护,电力二次系统简介,二次安全防护系统,网络拓扑,项目概况,施工建设注意事项,议程,二次安全防护,演讲完毕，谢谢听讲,!,再见，see you again,2025/6/7 周六,二次安全防护,

展开阅读全文