纵向加密-培训资料.ppt

纵向加密认证装置纵向加密认证装置技术培训技术培训2015.02015.09 9北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司内部资料 注意保密 提纲提纲纵向加密认证装置纵向加密认证装置现场配置工程实施常见问题信息管理调度管理（高安全等级系统）形成了栅格状的安全防护体系4 4、纵向认证、纵向认证3 3、横向隔离、横向隔离电力企业数据网控制区非控制区管理区信息区电力调度数据网生产控制大区生产控制大区管理信息大区管理信息大区防火墙防火墙2 2、网络专用、网络专用1 1、安全分区、安全分区1234电力二次系统安全防护体系总体策略电力二次系统安全防护体系总体策略11/5/2024l纵向加密认证装置是位于电力控制系统的内部纵向加密认证装置是位于电力控制系统的内部局域局域网与电力网与电力调度数据网络调度数据网络的路由器之间的路由器之间，用于安全区，用于安全区I/III/II的的广域网广域网边界保护，边界保护，可为本地安全区可为本地安全区I/III/II提供一提供一个网络屏障同时为上下级控制系统之间的广域网通信个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务提供认证与加密服务，实现数据传输的，实现数据传输的机密性、完整机密性、完整性性保护。保护。l国网明确设备部署到国网明确设备部署到35kV35kV变电站变电站。l二平面二平面简介简介4纵向加密认证网关型号纵向加密认证网关型号型号型号主要硬件接口主要硬件接口应用场合应用场合1PSTunnel-2000百兆型5*10/100M电口；双核加密芯片。地 调，220kV以上变电站，电厂。2PSTunnel-2000G千兆型4*10/100/1000M电口（2*SFP复用）;2*10/100M电接口四核加密芯片。网省调以上，各种光接口现场。3PSTunnel-2000L百兆低端型5*10/100M电口，单核加密芯片。110kV变电站等设备外观设备外观1前面板前面板产品型号：PSTunnel-2000电力专用纵向加密认证网关产品型号：PSTunnel-2000G千兆高端型千兆高端型产品型号：PSTunnel-2000百兆普通型百兆普通型/百兆光口型百兆光口型产品型号：PSTunnel-2000L百兆型低端型百兆型低端型国密局批复型号：SJY99加密网关IC卡卡槽卡卡槽液晶屏液晶屏系统运行灯系统运行灯电源灯电源灯IC卡指示灯卡指示灯4组网络状态灯组网络状态灯加解密指示灯加解密指示灯报警灯报警灯设备外观设备外观2-百兆百兆/千兆背板千兆背板千兆光口千兆光口SFP口口百兆电口百兆电口RJ45千兆电口千兆电口RJ45双电源双电源管理管理console管理管理console设备外观设备外观3-低端百兆低端百兆/普通百兆普通百兆2024/11/5 周二周二设备组成设备组成嵌入式主嵌入式主机机IC卡卡液晶显示屏液晶显示屏状态状态LED灯灯千兆千兆/百兆网口百兆网口控制台管理串口控制台管理串口电源及锁具电源及锁具非非intel指令指令CPU.专用算法芯片专用算法芯片.设备参数设备参数千兆设备共有6个网络接口，其中4个10/100/1000M网络电口（2个光接口与2个电接口复用），另外还具有2个10/100M自适应的网卡百兆设备共有5个网络接口，采用RJ45型接口，10/100M自适应，功能是2个内网网口，2个外网网口，1个配置/心跳网口；1个RS-232CONSOLE的接口，波特率115200bps，采用RJ45型接口；两个220V/50HZ电源插座；交流电源，交流100V-260V/50HZ，直流100V-374V。智能IC卡接口，符合ISO7816智能IC卡规范。性能指标性能指标纵向加密装置网关千兆型：纵向加密装置网关千兆型：最大并发加密隧道数：2048条明通数据传输效率：380Mbps密通数据传输效率：110Mbps纵向加密装置网关百兆普通型：纵向加密装置网关百兆普通型：最大并发加密隧道数：1024条明通数据传输效率：96Mbps密通数据传输效率：35Mbps纵向加密装置网关百兆低端型：最大并发加密隧道数：1024条明通数据传输效率：60Mbps密通数据传输效率：15Mbps装置有什么作用？调度数据网明文业务调度数据网明文业务在调度数据网搭线窃听明文传输的敏感信息，为后续攻击做准备可以篡改报文类型、篡改数据；发错误报文，扰乱数据；发控制报文，下发命令。11/5/2024广域网广域网104规约报文样例规约报文样例11/5/2024104明文网络报文分析明文网络报文分析例如以上报文网络报文包含应用系统和网络相关信息：应用系统源IP地址和目的IP地址主站或者厂站（201.200.200.1、204.200.200.1）传输层协议（TCP）应用服务口号（2404）报文类型：遥信报文数值11/5/2024密文数据包样例密文数据包样例11/5/2024密文数据分析密文数据分析通信源IP地址和目的IP地址是加密设备地址通信地址为加密设备地址，隐藏并保护了真正通信主机（主站厂站）的地址通信协议：IP协议保护真正通信主机的协议、端口（TCPTASE2）通信数据包内容密文数据，保护报文内容（应用数据）11/5/2024几个名词几个名词隧道tunnel（基于安全隧道的彼此通信的主机之间的安全规则，称为安全策略）策略policy（纵向加密认证装置之间建立的通信关系，可以为空隧道或者真实隧道。空隧道一般仅仅起挂在特殊策略的作用，隧道模式为明通。其他实体隧道，即与远端装置建立的隧道都应为真实隧道，挂在相应的应用主机策略。）远程remote本地local协议tcp、udp、icmp端口应用层，24042024/11/5 周二周二使用流程使用流程初始化生成装置的设备公私钥，并填写必要信生成装置的设备公私钥，并填写必要信息，生成证书请求息，生成证书请求csr文件，提交本级文件，提交本级调度证书服务系统签发调度证书服务系统签发配置配置设备的基本信息配置设备的基本信息,双机高可用信息双机高可用信息,安全隧道信息安全隧道信息,安全策略信息安全策略信息;导入对方装置的设备证书导入对方装置的设备证书,导入管理中导入管理中心的证书心的证书监控远程配置、监视与控制的纵向加密认证远程配置、监视与控制的纵向加密认证装置装置.本地登录管理方式本地登录管理方式超级终端超级终端串口串口CONSOLE 115200/8/N/1/N命令命令:ps em monipead -?本地本地登录管理登录管理图形化界面图形化界面终端的网卡配置终端的网卡配置“169.254.200.0”网段的地址网段的地址.用交叉线插入纵用交叉线插入纵向设备的向设备的eth4口口串口串口网口网口超级终端超级终端通过设备的串口终端，可以登录查看系统后台信息，但是不能配置设备参数，有以下几种情况，必须使用串口终端进行特殊操作：初始化系统参数；设备关键硬件加密卡的底层操作；设备调试，后台运行参数查看。终端端命令终端端命令1进入系统#终端提示符下,可以使用的命令分为两类，Linux系统命令和专用命令。Linux系统自带的一些系统命令，例如：ps、cd、ls、df、ifconfig、ping等命令可以使用，但是一些网络命令例如route、arp、ftp、telnet、rlogin等都被禁止使用。纵向加密设备中，可以使用的系统命令全部在/ipead/bin/目录下，经常使用的有monipead.ppc。特殊的命令如initdev.ppc、clsflag.ppc、initic.ppc等需慎重使用。终端端命令终端端命令2在#系统提示符系统提示符情况下看到键入如下命令：ps。看到六个/ipead/bin/ipead-30.ppc进程以及子进程说明主程序在线，系统运行正常，例如下表中，主进程PID为54。进程号进程所述用户组内存进程状态进程名称pt2000l#psPID UidVmSizeStatCommand1root596Sinit2rootSWkeventd64root10200S/ipead/bin/ipead-30.ppc65root10200S/ipead/bin/ipead-30.ppc66root10200S/ipead/bin/ipead-30.ppc67root10200S/ipead/bin/ipead-30.ppc68root10200S/ipead/bin/ipead-30.ppc69root10200S/ipead/bin/ipead-30.ppc72root820S-sh81root696Rps如果进程不在，请尝试重新启动设备，再次查看，方法是复位背板的开关按钮。如果进程不在，请尝试重新启动设备，再次查看，方法是复位背板的开关按钮。终端端命令终端端命令3monipead命令命令其命令对应的意义为监测（monitor）纵向设备的运行情况。默认情况下，键入该命令，会提示输入参数表，如下。-all显示常用配置-ac显示ARP缓存数据-v例例monipead.ppc-all-IPEAD:ipead1Config&StatusInfo-DeviceMode:*PERSONA_MODE*DEF_POL_DENY*LocalConfig:Extraeth1:10.30.10.82mask:255.255.255.0vlanid:0/（本地纵向设备（本地纵向设备IP）Confg:169.254.200.200mask:255.255.255.0vlanid:0/（配置口（配置口IP）LogSize:128StartAt:FriFeb2715:53:252009/（日志不超过（日志不超过128K）Extraeth1Route:dest:10.10.10.0mask:255.255.255.0gate:10.30.10.1pmtu:1500vlanid:0/外网路由网关地址外网路由网关地址TunnelGroup:Group0:/第一组隧道第一组隧道ID：00Master00:10.30.10.81 Cert:0 Status:OPENED3 MS Status:MAS-MAS3 HKey:270227233 /（远端设备协商地址）（加密隧道状态（远端设备协商地址）（加密隧道状态OPEN 3）Key:47 38 fc d0 a4 1a 0f cb 43 09 e4 96 0f 0f 38 eb Sed_Key:fa b0 d3 14 33 a8 00 5b 3b 2c 32 eb 8c a0 b5 e1 Neg_Key:bd 88 2f c4 97 b2 0f 90 78 25 d6 7d 83 af 8d 0a Policy0:Mode:ENC Prot:ALL Local10.30.10.1-10.30.10.1(1-65535)Remote10.30.10.64-10.30.10.64(1-65535)/（加密策略）（协议（加密策略）（协议ALL）（通信主机地址段）（通信主机地址段）Standby:NULL提纲提纲纵向加密认证装置纵向加密认证装置现场配置工程实施常见问题网络登录管理网络登录管理1.给管理终端的笔记本网卡配置一个“169.254.200.0”网段的地址。2.用交叉线插入设备背板的eth4口。3.操作员用户名root，填入密码，键入默认IP地址169.254.200.200，点击“确定”，则会登录主界面。4.在设备前面板IC卡槽中，插入“操作员”的IC卡，芯片向上。（根据现场情况不通，一些现场不需要第四步）有时候登录不了设备？有时候登录不了设备？同一现场多个默认的设备管理IP地址都为169.254.200.200，而管理终端的地址缓存记住了一个对应的设备MAC，可以使用清除本地网卡的MAC地址的方法，在windows命令行下键入arpd.用正常的办法登录设备后，将其配置VALN的地址修改为不同，再次登录即可。2024/11/5 周二周二IP/vlan配置配置路由配置路由配置隧道配置隧道配置策略配置策略配置证书导入证书导入纵向加密装置纵向加密装置配置配置界面演示界面演示在装置基本配置中：“设备标识”为“hb1769”；“工作模式”为“借用模式”；“vlan标识类型”为“802.1q”；“缺省策略处理模式”为“丢弃”；“探测时间周期”为“20秒”；“探测失败次数”为“3次”；“检测网口流量”选择“监测外网”；“监测网口流量时间间隔”为“3分钟”；“是否启动路径一致”选上启动路径一致。配置完成后点击“确定”，具体配置如下图所示：点击：“配置”下拉菜单选择“装置VLAN配置”，选择“eth1”配置三条vlan信息分别对应三个业务vpn：vlan19937.137.23.120255.255.255.128实时业务VPNVlan29937.138.23.120255.255.255.128非实时业务VPNVlan39937.139.23.120255.255.255.128保护业务VPN点击：“配置”下拉菜单选择“装置路由配置”选择“eth1”对设备外网配置路由信息即指定去往各目的网段相应的下一跳地址，配置完成点击“确定”，如下图所示点击：“配置”下拉菜单选择“装置告警配置”选择“1个或者2个告警输出”对设备“eth1”口配置告警输出，填入告警目的ip，和接收端口：514。配置完成点击“确定”，如下图所示装置隧道配置装置隧道配置配置时点击“添加隧道”出现如下图框，填写：“隧道标识”由00往上递增。工作模式取决与对端节点是否接入纵向加密装置。接入装置则此条隧道选择“加密模式”，尚未接入装置则选择“明通模式”。本地设备ip为装置vlan配置的三个业务vpn中的一个ip，其必须与此隧道所属的vpn对应。例如此隧道用于地调与五洲变的实时业务通讯，则本地设备ip必须是地调本装置对应的实时vpn的vlanip，远程设备虚拟ip为五洲变纵向加密装置对应的实时vpn的vlanip。远程设备子网掩码为远程业务vpn对应子网掩码。“证书标识”为对应的证书标号，在后面导入远程设备证书时，需要用到这个对应的证书标识，需要注意的是：证书标识对应每一个远程装置是唯一的，一定不能重复赋予不同的远程装置。配置完成后点击“确定”。装置隧道配置装置策略配置装置策略配置配置时点击“添加策略”出现如下图框，填写：“策略标识id”由00往上递增。工作模式取决与对端节点是否接入纵向加密装置并且此业务数据是否加密传输。接入装置并且数据进行加密传输则此条策略选择“加密模式”，其他情况则选择“明通模式”。本地设备ip、远程设备虚拟ip必须与对应的加密隧道一致，并且在设备策略工作模式选择为“加密模式”时，相应的隧道工作模式也必须为“加密模式”。本地源起始ip地址、本地源终止ip地址为此策略对应的本地业务通讯主机网段地址（如：地调实时vpn）；远程目的起始ip地址、远程目的终止ip地址为此策略对应的远程业务通讯主机网段地址（如：潍坊220变实时vpn）。端口范围为通讯业务的应用端口号，可以特别指定，也可以按照一定范围放开。具体配置参考下图，配置完成后点击“确定”。装置策略配置管理中心配置管理中心配置配置时点击“添加”出现如下图框，填写：“远程管理中心ip”，这个ip地址是数据网上分配给管理中心的ip，管理中心通过这个ip地址管理所属纵向加密装置。潍坊地区四级网现有管理中心一台：管理中心ip为：37.138.0.118；证书为：“manager103.cer”。管理地区四级网220kv变电站、110kv变电站、电厂、县调的纵向加密装置证书标识对于每一个管理中心是唯一的，不能将不同的管理中心的证书标识设为同一个id。“权限”设定一定要设为“设置”，这样管理中心才能远程配置加密装置。配置完成点击“确定”。2024/11/5 周二周二证书分类证书分类对端设备证书对端设备证书标识范围标识范围01023 装置管理系统证书装置管理系统证书(1032-1039)操作员证书操作员证书1040-1055 本设备证书本设备证书1056添加管理中心证书添加设备证书添加远程设备证书导入证书证书类型需要导入的有：设备证书、远程设备证书、管理中心证书以及操作员证书。设备证书为本地设备即现在配置的设备的证书；远程设备证书为需要与此设备通讯的所有的纵向加密装置的证书，其中每一台装置对应的证书标识决定了此处所需导入的对应装置证书；管理中心证书导入的管理中心的证书也必须与对应的管理中心证书标识相对应；操作员证书为操作员ic对应的证书，每一张ic卡对应一个操作员证书。此处所有证书都由省公司调度证书系统签发。证书导入见下图，找到需要导入的证书，选中，点击“打开”，再点击“确定”提示“导入证书成功”说明证书已经导入装置。导入证书纵向加密认证装置纵向加密认证装置现场配置工程实施常见问题提纲提纲在进行纵向加密认证网关工程部署时，基本步骤如下：1.了解数据网络结构，拓扑，地址规划，路由及策略，VPN业务规划与接入；2.业务系统负责人确认，可能对业务引起的中断评估，开具第二种工作票；3.确定调中心节点调中心节点纵向加密认证装置的部署方案和部署位置；4.确定下属厂站节点厂站节点的纵向加密认证装置的部署方案和部署位置；协调各级调度中心的“电力调度证书系统”的数字证书签发工作；1.纵向加密装置管理系统纵向加密装置管理系统接入方案和实施；2.工程实施试点工作；3.规模化接入装置。纵向装置接入步骤纵向装置接入步骤依据湖北湖北省级电网的电力调度数据网为样例，设计工程方案：数据专网特点如下：核心层核心层汇聚层汇聚层接入层接入层例如：实时业务承载在Vlan101104:Vlan101:：EMS/RTU业务;Vlan102：WAMS/PMU业务;Vlan103：X业务；Vlan104：Y业务；Vlan901：数据网网络管理。纵向设备的数据网地址分配、设备基本配置、隧道配置、策略配置、纵向设备的数据网地址分配、设备基本配置、隧道配置、策略配置、数字证书、管理中心。工程设计工程设计工程实施注意事项工程实施注意事项纵向设备一次变现场接入情况：情况：1.了解该站的数据网设备、厂家、型号、配置了解该站的数据网设备、厂家、型号、配置（vlan？Vrrp？网关？数据网管理地址？）；？网关？数据网管理地址？）；2.通信关系：去省调？去备调？去哪个地调？去集控？3.VLAN、管理地址、网管中心业务情况:EMS?WAMS?4.Ping的规则（全省网？指定地区？）规则细化的程度（地址段、协议、端口2404？8000？）工程实施的地点主要自动化机房，或者主控机房设备需要部署在标准机柜之中，一般为“调度数据网屏”或者安全防护设备屏。环境条件基本恒温恒湿，考虑通风散热等因素。设计“纵向加密认证装置”在机柜中的位置，一般为路由器和交换机之间的位置，占位1U。工程实施工程实施-机柜机柜工程实施工程实施-电源、线缆电源、线缆n电源n设备电源AC85264VDC100370Vl设备自带的三芯插片插头2条1.8m的线。l双电源接入，设备总功率小于20W。l现场是PDU电源？n网络接线l设备自带2根2m成品网线。l屏蔽线？l光纤？n接地线l设备自带1根3m接地线l线下配置提供离线配置工具，根据提前根据试点变电站的模板，配置IP地址、路由、隧道、策略等信息，注入设备。不要到现场配置。l设备安装去现场的工程师，在现场设备上架、电源、网络、地线的接入，线缆标签的打印l线上调试内容包括纵向管理中心能否管理到？内网安全监视平台是否接收到报送信息？与个方向的主站纵向设备是否加密报文？是否通信正常？数据网的网管系统是否正常，能否管理到交换机？工程实施工程实施-现场调试现场调试当接入装置后，如果系统运行正常，模拟装置故障测试，查看系统是否运行正常。模拟测试可以分为如下几个方面：l拔掉一路装置网线，看业务是否正常；l旁路功能测试；（旁路功能测试；（一些特殊情况下，例如“纵向装置”故障或者其他原因影响了业务时，为保证业务的连续性，可将该装置旁路，一般可以理解为网线直连状态。）l网络交换机的切换，查看业务是否正常；l如果通信网关机具备切机功能，可尝试切机操作。现场模拟故障排查现场模拟故障排查应对装置异常，提出相应的应急解决方案。1用省调侧装置的管理中心查询装置的状态；2断电重启装置；3启用硬旁路；4联系装置集成商查找问题。应急解决步骤应急解决步骤56