SJW77电力系统纵向加密认证装置(WT125-7A)用户手册Word文档下载推荐.docx
《SJW77电力系统纵向加密认证装置(WT125-7A)用户手册Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《SJW77电力系统纵向加密认证装置(WT125-7A)用户手册Word文档下载推荐.docx(105页珍藏版)》请在冰点文库上搜索。
6.1纵向加密认证装置安装说明 9
6.1.1开箱检查 9
6.1.2管理软件安装 9
6.1.3设备连接与管理器登录 13
6.2纵向加密认证装置操作说明 14
6.2.1系统初始化 14
6.2.2灾难恢复 21
6.2.3设备管理 22
6.2.4账户管理 27
6.2.5网络配置管理 29
6.2.6证书管理 39
6.2.7安全策略管理 45
6.2.8设备信息查询 56
6.2.9日志管理 58
7典型应用环境配置案例 59
7.1常规环境配置 59
7.1.1模拟拓扑图 60
7.1.2配置信息 60
7.1.3注意事项 64
7.2地址借用 65
7.2.1模拟拓扑图 65
7.2.2配置信息 66
7.2.3注意事项 70
7.3标准双机 71
7.3.1模拟拓扑图 71
7.3.2配置信息 71
7.3.3注意事项 78
7.4双机冗余 78
7.4.1模拟拓扑图 79
7.4.2配置信息 79
7.4.3注意事项 85
7.5单隧道多VLAN 85
7.5.1模拟拓扑图 86
7.5.2配置信息 86
7.5.3注意事项 89
7.6多隧道多VLAN 89
7.6.1模拟拓扑图 90
7.6.2配置信息 90
7.6.3注意事项 94
7.7双进双出 95
7.7.1模拟拓扑图 95
7.7.2配置信息 95
7.7.3注意事项 99
1概述
1.1产品简介
SJW77电力系统纵向加密认证装置(商密局鉴定型号:
SJW77网络密码机,以下统称为纵向加密认证装置)属于行业专用产品,主要部署在各级电力调度网络(见图1)中,是保护国家电力调度通讯信息基础而重要的数据加密设备。
SJW77电力系统纵向加密认证装置严格按照《电力专用加密认证装置技术规范》进行设计和开发,该设备采用专门的加密封包格式,在
IP层实现数据的机密性、完整性和数据源鉴别等安全功能。
同时也支持与其它厂家纵向加密装置互联互通。
国调
纵向加密认证装置
路由器
国家电力调度数据网络
I/II级
省级电力调度数据网络
III/IV级
县调
厂站
地调
省调
网调
图1 纵向加密认证装置部署
为了方便产品的维护和管理,纵向加密认证装置支持符合技术规范的加密装置管理中心的配置和管理。
各级调度中心和变电站、厂站的纵向加密装置接受其装置管理中心的统一管理配置。
见图2:
100
图2 纵向加密认证装置的管理模式
SJW77电力系统纵向加密认证装置支持各种LAN和WAN线路和拓扑,透明接入用户网络,无须修改用户网络原有配置。
并且能够实现双机冗余
与双机热备,在实现高可用性时还能提高网络的兼容性。
1.2产品形态
卫士通新型低端纵向加密认证装置硬件平台板载6个以太网接口,加密卡与硬件主板采用平插式相连,大大提供了整机产品的稳定性和可靠性。
SJW77电力系统纵向加密认证装置前视图
状态
模块
标记
说明
备注
指示灯
电源
设备上电状态
设备上电后亮绿色灯;
慢闪表示一个电源槽位没有电源模块;
快闪表示一个槽位的电源模块异
常,模块未接电源或者故障。
告警
设备告警状态
设备初始化状态
未初始化亮橙色灯;
初始化完成变绿色。
加密卡
加密卡工作状态
加密卡工作时橙色灯闪烁。
内网
内网网线连接状态
网线连接上变绿色
外网
外网网线连接状态
内网1
内网1网线连接状态
外网1
外网1网线连接状态
心跳
心跳网线连接状态
配置
配置网线连接状态
IC卡
IC卡插入状态
IC卡未插入到位,不亮或亮黄灯
IC卡完全插入,亮绿灯。
电源连接亮起
设备采用双电源,只接单一电源
时,会发出报警声
;
1.3产品组成
SJW77电力系统专用纵向加密认证装置:
位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,用于安全区I/II的广域网边界保护,可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。
以下简称纵向加密认证装置。
本地管理终端:
提供给操作员在当地对装置进行设置及管理的计算机终端系统。
调度证书服务系统:
为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务,以解决网络应用中的机密性、完整
性、不可否认性等安全问题。
该系统由北京电力科学院开发完成。
管理中心系统:
位于电力调度中心,完成对所辖的多厂商的装置进行统一管理的计算机系统。
2产品部署
2.1电力信息系统简介
电力系统网络由电力调度数据网和电力数据通讯网两大网络系统组成。
其中,电力调度数据网属于电力系统的生产控制区,是一个典型的分层分级网络,全网主要分为五级:
国家调度通信中心、省级调度通信网络、地市、县级调度通信网络。
如图3所示。
图3 电力系统通信调度数据网络图
2.2部署原则
在电力系统网络中,每一级电力调度公司的本地网,根据业务重要性的不同,划分为4个不同的区域,分别是I区(控制区)、II区(生产区)、III区(生产管理区)、Ⅳ区(管理信息区)。
除管理信息区与其它三个区域没有什么信息交换外,其它各区之间存在着数据的交换和传输。
针对这个特点,“电力二次系统安全防护总体方案”以“分层分区,强化边界”为原则,以“横向隔离,纵
向防护”为策略,规定:
在纵向I/II区(即控制区与生产区)之间的数据通信,采用纵向加密认证装置进行安全防护;
在横向I/II与III区(即控制区/生产区与生产管理区)之间的数据传输,采用横向隔离装置进行安全隔离,具体情况如图4所示。
图4 部署原则图
2.3全国范围部署
全国部署方面,按照“分级管理”要求,纵向加密认证装置部署在国调、网调、省调各级调度中心及下属的各厂站,根据电力调度通信关系建立加密隧
道(原则上只在上下级之间建立加密隧道),加密隧道拓扑结构是部分网状结构。
如图5所示。
同时,在各级调度中心设立纵向加密认证装置管理系统,由各级装置管理系统完成对所辖的纵向加密认证装置进行统一管理。
纵向加密认证装置的管理采用“统一协调、分级管理”体制,由各级装置管理系统完成对所辖的多厂商的设备进行统一管理。
调度中心的加密装置及下属的加密装置由装置管理系统直接管理。
图5 纵向加密认证装置全国部署图
2.4省级范围部署
在各省部署方面,纵向加密认证装置部署在省网、地/市网、县网各级调度中心及下属的各厂站,如图6所示。
图6 纵向加密认证装置省级部署图
2.5各个网点部署
在各个网点,包括各级调度中心及下属的各厂站的内部网络中,纵向加密认证装置安置在电力控制系统的内部局域网与电力调度数据网络的路由器之间。
以图7为例,简要介绍纵向加密认证装置在电力系统内部业务网中的部署情况。
在这个典型应用中,路由器、交换机、认证装置均采用负载均衡方式,通过设备的冗余可以很好的提高网络服务质量,给电力系统EMS业务的正常传输提供好的网络安全服务。
图7 纵向加密认证装置网点部署图
3技术特点
卫士通公司SJW77电力系统专用纵向加密认证装置为解决电力系统数据通信网络的安全需求,针对电力系统业务和网络结构特点而专门定制的安全装置,所以集中体现多项针对电力系统而定制的专用特性:
r专用算法:
专用的对称密码算法通过国家主管部门审查批准。
r专用协议:
采用电力专用的网络管理与通信协议。
r专用体系设计:
整机安全性设计方案通过国家主管部门审查批准,符合《电力系统专用纵向加密认证装置技术规范》。
4技术指标
r性能指标
ü
物理接口:
100M以太网,支持100M/1000M自适应
通信协议:
IEEE802.3,TCP/IP
加密速率:
40Mbit/s
加密时延:
250us
支持隧道数:
1024对
无故障时间:
20000小时
r物理特性
体积:
440mm×
44.4mm×
390mm
重量:
5.6kg
r电气特性
电压:
220V
允许偏差:
-20%~+10%
纹波系数:
不大于5%
额定频率:
50Hz
r环境指标
工作温度:
0°
C~+40°
C
存储温度:
-20°
C~+55°
相对湿度:
5~95%
r电磁兼容
指标
标准
严酷等级
辐射电磁场干扰
GB/T15153.1
3级
快速瞬变干扰
衰减振荡波干扰
浪涌干扰
工频磁场干扰
4级
介质强度
电压跌落
500ms
静电放电干扰
机械振动
GB/T11287-2000中3.2
1级
稳定性
GB/T13729中3.9
72h
5产品优势
与国内同类产品比较,具有以下优势:
u完全自主设计
u密通性能高、加密时延低
u设备运行稳定、可靠
u可视化的管理界面、操作方便
6配置管理
6.1纵向加密认证装置安装说明
6.1.1开箱检查
在产品包装箱内附有产品装箱清单一份,用户开箱后请参见装箱清单检查配件是否齐全,然后查看设备外观是否有损坏现象,如有问题,请勿使用并及时与我公司取得联系,处理相关事宜。
为了保障产品稳定、可靠的运行,请用户不要私自打开纵向加密认证装置的机箱。
6.1.2管理软件安装
SJW77电力系统专用纵向加密认证装置随机带有管理软件安装光盘,将光
盘插入用户管理PC机,进入文件夹“本地管理安装程序”,双击文件夹中的安装执行文件(Setup.exe),具体安装步骤如下图所示:
点击”下一步”;
点击“是”;
输入用户名和公司名称后,点击“下一步”;
选择安装目录后,点击”下一步”;
管理器正在安装中;
安装成功。
点击”完成”退出管理软件安装界面,自动生成桌面快捷方式如下图所示:
6.1.3设备连接与管理器登录
管理软件安装成功后,通过管理PC机网口与纵向加密认证装置的配置口进行连接和通信,如下图所示:
配置口:
192.168.6.10/24
纵向加密认证装置 管理PC:
192.168.6.1/24
登录管理时需要进行以下操作:
1)因为设备配置口地址为192.168.6.10/24,所以将本地管理PC网络地址设置为192.168.6.0/24网段,例如上图将本地管理PC的IP地址设置为192.168.6.1,掩码为255.255.255.0;
2)管理PC机用随机附带的网络配置线(交叉线或直连线)连接到加密认证装置的配置口;
3)确认管理PC机与纵向加密认证装置连通后,启动纵向加密装置管理软件,出现软件主界面(初始化完成后),如下图所示:
从登录框输入默认用户名:
admin 密码:
11111111;
所选择的管理员卡应该与插入的管理员卡匹配,如下图所示:
点击确认后登录,进入管理配置界面,如下图所示:
如果登录不成功,请确认用户名和密码是否正确后,重新登录。
6.2纵向加密认证装置操作说明
6.2.1系统初始化
纵向加密认证装置在初次使用时,需要首先进行设备初始化,初始化完成后才可对纵向加密认证装置进行配置,初始化流程如下:
插入用户IC,输入本地操作员PIN口令
操作员 生成设备私钥,并导出设备证书请求文件产生本地操作员卡,输出本地操作员卡证书
请求文件
�纵向加密装置
证书签发中心
�证书签发中心审核、签发,生成设备和本地操作员卡证书
�
根证书、设备证书、本地操作员证书导入纵向加密装置
注:
导入根证书的目的是验证管理员及设备证书的
合法性及有效性
操作员
纵向加密装置
1)导出设备证书请求;
2)导出管理员卡证书请求;
3)导入根证书;
4)签发设备证书;
5)签发管理员卡证书;
6)导入并验证设备证书;
7)导入并验证管理员卡证书。
6.2.1.1导出设备证书请求
导出设备证书请求前需要先添加证书主题,用户需要完整填写所有的证书主题信息(信息不全,无法成功导出设备证书请求),然后选择本地管理PC路径点击“导出设备证书请求”,操作成功会弹出提示框,如下图所示:
点击“确定”按钮后,自动跳转到下一操作界面,并且 “导出设备证书请求”操作标示已成功。
6.2.1.2导出管理员卡证书请求
导出管理员卡证书请求需选择管理员卡(有主卡、副卡之分),操作示范选择主管理员卡,然后添加证书主题,主题不能为空,选择本地管理PC路径点击“导出管理员卡证书请求”,操作成功会弹出提示框,如下图所示:
点击“确定”按钮后,“导出管理员证书请求”后标示操作成功,自动跳转到下一操作界面。
建议:
一台设备出厂时标配两张管理员空白IC卡,为了区分两张IC卡,初始化时标示为主卡/副卡,建议主/副管理员卡都进行初始化操作。
6.2.1.3导入根证书
用户从保存的根证书路径中选择需要导入的根证书后,点击“导入根证书”按钮,操作成功后系统会弹出提示框,如下图所示:
点击“确定”按钮后,“导入根证书”标示操作成功,自动跳转到下一操作界面。
6.2.1.4导入设备证书
导入的设备证书为该设备证书请求通过签发中心审核、签发后生成的,用户从本地路径中选择与该设备匹配的设备证书,点击“导入本设备证书”按钮,会弹出操作成功提示框,如下图所示:
点击“确定”按钮后,“导入设备证书”后标示操作成功,自动跳转到下一操作界面。
6.2.1.5导入管理员卡证书
导入的管理员证书为管理员证书请求通过签发中心审核、签发后生成的,用户从本地路径中选择与该设备中插入的管理员IC卡匹配的管理员证书,点击
“导入管理员卡证书”按钮,操作成功,系统弹出提示框,如下图所示:
点击“确定”按钮后,“导入管理员卡证书”标示操作成功,“完成”按钮被激活,如下图所示:
点击“完成”按钮,初始化完成,初始化界面关闭,并自动跳转到登录界
面,如下图所示:
6.2.2灾难恢复
当用户必须更换新设备时,可通过灾难恢复的方式将原有设备中所有配置信息导入新设备中,达到与原有设备参数配置完全相同的目的。
注意:
灾难恢复时,新设备需沿用原有设备的IC卡,导入的恢复文件为原设备的备份文件。
在双机热备(负载均衡)的环境中,备机灾难恢复时需要使用主备数据同步前的备份文件,在备机灾难恢复成功后,需手动执行一次主备数据同步操作。
在设备初始化界面中,点击“灾难恢复”按钮弹出灾难恢复的操作界面,选择与插入IC卡匹配的管理员类型,并且从本地选择备份文件,具体操作界面如下图所示:
点击”确定”,会弹出提示信息,如下图所示:
点击”是”后,如弹出灾难恢复成功的窗口,表明操作成功,设备将自动重启。
6.2.3设备管理
设备管理为设备重要配置之一,包含子模块如下图所示:
6.2.3.1软件升级
软件升级功能用于后期维护时,对纵向加密认证装置进行升级,完成系统软件更新。
软件升级需要导入由本公司发放给用户的特定升级文件(.wpk格式),升级完成后设备自动重启,如下图所示:
选择升级文件,并单击“启动软件升级”后,需要验证管理员口令,输入正确口令点击“确认”,弹出提示框:
升级成功,设备自动重启,如下图所示:
6.2.3.2配置备份
配置备份功能用于将纵向加密认证装置的配置信息备份至本地管理PC,具体操作界面如下图所示,选择备份文件的保存路径并输入备份文件名(建议备份文件以备份时间命名,便于以后恢复用),在备注信息输入框内输入备注信息,确认完成后,点击“启动系统备份”按钮,进行系统配置备份,如下图所示:
备份成功后弹出系统备份成功对话框,点击确定后完成系统备份,如下图所示:
6.2.3.3配置恢复
当用户配置错误或操作不当时,希望恢复到之前的配置,“配置恢复”功能就可用于将备份的配置信息恢复到设备中。
选择本地PC保存的备份文件,点击
“启动系统恢复”后弹出用户口令验证框,输入正确的口令,恢复成功后设备自动重启,如下图所示:
6.2.3.4恢复出厂配置
恢复出厂配置功能用于将设备恢复到初始化前的状态,故用户执行此操作应慎重。
恢复出厂配置需要用户输入口令验证,输入正确的用户口令后操作成功,设备自行重启,具体操作界面如下图所示:
如不慎误操作,导致设备恢复到出厂配置状态,可以在初始化操作时进行“灾难恢复”,具体操作请参见6.2.2
6.2.3.5设备参数设置
设备参数设置中可以对密钥协商、日志服务器等参数进行设置,具体操作界面如下图所示:
1)设备名称:
用户可自行设置,建议不重名,便于区分。
2)封装IP:
用于管理中心远程管理时,添加隧道的源IP地址。
3)远程管理借用地址:
用于无远程管理地址,在接受管理中心远程管理时,配置为设备后面交换机或者PC地址。
4)密钥协商参数:
用户可根据情况设置。
a)密钥使用最大时间:
默认为24小时,设置范围为1~24小时;
b) 密钥加密包数:
默认为100000个,设置范围为10000~1000000;
c) 密钥解密错误包数:
默认为16个,设置范围为6~1000。
5)日志服务器参数:
根据用户Syslog服务器的IP地址、端口填写,本装置标识为本设备上传日志信息的标识信息,为必填项。
6.2.3.6装置重启
单击“装置重启”后,系统弹出下图所示界面,需要用户输入口令确认,输入正确用户口令操作成功后纵向加密认证装置重启,如下图所示:
设备在重启过程中会造成短暂的网络通信中断,故请用户酌情考虑是否需要重启操作。
6.2.3.7设置时钟
时钟设置用于修改纵向加密认证装置的系统时间,修改系统时间后点击
“设置”按钮,如下图所示:
6.2.3.8设置诊断模式
诊断模式为通过SSH方式登录纵向加密认证装置,默认为开启,用户如有需要可以开启/关闭该功能,如下图所示:
6.2.4账户管理
为了用户能够更加安全、可靠地管理加密设备,管理员实现“三权分立”
即用户角色分为系统管理员、配置管理员和审计管理员,这3类角色分别有各自权限,用户可以根据实际需求建立管理员。
6.2.4.1新建/编辑用户
账户管理用于新建、编辑用户并设置特定的操作权限,点击添加按钮,添加界面如下图所示:
1)用户名称:
即登录名,由字母开头,字母与数字的组合,不可修改;
2)口令:
为8位或8位以上,由字母或数字组成;
3)用户角色:
即用户权限,用户登录后只能进行权限范围内的操作,用户可以拥有单一或多种权限;
4)是否启用:
只有在启用的情况下此用户才能够登录系统,缺省为是;
5)描述信息:
即用户备注信息。
用户信息可修改,不可删除,数量上限为100个。
在用户列表中,除默认用户admin外,其它用户的配置信息均可修改,如下图所示:
6.2.4.2用户解锁
用户连续5次登录失败则用户被锁定,锁定时间默认为半个小时,具有系统管理员权限的管理员可以手动对用户进行解锁操作,选择要进行解锁的用户点击解锁按钮,该用户状态显示为“未锁定”即解锁成功,如下图所示:
用户数上限为100个,可修改,可以删除用户。
6.2.5网络配置管理
网络配
升级会员 