纵向加密装置培训资料-纵向加密装置工作原理.pptx
《纵向加密装置培训资料-纵向加密装置工作原理.pptx》由会员分享,可在线阅读,更多相关《纵向加密装置培训资料-纵向加密装置工作原理.pptx(56页珍藏版)》请在冰点文库上搜索。
纵向加密认证装置技术培训,2015.09,提纲,纵向加密认证装置纵向加密认证装置现场配置工程实施常见问题,调度管理(高安全等级系统)生产控制大区,信息管理管理信息大区,1,电力二次系统安全防护体系总体策略,3,4,纵向加密认证装置是位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,用于安全区I/II的广域网边界保护,可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。
国网明确设备部署到35kV变电站。
二平面,简介,纵向加密认证网关型号,型号,主要硬件接口,应用场合,1,PSTunnel-2000百兆型,5*10/100M电口;双核加地调,220kV以密芯片。
上变电站,电厂。
2,PSTunnel-2000G,千兆型,4*10/100/1000M电口,(2*SFP,用);2*10/100M电接口,网省调以上,各复种光接口现场。
3,PSTunnel-2000L百兆低端型,四核加密芯片。
5*10/100M电口,单核加110kV变电站等密芯片。
设备外观1前面板,产品型号:
PSTunnel-2000,百兆普通型/百兆光口型,产品型号:
PSTunnel-2000电力专用纵向加密认证网关产品型号:
PSTunnel-2000G千兆高端型,产品型号:
PSTunnel-2000L百兆型低端型,IC卡卡槽,液晶屏电源灯,IC卡指示灯,4组网络状态灯,国密局批复型号:
SJY99加密网关系统运行灯加解密指示灯,报警灯,设备外观2-百兆/千兆背板,千兆光口SFP口,百兆电口RJ45,千兆电口RJ45,双电源,管理console,管理console,设备外观3-低端百兆/普通百兆,9,2018/7/15,设备组成,嵌入式主机,IC卡,液晶显示屏,状态LED灯,千兆/百兆网口,控制台管理串口,电源及锁具,非intel指令CPU.专用算法芯片.,设备参数,千兆设备共有6个网络接口,其中4个10/100/1000M网络电口(2个光接口与2个电接口复用),另外还具有2个10/100M自适应的网卡百兆设备共有5个网络接口,采用RJ45型接口,10/100M自适应,功能是2个内网网口,2个外网网口,1个配置/心跳网口;1个RS-232CONSOLE的接口,波特率115200bps,采用RJ45型接口;两个220V/50HZ电源插座;交流电源,交流100V-260V/50HZ,直流100V-374V。
智能IC卡接口,符合ISO7816智能IC卡规范。
性能指标,纵向加密装置网关千兆型:
最大并发加密隧道数:
2048条明通数据传输效率:
380Mbps密通数据传输效率:
110Mbps,纵向加密装置网关百兆普通型:
最大并发加密隧道数:
1024条明通数据传输效率:
96Mbps密通数据传输效率:
35Mbps纵向加密装置网关百兆低端型:
最大并发加密隧道数:
1024条明通数据传输效率:
60Mbps密通数据传输效率:
15Mbps,装置有什么作用?
7/15/2018,13,调度数据网明文业务,在调度数据网搭线窃听明文传输的敏感信息,为后续攻击做准备可以篡改报文类型、篡改数据;发错误报文,扰乱数据;发控制报文,下发命令。
7/15/2018,14,广域网104规约报文样例,7/15/2018,15,104明文网络报文分析,例如以上报文网络报文包含应用系统和网络相关信息:
应用系统源IP地址和目的IP地址主站或者厂站(201.200.200.1、204.200.200.1)传输层协议(TCP)应用服务口号(2404)报文类型:
遥信报文数值,7/15/2018,16,密文数据包样例,7/15/2018,密文数据分析,通信源IP地址和目的IP地址是加密设备地址通信地址为加密设备地址,隐藏并保护了真正通信主机(主站厂站)的地址通信协议:
IP协议保护真正通信主机的协议、端口(TCPTASE2)通信数据包内容密文数据,保护报文内容(应用数据),17,几个名词,隧道,tunnel(基于安全隧道的彼此通信的主机之间的安,全规则,称为安全策略),策略policy(纵向加密认证装置之间建立的通信关系,可以为空隧道或者真实隧道。
空隧道一般仅仅起挂在特殊策略的作用,隧道模式为明通。
其他实体隧道,即与远端装置建立的隧道都应为真实隧道,挂在相应的应用主机策略。
),远程本地,remotelocal,协议端口,tcp、udp、icmp应用层,2404,19,2018/7/15,使用流程,初始化,生成装置的设备公私钥,并填写必要信息,生成证书请求csr文件,提交本级调度证书服务系统签发,配置,配置设备的基本信息,双机高可用信息,安全隧道信息,安全策略信息;导入对方装置的设备证书,导入管理中心的证书,监控,远程配置、监视与控制的纵向加密认证装置.,本地登录管理方式,超级终端串口CONSOLE115200/8/N/1/N,命令:
psemmonipead-?
本地登录管理,图形化界面终端的网卡配置“169.254.200.0”网段的地址.用交叉线插入纵向设备的eth4口,串口,网口,超级终端,通过设备的串口终端,可以登录查看系统后台信息,但是不能配置设备参数,有以下几种情况,必须使用串口终端进行特殊操作:
初始化系统参数;设备关键硬件加密卡的底层操作;设备调试,后台运行参数查看。
终端端命令1,进入系统#终端提示符下,可以使用的命令分为两类,Linux系统命令和专用命令。
Linux系统自带的一些系统命令,例如:
ps、cd、ls、df、ifconfig、ping等命令可以使用,但是一些网络命令例如route、arp、ftp、telnet、rlogin等都被禁止使用。
纵向加密设备中,可以使用的系统命令全部在/ipead/bin/目录下,经常使用的有monipead.ppc。
特殊的命令如initdev.ppc、clsflag.ppc、initic.ppc等需慎重使用。
终端端命令2,在#系统提示符情况下看到键入如下命令:
ps。
看到六个/ipead/bin/ipead-30.ppc进程以及子进程说明主程序在线,系统运行正常,例如下表中,主进程PID为54。
VmSizeStatCommand596SinitSWkeventd,10200S10200S10200S10200S10200S10200S,/ipead/bin/ipead-30.ppc/ipead/bin/ipead-30.ppc/ipead/bin/ipead-30.ppc/ipead/bin/ipead-30.ppc/ipead/bin/ipead-30.ppc/ipead/bin/ipead-30.ppc,PIDUid1root2rootrootrootrootrootrootroot72root81root,820S-sh696Rps,进程号进程所述用户组内存进程状态进程名称pt2000l#ps,如果进程不在,请尝试重新启动设备,再次查看,方法是复位背板的开关按钮。
终端端命令3,monipead命令其命令对应的意义为监测(monitor)纵向设备的运行情况。
默认情况下,键入该命令,会提示输入参数表,如下。
显示常用配置显示ARP缓存数据,-all-ac-v,例,IPEAD:
ipead1Config&StatusInfo-,monipead.ppc-all-DeviceMode:
*PERSONA_MODE*DEF_POL_DENY*LocalConfig:
/(本地纵向设备IP),/(配置口IP)/(日志不超过128K),Extraeth1:
10.30.10.82mask:
255.255.255.0vlanid:
0Confg:
169.254.200.200mask:
255.255.255.0vlanid:
0LogSize:
128StartAt:
FriFeb2715:
53:
252009Extraeth1Route:
dest:
10.10.10.0mask:
255.255.255.0gate:
10.30.10.1pmtu:
1500vlanid:
0/外网路由网关地址TunnelGroup:
Group0:
/第一组隧道ID:
00,Master00:
10.30.10.81Cert:
0Status:
OPENED3MSStatus:
MAS-MAS3HKey:
270227233/(远端设备协商地址)(加密隧道状态OPEN3)Key:
4738fcd0a41a0fcb4309e4960f0f38ebSed_Key:
fab0d31433a8005b3b2c32eb8ca0b5e1Neg_Key:
bd882fc497b20f907825d67d83af8d0aPolicy0:
Mode:
ENCProt:
ALLLocal10.30.10.1-10.30.10.1(1-65535)Remote10.30.10.64-,/(加密策略)(协议ALL)(通信主机地址段),10.30.10.64(1-65535)Standby:
NULL,提纲,纵向加密认证装置纵向加密认证装置现场配置工程实施常见问题,网络登录管理,给管理终端的笔记本网卡配置一个“169.254.200.0”网段的地址。
用交叉线插入设备背板的eth4口。
操作员用户名root,填入密码,键入默认IP地址169.254.200.200,点击“确定”,则会登录主界面。
在设备前面板IC卡槽中,插入“操作员”的IC卡,芯片向上。
(根据现场情况不通,一些现场不需要第四步),有时候登录不了设备?
同一现场多个默认的设备管理IP地址都为169.254.200.200,而管理终端的地址缓存记住了一个对应的设备MAC,可以使用清除本地网卡的MAC地址的方法,在windows命令行下键入arpd.用正常的办法登录设备后,将其配置VALN的地址修改为不同,再次登录即可。
29,2018/7/15,IP/vlan配置,路由配置,隧道配置,策略配置证书导入,纵向加密装置,配置,界面演示,7/15/2018,在装置基本配置中:
“设备标识”为“hb1769”;“工作模式”为“借用模式”;“vlan标识类型”为“802.1q”;“缺省策略处理模式”为“丢弃”;“探测时间周期”为“20秒”;“探测失败次数”为“3次”;“检测网口流量”选择“监测外网”;“监测网口流量时间间隔”为“3分钟”;“是否启动路径一致”选上启动路径一致。
配置完成后点击“确定”,具体配置如下图所示:
7/15/2018,点击:
“配置”下拉菜单选择“装置VLAN配置”,选择“eth1”配置三条vlan信息分别对应,三个业务vpn:
vlan19937.137.23.120255.255.255.128,实时业务VPN,7/15/2018,点击:
“配置”下拉菜单选择“装置路由配置”选择“eth1”对设备外网配置路由信息即指定去往各目的网段相应的下一跳地址,配置完成点击“确定”,如下图所示,7/15/2018,点击:
“配置”下拉菜单选择“装置告警配置”选择“1个或者2个告警输出”对设备“eth1”口配置告警输出,填入告警目的ip,和接收端口:
514。
配置完成点击“确定”,如下图所示,7/15/2018,装置隧道配置,7/15/2018,装置隧道配置,配置时点击“添加隧道”出现如下图框,填写:
“隧道标识”由00往上递增。
工作模式取决与对端节点是否接入纵向加密装置。
接入装置则此条隧道选择“加密模式”,尚未接入装置则选择“明通模式”。
本地设备ip为装置vlan配置的三个业务vpn中的一个ip,其必须与此隧道所属的vpn对应。
例如此隧道用于地调与五洲变的实时业务通讯,则本地设备ip必须是地调本装置对应的实时vpn的vlanip,远程设备虚拟ip为五洲变纵向加密装置对应的实时vpn的vlanip。
远程设备子网掩码为远程业务vpn对应子网掩码。
“证书标识”为对应的证书标号,在后面导入远程设备证书时,需要用到这个对应的证书标识,需要注意的是:
证书标识对应每一个远程装置是唯一的,一定不能重复赋予不同的远程装置。
配置完成后点击“确定”。
7/15/2018,装置隧道配置,7/15/2018,装置策略配置,7/15/2018,装置策略配置,配置时点击“添加策略”出现如下图框,填写:
“策略标识id”由00往上递增。
工作模式取决与对端节点是否接入纵向加密装置并且此业务数据是否加密传输。
接入装置并且数据进行加密传输则此条策略选择“加密模式”,其他情况则选择“明通模式”。
本地设备ip、远程设备虚拟ip必须与对应的加密隧道一致,并且在设备策略工作模式选择为“加密模式”时,相应的隧道工作模式也必须为“加密模式”。
本地源起始ip地址、本地源终止ip地址为此策略对应的本地业务通讯主机网段地址(如:
地调实时vpn);远程目的起始ip地址、远程目的终止ip地址为此策略对应的远程业务通讯主机网段地址(如:
潍坊220变实时vpn)。
端口范围为通讯业务的应用端口号,可以特别指定,也可以按照一定范围放开。
具体配置参考下图,配置完成后点击“确定”。
7/15/2018,装置策略配置,7/15/2018,管理中心配置,7/15/2018,管理中心配置,配置时点击“添加”出现如下图框,填写:
“远程管理中心ip”,这个ip地址是数据网上分配给管理中心的ip,管理中心通过这个ip地址管理所属纵向加密装置。
潍坊地区四级网现有管理中心一台:
管理中心ip为:
37.138.0.118;证书为:
“manager103.cer”。
管理地区四级网220kv变电站、110kv变电站、电厂、县调的纵向加密装置证书标识对于每一个管理中心是唯一的,不能将不同的管理中心的证书标识设为同一个id。
“权限”设定一定要设为“设置”,这样管理中心才能远程配置加密装置。
配置完成点击“确定”。
42,2018/7/15,证书分类,对端设备证书标识范围01023,装置管理系统证书(1032-1039),操作员证书1040-1055,本设备证书1056,7/15/2018,添加管理中心证书,7/15/2018,添加设备证书,7/15/2018,添加远程设备证书,7/15/2018,导入证书,证书类型需要导入的有:
设备证书、远程设备证书、管理中心证书以及操作员证书。
设备证书为本地设备即现在配置的设备的证书;远程设备证书为需要与此设备通讯的所有的纵向加密装置的证书,其中每一台装置对应的证书标识决定了此处所需导入的对应装置证书;管理中心证书导入的管理中心的证书也必须与对应的管理中心证书标识相对应;操作员证书为操作员ic对应的证书,每一张ic卡对应一个操作员证书。
此处所有证书都由省公司调度证书系统签发。
证书导入见下图,找到需要导入的证书,选中,点击“打开”,再点击“确定”提示“导入证书成功”说明证书已经导入装置。
7/15/2018,导入证书,纵向加密认证装置纵向加密认证装置现场配置工程实施常见问题,提纲,在进行纵向加密认证网关工程部署时,基本步骤如下:
1.,2.,3.,4.,5.,6.7.8.,了解数据网络结构,拓扑,地址规划,路由及策略,VPN业务规划与接入;业务系统负责人确认,可能对业务引起的中断评估,开具第二种工作票;确定调中心节点纵向加密认证装置的部署方案和部署位置;确定下属厂站节点的纵向加密认证装置的部署方案和部署位置;协调各级调度中心的“电力调度证书系统”的数字证书签发工作;纵向加密装置管理系统接入方案和实施;工程实施试点工作;规模化接入装置。
纵向装置接入步骤,依据湖北省级电网的电力调度数据网为样例,设计工程方案:
数据专网特点如下:
核心层汇聚层接入层例如:
实时业务承载在Vlan101104:
Vlan101:
:
EMS/RTU业务;Vlan102:
WAMS/PMU业务;Vlan103:
X业务;Vlan104:
Y业务;Vlan901:
数据网网络管理。
纵向设备的数据网地址分配、设备基本配置、隧道配置、策略配置、数字证书、管理中心。
工程设计,工程实施注意事项,纵向设备一次变现场接入情况:
了解该站的数据网设备、厂家、型号、配置(vlan?
Vrrp?
网关?
数据网管理地址?
);通信关系:
去省调?
去备调?
去哪个地调?
去集控?
VLAN、管理地址、网管中心业务情况:
EMS?
WAMS?
Ping的规则(全省网?
指定地区?
)规则细化的程度(地址段、协议、端口2404?
8000?
),工程实施的地点主要自动化机房,或者主控机房设备需要部署在标准机柜之中,一般为“调度数据网屏”或者安全防护设备屏。
环境条件基本恒温恒湿,考虑通风散热等因素。
设计“纵向加密认证装置”在机柜中的位置,一般为路由器和交换机之间的位置,占位1U。
工程实施-机柜,工程实施-电源、线缆,电源设备电源AC85264VDC100370V设备自带的三芯插片插头2条1.8m的线。
双电源接入,设备总功率小于20W。
现场是PDU电源?
网络接线设备自带2根2m成品网线。
屏蔽线?
光纤?
接地线设备自带1根3m接地线,线下配置提供离线配置工具,根据提前根据试点变电站的模板,配置IP地址、路由、隧道、策略等信息,注入设备。
不要到现场配置。
设备安装去现场的工程师,在现场设备上架、电源、网络、地线的接入,线缆标签的打印线上调试内容包括纵向管理中心能否管理到?
内网安全监视平台是否接收到报送信息?
与个方向的主站纵向设备是否加密报文?
是否通信正常?
数据网的网管系统是否正常,能否管理到交换机?
工程实施-现场调试,当接入装置后,如果系统运行正常,模拟装置故障测试,查看系统是否运行正常。
模拟测试可以分为如下几个方面:
拔掉一路装置网线,看业务是否正常;旁路功能测试;(一些特殊情况下,例如“纵向装置”故障或者其他原因影响了业务时,为保证业务的连续性,可将该装置旁路,一般可以理解为网线直连状态。
)网络交换机的切换,查看业务是否正常;如果通信网关机具备切机功能,可尝试切机操作。
现场模拟故障排查,56,应对装置异常,提出相应的应急解决方案。
用省调侧装置的管理中心查询装置的状态;断电重启装置;启用硬旁路;联系装置集成商查找问题。
应急解决步骤,
升级会员 