“PSTunnel—2000電力專用縱向加密認證網關"是中國電力科學研究院電網所�、北京科東電力控制系統有限責任公司是受國家電力調度通信中心委托開發的�,用于保護電力專用電力調度數據網路由器和電力系統的局域網之間通信安全的電力專用網關機��。
1����、型號說明
產品型號:PSTunnel-2000G 電力專用縱向加密認證裝置—— 千兆型
產品型號:PSTunnel-2000 電力專用縱向加密認證裝置——百兆增強型
產品型號:PSTunnel-2000L 電力專用縱向加密認證裝置——百兆型低端型
國密局批復型號:SJY99加密網關
2�、接口說明
1. 千兆設備共有6個網絡接口����,其中4個10/100/1000M 網絡電口(2個光接口與2個電接口復用)���,另外還具有2個10/100M自適應的網卡�����,用于配置和擴展�����,保證網絡傳輸的高速穩定�����;
2. 百兆設備共有5個網絡接口���,采用RJ45型接口����,10/100M自適應��,功能是2個內網網口��,2個外網網口�����,1個配置/心跳網口��;
3. RS-232 CONSOLE的接口�,波特率115200bps�����,采用RJ45型接口����;
4. 兩個220V/50HZ電源插座�����;交流電源���,交流100V-260V/50HZ��,直流 100V-374V�。�。
5. 兩個電源開關���;
6. 智能IC卡接口��,符合ISO-7816智能IC卡規范���。
3��、電氣性能
電源
我方提供的電源模塊為交流電源����,交流電壓范圍100V-260V/50HZ����,直流 100V-374V��。
環境規范
運行溫度: -5℃ -- +45℃
儲運溫度:-40℃ -- +55℃
操作濕度:5% -- 95% @40攝氏度��,非冷凝
大氣壓力:70kPa~106kPa
4�、幾何及物理特性
尺寸:標準1U機箱
重量:4kg
5��、抗干擾性
1. 輻射電磁場抗擾度 :能承受GB/T15153.1中規定的嚴酷等級為3級(6V/m)的輻射電磁場干擾實驗����,性能符合GB/T17626.1總則9中“a)"規定的要求���。
2. 快速瞬變抗擾度:電源和信號都能承受GB/T15153.1中規定的嚴酷等級為3級的快速瞬變干擾實驗��,性能符合GB/T17626.1總則9中“a)"規定的要求�����。
3. 脈沖群抗擾度裝置: 能承受GB/T15153.1中規定的嚴酷等級為3級的1MHz和100kHz的脈沖群干擾實驗���,性能符合GB/T17626.1總則9中“a)"規定的要求���。
4. 靜電放電抗擾度: 能承受GB/T15153.1中規定的嚴酷等級為3級的靜電放電干擾實驗�,性能符合GB/T17626.1總則9中“a)"規定的要求���。
5. 浪涌(沖擊)抗擾度: 能承受GB/T15153.1中規定的嚴酷等級為3級的浪涌(沖擊)干擾實驗��,符合GB/T17626.1總則9中“a)"規定的要求.
6. 機械振動裝置: 能承受GB/T11287-2000中3.2中規定的嚴酷等級為1級振動實驗����,性能符合該標準5中規定的要求�。
7. 工頻磁場裝置: 能承受GB/T15153.1中規定的嚴酷等級為4級的工頻磁場干擾實驗����,性能符合GB/T17626.1總則9中“a)"規定的要求��。
8. 介質強度裝置: 能承受GB/T15153.1中規定的嚴酷等級為3級的絕緣強度(不小于5MΩ)和耐壓強度(電源輸入回路不小于1500V)實驗�����,性能符合GB/T17626.1總則9中“a)"規定的要求���。
9. 穩定性裝置: 能承受GB/T13729中3.9規定的穩定性實驗;
10. 其他參考標準
IEC-1000-4-2 (ESD)
IEC-1000-4-3 (輻射敏感性)
IEC-1000-4-4 (電快速瞬變)
IEC-1000-4-5 (電涌)
IEC-1000-4-6 (諧波)
6�����、性能指標
縱向加密裝置百兆增強型:
并發加密隧道數:≥1024條
明通數據傳輸效率:≥96Mbps(在50條安全策略��,1024字節報文長度的情況下)
密通數據傳輸效率:≥30Mbps(同一廠家運行環境下�,50條安全策略�����,1024字節報文長度)
MTBF:>60000小時(100%負荷)
100M LAN環境下����,加密隧道協商建立延遲:<1s
數據包轉發延遲:<1ms (50%密文數據包吞吐量)
滿負荷數據包丟棄率:0
縱向加密裝置千兆型:
并發加密隧道數:≥2048條
明通數據傳輸效率:≥380Mbps(在100條安全策略��,1024字節報文長度的情況下)
密通數據傳輸效率:≥110Mbps(同一廠家運行環境下�,50條安全策略�����,1024字節報文長度)
MTBF:>100 000小時(100%負荷)
1000M LAN環境下�,加密隧道協商建立延遲:<1ms
數據包轉發延遲:<1ms (50%密文數據包吞吐量)
滿負荷數據包丟棄率:0
調度數據網作為電力調度生產服務中不可或缺的重要組成部分�����,被應用于電力企業的日常工作中����。但由于電力系統間存在復雜的業務數據傳輸關系�����,調度數據網作為電力企業信息傳輸載體���,因此應重視縱向加密技術在調度數據網中的應用���,以保證電力企業業務數據傳輸的安全性���,提高我國電力企業的綜合服務水平����。
1�����、電力二次系統安全防護體系
電力企業的縱向防護體系是一個相對比較復雜的過程�。早在前幾年��,國家電監會對電力二次系統安全防護工作就有明確的規定和要求���,以保證電力監控系統和電力調度數據網絡的安全���,避免電力企業管理過程中意外事故的發生����。電力二次系統的防護核心就是縱向加密技術���,縱向加密技術實現了對電力數據的安全防護����,避免了數據的丟失和信息的外泄等��,保證了電力數據傳輸的穩定性���、可靠性和及時性��。
2����、總體設計方案
目前我國很多地方的電力調度數據網縱向安全防護體系是以縱向加密裝置�、縱向加密裝置管理系統�、電力調度證書系統和安全監視平臺的建設為前提的����,主要如下:
2.1縱向加密裝置��?�?v向加密認證裝置的密碼包括對稱加密算法�����、非對稱加密算法��、隨機數生成算法等多種形式���,以實現數據網絡的安全防護����。
2.2縱向加密裝置管理系統���?���?v向加密裝置的管理系統不僅能設置和查詢全網的加密認證網關�����,且能夠實現對數字證書的管理及密鑰的初始化���,對全網加密認證網關的工作模式��、狀態等進行查詢和設置����,并對全網的各個加密裝置實施有效的監控和管理�����。
2.3電力調度證書系統��。電力調度的數字證書系統采用的是以公鑰技術為前提的分布式證書系統�����,它不僅為電力調度數據網的各個環節提供數字證書服務���,保證調度數據網運行的安全性���,同時也實現了身份認證的準確性和行為審計的可靠性等����。不同地區電網調度的實際情況不同�����,相關的電網調度證書系統也是不同的�����。相關電力人員應該綜合考慮相關地區的實際情況�����,進行數字證書的設置和頒發�����,以保證該地區調度數據網絡運行的質量和效率�。
2.4安全監視平臺����。安全監視平臺的目的是保護網絡安全�����,及時對網絡系統進行安全防護�����,提供防火墻的功能���,以保證未知的危險因素對網絡的侵襲����,對于可能出現的危險源進行中斷或者終止�。對網絡系統中的數據庫�、軟件���、資源等進行檢測���,凈化網絡環境��,保證調度數據網的正常運行��。相關負責人要根據電力企業的不同情況��,采用不能的方法對網絡系統進行防護��,在電力調度數據網上實現數據的加密和解密�,保證數據的安全性和數據運行的時效性����。
3�����、分級部署方案
3.1地方調度的部署方案���。由于地方調度接入的業務比較多�����,對業務的要求也相對較高����,因此需要根據情況在調度數據網的接口處部署路由器�。下圖1為地方調度部署示意圖����。
3.2變電站的部署方案�����。由于變電站接入的業務比較單一��,加密裝置的配置也比較簡單�。變電站應該在路由器與交換機之間進行縱向加密網關的部署��。變電站的接入方式不影響加密裝置的功能及正常運行�。如圖2�����。
| 衛士通 | SJW77百兆低端 |
| 衛士通 | SJW77百兆 |
| 衛士通 | SJW77 千兆 |
| 科東 | Pstunnel-2000縱向加密認證裝置(百兆型) |
| 科東 | Pstunnel-2000縱向加密認證裝置(普通型) |
| 科東 | PSTunnel-2000G縱向加密認證裝置(千兆型) |
| 科東 | StoneWall-2000FF正向隔離裝置(百兆型) |
| 科東 | StoneWall-2000FG正向隔離裝置(千兆型) |
| 科東 | StoneWall-2000BF反向隔離認證裝置(百兆型) |
| 科東 | StoneWall-2000BG反向隔離認證裝置(千兆型) |
| 南瑞 | Netkeeper-2000IV |
| 南瑞 | Netkeeper-2000III |
| 南瑞 | Netkeeper-2000FE |
| 南瑞 | Syskeeper2000正向隔離裝置 |
| 南瑞 | Syskeeper2000反向隔離裝置 |
