纵向加密的目标

电力系统二次系统安全防护的目标

    抵御病毒、黑客等通过各种形式发起的恶意破坏和攻击，尤其是集团式攻击，重点保护电力实时闭环监控系统及电力调度数据网络的安全。防止由此引起电力系统事故，保证国家重要基础设施的安全。

什么是I区、II区、III区、IV区？

Ⅰ区：实时控制区：直接实现实时监控功能。

Ⅱ区：非控制生产区：不具备控制功能，使用调度数据网络，在线运行，与安全区Ⅰ中联系紧密。

Ⅲ区：生产管理区：

Ⅳ区：管理信息区

什么是横向？什么是纵向？

横向：本单位内不同安全区之间。

Ⅰ区与Ⅱ区之间防火墙

Ⅰ/Ⅱ区与Ⅲ区之间横向隔离装置

Ⅲ区与Ⅳ区之间信息隔离装置

纵向：上下级单位之间。

生产大区之间上下级单位之间防护采用纵向加密认证装置

产品组成

纵向加密认证装置：位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，用于安全区I/II的广域网边界保护，可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。

本地管理终端：提供给操作员在当地对装置进行设置及管理的计算机终端系统。

调度证书服务系统（CA）：为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务，以解决网络应用中的机密性、完整性、不可否认性等安全问题。

管理中心系统：位于电力调度中心，完成对所辖的多厂商的装置进行统一管理的计算机系统。

工作原理

纵向加密认证装置在网络中至少存在两台才有意义，常部署于路由器与交换机之间。

设备中eth0与eth1为一对，eth2与eth3为一对。eth0与eth2接内网侧，eth1与eth3接外网侧，即eth0与eth2接交换机，eth1与eth3接路由器。

eth4为配置口

访问过程

主机A访问主机B全过程————ARP（A侧）

①主机A系统发现目的B与自身不在同一网段，查找路由表寻找网关。

②主机A发送ARP广播，询问网关192.168.1.xxx的MAC地址，发送ARP请求。

③纵向装置eth0口接收到ARP请求，记录eth0口学习到192.168.1.1的MAC地址，并将该报文透传到eth1口。

④路由器A接收到ARP请求，应答该请求。

⑤纵向装置eth1口接收到ARP应答，记录eth1口学习到192.168.1.xxx的MAC地址，并将该报文透传到eth0口。

⑥主机A接收到ARP应答，学习到网关192.168.1.xxx的MAC地址表。

主机A方位主机B全过程————IP

①主机A向主机B发送报文 192.168.1.1->192.168.2.1 (TCP协议)

②纵向装置A在0口接收到该报文，查找策略为加密策略且隧道OPEN，将整个IP报文加密并重新构造IP头，源IP为192.168.1.250，目的IP192.168.2.250，协议为ESP。192.168.1.250->192.168.2.250(ESP协议)

③纵向装置B在1口接收到该报文，查找对应隧道进行解密还原，策略判断。发送至eth0口。192.168.1.1->192.168.2.1(TCP协议)

④主机B接收到报文，产生应答。

纵向加密认证装置联调常见问题

厂站纵密装置与主站纵密装置无法连接

装置无法连接主要表现为厂站纵向加密装置接入调度数据网后，调度主站无法连接装置，隧道无法成功建立，这种情况（1）要排除双方网络相关配置是否有问题，若厂站与主站设备之间网络不通畅，就会出现这种情况。首先检查主站端路由器配置，采用PING命令展开测试，并关闭网络连接状态，若PING命令无法通过对方的IP地址，则需要增加相应的路由;其次检查厂站侧网络配置状态，包括设备管理地址以及路由等，检测好网络协议配置和VlAN后，确保装置接入数据网后可用。若双方网络通畅，则进行（2）检查双方证书导入是否正确。若有一方未导入证书、证书导入不正确或证书本身格式不正确，都会导致双方无法连接。这种情况需要通过设备本身提示出的信息或查看设备日志来判断是否证书问题。如兴唐纵向加密认证装置通过隧道状态中的错误协商包可以进行判断，隧道状态为请求发送，且其错误协商包不为0且与发送协商包数量成正比，则说明证书有问题，需要重新导入正确的证书，以解决隧道无法打开的问题。（3）若在联调过程中出现数据通信中断问题，则在主站纵向加密认证装置上对厂站端纵向加密装置发送隧道协商探测，确定数据通信中断到底是由于周期太短还是厂站端应用程序数据流量过大所致。实施多次反复测试后，再将主站羰纵向加密认证装置周期扩充到100s，然后将两端的数据业务主机系统的MTU值修正到1400，稳定数据的传输和接受，保证数据传输的稳定性，解决数据中断问题。

管理中心无法管理厂站纵密装置

管理中心是利用电力调度纵向加密认证系统，在远程对厂站的纵向加密认证装置进行监测和管理。通过管理中心，可以对受管控的厂站或主站纵密装置进行远程监测和配置，如查看或修改隧道以及隧道下的策略，不用维护人员下站进行操作，可见管理中心是整个电力运输的核心区域。若其对厂站纵向加密不可管理，就意味着管理中心和厂站之间无法实现安全纵向管理，也增加维护难度。（1）检查两端网络配置，保证网络通畅。（2）确保两端证书导入正确。由于各地区厂站纵向加密装置厂家、型号不统一、种类较多，兼容性不高，因此对于证書格式及认证需要相互协商，需要一厂家技术人员进行协商和沟通，对厂站的设备和程序进行修改和升级，重新导出证书进行交换，确保管理中心能够识别厂站证书且能与之建立连接。（3）检查管理中心平台配置以及厂站配置是否有遗漏。严格按照管理中心平台操作流程添加厂站纵密装置，避免某个环节出错导致无法管理。对于厂站纵密装置，主要是添加管理中心证书以及地址，不同厂家对添加管理中心的配置及流程不同，需要仔细排查以确保管理中心添加正确。

纵密装置隧道业务不通

隧道业务不通畅，厂站纵向加密装置在数据网接入调度完毕后，管理中心接入管理厂站设备后，发现无法实现业务顺通，隧道建立成功但业务指令无法执行和输送。这种现象出现是因为设备本身配置出现问题，设备能连接意味着厂站设备和管理中心网络正常连接，设备管理就说明在证书导入方面不存在矛盾，隧道建立则对端设备导入也正常，业务指令无法传输和执行，就只能是隧道具体策略配置存在问题，无法正常进行设备运行。为解决问题，先要进行策略配置问题排查，检查好设备配置的起止地址，并检测目的端口限制，通信方向和源端口限制等，然后在从设备的明通和密通进行检查，看设备是否有明通/密通渠道，若是一端加密另一端的明通，则是数据无法解密还原，应对两端解密包数量进行核查，要是检查厂站设备内外网口接反，则设备无法进行加密，这就需要对纵向加密装置进行顺序匹配，然后逐一排查编号的所有策略与当前策略交叉情况。如果隧道状态正常，但加密和解密数据包存在较大差异，则是数据通信异常，通信两端纵向加密认证装置策略检查无问题，应该对两端相关业务策略进行修改，将两端都修改成明通，然后对厂站端进行光功率预测设备参数进行修改，确保问题能够得到有效解决。