摘要:电力调度数据网络数据传输的安全性至关重要,其承载的数据涵盖了电力一次系统遥测、遥信、实时控制、故障录播等重要业务信息,实现这些信息传输的保密性、真实性和完整性是保证电力系统免遭外部黑客或病毒恶意破坏,实现电力二次系统安全运行的重要基础。当前电力调度数据网络主要通过电力专用纵向加密认证装置来实现对业务数据的过滤、加解密、认证和完整性校验,从而保证业务数据传输的安全可靠。本文主要从电力专用纵向加密认证装置隧道建立过程的状态转换、数据包转发原理及装置运维方面分析了电力专用纵向加密认证装置的工作机理,为电网调度自动化维护人员对电力专用纵向加密装置的运行维护提供了实用的理论参考。
关键词:电力调度数据网;电力二次系统安全;纵向加密
1导言
随着工业控制系统智能化、信息化和自动化程度的提升,网络安全风险日益凸显,电力系统已成为黑客组织和敌对势力潜在的入侵攻击对象,提升电力系统网络安全防范水平刻不容缓。国家相关主管部门先后发布三项强制性命令,从政策制度方面建立健全电力监控系统的安全防护,其中:“经贸委30号令”明确了建立以边界防护为主的安全防护体系;“电监会5号令”提出了采用国产软硬件产品满足等级保护要求;“发改委14号令”提出了基于可信计算技术建立安全免疫机制。电力专用纵向加密认证装置正是应电力监控系统相关安全防护要求而设计的一种专用设备,主要用于电力系统上下级监控系统之间的纵向业务传输,为电力二次系统安全运行提供了重要技术保障。
2电力专用纵向加密认证装置技术原理
按照“安全分区、网络专业、横向隔离、纵向认证”的安全防护原则,纵向加密装置一般部署于安全I、II区的广域网边界,装置采用基于CA证书链的机制和基于PKI的密钥分发机制,具有IP过滤、双向认证、数据加密、远程管控、实时告警功能,实现了生产控制大区业务数据传输的完整性、保密性、真实性,是电力监控系统的重要纵向安全防线。
2.1加密算法概述
纵向加密装置一般采用操作员密钥、设备密钥、会话密钥和通信密钥实现对设备的登录、隧道的协商、数据的加解密和设备的管控,充分利用了非对称密钥算法易于分发密钥和对称密钥算法加解密效率高的优势。
纵向加密装置常用的非对称密码算法有RSA和SM2,常用的对称密码算法是SSF09,常用的单向散列算法包括MD5、SHA和SM3。RSA算法由Ron Rivest、Adi Shamir和Leonard Adleman在1977共同提出的,它基于“将两个大素数相乘很容易,但对其乘积进行因式分解却很难”这一数论依据,是ISO推荐的公钥算法加密标准。SM2算法是一种基于椭圆曲线密码体制的算法,与RSA算法相比,其密钥长度和运算代价小、安全性高,已在加密实践中被广泛使用。
2.2三级证书链体系
纵向加密装置可以通过国调、省调和地调度三级证书系统逐级签发和验证下级证书。地调证书系统实现对设备证书的签发和验证、省调证书系统实现对地调根证书的签发和验证、国调证书系统实现对省调根证书的签发和验证,国调根证书由国调证书系统采用非对称算法实现自签名,三级证书链层层验证确保设备证书的真实性。
证书系统由系统管理员、系统证书管理员、录入操作员、审核操作员和签发操作员五类用户进行管理。系统管理员由专用工具生成,用于实现对证书系统密钥的销毁和保护;系统证书管理员用于管理系统数据库和日志,以及创建或销毁录入操作员、审核操作员和签发操作员三类用户;录入操作员用于管理证书签发、更新和吊销请求,并将相关请求处理结果录入系统数据库;审核操作员用于对用户的签发、更新和吊销请求进行审核,并将审核处理结果录入系统数据库;签发操作员用于对审核通过的签发、更新和吊销请求进行处理。
2.3加密隧道建立机制
以A、B两台纵向加密装置为例说明加密隧道和会话密钥的协商过程。A装置首先产生一个随机数A1,用B装置的公钥加密并用自己的私钥签名后,封装为协商报文(IP253报文)向B装置发送协商请求。B装置收到A装置的协商请求后,对解密后的对加密报文进行哈希运算,并将哈希运算结果与用A装置的公钥验签后的结果比较,验证所收报文的真实性和完整性后,用B自身的私钥解密报文得到随机数A1,然后B装置产生一个随机数B1,与随机数A1共同生成会话密钥,用A装置的公钥加密并用自己的私钥签名后,封装为协商报文(IP253报文)向A装置发送协商响应。A装置收到B装置的协商响应后,同样经过验签和解密,验证报文的真实性和完整性,根据解密报文中的随机数A1和B1产生会话密钥,发送响应报文后隧道建立成功。
2.4数据包转发机制
以主机A和主机B业务数据通信为例说明纵向加密装置的数据包转发机制。主机A要向主机B发送业务数据,主机A首先发送ARP请求寻找网关的MAC地址,装置A内网口Eth0收到ARP请求包之后,记录主机A的MAC地址,并将该请求数据包透传到外网口Eth1。网关收到ARP请求之后回复ARP响应报文,装置A外网口Eth1收到ARP响应报文后,记录主机B的MAC地址,并将该响应数据包透传到内网口Eth0。主机A封装并向主机B发送业务报文,装置A内网口Eth0收到业务报文,进行策略匹配,若策略匹配失败,则丢弃该数据包;若策略匹配为明文,则由外网口Eth1透传该数据包;若策略匹配为加密且隧道为建立状态,则对原IP数据包进行加密且在原IP包头前封装新的IP包头,新IP包头源、目的IP地址为隧道的本地、对侧地址,协议号为50,新数据包的MAC地址和VLAN标识号保持不变,新的业务数据包经外网口Eth1转发。数据包到达装置B的外网口Eth1后,装置B对数据包进行解密,进行策略匹配,若策略匹配失败,则丢弃该数据包;若策略匹配成功,则对解密后的IP包封装与收到的加密数据包相同的MAC地址和VLAN标识号,并由内网口Eth0转发,完成主机A向主机B发送数据包的全过程。
3纵向加密装置的运维与管理
纵向加密装置接入内网监控平台后,可通过UDP514日志报文和IP254管理报文实现告警和管理控制功能,管理报文通过对称的通信密钥加密并由主站采集装置私钥签名,同时通信密钥经过加密装置公钥加密后随管理报文传输,每发送一条管理报文就会产生新的通信密钥,确保信息传输的安全性。纵向加密设备运行过程中需重点关注的运行指标包括密通率、在线率和告警条数,它们与数据通信的保密性和业务运行的安全性密切相关。
3.1装置密通率的提升
纵向加密装置密通率较低的原因往往是对于某些未安装加密装置的变电站,为了保证业务数据的正常传输,在数据网启动时通常会在主站纵向加密装置内配置一条业务数据的明通策略,明文的业务数据不利于数据传输的保密性,降低了主站加密装置的密通率。对于这类变电站需及时安装加密装置,并完善主站和厂站的装置配置,使主站加密装置的密通率尽快提高。
3.2加密装置在线率的提升
装置在线率统计的基础数据来源于UDP514日志报文,某些厂站加密装置日志模块未配置或者配置错误导致装置日志信息无法正常上送到主站采集装置,造成装置离线,使得装置在线率较低。对于此
类加密装置,需要及时进行日志模块的配置,确保日志信息可以正常上送,提升装置在线率指标。
3.3加密装置告警信息的处理
告警信息通常包括:安全事件类告警、运行异常类告警和设备故障类告警,根据事件的紧迫性又可分为普通、重要和紧急三类告警级别。装置运行中常见的告警包括:对不安全网络端口的访问告警、非法IP的访问告警、非法设备接入等,对各类告警要及时追踪告警源,并采取相应措施解除告警,从而消除系统安全隐患。
3.4加密装置的远程维护
通过内网安全监控平台的远程管控功能可以实现添加隧道、删除隧道、重置隧道和查询隧道状态的隧道管理功能,以及添加安全策略、删除安全策略、编辑安全策略和查询安全策略的安全策略管理功能,日常运维中需要加强装置的远程管控,及时发现加密装置隧道的异常状态和排查不合理的安全策略,实现对加密隧道和安全策略的高效维护。
4结束语
电力监控系统网络安全风险愈益凸显,电力监控系统安全I区和安全II区的生产系统涵盖了电力系统实时数据采集、监视和控制等重要业务,在电力调度数据网络部署电力专用纵向加密认证装置已经成为纵向网络边界抵御黑客入侵、病毒攻击和各种恶意破坏的重要技术手段。通过加密装置的包过滤功能可以筛除可能存在的恶意数据,实现了类似于包过滤防火墙的功能;通过专用加密算法对业务数据包进行加密处理,有效地防止窃听者对数据内容的解密,保证了数据传输的保密性;通过对加密后的业务数据进行消息摘要计算,有效地防止篡改者对业务数据的恶意修改,保证了数据传输的完整性;通过对消息摘要计算结果进行签名处理,有效防止伪造者发送虚假数据,保证了数据传输的真实性。本文着重对电力专用纵向加密认证装置的基本功能特点和运维管理进行了论述,主要阐明了加密装置隧道协商原理、数据包转发原理和运行指标管控要点,可以为纵向加密认证装置的运维工作提供有效的参考。
参考文献:
[1]廖杰灵.电力调度数据网安全技术及其应用[J].通讯世界,2018(04):219-220.
[2]庄植钧. 电力无线专网上行信道资源分配方法[D].北京邮电大学,2018.
[3]史雪梅.电力调度数据网安全技术及其应用[J].科技与创新,2016(18):142.
[4]倪春雷,王飞,孟艳卿,李奇峰,琚永安,谭文刚.电力调度数据网络结构特性分析[J].中国高新技术企业,2016(16):124-125.
论文作者:韩伟峰
论文发表刊物:《电力设备》2018年第20期
论文发表时间:2018/11/12
标签:装置论文; 纵向论文; 报文论文; 密钥论文; 电力论文; 数据论文; 证书论文; 《电力设备》2018年第20期论文;