摘要:电力专用纵向加密认证装置在电力调度数据网中应用广泛,但其配置过程中会设计很多个步骤与参数,容易造成遗漏与错误,增加工作量降低效率。本文主要研究电力专用纵向加密认证装置的快速准确配置,将配置准备、现场配置、远程调试、和故障排查形成一个配置流程体系,每一阶段再进一步细分,实现配置的严谨性。流程化的配置体系,与传统的配置方式相比,更有利于明确思路,有效避免配置遗漏与错误,进一步提升了工作效率。
关键词:纵向加密;流程化;参数配置
Netkeeper Parameter Configuration Based on Processed
Zhao Ziming
(State Grid Hegang Electric Power Supply Company,Heilongjiang,Hegang,154100)
Abstract:The netkeeper is widely used in power dispatching data network,but the configuration process will be designed a lot of steps and parameters,easy to cause omissions and errors,increase the workload to reduce efficiency.This paper mainly studies the fast and accurate configuration of the netkeeper.The configuration,site configuration,remote debugging,and troubleshooting will form a configuration process system,each stage and then further subdivided to achieve the overall rigidity of the configuration.Process of the configuration system,compared to the traditional configuration is more conducive to clear ideas,which effectively avoid the omissions and errors,and further enhance the work efficiency.
Keyword:Netkeeper;Process-oriented;Parameter configuration
0 引言
纵向加密认证装置是电力调度数据网的纵向安全防护设备,目前在发电厂、变电站、调度主站应用广泛 [1],可以有效防止黑客在通信线路上对信息的拦截与篡改,但纵向加密认证装置的使用也增加了设备,尤其是在加密装置的配置过程中,一旦某一环节出现问题,业务信息都无法正常传输[2]。由于加密装置配置过程中涉及到IP地址、掩码、证书等很多配置,往往会导致很难一次配置成功,有时主站与厂站还需要反复调试,从而花费大量的时间和精力。本文主要对加密装置的配置过程进行研究,从配置准备、现场配置、远程调试、和故障排查等方面进行优化,提高工作效率。
1 配置前准备
纵向加密认证装置具有参数多、配置过程复杂、需要主站与厂站联合调试的特点,配置前准备需要从硬件与软件两方面考虑。在硬件方面,需要检查操作员U盾和加密卡是否完好齐备,对于厂站侧纵向加密认证,需要检查携带的工具中是否有网线、串口线,并携带备用网线串口线,网线及串口线应具有足够的长度,便于现场使用;软件方面,检查纵向加密认证装置管理工具是否能够正常使用,特别是安装厂站加密前,进行管理工具与加密设备连接测试,保证管理工具的可用性,事先规划和查找在加密装置配置过程中所需要的一系列IP地址、MAC地址、网关地址、子网掩码等[3],了解现场属于二层网络还是三层网络,有无剩余IP地址分给加密设备使用,生成证书请求文件,进行逐一签发,将所需要的操作员证书、本端设备证书、对端设备证书、内网监视平台证书备齐。对于厂站侧加密的配置,主站侧应留有操作人员进行远程调试。
期刊文章分类查询,尽在期刊图书馆
2 现场配置
在纵向加密认证装置配置过程中主要涉及网络配置、桥接配置、远程配置、路由配置、隧道配置、策略配置、透传配置,在进行配置时应按步骤进行,避免遗漏,配置各项参数前应当将涉及的证书进行正确导入。网络配置中声明网络时命名应当规范,便于日后维护,网址与网段范围不应过大,对于三层网络结构,需额外加一条与交换机管理地址同网段的地址,在桥接配置中,勾选对应的内外网网口,虚拟网卡名称应便于在路由配置时使用,远程配置主要是与主站侧内网监视平台之间通信,包括装置管理与日志审计,装置管理选择正确的内网监视平台证书,在路由配置中,接口名称要与桥接配置中的虚拟网卡相一致,VLAN要填写准确的规划的数值,目的网络避免网址范围过大,隧道配置中隧道名称应易于理解,正确填写本端于对端加密装置地址,选择对端设备证书,在策略配置中,应包括业务策略、ping策略和监控平台策略,其中业务策略应密文传输,采用TCP协议,每项策略内外网地址以及远方端口应限制在最小范围,禁止保留大明文策略[4],若配置主站侧加密装置还应进行透传配置,使得内网监视平台能够管理到厂站加密装置。在现场配置中,完成每项配置后应当保存并上传,全部配置完成后应重启装置使得配置生效。
3 远程调试
配置完成的纵向加密认证装置,为了验证数据畅通与加密功能需要进行远程调试,主要包括与远程纵向加密设备之间的调试和内网监视平台之间的调试。在于远程加密主装置进行调试时,首先查看隧道状态,在隧道畅通的情况下,进行主站与厂站工作站之间的互ping,相互远程登录,在隧道管理中查看数据包数量,判断业务是经过明文还是密文进行传输的,在与内网监视平台进行调试时,需要在系统管理的区域管理中添加设备所在的厂站名称,在内网监视平台上添加加密装置,选择加密设备所在的一平面或二平面所在的安全区,在实时监控的纵向管控中添加装置节点,在节点信息管理中,填写加密装置的IP地址,并导入加密装置设备证书,连接装置查看内网监视平台上能否与加密装置连通,连通后查看隧道管理,能否查看策略、修改策略,验证纵向加密可以连接与管控。
4 配置阶段的故障排查
纵向加密认证装置配置完成后由于各方面的原因可能导致无法与远程加密设备或内网监视平台业务的不正常,主要包括与远程加密装置业务不通和内网监视平台无法管控。对于业务不通的情况,配置完成后在管理工具软件上查看隧道状态,若隧道不通,首先检查网络,利用ping指令逐一ping包括交换机在内的网络各个节点[5],如网络正常则检查隧道配置的参数,隧道正常后,检查策略配置中是否允许业务通过,可配置大明通策略测试,逐渐缩小策略范围的方式对策略进行检查,确定策略正常后,检查证书内容是否为空。对于内网监视平台无法管控,先SPING加密装置检查连接是否正常,若无法SPING到加密设备则检查IP地址,网络连接,SPING成功后,检查内网监视平台证书与加密装置设备证书是否为空,证书为空则需重新签发导入,证书正常后在监视平台查询隧道状态,重置隧道并刷新。故障排查时也可借助于CRT后台软件,利用debug-i和debug-d排查故障点。
5 总结
电力专用纵向加密认证装置是电力调度数据网的重要安全防护设备,其配置过程较为繁琐,本文对传统配置过程分成多个环节,形成配置准备、现场配置、远程调试、和故障排查等环节构成的总体流程体系,在各个环节又形成各自的流程体系,在配置准备环节主要包含硬件和软件的准备,现场配置阶段形成以网络配置、桥接配置、远程配置、路由配置、隧道配置、策略配置和透传配置的配置流程,并在每一步再进一步细化,远程调试环节主要包括与远程纵向加密装置和内网监视平台的联合调试,故障排查阶段主要包括网络排查、隧道排查、策略排查、证书排查、内网监视平台管控排查等,各个环节层层相扣、紧密衔接,最大限度度地保证漏配和错配,提高配置质量和效率。
参考文献:
[1] 庄莎莉.纵向加密技术在调度数据网的应用[J].科技与企业,2015,(24):93.
[2] 吴鹤宇.电网调度业务纵向加密功能探索[J].信息系统工程,2014,(01):87-88.
[3] 陆子成,张铁龙,程夏.针对纵向加密装置的网络安全威胁分析[J].微型机与应用,2016,35(21):5-7.
[4] 梁智强,陈晓帆.纵向加密认证装置转发性能测试的研究[J].计算机测量与控制,2012,20(03):606-609.
[5] 佟芳,韩清秀,张文飞,马旭,马国雷.纵向加密认证装置联调常见问题分析及处理[J].青海电力,2017,36(01):63-65.
作者简介:
赵子明,国网鹤岗供电公司,主网自动化运维员
论文作者:赵子明
论文发表刊物:《电力设备》2017年第26期
论文发表时间:2018/1/6
标签:装置论文; 纵向论文; 隧道论文; 内网论文; 策略论文; 证书论文; 设备论文; 《电力设备》2017年第26期论文;