PSTunnel-电力专用纵向加密证装置白皮书Word文档格式.docx

1、6.2装置类型36.3系统组成46.4内部硬件模块46.5接口规范66.6电气性能66.7几何及物理特性66.8 抗干扰性66.9 基本功能86.10 产品特点96.11 部署位置以及和管理中心的关系11附录：相关其他系统简介13电力调度证书服务系统13电力专用纵向加密认证装置/网关管理中心：131公司简介1.1 科东公司北京科东电力控制系统有限责任公司是一个专门从事电力系统自动化方面的技术开发、技术服务、技术咨询、技术培训及工程承包等工作的高新技术软件企业。注册资金1000万元。1.1.1 组织结构科东公司实行董事会领导下的总经理负责制。由总经理、副总经理全面负责公司运营、技术工作，下设电网

2、调度自动化、配电自动化、应用仿真、电力市场、技术开发、市场、销售、人事行政、质量管理、东北分公司、南方分公司等部门开展各项业务。1.1.2 为您提供的服务在电力二次系统安全防护领域竭诚为您提供以下服务：电力二次系统网络安全防护方案的设计与实施；电力专用网络安全设备系列产品，包括正向型、反向型隔离设备、纵向加密认证装置、加密装置管理系统、信息安全网络隔离装置、拨号加密认证装置、安全网关机、调度证书系统、数据库同步系统等。关于电力二次系统安全防护的咨询和培训。2装置的开发背景 北京科东电力控制系统有限责任公司作为国家电力调度通信中心主持的全国电力二次系统安全防护方案研究课题的参与单位，派出了多名工

3、作人员参与电力二次系统安全防护专家组工作，从事总体方案、技术方案、实施方案的编写，并受国家电力调度通信中心委托开发电力系统专用网络安全产品。 按照全国电力二次系统安全防护的要求，该电力专用网关的研制是国家电力公司科技环保部2000年科技攻关项目，是国家863项目国家电网调度中心二次系统安全防护的子课题。3开发的依据和功能规范 国家电网调度中心发布全国电力二次系统安全防护方案（最新版） 国家电网调度中心制定电力系统专用纵向加密认证装置技术规范（最新版） 中华人民共和国国家标准GB/T 17900-1999 网络代理服务器的安全技术要求 关于维护网络安全和信息安全的决议，全国人大常委会2000年1

4、0月审议通过； 中华人民共和国计算机信息系统安全保护条例，国务院1994年发布； 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法，国家保密局1998年发布； 计算机信息网络国际联网安全保护管理办法，公安部1998年发布； 计算机信息系统安全保护等级划分准则（GB 17859-1999），公安部1999年发布； 电网和电厂计算机监控系统及调度数据网络安全防护规定，国家经贸委2002第30号令； 电力工业中涉及的国家秘密及具体范围的规定，电力工业部和国家保密局1996年发布。 GB/T 14598.9-1995 辐射电磁场抗扰度标准 GB/T 14598.10-1996快速瞬变抗扰度标

5、准 GB/T 14598.13-1998 脉冲群抗扰度标准 GB/T 14598.14-1998 静电放电抗扰度标准 GB/T 17626.5-1999 浪涌（冲击）抗扰度标准 GB/T 17626.6-1998 射频场感应的传导骚扰抗扰度标准 GB/T 11287-2000 机械振动响应标准4参考的安全标准和规范UL 1950EN 41003AS/NZS 3260AS/NZS 3548 Class ACSA Class AFCC Class AEN 60552-2VCCI（ClassII）5我方涉密资质证明和涉密立项我方已经向国家密码管理委员会申请作为“国家密码产品定点生产单位”和“国家密码

6、产品定点销售单位”，已经接受了国家密码管理委员会和北京市国家密码管理委员会的审查。装置采用涉密芯片审批和批复 该装置采用电力系统专用算法密码芯片，并且已经通过国家密码管理委员会办公室批准立项，项目名为“SJY99加密网关”，项目批文号为：国密办字2004292号。加密算法纵向加密认证装置使用的密码算法包括对称加密算法、非对称算法、散列算法和随机数生成算法， 其中的对称算法是经过国密办批复的专为电力系统使用的加密算法。其他算法都是国密办指定的算法。6 PSTunnel2000 电力专用加密认证网关6.1型号PSTunnel-2000 6.2装置类型 PSTunnel-2000电力专用纵向加密认证

7、网关（百兆型）百兆型纵向装置根据装置通信网口分为：电口百兆型、光电一体百兆型。6.3系统组成硬件平台 采用非Intel指令集的处理器， PowerPC平台PowerPC8245 400MZ； 内存=64M； 该网关采用已经集成在标准PCI卡上的采用国家密码办审批的电力系统专用的“SSX06型密码算法芯片”的PCI加密卡作为网络报文加密解密、证书签名验签的“安全模块”； 该网关加密卡采用双密码算法芯片。操作系统 代码可控的经过裁减内核的Linux 作为操作系统。配置软件 纵向加密认证网关提供了良好的用户接口和管理界面。方便简易的配置界面，可以使该装置的配置简单易行。配置信息包括对装置的设备基本信

8、息的配置、高可用信息、双机热备功能的配置，日志功能的定制和配置，该装置的工作模式的配置。6.4内部硬件模块 采用双电源交流110V-220V、直流100V-370V供电， 保证系统供电模块的可靠性； 具有五个不同功能接口自适应网口的网卡， 保证网络传输的高速稳定； 支持双网通信； 旁路网口作为紧急应急接口， 当通信设备故障时，设备断电，设备自动启动旁路功能，此时设备恢复明文通讯。 物理锁具。 保证加密装置内部安全模块的安全，没有特定的钥匙， 不能打开机箱外壳，不能看见“加密认证网关”密码装置内部的结构和安全密码卡的结构。保证“加密认证网关”密码装置的物理安全。 采用国家电力调度通信中心指定的I

9、C卡生产厂家的IC卡，作为该装置的管理人员的“人机卡三方认证”的登录安全介质。 该网关外形为1U标准的机箱：重量为4kg，上架方式为面板前方左右两侧的钢质耳朵。 有蜂鸣器装置作为声音报警装置， 一旦系统发生紧急情况，可以由该系统的报警模块出发，作为提示系统管理人员的声音警示。 在装置的前方配有液晶显示屏，作为系统状态显示的外部接口， 可以动态显示系统内部硬件和软件运行状态的不同的状态信息， 方便用户了解系统运行的状态， 及时发现可能遇到的各种问题，减少系统故障带给电力控制系统运行造成的损失。 面板前后方分别有多个指示灯， 分别代表系统电源状态，内置读卡器状态，IC卡状态，不同网口状态，外接的系

10、统信息串口状态，报警模块外部接口的状态，内部处理模块状态， 安全加密解密模块等系统关键部件的运行状态。 内置硬件Wacthdog， 用以监视系统的运行状态，保证整个硬件电路的安全稳定、可靠。 内置RTC时钟模块， 保证系统时间的精准。6.5接口规范 纵向装置5个10/100M自适应网口； 两个交流110V-220V、直流100V-370V电源插座； 两个电源开关； RJ45转RS232 CONSOLE的接口； IC卡接口，符合ISO7816智能IC卡规范。6.6电气性能 电源交流110V-220V、直流100V-370V，百兆设备功率20W,千兆设备功率40W 环境规范运行温度：-5 - +4

11、5（-15贮藏运输）操作湿度：10% - 90%40摄氏度，非冷凝 大气压力：70kPa106kPa6.7几何及物理特性 尺寸：标准1U机箱 重量：4kg6.8 抗干扰性 辐射电磁场抗扰度 :能承受GB/T15153.1中规定的严酷等级为3级（6V/m）的辐射电磁场干扰实验，性能符合GB/T17626.1总则9中“a）”规定的要求。 快速瞬变抗扰度:电源和信号都能承受GB/T15153.1中规定的严酷等级为3级的快速瞬变干扰实验，性能符合GB/T17626.1总则9中“a）”规定的要求。 脉冲群抗扰度装置: 能承受GB/T15153.1中规定的严酷等级为3级的1MHz和100kHz的脉冲群干扰

12、实验，性能符合GB/T17626.1总则9中“a）”规定的要求。 静电放电抗扰度: 能承受GB/T15153.1中规定的严酷等级为3级的静电放电干扰实验，性能符合GB/T17626.1总则9中“a）”规定的要求。 浪涌（冲击）抗扰度: 能承受GB/T15153.1中规定的严酷等级为3级的浪涌（冲击）干扰实验，符合GB/T17626.1总则9中“a）”规定的要求. 机械振动装置: 能承受GB/T112872000中3.2中规定的严酷等级为1级振动实验，性能符合该标准5中规定的要求。 工频磁场装置: 能承受GB/T15153.1中规定的严酷等级为4级的工频磁场干扰实验，性能符合GB/T17626.

13、1总则9中“a）”规定的要求。 介质强度装置: 能承受GB/T15153.1中规定的严酷等级为3级的绝缘强度（不小于5M）和耐压强度（电源输入回路不小于1500V）实验，性能符合GB/T17626.1总则9中“a）”规定的要求。 稳定性装置: 能承受GB/T13729中3.9规定的稳定性实验; 其他参考标准IEC-1000-4-2 （ESD）IEC-1000-4-3 （辐射敏感性）IEC-1000-4-4 （电快速瞬变）IEC-1000-4-5 （电涌）IEC-1000-4-6 （谐波）6.9 基本功能 纵向加密认证装置中使用的非对称密码功能部分，是基于证书的公私钥验证体系，与现在已经投入运行

14、的各个网省电力调度中心的“电力调度证书服务系统”相配合。证书的格式完全符合X509 证书规范，与“电力调度证书服务系统”各个厂家所签发的证书完全兼容； 专有加密通信协议：加密认证网关间通信协议为国调组织多位专家联合设计，并经权威机构的多位院士审查论证，通信协议内容同样高度保密； 在纵向加密认证装置通信加密协议包括会话密钥协商和通信加密两个阶段。第一阶段的密钥协商需要完成纵向加密认证装置之间的认证和用于通信加密的会话密钥协商。第二阶段完成加密数据的通信； 电力专用纵向加密认证网关能够实现“电力二次系统安全防护总体方案”中要求的安全防护功能，满足二次系统安全防护要求； 我方提供的“纵向加密认证网关”在和不同厂家之间的纵向加密认证网关、装置已经能保证互连互通； 纵向加密认证网关能被其对应的管理中心管理， 具备可管理性； 已经通过电力系统指定单位的电磁兼容性检测； 支持双机热备功能，在任一设备出现故障时，自动切换； 采用代码可控的安全操作系统