1 、现状
电力行业是国民经济的基础产业，是一切电子设备正常运行的基础，保证持续、高效的电力供应是关系到国计民生的大事，也是电力部门工作注目的焦点。 电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心；发、输、配电系统一体化，系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。 随着电力行业的不断发展，电力的关键业务不断增长，因此信息化应用也不断增强，网络系统中的应用越来越多。同时，随着Internet技术的发展，建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立，网上应用着各种电力业务及办公系统。与此同时，电力信息网络系统的网络安全问题愈来愈显得重要。
2 、应用需求
电力系统网络由电力调度数据网和电力数据通讯网两大网络系统组成。其中，电力调度数据网属于电力系统的生产控制区,是一个典型的分层分级网络，全网主要分为五级：国家调度通信中心、省级调度通信网络、地市、县级调度通信网络。
通过对电力调度数据网络的特点和传输业务类型的研究和分析，发现电力调度系统存在以下安全需求：

• 电力系统网络一般根据业务性质的重要性划分为不同网络，各网络之间需要信息交换，在不同的网络边界需要进行安全隔离。
• 由于电力调度数据和电力监控数据是通过广域网进行传输的，广域网的开放性、非安全性使得在广域网中传输的数据很容易被获取和篡改。
• 需保证网络传输数据的完整性和机密性，抗截取，抗复制，抗篡改。
• 各网络之间的通信，包括用户的安全访问等需要进行对于用户的权限控制及保护，保证合法用户的访问需求。
• 可避免网络协议的风险，包括各种应用协议以及TCP/IP协议，防止网络攻击利用这些协议的安全漏洞。
• 调度通信中心局域网内部系统需要定期检查安全漏洞，包括操作系统的漏洞、数据库的漏洞、桌面应用系统的漏洞等，防止非法人员利用这些漏洞从内部网络中获取机密数据。

3 、解决方案
全国电力系统二次系统安全防护专家组在《二次系统总体方案》的基础上制定了《电力系统专用纵向加密认证装置技术规范》（简称《技术规范》），该规范规定了纵向加密认证装置及相关设备装置管理系统的设计、开发、运行过程中必须遵从的技术要求。
我公司于2004年2月受国家电力调度通信中心委托，针对国家电力系统应用的特点，解决电力调度通信系统存在的安全隐患，根据《技术规范》要求，成功开发了国家密码管理局批准的电力系统专用纵向加密认证装置，产品型号为：SJW77，为国家电力调度通信系统的保密性和完整性提供有效保障。
SJW77保护网络中的通信数据的机密性、完整性，并对网络访问进行有效的身份认证。
SJW77把整个用户网络划分为内部网络和外部网络。
对从外部网络到内部网络的通信。首先，装置对外部用户的身份进行验证，这个验证基于数据包的IP地址；然后，根据配置的安全策略，丢弃没有通过身份认证的数据包，解密通信对方进行了安全保护的数据包（加密、认证）；最后，对通过安全处理的数据包转发给内部网络。
对于从内部网络到外部网络的通信，装置检查内部用户是否有权限访问外部网络，如果没有权限，禁止其通信。对于有权限的用户，对网络通信进行安全保护（加密、认证），并通过外部网络转发通信对方。
SJW77对访问自身的通信进行非常严格的保护，只有持有管理中心发出的IC卡（代表管理员身份）才能访问装置，并对系统进行安全策略、安全设置等操作。
4、 产品部属
按照“分级管理”要求，SJW77将部署在国调、网调、省调各级调度中心及下属的各厂站，根据电力调度通信关系建立加密隧道（原则上只在上下级之间建立加密隧道），加密隧道拓扑结构是部分网状结构。
在各级调度中心设立管理中心，由各级管理中心完成对所辖的设备进行统一管理。SJW77的管理采用“统一协调、分级管理”体制，由各级管理中心完成对所辖的多厂商的设备进行统一管理。调度中心及下属的设备由管理中心直接管理。
产品部署示意图如下图所示：



5 、关键技术
SJW77在开发中使用了下列关键技术：

•  包过滤

SJW77对进出系统的所有数据包实施基于安全策略的检查，数据包的过滤检查有入、转发和出三次检查。我们可以依据系统网络的实际情况，配以适当的安全策略来实施检查。
入检查是确保进入设备的数据包均为有效数据，利用它可以实现对设备的访问控制；转发检查主要是针对受保护网络的访问控制，以防止非法用户的进出，同时还可以提供对不同局域网之间通信数据的加/解密保护；出检查主要是针对设备自身生成的数据和转发的数据包，以防止设备将其数据送往非法的地址和程序。
在设备中根据安全规则的设置，对通过的IP数据包的协议类型、协议选项、源/目的地址、源/目的端口等过滤条件进行判断，并做相应的处理。处理手段包括对数据包的允许、丢弃、加/解密三项。允许就是转发整个IP数据包 ，丢弃就是抛弃整个IP数据包 ，并且不通知发送方。

•  会话密钥协商

会话密钥由两台设备之间协商产生。协商过程采用数字签名进行身份认证，并且使用序列号抗重放攻击。产生会话密钥的随机数在设备之间加密传送，并且通过特定的算法产生最终的会话密钥，具有很高的安全性。若连续协商失败次数超过预先设置值，则将给出严重告警信息（含声、光等方式）。

• 通信数据安全处理

为了保障电力监控数据和电力调度数据在网络上传输的安全，重要信息不会被窃取和监听，保障调度通信中心内部局域网网络结构以及内网主机地址不会在外网被泄漏，SJW77设备在处理数据包时除了用国密办批准的专用加密算法对原有的数据包进行加密外，还在原有的数据包前面采用一个新的IP头进行隧道封装，新IP头的源地址和目的地址均是隧道的起始地址和终止地址，新IP头中的协议号改为为50（ESP）；为了提高加密强度，增强密文抗攻击能力，通过变换IV（加密初始向量）来实现一包一密，对原IP报进行填充后用CBC模式加密整个IP报文。

•  管理数据安全处理

为了保障管理报文和密码机应答报文在传输过程中不会被篡改、监听，远程管理中心和密码机采用了加密运算、HASH运算和RSA运算保证了管理报文的机密性、完整性和数据源认证。每个管理报文的加密密钥都不同，实现了一次一密。

• 关键数据存储安全处理

在设备中保存有系统所有的密钥信息、网络参数、安全规则设置，这些信息的安全与否直接影响到装置自身的安全以及被保护网络的安全，因此它们的存放不能采用明文的方式，必须考虑加密存放。
在设计过程中，首先考虑对这些信息加密存放机制的设计必须要有足够的安全强度，其次也必须考虑到设计具有可操作性（能够适应对这些信息频繁的操作，如添加、删除、更改加密密钥，以及加密的效率等）。
基于以上两个方面的考虑，在系统中采用加密文件系统的方式来完成关键数据的加密存放。

• 安全可靠的身份认证

在对设备进行配置前必须首先进行操作员、操作员卡和设备之间的人机卡认证，认证通过后才能取得对设备的操作许可，其中操作员卡是具有密码运算功能的智能IC卡，由调度证书服务系统签发，具有很强的安全性。
6、 应用效果
装置的部署解决了国家电力调度通信数据的机密性和完整性等问题，大大降低了网络攻击的风险，避免因网络攻击而造成国家和电力公司经济损失，保障了国家电力系统长期稳定运行。