二次安全防护

1、 云南电网调度数据网电力二次安全防护项目广州中软信息技术有限公司项目技术培训第一页，共六十六页。电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙操作管理横向防火墙操作管理议程第二页，共六十六页。电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙配操作管理横向防火墙配操作管理议程第三页，共六十六页。电力二次系统简介电力一次系统 一次设备（也称主设备）是构成电力系统的主体，它是直接生产、输送和分配电能的设备，包括发电机、电力变压器、断路器、隔离开关、电力母线、电力电缆和输电线路等。电力二次系统 二次设备是对一

2、次设备进行控制、调节、保护和监测的设备，它包括控制器具、继电保护和自动装置、测量仪表、信号器具等。二次设备通过电压互感器和电流互感器与一次设备取得电的联系。第四页，共六十六页。电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙操作管理横向防火墙操作管理公司介绍议程第五页，共六十六页。二次安全防护系统项目建设原因优先级风险说明/举例0旁路控制（Bypassing Controls）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏（Integrity Violation）非授权修改电力控制系统配置或程序；非授权修改电力

3、交易中的敏感数据。2违反授权（Authorization Violation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（Illegitimate Use）非授权使用计算机或网络资源。6信息泄漏（Information Leakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web服务欺骗攻击；IP 欺骗攻击。8伪装(Ma

4、squerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务（Availability, e.g. Denial of Service）向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。10窃听（Eavesdropping, e.g. Data Confidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。第六页，共六十六页。二次安全防护系统项目建设目标防范病毒、木马等恶意代码的侵害保护电力监控系统和电力调度数据网络的可用性和连续性保护重要信息在存储和传输过程中的机密性、完整性实现应用系统和设备接入电力二次系统的身份认证，防止非法接

5、入和非授权访问实现电力监控系统和调度数据网安全事件可发现、可跟踪和可审计实现电力监控系统和调度数据网络的安全管理第七页，共六十六页。二次安全防护系统安全防护手段 我们通过各种方法对电力二次系统业务进行安全防护 ，具体如下 ：安全分区： 根据电力二次系统业务的重要性及其对电力一次系统的影响程度进行分区，南方电网电力二次系统分为生产控制大区和管理信息大区，其中生产控制大区分为控制区（又称安全区I）和非控制区（又称安全区），生产控制大区是重点保护对象。网络专用： 南方电网各级电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离。该网可采用M

6、PLS-VPN技术或类似技术划分两个相互逻辑隔离的业务子网，即实时VPN和非实时VPN。 第八页，共六十六页。二次安全防护系统安全防护手段 我们通过各种方法对电力二次系统业务进行安全防护 ，具体如下 ：横向隔离： 南方电网电力二次系统应采用安全防护设备实现各安全区的隔离，在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向安全隔离装置实现高强度隔离。生产控制大区和管理信息大区内部的安全区之间应采用防火墙或带有访问控制功能的网络设备实现逻辑隔离。 纵向加密： 南方电网各级调度中心和厂站在控制区与调度数据网的纵向连接处应部署经过国家指定部门检测认证的电力专用纵向加密认证装置

7、或加密认证网关以及其它安全设施，为上下级控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务 第九页，共六十六页。二次安全防护系统网络安全区域划分示意图第十页，共六十六页。二次安全防护系统网络安全区域划分示意图第十一页，共六十六页。二次安全防护系统安全区域划分控制区（安全区I）： 控制区是电力二次系统各安全区中安全等级最高的分区，是必不可少的分区。该区中的业务系统与电力调度生产直接相关，有对一次系统的在线监视和闭环控制功能，且具有连续性、实时性（毫秒级或秒级）的特点以及高安全性、高可靠性和高可用性的要求。该区通过调度数据网络的实时VPN子网或专线通道与异地相关的安全区互联。 控

8、制区的典型系统包括调度自动化系统（SCADA/EMS）、广域相量测量系统（WAMS）、自动电压控制系统（AVC）、安稳控制系统、在线预决策系统、具有保护定值下发、远方投退功能的保信系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等，还包括使用专用通道的控制系统，如：安全自动控制系统、低频/低压自动减负荷系统、负荷管理系统等。 安全区主要使用者为调度员、继电保护运行管理人员和运行操作人员。第十二页，共六十六页。二次安全防护系统安全区域划分非控制区（安全区II）： 本区是电力二次系统各安全区中安全等级仅次于安全区的分区。该区的业务系统功能与电力生产直接相关，但不直接参与控制；系统在线运行

9、，与安全区的有关业务系统联系密切。非控制区的数据采集频度是分钟或小时级，该区使用调度数据网络的非实时VPN子网或专线通道与异地相关的安全区II互联。 非控制区的典型系统包括调度员培训模拟系统、不带控制功能的继电保护和故障录波信息管理系统、水调自动化系统、电能量计量系统、电力市场运营系统、厂站端电能量采集装置、故障录波器和发电厂的报价终端等。 安全区II主要使用者分别为调度员、水电调度员、继电保护人员及电力市场交易员等。 第十三页，共六十六页。二次安全防护系统安全区域划分管理信息区： 管理信息大区的业务系统主要用于生产管理和办公自动化。管理信息大区的典型业务系统包括调度生产管理系统（DMIS）、

10、管理信息系统（MIS）、办公自动化系统（OA）、电网生产信息查询系统、统计报表系统、雷电监测系统、气象信息、客户服务系统、对外信息发布、Internet访问等 。第十四页，共六十六页。二次安全防护系统云南电网调度数据网业务种类调度自动化业务（EMS）；广域相角测量系统（WAMS）；安全稳定控制系统；水调自动化业务；电能量计量数据；继电保护信息系统；行波测距系统。第十五页，共六十六页。二次安全防护系统业务种类VPN划分序号业务系统实时子网非实时子网备注1 调度自动化系统（EMS） 2 广域相角测量系统（WAMS） 3 安全稳定控制系统 4继电保护信息系统 5 电能量计量系统 6水调自动化系统 7

11、行波测距系统 第十六页，共六十六页。电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置配置讲解纵向防火墙配置讲解横向防火墙配置讲解议程第十七页，共六十六页。网络拓扑安防改造前（省调/地调/500KV变电站）第十八页，共六十六页。网络拓扑安防改造后（省调/地调/500KV变电站）第十九页，共六十六页。网络拓扑安防改造前（220KV变电站）第二十页，共六十六页。网络拓扑安防改造后（220KV变电站）第二十一页，共六十六页。网络拓扑选用动态路由OSPF的优势采用动态路由，对调度路由器端，无需采用VRRP协议。采用动态路由，防火墙和加密装置无需配置主备部署方式，只需通过OSP

12、F的Cost值设置主备平面。若采用静态路由，那么调度路由器端将需要试用VRRP，那么调度路由器需要使用二层桥接，方实现VRRP协议在交换机和调度路由器之间透传，传输VRRP协议。若采用静态路由，那么纵向防火墙、纵向防火墙将需要浪费一个端口用作热备口。根据贵州调度数据网二次安全防护项目经验，采用动态路由OSPF的方式，联络故障的时候收敛比“VRRP静态路由”的方式更快。第二十二页，共六十六页。网络拓扑设备用途控制区（安全I区）交换机:用于电力二次系统实时业务系统接入：调度自动化系统（EMS） 广域相角测量系统（WAMS） 安全稳定控制系统非控制区（安全II区）交换机:用于电力二次系统实时业务系统

13、接入:继电保护信息系统 电能量计量系统 水调自动化系统 行波测距系统 第二十三页，共六十六页。网络拓扑设备用途调度数据网路由器:电力二次系统数据接入到省级调度数据网，实现数据网络通信 。纵向加密装置:用于对实时业务系统的安全控制、加密传输 。纵向防火墙:用于对非实时业务系统的安全控制、过滤传输 。横向防火墙:用于厂站本地实时业务系统被本地非实时业务系统直接调用的安全控制、过滤传输。 第二十四页，共六十六页。网络拓扑设备安装省调/地调/500KV变电站设备连接情况表序号纵向互联防火墙1纵向互联防火墙2横向互联防火墙1横向互联防火墙2纵向加密装置1纵向加密装置21接口1连非控制区交换机1接口1连非

14、控制区交换机2接口1连控制区交换机1；接口3HA心跳线接口。接口1连控制区交换机2；接口3HA心跳线接口。接口1连控制区交换机1接口1连控制区交换机22接口2连调度路由器1接口2连调度路由器2接口2连非控制区交换机1接口2连非控制区交换机2接口2连调度路由器1接口2连调度路由器2第二十五页，共六十六页。网络拓扑设备配置省调/地调/500KV变电站设备配置序号纵向互联防火墙1纵向互联防火墙2横向互联防火墙1横向互联防火墙2纵向加密装置1纵向加密装置21基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息基

15、础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息6.热备冗余配置基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息6.热备冗余配置基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.证书申请与导入基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.证书申请与导入2策略配置策略配置策略配置策略配置策略配置策略配置第二十六页，共六十六页。网络拓扑安防改造后（省调/地调/500KV变电站）第二十七页，共六十六页。网络拓扑设备安装220KV变电站设备连接情况表序号纵向互联防火墙横向互联防火墙纵向加密装置1接口1连非控制区交换机接口1连控制区交

16、换机接口1连控制区交换机2接口2连调度路由器接口2连非控制区交换机接口2连调度路由器第二十八页，共六十六页。网络拓扑安防改造后（220KV变电站）第二十九页，共六十六页。网络拓扑设备安装220KV变电站设备配置序号纵向互联防火墙横向互联防火墙纵向加密装置1基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.证书申请与导入2策略配置策略配置策略配置第三十页，共六十六页。网络拓扑业务访问原则第三十一页，共六十六页。网络拓扑防火墙策略要求根据业务系统

17、源目地址、协议号、端口号制定策略。根据业务数据流方向，制定策略单双向（主动/被动）。纵向加密装置:用于对实时业务系统的安全控制、加密传输 。纵向防火墙:用于对非实时业务系统的安全控制、过滤传输 。横向防火墙:用于厂站本地实时业务系统被本地非实时业务系统直接调用的安全控制、过滤传输。 第三十二页，共六十六页。电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙操作管理横向防火墙操作管理议程第三十三页，共六十六页。项目概况项目分包情况云南电网调度数据网二次安全防护设备项目1、包一（昆明、楚雄、保山、德宏共4地区）货物名称数量产品厂商集成商昆明地区楚雄地区保

18、山地区德宏地区小计地调纵向防火墙22228天融信南京南瑞地调横向防火墙22228天融信地调纵向加密装置22228天融信变电站纵向防火墙2963644南瑞变电站横向防火墙2963644南瑞变电站纵向加密装置2963644南瑞第三十四页，共六十六页。项目概况项目分包情况云南电网调度数据网二次安全防护设备项目2、包二（曲靖、玉溪、昭通、怒江、临沧、普洱、版纳共7地区）货物名称数量产品厂商集成商曲靖地区玉溪地区昭通地区怒江地区临沧地区普洱地区版纳地区小计地调纵向防火墙222222214天融信南京南瑞地调横向防火墙222222214天融信地调纵向加密装置222222214天融信变电站纵向防火墙18127

19、345150南瑞变电站横向防火瑞变电站纵向加密装瑞第三十五页，共六十六页。项目概况云南电网调度数据网二次安全防护设备项目3、包三（红河、文山、大理、丽江、迪庆、省调共7地区）货物名称数量产品厂商集成商红河地区文山地区大理地区丽江地区迪庆地区小计省调地调纵向防火墙2222210东软广州中软地调横向防火墙2222210东软地调纵向加密装置2222210东软变电站纵向防火墙21582238南瑞变电站横向防火墙21582238南瑞变电站纵向加密装置21582238南瑞省调纵向防火墙2东软省调横向防火墙2东软省调纵向加密装置2东软省调入侵检测系统2东软

20、省调防病毒系统1瑞星省调漏洞扫描系统1启明星辰省调便携漏洞扫描软件1启明星辰省调加密装置管理系统1南瑞省调综合管理平台1东软综合管理管理服务器1IBM防病毒服务器1IBM综合管理工作站2HP第三十六页，共六十六页。项目概况配置清单（包三）省调侧1、硬件防火墙序号货物名称规格型号单位数量1省调纵向互联防火墙NetEye FW5200-TIII台22省调横向互联防火墙NetEye FW5200-TIII台22、纵向加密装置序号货物名称规格型号单位数量1省调加密认证装置Netkeeper-2000（千兆型）台23、加密装置管理系统序号货物名称规格型号单位数量1电力调度数字证书系统南瑞PCSS-200

21、0电力数字证书服务系统（软硬件）套12加密装置管理系统南瑞SMC-2000装置管理系统套1第三十七页，共六十六页。项目概况配置清单（包三）省调侧4、入侵检测系统序号货物名称规格型号单位数量1IDS入侵检测系统NetEye NetEye IDS2200 台25、防病毒系统序号货物名称规格型号单位数量1瑞星防病毒网络版2010包括1套服务端系统，30个台服务器和70个台工作站客户端 套16、漏洞扫描系统序号货物名称规格型号单位数量1固定式漏洞系统启明星辰天镜漏洞扫描系统CSNS-1000L(含软硬件)套12便携式漏洞扫描软件启明星辰漏洞扫描系统CSNSUNL（windows版本）套1第三十八页，共

22、六十六页。项目概况配置清单（包三）省调侧8、综合管理台式工作站货物名称规格型号单位数量综合管理台式工作站HP 8000Elite CMT WM145PAAB2台29、综合管理台式工作站货物名称规格型号单位数量综合管理台式工作站Sony VPCZ128GC台27、综合管理平台系统货物名称规格型号单位数量综合管理平台系统东软 NetEye SOC套1第三十九页，共六十六页。项目概况配置清单（包三）省调侧10、防病毒服务器货物名称规格型号单位数量防病毒服务器IBM System x3850 M2台1300GB 10K 6Gbps SAS 2.5 SFF Slim-HS HDD x3550M2/x36

23、50M2/HS22块4双口10/100/1000千兆网卡 PCI-E x4 TOE(铜介质)块1ServeRAID-MR10i SAS/SATA 控制器 256MB缓存/电池可选块18GB (2x4GB Kit) PC2-3200 DDR2 ECC CL3 RDIMM 块6UltraSlim Enhanced CD-RW/DVD-ROM Combo块1Xeon QC E7440 处理器 x3850M2/x3950M2个2第四十页，共六十六页。项目概况配置清单（包三）省调侧11、防病毒服务器货物名称规格型号单位数量防病毒服务器IBM System x3850 M2台1300GB 10K 6Gbp

24、s SAS 2.5 SFF Slim-HS HDD x3550M2/x3650M2/HS22块4双口10/100/1000千兆网卡 PCI-E x4 TOE(铜介质)块1ServeRAID-MR10i SAS/SATA 控制器 256MB缓存/电池可选块18GB (2x4GB Kit) PC2-3200 DDR2 ECC CL3 RDIMM 块6UltraSlim Enhanced CD-RW/DVD-ROM Combo块1Xeon QC E7440 处理器 x3850M2/x3950M2个2第四十一页，共六十六页。项目概况配置清单（包三）红河地区1、红河地区配置清单序号货物名称规格型号单位数

25、量一、地调1纵向互联千兆防火墙NetEye FW5200-GD台22横向互联千兆防火墙NetEye FW5200-GD台23纵向千兆加密认证装置南瑞Netkeeper-2000（千兆型）台2二、500KV变电站（3个）1纵向互联百兆防火墙NetEye FW5120-GD台62横向互联百兆防火墙NetEye FW5120-GD台63纵向百兆加密认证装置南瑞Netkeeper-2000（百兆型）台6三、220KV变电站（16个）1纵向互联百兆防火墙NetEye FW5120-GD台162横向互联百兆防火墙NetEye FW5120-GD台163纵向百兆加密认证装置南瑞Netkeeper-2000（

26、百兆型）台16第四十二页，共六十六页。项目概况配置清单（包三）文山地区2、文山地区配置清单序号货物名称规格型号单位数量一、地调1纵向互联千兆防火墙NetEye FW5200-GD台22横向互联千兆防火墙NetEye FW5200-GD台23纵向千兆加密认证装置南瑞Netkeeper-2000（千兆型）台2二、220KV变电站（5个）1纵向互联百兆防火墙NetEye FW5120-GD台52横向互联百兆防火墙NetEye FW5120-GD台53纵向百兆加密认证装置南瑞Netkeeper-2000（百兆型）台5第四十三页，共六十六页。项目概况配置清单（包三）大理地区3、大理地区配置清单序号货物名

27、称规格型号单位数量一、地调1纵向互联千兆防火墙NetEye FW5200-GD台22横向互联千兆防火墙NetEye FW5200-GD台23纵向千兆加密认证装置南瑞Netkeeper-2000（千兆型）台2二、500KV变电站（2个）1纵向互联百兆防火墙NetEye FW5120-GD台42横向互联百兆防火墙NetEye FW5120-GD台43纵向百兆加密认证装置南瑞Netkeeper-2000（百兆型）台4三、220KV变电站（6个）1纵向互联百兆防火墙NetEye FW5120-GD台62横向互联百兆防火墙NetEye FW5120-GD台63纵向百兆加密认证装置南瑞Netkeeper-

28、2000（百兆型）台6第四十四页，共六十六页。项目概况配置清单（包三）迪庆地区4、迪庆地区配置清单序号货物名称规格型号单位数量一、地调1纵向互联千兆防火墙NetEye FW5200-GD台22横向互联千兆防火墙NetEye FW5200-GD台23纵向千兆加密认证装置南瑞Netkeeper-2000（千兆型）台2二、220KV变电站（2个）1纵向互联百兆防火墙NetEye FW5120-GD台22横向互联百兆防火墙NetEye FW5120-GD台23纵向百兆加密认证装置南瑞Netkeeper-2000（百兆型）台2第四十五页，共六十六页。项目概况设备介绍（包三）硬件防火墙省调防火墙 NetE

29、ye FW5200TIII地调防火墙 NetEye FW5200GD变电站防火墙 NetEye FW5120GD第四十六页，共六十六页。项目概况设备介绍（包三）硬件防火墙用途产品分类详细描述省调千兆硬件防火墙NetEye FW5200 TIII接口配置1U机架式结构；标配4个10/100/1000 Base-T端口（最大配置为10个10/100/1000Base-T端口、或4个10/100/1000 Base-T端口+6个SFP端口）和2个多模光口；支持双机热备功能。电源类型1+1交流冗余电源硬件尺寸1U标准机架式系统吞吐量大于10G最大并发连接数200万（可扩展至300万）每秒新建连接数大于

30、80000VPN吞吐量大于350MVPN隧道数1500(可扩展至20000)第四十七页，共六十六页。项目概况设备介绍（包三）硬件防火墙用途产品分类详细描述地调千兆硬件防火墙NetEye FW5200-GD接口配置配备6个10/100/1000 Base-T接口，具备1个扩展槽位 电源类型1+1交流冗余电源硬件尺寸2U机架式结构系统吞吐量大于8G最大并发连接数200万（可扩展至300万）每秒新建连接数大于50000VPN吞吐量大于350MVPN隧道数1500(可扩展至20000)第四十八页，共六十六页。项目概况设备介绍（包三）硬件防火墙用途产品分类详细描述变电站百兆硬件防火墙NetEye FW5

31、120-GD接口配置配备4个10/100/1000 Base-T接口 电源类型1直流电源接口硬件尺寸1U机架式结构系统吞吐量大于2G最大并发连接数100万（可扩展至300万）每秒新建连接数大于25000VPN吞吐量大于140MVPN隧道数1500(可扩展至20000)第四十九页，共六十六页。项目概况设备介绍（包三）硬件防火墙防火墙功能支持路由、NAT、透明模式支持Trunk，支持二层和三层的安全区域划分支持DNS Client、DNS中继代理、DNS缓存与加速支持Sflow技术支持带宽管理支持IP地址、MAC地址、服务、协议对象分组支持WebAuth用户认证支持IP地址、MAC地址、以太帧类型

32、、协议、端口和时间等等进行策略控制支持静态路由与动态路由支持NAT攻击防御第五十页，共六十六页。项目概况设备介绍（包三）硬件防火墙防火墙功能支持组播支持虚拟防火墙支持HA热备第五十一页，共六十六页。项目概况设备介绍（包三）硬件防火墙管理功能支持WebUI、telnet、ssh、console管理支持中文与英文界面支持syslog、snmp trap日志支持snmp v1、snmp v2c、snmp v3第五十二页，共六十六页。项目概况设备介绍（包三）加密装置加密装置千兆型加密装置百兆型第五十三页，共六十六页。项目概况设备介绍（包三）加密装置设备加密装置设备序号货物名称规格型号详细描述1省调加密

33、认证装置Netkeeper-2000（千兆型，配光口）1)网络接口：具备4个10/100/1000M网络接口，具备2个千兆光口（多模）,1个热备接口。2)热备接口：具备双机热备接口；3)外设接口：1个RS232配置接口+ 1个IC卡读卡器接口；4)设备电源：交流220V双电源；5)装置可安装于19英寸标准机柜。2地调加密认证装置Netkeeper-2000（千兆型，不配光口）1)网络接口：具备4个10/100/1000M网络接口，1个热备接口。2)热备接口：具备双机热备接口；3)外设接口：1个RS232配置接口+ 1个IC卡读卡器接口；4)设备电源：直流48V双电源；5)装置可安装于19英寸标

34、准机柜。3纵向百兆加密认证装置Netkeeper-2000（百兆型）1)网络接口：具备4个10/100M网络接口 2)双机热备接口：具备双机热备接口；3)外设接口：1个RS232配置接口+ 1个IC卡读卡器接口；4)设备电源：直流48V双电源；5)装置可安装于19英寸标准机柜。4加密装置管理系统南瑞SMC-2000装置管理系统1)网络接口：至少4个1000M网络接口；2)外设接口：1个RS232配置接口+1个IC卡读卡器接口；3)设备电源：双电源接口（支持热插拔）；4)装置可安装于19英寸标准机柜。第五十四页，共六十六页。项目概况设备介绍（包三）加密装置设备设备性能（省调）最大并发加密隧道数：

35、2000条1000M LAN环境下，加密隧道建立延迟：1s明文数据包吞吐量：300Mbps （200条安全策略，1024字节报文长度）密文数据包吞吐量：80Mbps（200条安全策略，1024字节报文长度）数据包转发延迟：2ms （50密文数据包吞吐量）满负荷数据包丢弃率：0第五十五页，共六十六页。项目概况设备介绍（包三）加密装置设备设备性能（地调）最大并发加密隧道数：1000条1000M LAN环境下，加密隧道建立延迟1s明文数据包吞吐量：150Mbps （100条安全策略，1024报文长度）密文数据包吞吐量：40Mbps （100条安全策略，1024报文长度）数据包转发延迟：2ms （50

36、密文数据包吞吐量）满负荷数据包丢弃率：0第五十六页，共六十六页。项目概况设备介绍（包三）加密装置设备设备性能（500KV/220KV变电站）最大并发加密隧道数：300条100M LAN环境下，加密隧道建立延迟：1s明文数据包吞吐量：40Mbps （50条安全策略，1024报文长度）密文数据包吞吐量：20Mbps （10条安全策略，1024报文长度）数据包转发延迟：2ms （50密文数据包吞吐量）满负荷数据包丢弃率：0第五十七页，共六十六页。项目概况设备介绍（包三）加密装置设备设备功能支持国家电力专用密码算法对传输数据进行保护、保证数据的真实性、机密性和完整性支持基于电力数字证书的认证支持透明模式、网关模式、NAT模式支持基于协议、应用端口的综合报文过滤与访问控制支持电力应用协议的特殊报文进行选择性加密保护符合IP加密认证装置技术规范的技术要求，支持不同厂商设备