一种基于SMC技术的Ⅱ区纵向加密装置远程管理功能的实现方法.pdf

一种基于SMC技术的Ⅱ区纵向加密装置

远程管理功能的实现方法

摘要：电力监控系统是指用于监视和控制电力生产及供应过程的、基于计算

机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等，

具有“点多面广”的特点。实现对电力监控系统的远程管理功能，至关重要。本

文将介绍一种基于SMC技术的Ⅱ区纵向加密装置远程管理功能的实现方法，通过

远程查看和修改配置，大大提高了工作效率，从而提升了电力监控系统的运行可

靠性。

关键词：SMC-2000加密装置管理；纵向加密认证装置；远程管理功能实现

1SMC-2000加密装置管理系统简介

SMC-2000装置管理系统是南京南瑞集团信息系统公司为配合纵向加密认证装

置的大规模部署和管理，遵循通用开放、功能齐全、运行稳定、简单易用和跨平

台部署的设计原则，自主研制并推出的。SMC可为电力公司及下属单位所辖的加

密认证装置提供集中的、在线的远程安全管理服务，它通过经认证加密的管理报

文以在线方式实现对不通厂家的纵向加密认证装置的实时监测和管理。

SMC是基于Java虚拟机开发的软件产品，必须运行在Java虚拟机上。当对

SMC进行管理时，必须保证管理客户端程序所在的电脑应与装置管理系统服务器

网络可达。功能十分强大，包括：支持对网络上任意一台纵向加密认证网关的安

全策略进行查询与设置；支持对网络上任意一台纵向加密认证网关的隧道状态进

行查询与设置，并以不同的颜色代表不同加密方式、不同运行状态的隧道；支持

对网络上任意一台纵向加密认证网关的工作模式进行查询与设置；支持对网络上

任意一台纵向加密网关的初始化密钥证书管理；支持对网络上任意一台纵向加密

认证网关下发新的数字证书；可实时监控网络上任意一台纵向加密认证网关的流

量、链路信息等；可对网络上任意一台纵向加密认证网关的日志信息进行集中管

理和审计，并以不同的颜色区分不同类型的日志信息；可远程对网络上任意一台

纵向加密认证网关的系统管理包括加密装置地址、远程管理地址、日志审计地址

等信息；可远程对网络上任意一台纵向加密认证网关的网络管理包括设备网卡、

接口类型、VLANID、IP地址、掩码等信息；可远程对网络上任意一台纵向加密认

证网关的路由管理包括目的网络、目的掩码、网关、网卡名、VLANID等信息；可

远程对网络上任意一台纵向加密认证网关的隧道管理包括隧道号、对端装置IP

地址、对端装置证书等信息；可远程对网络上任意一台纵向加密认证网关的策略

管理包括内网起始IP、内网终止IP、外网起始IP、外网终止IP、方向、协议、

处理方式、内网端口起始、内网端口终止、外网端口起始、外网端口终止等信息。

2本单位现状

本单位的电力监控系统是按照“安全分区、网络专用、横向隔离、纵向认证”

的原则进行部署的。生产控制大区分为控制区（安全Ⅰ区）和非控制区（安全Ⅱ

区）。控制区中的业务系统与电力调度生产直接相关，对一次系统的在线监视和

闭环控制功能，典型系统包括调度自动化系统、配网自动化系统、变电站自动化

系统、具有保护定值下发远方投退功能的保信系统等；非控制区的业务系统与电

力生产直接相关，但不参与控制，典型系统包括调度员培训系统、电能量计量系

统、在线监测系统、故障录播系统等。

调度中心与所辖区域的变电站、电厂的控制区（安全Ⅰ区）和非控制区（安

全Ⅱ区）均采用地区调度数据网进行通信，调度数据网在专用通道上使用独立的

网络设备组网，在物理层面上实现了与电力企业其他数据网以及外部公用网的安

全隔离。并且划分为逻辑隔离的实时子网和非实时子网，分别连接控制区（安全

Ⅰ区）和非控制区（安全Ⅱ区）。

目前，本单位的SMC-2000加密装置管理系统部署在控制区（安全Ⅰ区），

可实现对局主站、所辖区域110kV及以下变电站、地调调管电厂的控制区（安全

Ⅰ区）纵向加密装置的远程管理，不能实现非控制区（安全Ⅱ区）纵向加密装置

的远程管理，本论文将研究介绍一种基于SMC技术的Ⅱ区纵向加密装置远程管理

功能的实现方法。

3具体实现方法介绍

为了更好的理解，我们画出了改造前后的拓扑结构。如下图所示。

详细配置如下：

（1）在加密装置管理系统非控制区（安全Ⅱ区）二次安防交换机之间部署

一台防火墙，并对防火墙进行配置。配置主要包括：高危端口（135、137、138、

139、445、3389等）封堵并置顶、配置SMC至非实时纵向加密的安全策略