书签分享收藏举报版权申诉 / 22

立即下载

当前位置：首页 > 技术资料 > 行业标准 > 变电站二次系统安全防护纵向加密认证装置到货抽检标准（2015版）.pdf

变电站二次系统安全防护纵向加密认证装置到货抽检标准（2015版）.pdf

上传人：天****

文档编号：92785418

上传时间：2023-06-14

格式：PDF

页数：22

大小：529.46KB

( 4.5 )

《变电站二次系统安全防护纵向加密认证装置到货抽检标准（2015版）.pdf》由会员分享，可在线阅读，更多相关《变电站二次系统安全防护纵向加密认证装置到货抽检标准（2015版）.pdf（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、南方电网公司变电站二次系统安全防护纵向加密认证装置到货抽检标准（2015 版）中国南方电网有限责任公司 2015 年10 月目录 1 适用范围.3 2 测试依据.3 3 功能测试.4 3.1 双机冗余切换功能.4 3.2 自动旁路功能.5 3.3 数据加密功能.6 3.4 数字证书认证功能.7 3.5 支持路由与交换两种工作模式.7 3.6 Trunk 协议支持功能.8 3.7 网络地址转换（NAT）.9 3.8 基本ACL 过滤功能.10 3.9 特殊报文选择性加密保护.11 3.10 配置信息管理.12 3.11 日志

2、审计.13 3.12 远程管理功能.14 3.13 攻击防御功能.15 3.14 双电源切换.16 3.15 设备异常告警.17 4 性能测试.17 4.1 吞吐量.17 4.2 转发时延.20 4.3 支持的隧道数.21 1 适用范围本标准适用于变电站二次系统安全防护纵向加密认证装置的到货抽检工作。2 测试依据 1）RFC 1242 Benchmarking Terminology for Network Interconnection Devices 2）RFC 2544 Benchmarking Methodology for Ne

3、twork Interconnect Devices 3）Q/CSG110005-2012 南方电网电力二次系统安全防护技术规范 3 功能测试 3.1 双机冗余切换功能测试编号 1 测试项目双机冗余切换功能测试配置操作过程 1）装置1 为样品1，装置2为同型号纵向加密认证装置；装置3、装置4 为纵向加密认证装置（与装置1、装置2可为相同或不同厂家产品）；2）交换机SW1、SW2 和SW3 使用二层转发功能。3）装置1（主）和装置2（备）互为主备，装置3（主）和装置4（备）互为主备；4）IP 地址配置装置

4、1 内、外网口：192.168.1.251；装置2 内、外网口：192.168.1.252；装置3 内、外网口：192.168.1.253；装置4 内、外网口：192.168.1.254；Pc1：192.168.1.200 Pc2：192.168.1.201 5）确认样品是否可配置为抢占式，并进行验证；6）拔出主装置内网口或外网口其中一根网线，记录通信恢复时间和丢包数；7）关闭主装置，同时拔掉主装置内网口或外网口其中一根网线，记录通信恢复时间和丢包数；8）开启主备装置的生成树协议，关闭主装置（不拔网线）

5、，记录通信恢复时间和丢包数；9）时关闭两台装置，记录通信恢复时间和丢包数。测试说明测试结果 3.2 自动旁路功能测试编号 2 测试项目自动旁路功能测试配置操作过程 1）按图建立测试环境；2）装置1 内网口、外网口IP 为192.168.1.253；装置2 内网口、外网口IP 为192.168.1.254；3）每台装置配置1 条隧道，隧道设置为明文模式，隧道本端IP 使用本装置IP，隧道对端IP使用对端装置IP：装置1 隧道：192.168.1.253-192.168.1.254 装置2 隧道：192.16

6、8.1.254-192.168.1.253 4）每条隧道配置1 条策略；装置1，192.168.1.253-192.168.1.254 隧道：允许：源192.168.1.200，目的192.168.1.201 装置2，192.168.1.254-192.168.1.253 隧道：允许：源192.168.1.201，目的192.168.1.200 5）测试仪TESTER 的PORT1、PORT2 分别连接装置1、2的内网口，PORT1 IP 为192.168.1.200，PORT2 IP 为192.168.1.201；6）测试仪tester使用port1、port2 发送数据流

7、；7）关闭装置1 电源，观察数据流状况。测试说明测试结果 3.3 数据加密功能测试编号 3 测试项目自动旁路功能测试配置操作过程 1）按图建立测试环境；2）装置1 内网口、外网口IP 为192.168.1.253；装置2 内网口、外网口IP 为192.168.1.254；3）每台装置配置1 条隧道，隧道设置为明文模式，隧道本端IP 使用本装置IP，隧道对端IP使用对端装置IP：装置1 隧道：192.168.1.253-192.168.1.254 装置2 隧道：192.168.1.254-192.168.1.253 4）每

8、条隧道配置1 条策略；装置1，192.168.1.253-192.168.1.254 隧道：允许：源192.168.1.200，目的192.168.1.201 装置2，192.168.1.254-192.168.1.253 隧道：允许：源192.168.1.201，目的192.168.1.200 5）测试仪TESTER 的PORT1、PORT2 分别连接装置1、2的内网口，PORT1 IP 为192.168.1.200，PORT2 IP 为192.168.1.201；6）测试仪tester使用port1、port2 发送数据流；7）在装置1、装置2 之间接入交换机，镜像

9、数据包，抓起数据包，观察数据包是否加密。测试说明测试结果 3.4 数字证书认证功能测试编号 4 测试项目自动旁路功能测试配置操作过程 1）按图建立测试环境；2）装置1 内网口、外网口IP 为192.168.1.253；装置2 内网口、外网口IP 为192.168.1.254；3）检查在没有导入证书前，是否能建立隧道。测试说明没有导入证书前，应不能建立隧道。测试结果 3.5 支持路由与交换两种工作模式测试编号 5 测试项目支持路由与交换两种工作模式测试配置操作过程测试防火墙是否支持

10、交换和路由两种工作模式一、路由模式 1）IP 地址配置：Tester port1:192.168.1.10/24 Tester port2:192.168.2.10/24 装置1 内网口:192.168.1.1/24 装置1 外网口:1.1.1.1/24 装置2 内网口:192.168.2.1/24 装置2 外网口:1.1.1.2/24 2）建立双向隧道和全通策略，测试Tester port1 至port2 的数据连通性。二、交换模式（因此前测试项均在交换模式下测试，在此可不测）测试说明测试结果 3.6 Trunk 协议支持功能

11、测试编号 6 测试项目 Trunk 协议支持功能测试配置操作过程 1）按图建立测试环境 2）Tester 的port1 的host IP 地址为192.168.0.10/24，port2 的host IP 地址为192.168.0.11/24 3）配置纵向加密认证装置的port1 为access 口，属于VLAN10，port2 为trunk 口；4）配置交换机与纵向加密认证装置相连的接口为trunk 口，和PC 相连接口为access 口，属于VLAN10 测试说明 1）纵向加密认证装置配置一条全通规则 2）Te

12、ster 由port1 向port2发送双向数据流测试结果 3.7 网络地址转换（NAT）测试编号 7 测试项目网络地址转换（NAT）测试配置操作过程 1）按图建立测试环境；2）装置1 内网口、外网口IP 为192.168.1.253；装置2 内网口、外网口IP 为192.168.1.254；3）每台装置配置1 条隧道，隧道设置为明文模式，隧道本端IP 使用本装置IP，隧道对端IP使用对端装置IP：装置1 隧道：192.168.1.253-192.168.1.254 装置2 隧道：192.168.1.254-192.168.1.

13、253 4）每条隧道配置1 条策略；装置1，192.168.1.253-192.168.1.254 隧道：允许：源192.168.1.0，目的192.168.1.0 装置2，192.168.1.254-192.168.1.253 隧道：允许：源192.168.1.0，目的192.168.1.0 5）测试仪TESTER 的PORT1、PORT2 分别连接装置1、2的内网口，PORT1 IP 为192.168.1.200，PORT2 IP 为192.168.1.201；6）测试仪tester使用port1、port2 发送数据流；7）根据可实现的NAT 种类配置hos

14、t 8）记录装置实现NAT 的种类和NAT 使用方式测试说明测试结果 3.8 基本 ACL 过滤功能测试编号 8 测试项目基本 ACL 过滤功能测试配置操作过程 1）按图建立测试环境；2）IP 地址配置：装置1 内网口、外网口IP:192.168.1.253；装置2 内网口、外网口IP:192.168.1.254；Tester port1:192.168.1.200 Tester port2:192.168.1.201 3）每台装置配置1 条隧道，隧道设置为明文模式，隧道本端IP 使用本装置IP，隧道对端IP使用对端装

15、置IP：装置1 隧道：192.168.1.253-192.168.1.254 装置2 隧道：192.168.1.254-192.168.1.253 4）配置允许通过ACL 允许目的地址为192.168.1.201，目的端口为2404、2405、8000、8001、8600 的TCP 报文通过；允许目的地址为192.168.1.201，目的端口为1024 的UDP 报文通过；5）配置禁止通过ACL，禁止其他数据通过。6）使用目的端口为1024、2404、2405、8000、8001、8600 的TCP 数据报进行测试，观察相应ACL 是否生效。7）

16、使用目的端口为1024、2404、2405、8000、8001、8600 的UDP 数据报进行测试，观察相应ACL 是否生效。8）使用不带四层包头数据，观察是否能通过。9）测试说明测试端口应覆盖2404、2405、8000、8001 和8600等；测试结果 3.9 特殊报文选择性加密保护测试编号 9 测试项目特殊报文选择性加密保护测试配置操作过程 1）按图建立测试环境；2）装置1 内网口、外网口IP 为192.168.1.253；装置2 内网口、外网口IP 为192.168.1.254；3）每台装置配置1 条隧道，隧

17、道设置为明文模式，隧道本端IP 使用本装置IP，隧道对端IP使用对端装置IP：装置1 隧道：192.168.1.253-192.168.1.254 装置2 隧道：192.168.1.254-192.168.1.253 4）每条隧道配置1 条策略；装置1，192.168.1.253-192.168.1.254 隧道：允许：源192.168.1.0，目的192.168.1.0 装置2，192.168.1.254-192.168.1.253 隧道：允许：源192.168.1.0，目的192.168.1.0 5）测试仪TESTER 的PORT1、PORT2 分别连接

18、装置1、2的内网口，PORT1 IP 为192.168.1.200，PORT2 IP 为192.168.1.201；6）构造特殊报文，测试仪tester 使用port1、port2 发送数据流；7）记录支持的特殊报文种类测试说明测试结果 3.10 配置信息管理测试编号 10 测试项目配置信息管理测试配置操作过程 1）记录支持的配置信息管理功能测试说明配置信息下载并保存在PC 上 YES()NO()上载备份的配置信息 YES()NO()过滤规则下载并保存在PC 上 YES()NO()上载备份的过滤规则

19、YES()NO()测试结果 3.11 日志审计测试编号 11 测试项目日志审计测试配置 1）设置装置的报警触发条件；2）生成报警事件，检查报警效果；3）根据测试表格要求，完成上述测试。操作过程支持syslog YES()NO()支持snmp YES()NO()管理日志用户登录成功 YES()NO()用户退出 YES()NO()用户登录失败 YES()NO()修改配置 YES()NO()系统日志 CPU 利用率 YES()NO()内存利用率 YES()NO()网口状态异常 YES()NO()网口状态恢复 YES()NO(

20、)备机心跳丢失 YES()NO()安全日志隧道建立错误 YES()NO()装置链路异常 YES()NO()测试说明测试结果 3.12 远程管理功能测试编号 12 测试项目远程管理功能测试配置 SW1外外外外外外外外外外外外外外 1外外 2外外外外Pc1 Pc2 1.按图建立测试环境；2.分别用科东、南瑞管理装置进行以下远程操作:加密装置查询：(1)装置状态查询 YES()NO()(2)装置日志查询 YES()NO()(3)装置链路查询 YES()NO()(4)装置信息查询 YES()NO(

21、)加密装置管理：(1)IP 地址修改 YES()NO()(2)路由修改 YES()NO()(3)策略管理 YES()NO()(4)证书替换 YES()NO()(5)装备重启 YES()NO()(6)导出规则备份 YES()NO()隧道管理：(1)查询隧道 YES()NO()(2)添加隧道 YES()NO()(3)删除隧道 YES()NO()(4)设置密文/明文模式 YES()NO()操作过程记录下装置管理系统可以进行的远程管理操作。测试说明测试结果 3.13 攻击防御功能测试编号 13 测试项目攻击防御功能测试配置操作

22、过程 1）按图建立测试环境；2）装置1 内网口、外网口IP 为192.168.1.253；装置2 内网口、外网口IP 为192.168.1.254；3）每台装置配置1 条隧道，隧道设置为明文模式，隧道本端IP 使用本装置IP，隧道对端IP使用对端装置IP：装置1 隧道：192.168.1.253-192.168.1.254 装置2 隧道：192.168.1.254-192.168.1.253 4）每条隧道配置1 条策略；装置1，192.168.1.253-192.168.1.254 隧道：允许：源192.168.1.0，目的192.168.1

23、.0 装置2，192.168.1.254-192.168.1.253 隧道：允许：源192.168.1.0，目的192.168.1.0 5）测试仪TESTER 的PORT1、PORT2 分别连接装置1、2的内网口，PORT1 IP 为192.168.1.200，PORT2 IP 为192.168.1.201；6）构造攻击数据包（LAND、SYN Flooding、UDP Flooding、ICMP Redirection、Ping of Death、UDP_PortScan、Teardrop）；7）测试仪tester使用port1、port2发送数据流；测试说明测试结果

24、3.14 双电源切换测试编号 14 测试项目双电源切换测试配置操作过程 1）按图搭建环境，tester 由port1 向port2 发送数据流；2）将装置1同时接上两个电源开关，正常运行；3）断开一个电源，检查装置运行情况；4）重新接上电源，断开另外一个电源，检查装置运行情况；5）将电源接上，检查装置运行情况。测试说明 1）检查装置是否无缝切换电源，是否正常运行；2）是否有告警信号；3）以上测试包括双直流和双交流两种情况测试。测试结果 3.15 设备异常告警测试编号 15 测试

25、项目设备异常告警测试配置操作过程 1）查看产品手册或访谈厂家技术人员设备异常告警方式；2）若可模拟异常情况，则在不损坏设备的前提下，进行实际操作模拟。测试记录电源故障告警 YES()NO()接口状态异常告警 YES()NO()设备运行状态异常 YES()NO()测试结果 4 性能测试 4.1 吞吐量测试编号 16 测试项目双机吞明文吐量测试配置操作过程 1）按图建立测试环境；2）装置1 内网口、外网口IP 为192.168.1.253；装置2 内网口、外网口IP 为192.168.1.

26、254；3）每台装置配置1 条隧道，隧道设置为明文模式，隧道本端IP 使用本装置IP，隧道对端IP使用对端装置IP：装置1 隧道：192.168.1.253-192.168.1.254 装置2 隧道：192.168.1.254-192.168.1.253 4）每条隧道配置200 条策略；装置1，192.168.1.253-192.168.1.254 隧道：允许：源192.168.1.1，目的192.168.1.201 允许：源192.168.1.2，目的192.168.1.201 允许：源192.168.1.199，目的192.168.1.201 允许：源

27、192.168.1.200，目的192.168.1.201 装置2，192.168.1.254-192.168.1.253 隧道：允许：源192.168.1.1，目的192.168.1.200 允许：源192.168.1.2，目的192.168.1.200 允许：源192.168.1.199，目的192.168.1.200 允许：源192.168.1.201，目的192.168.1.200 5）测试仪TESTER 的PORT1、PORT2 分别连接装置1、2的内网口，PORT1 IP 为192.168.1.200，PORT2 IP 为192.168.1.201；6）测试仪teste

28、r使用port1、port2 发送数据流；7）使用二分法确定装置的双机吞吐量。测试说明 1）30s 测试，测试粒度为0.5%；2）分别使用78B、128B、256B、512B、1024B、1280B、1518B 长度的帧进行测试。测试结果测试编号 17 测试项目双机吞密文吐量测试配置操作过程 1）按图建立测试环境；2）装置1 内网口、外网口IP 为192.168.1.253；装置2 内网口、外网口IP 为192.168.1.254；3）每台装置配置1 条隧道，隧道设置为密文模式，隧道本端IP 使用本装置IP，隧

29、道对端IP使用对端装置IP：装置1 隧道：192.168.1.253-192.168.1.254 装置2 隧道：192.168.1.254-192.168.1.253 4）每条隧道配置200 条策略；装置1，192.168.1.253-192.168.1.254 隧道：允许：源192.168.1.1，目的192.168.1.201 允许：源192.168.1.2，目的192.168.1.201 允许：源192.168.1.199，目的192.168.1.201 允许：源192.168.1.200，目的192.168.1.201 装置2，192.168.1.254-192.16

30、8.1.253 隧道：允许：源192.168.1.1，目的192.168.1.200 允许：源192.168.1.2，目的192.168.1.200 允许：源192.168.1.199，目的192.168.1.200 允许：源192.168.1.201，目的192.168.1.200 5）测试仪TESTER 的PORT1、PORT2 分别连接装置1、2的内网口，PORT1 IP 为192.168.1.200，PORT2 IP 为192.168.1.201；6）测试仪tester使用port1、port2 发送数据流；7）使用二分法确定装置的双机吞吐量。测试说明 1）

31、30s 测试，测试粒度为0.2%；2）分别使用78B、128B、256B、512B、1024B、1280B、1518B 长度的帧进行测试。测试结果 4.2 转发时延测试编号 18 测试项目双机密文转发时延测试配置 TESTSER装置1 装置2内网口外网口外网口内网口PORT1 PORT2掩码为/24 操作过程 1）按图建立测试环境；2）装置1 内网口、外网口IP 为192.168.1.253；装置2 内网口、外网口IP 为192.168.1.254；3）每台装置配置1 条隧道，隧道设置为密文模式，隧道本端IP 使用本

32、装置IP，隧道对端IP使用对端装置IP：装置1 隧道：192.168.1.253-192.168.1.254 装置2 隧道：192.168.1.254-192.168.1.253 4）每条隧道配置200 条策略；装置1，192.168.1.253-192.168.1.254 隧道：允许：源192.168.1.1，目的192.168.1.201 允许：源192.168.1.2，目的192.168.1.201 允许：源192.168.1.199，目的192.168.1.201 允许：源192.168.1.200，目的192.168.1.201 装置2，192.168.1.25

33、4-192.168.1.253 隧道：允许：源192.168.1.1，目的192.168.1.200 允许：源192.168.1.2，目的192.168.1.200 允许：源192.168.1.199，目的192.168.1.200 允许：源192.168.1.201，目的192.168.1.200 5）测试仪TESTER 的PORT1、PORT2 分别连接装置1、2的内网口，PORT1 IP 为192.168.1.200，PORT2 IP 为192.168.1.201；6）测试仪TESTER 使用port1、port2 以吞吐量发送数据流。测试说明 1）30s 测试；2）测试负载：50%吞吐量 3）使用1024B 长度的帧进行测试。测试结果 4.3 支持的隧道数测试编号 19 测试项目支持的隧道数测试配置操作过程 1）按图建立测试环境；2）两台装置之间建立N 条隧道，隧道设置密文模式，每条隧道配置一条全通规则；3）Port1、Port2 建N 个host，一一对应建立隧道，同时对所有隧道发送双向流量，每个双向流量速率为10KB/s；4）记录支持的隧道数；测试说明测试结果

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

10 金币

版权申诉 word格式文档无特别注明外均可编辑修改；预览文档经过压缩，下载后原文更清晰！ 立即下载

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: 变电站二次系统安全防护纵向加密认证装置到货抽检标准 2015

淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

限制150内

关于本文

本文标题：变电站二次系统安全防护纵向加密认证装置到货抽检标准（2015版）.pdf
链接地址：https://www.taowenge.com/p-92785418.html