縱向加密認證裝置的作用

     目前與縱向加密認證裝置有關(guān)的研究多圍繞加密技術(shù)或縱向加密裝置的使用展開'對于縱向加密裝置可用性、安全性的研究較少，由于縱向加密裝置是進入變電站監(jiān)控系統(tǒng)的必經(jīng)之路'。

　　縱向加密裝置的典型應用場景，調(diào)度數(shù)據(jù)網(wǎng)的數(shù)據(jù)通過路由器后進入變電站的縱向加密裝置，縱向加密裝置對其進行過濾后交給變電站數(shù)據(jù)網(wǎng)關(guān)機進行處理。當攻擊者物理位置處于變電站外時，可以實施的兩種攻擊，達到令縱向加密裝置拒絕服務的目的。Attack1截斷是一種傳統(tǒng)、直接的拒絕服務攻擊方式，Attack2旁路利用某種方式使縱向加密裝置停止過濾通信報文，達到旁路直接通信的目的，視為一種間接拒絕服務攻擊方式。

縱向加密認證裝置部署方案

主站側(cè)有多個系統(tǒng)，包括調(diào)度技術(shù)支持系統(tǒng)、監(jiān)控支持系統(tǒng)、配電網(wǎng)信息系統(tǒng)、電量采集系統(tǒng)等，需要采集數(shù)據(jù)的業(yè)務主機較多，不適合將縱向加密裝置部署在業(yè)務主機和交換機之間。主站側(cè)采用縱向加密裝置部署在交換機與路由器之間的方式，實際應用時縱向加密裝置放置在Ⅰ/Ⅱ區(qū)交換機和骨干網(wǎng)交換機之間，采用借用1－N工作模式，部署2臺縱向加密裝置，每臺裝置均配置VLAN10、VLAN20、VLAN30、VLAN40等4個VLAN業(yè)務地址，實現(xiàn)雙機熱備用，提高系統(tǒng)冗余程度。主站側(cè)縱向加密裝置網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示，配置明細如表1所示。圖2主站側(cè)縱向加密裝置網(wǎng)絡(luò)結(jié)構(gòu)表1主站側(cè)縱向加密裝置配置明細部署位置主站主站設(shè)備名稱縱密A縱密BETH0－－ETH1地址A1地址B1工作模式借用1－N借用1－NVLAN標識802.1q802.1qVLAN號10、2010、20ETH2－－ETH3地址A2地址B2工作模式借用1－N借用1－NVLAN標識802.1q802.1qVLAN號30、4030、402.2.2廠站側(cè)部署方案廠站側(cè)通常在Ⅰ區(qū)有2臺通信網(wǎng)關(guān)機設(shè)備，1臺安全監(jiān)測裝置，即VLAN101有3個業(yè)務地址;Ⅱ區(qū)通常有2臺電量裝置和1臺安全監(jiān)測裝置。但是由于Ⅱ區(qū)主要采集傳輸電量相關(guān)數(shù)據(jù)，實時性不高，故有部分廠站只有1臺電量裝置，所以廠站側(cè)VLAN201中的業(yè)務地址數(shù)量為2～3個。

縱向加密裝置的遠程維護     

通過內(nèi)網(wǎng)安全監(jiān)控平臺的遠程管控功能可以實現(xiàn)添加隧道、刪除隧道、重置隧道和查詢隧道狀態(tài)的隧道管理功能，以及添加安全策略、刪除安全策略、編輯安全策略和查詢安全策略的安全策略管理功能，日常運維中需要加強裝置的遠程管控，及時發(fā)現(xiàn)加密裝置隧道的異常狀態(tài)和排查不合理的安全策略，實現(xiàn)對加密隧道和安全策略的維護。