縱向加密認證裝置網絡

根據不同區(qū)域的具體情況，科學的設置安全設備，采用物理手段對相關數據進行隔離不同區(qū)內設置不同的，將網絡進行專一化的防止核心系統(tǒng)遭到破壞，一種為正向一種為反向等兩種類型，前者應當應用與動態(tài)控制區(qū)等。特別是一種結構特征為普遍，能夠大大避免投入過多的成本，具有非常好的穩(wěn)定性使得安全防護措施得到進一步增強。

。

縱向加密認證裝置部署方案

主站側有多個系統(tǒng)，包括調度技術支持系統(tǒng)、監(jiān)控支持系統(tǒng)、配電網信息系統(tǒng)、電量采集系統(tǒng)等，需要采集數據的業(yè)務主機較多，不適合將縱向加密裝置部署在業(yè)務主機和交換機之間。主站側采用縱向加密裝置部署在交換機與路由器之間的方式，實際應用時縱向加密裝置放置在Ⅰ/Ⅱ區(qū)交換機和骨干網交換機之間，采用借用1－N工作模式，部署2臺縱向加密裝置，每臺裝置均配置VLAN10、VLAN20、VLAN30、VLAN40等4個VLAN業(yè)務地址，實現雙機熱備用，提高系統(tǒng)冗余程度。主站側縱向加密裝置網絡結構如圖2所示，配置明細如表1所示。圖2主站側縱向加密裝置網絡結構表1主站側縱向加密裝置配置明細部署位置主站主站設備名稱縱密A縱密BETH0－－ETH1地址A1地址B1工作模式借用1－N借用1－NVLAN標識802.1q802.1qVLAN號10、2010、20ETH2－－ETH3地址A2地址B2工作模式借用1－N借用1－NVLAN標識802.1q802.1qVLAN號30、4030、402.2.2廠站側部署方案廠站側通常在Ⅰ區(qū)有2臺通信網關機設備，1臺安全監(jiān)測裝置，即VLAN101有3個業(yè)務地址;Ⅱ區(qū)通常有2臺電量裝置和1臺安全監(jiān)測裝置。但是由于Ⅱ區(qū)主要采集傳輸電量相關數據，實時性不高，故有部分廠站只有1臺電量裝置，所以廠站側VLAN201中的業(yè)務地址數量為2～3個。

縱向加密裝置的作用

工作原理不同：防火墻通過監(jiān)視、限制、更改跨越它的數據流來保護內部網絡 的安全：縱向加密通過建立專業(yè)隧道，配置策略來保護內部網絡安全。 關鍵技術不同：防火墻采用地址和端口號配置安全規(guī)則來保護內部網絡，對于 傳輸數據的內容并未有安全手段；縱向加密采用電力專業(yè)密碼卡結合RSA公鑰算 法對傳輸數據加密，防止傳輸過程中遭到惡意篡改。 調度數據網風險分析： 目前，調度數據網承載著省地互連、地縣互連、電能質量、繼保故障錄波 以及控制區(qū)的實時數據傳輸業(yè)務，但是這些數據都是采用明文傳輸的。就拿簡單 的DISA規(guī)約報文來說，電網如果對控制報文進行篡改或控制報文，小的 造成停電事故，大的有功能造成電網癱瘓。 電力系統(tǒng)安全防護重點在控制系統(tǒng)，安全防護的目標是抵御病毒、通過各 種形式發(fā)起的惡意破壞和攻擊，尤其是集團式攻擊。重點保護電力實時閉環(huán)監(jiān)控系 統(tǒng)及調度數據網的安全。

兆增強型加密裝置的基本配置及性能

1、   網絡接口：≥4個10/100/1000M網絡接口；

2 、外設接口： 1個RS232配置接口 1個IC卡讀卡器接口；

3、  設備規(guī)格：厚度1U，尺寸（寬×深×高）：440×355×45毫米；

4、設備電源：雙電源；交流：220VAC±10%；直流：110V-220V、-48V；

5、 平均無故障時間（MTBF）：>60000h(100%負荷)；

6、  可以并發(fā)加密隧道數：≥1024條；

7、  明文數據包吞吐量：≥95Mbit/s（50條安全策略，1024報文長度）；

8、  密文數據包吞吐量：≥25Mbit/s（50條安全策略，1024報文長度）；

9、  數據包轉發(fā)延遲：＜1 ms；

10、100M LAN環(huán)境下，加密隧道建立延遲：＜1ms；

11、滿負荷數據包丟棄率：0％；