针对纵向加密装置的网络安全威胁的防御部署

随着网络攻击手段的进步，目前按照电网二次安全防护规定采取的安全措施并不足以应对电力调度数据网面临的巨大威胁应注重二次安防设备自身的安全防护，尤其是纵向加密装置的保护在调度数据网和变电站监控系统的网络边界上应增加网络安全设备，与纵向加密装置互相配合，梯次配置.

在路由器和纵向加密装置间增加抗DDoS攻击设备或具备抗 DDoS攻击能力的防火墙DDoS攻击设备负责抵御网络攻击，纵向加密装置主要负责对通信报文的加解密工作，两者分工协作，串行化部署。

可以进一步在路由器与纵向加密装置间串行部署 IPS(入侵防御系统)和防火墙 IPS 侧重于防御网络边界内的入侵行为，防火墙侧重分流针对纵向加密装置的直接拒绝服务攻击等网络击，纵向加密装置主要负责维护加密隧道，进行加解密工作.

除了增加部署网络安全设备，还应严格落实二次安全防护相关规定，优化网络结构，加强人员管理相比于硬件设备投入，规章制度和人员管理更为重要和紧迫，值班人员一次随意地携带个人U盘插入监控电脑或点开某个邮件就可能在网络防御系统上打开一个缺口网络安全系统遵循木桶理论，其安全程度取决于系统内的安全短板，而历次大的工控网络安全事件显示: 人往往成为短板。