针对纵向加密装置的网络安全威胁分析

纵向加密装置的主要功能是在调度主站和变电站数据网关（远动装置/保护信息子站）中的网络中建立一条加密隧道，用以传输变电站运行数据和调度主站控制指令，同时拒绝白名单外的网络连接和数据报文［1］。证书和加密算法是加密隧道可靠性的保证，其中加密算法是核心技术，由**商用密码管理局授权提供。

纵向加密装置的性能指标主要有两点：（1）可用性，能否对外提供过滤和加密服务，能否处理并发的多个连接和大吞吐量数据；（2）安全性，通过纵向加密传输的数据能否确保不泄露、不篡改、不丢失［2］。

鉴于加密算法的相对高安全性，攻击加密隧道成本极高，攻击者不会选择暴力破解加密算法或攻击加密隧道的途径。因此针对纵向加密装置安全性的攻击行为不是纵向加密装置主要的安全威胁，通过加密隧道传输的数据安全性是有保证的。但现有运行管理机制中，电子证书的交换传递需要通过IC卡介质，这个过程涉及诸多环节，存在被恶意分子利用的隐患。

纵向加密装置的可用性可以理解为两点：（1）作为一台网络中间设备能够正常传输数据；（2）作为一台网络安全设备应能对其传输的数据提供加密和过滤功能［3］。因此针对纵向加密装置的可用性攻击可以考虑两个方面，一方面令纵向加密装置无法正常传输网络数据，另一方面如果纵向加密装置可以传输数据，令其无法对传输的数据内容进行加密或进行有效过滤。这两种攻击方向均可以视为对纵向加密装置提供服务能力的攻击，令纵向加密装置失去或下降服务能力，成为事实上的拒绝服务攻击。

纵向加密装置的典型应用场景如图1所示，调度数据网的数据通过路由器后进入变电站的纵向加密装置，纵向加密装置对其进行过滤和解密后交给变电站数据网关机进行处理。当攻击者物理位置处于变电站外时，可以实施图1中的两种攻击，达到令纵向加密装置拒绝服务的目的。Attack1 截断是一种传统、直接的拒绝服务攻击方式，Attack2 旁路利用某种方式使纵向加密装置停止过滤或加解密通信报文，达到旁路直接通信的目的，视为一种间接拒绝服务攻击方式。