纵向加密装置的作用

安全I区和安全II区所连接的广域网为**电力调度数据网。**电力调度数 据网为安全I区和安全lI区分别提供二个逻辑隔离的MPLS．VPN。安全IlI区所 连接的广域网为**电力数据通讯网，安全1II区接入**电力数据通讯网也应配 置硬件防火墙。**电力数据通讯网与**电力调度数据网物理隔离。 电力调度安全I区和安全II区接入**电力调度数据网时，即纵向出口仅 仅部署了防火墙(I区三级网防火墙、II区三级网防火墙、I区四级网防火墙、II 区四级网防火墙)，在各厂站的接入路由器实施了ACL列表控制，确保主站与厂 站之间的正常TCP通讯，防止恶意TCP通讯。 

地调与各县调之间的互联也采用了防火墙作为主要安全防护措施。 根据电监会5号令的要求，应配置纵向加密认证装置，实现远方通信的双向身 份认证和数据加密。 防火墙与纵向加密的区别： 防火墙与纵向加密*大的区别在于前者不具备数据传输的加密功能，而后者提 供数据传输的认证和加密服务。 

工作原理不同：防火墙通过监视、限制、更改跨越它的数据流来保护内部网络 的安全：纵向加密通过建立专业隧道，配置策略来保护内部网络安全。 关键技术不同：防火墙采用地址和端口号配置安全规则来保护内部网络，对于 传输数据的内容并未有安全手段；纵向加密采用电力专业密码卡结合RSA公钥算 法对传输数据加密，防止传输过程中遭到恶意篡改。 调度数据网风险分析： 目前，调度数据网承载着省地互连、地县互连、电能质量、继保故障录波 以及控制区的实时数据传输业务，但是这些数据都是采用明文传输的。就拿*简单 的DISA规约报文来说，电网黑客如果对控制报文进行篡改或伪造控制报文，小的 造成停电事故，大的有功能造成电网瘫痪。 

电力系统安全防护重点在控制系统，安全防护的目标是抵御病毒、黑客通过各 种形式发起的恶意破坏和攻击，尤其是集团式攻击。重点保护电力实时闭环监控系 统及调度数据网的安全，防止由此引起的电力系统故障。 

电力专用纵向加密认证装置位于电力控制系统内部局域网与电力调度数据网 络的路由器之问，用于安全区1／11的广域网边界保护，可为本地区安全区I／lI提供 一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据的机密性、完整性保护。按照“分级管理”要求，纵向加密认证装置部署在各 级调度中心及下属的各厂站根据电力调度通信关系建立加密隧道。