纵向加密认证装置部署方案
主站侧有多个系统,包括调度技术支持系统、监控支持系统、配电网信息系统、电量采集系统等,需要采集数据的业务主机较多,不适合将纵向加密装置部署在业务主机和交换机之间。主站侧采用纵向加密装置部署在交换机与路由器之间的方式,实际应用时纵向加密装置放置在Ⅰ/Ⅱ区交换机和骨干网交换机之间,采用借用1-N工作模式,部署2台纵向加密装置,每台装置均配置VLA
纵密认证公司
纵向加密认证装置部署方案
主站侧有多个系统,包括调度技术支持系统、监控支持系统、配电网信息系统、电量采集系统等,需要采集数据的业务主机较多,不适合将纵向加密装置部署在业务主机和交换机之间。主站侧采用纵向加密装置部署在交换机与路由器之间的方式,实际应用时纵向加密装置放置在Ⅰ/Ⅱ区交换机和骨干网交换机之间,采用借用1-N工作模式,部署2台纵向加密装置,每台装置均配置VLAN10、VLAN20、VLAN30、VLAN40等4个VLAN业务地址,实现双机热备用,提高系统冗余程度。主站侧纵向加密装置网络结构如图2所示,配置明细如表1所示。图2主站侧纵向加密装置网络结构表1主站侧纵向加密装置配置明细部署位置主站主站设备名称纵密A纵密BETH0--ETH1地址A1地址B1工作模式借用1-N借用1-NVLAN标识802.1q802.1qVLAN号10、2010、20ETH2--ETH3地址A2地址B2工作模式借用1-N借用1-NVLAN标识802.1q802.1qVLAN号30、4030、402.2.2厂站侧部署方案厂站侧通常在Ⅰ区有2台通信网关机设备,1台安全监测装置,即VLAN101有3个业务地址;Ⅱ区通常有2台电量装置和1台安全监测装置。但是由于Ⅱ区主要采集传输电量相关数据,实时性不高,故有部分厂站只有1台电量装置,所以厂站侧VLAN201中的业务地址数量为2~3个。
纵向加密装置的远程维护
通过内网安全监控平台的远程管控功能可以实现添加隧道、删除隧道、重置隧道和查询隧道状态的隧道管理功能,以及添加安全策略、删除安全策略、编辑安全策略和查询安全策略的安全策略管理功能,日常运维中需要加强装置的远程管控,及时发现加密装置隧道的异常状态和排查不合理的安全策略,实现对加密隧道和安全策略的维护。
纵向加密装置在电力系统
纵向加密装置在电力调度数据网中的位置 电力纵向加密认证装置位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,如下图所示,用于安全区I/II的广域网边界保护,可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的完整性保护。按照“分级管理”要求,纵向加密认证装置部署在各级调度中心及下属的各厂站,根据电力调度 通信关键建立。
(作者: 来源:)
