纵向加密认证装置部署方案

纵向加密装置部署在路由器与业务主机之间，由于路由器一般通过交换机作为中介的方式与业务主机实现连接，故纵向加密装置部署方案有2种。a.部署在业务主机与交换机之间。优点是调度中心或者厂站局域网内部地址容易获得，不影响全网已经分配的地址。如果发生纵向设备故障，仅影响单个业务，便于设备管理;缺点是依据业务不同，需要的纵向装置数量很大，每个业务接口都需要配置1台设备，现场业务目前一般有4个实时业务接口和4个非实时业务接口。b.部署在交换机与路由器之间。优点是部署在网络关键路径，不同的业务都可以通过1个或者主、备2个纵向装置对应用的业务进行保护，需要的纵向装置数目比上一种情况少;缺点是如果发生纵向设备故障，影响面积较大。

纵向加密认证网关

纵向加密是指数据包加密后传输。横向隔离是网络隔开，不加密你也访问不到。

认证网关是用户进入CA证书认证服务的网络信任域和***专网应用服务系统前的接入和访问控制设备，它具有用户身份认证代理的功能，能够和证书认证服务系统交互，完成用户身份认证，根据认证结果核对该用户的可信网络访问权限，完成网络接入的鉴权控制。

纵向加密认证装置产品功能

1.纵向加密认证装置支持对多种电力协议如：IEC104、DL47692等进行安全解析，对不同功能的报文采取不同的应用策略：对监视和查询报文分别以明通方式通信，而对控制报文以及控制报文的参数进行加密，保证重要实时命令的完整性。

2.支持多种灵活接入方式：对用户完全透明，现有的网络拓扑结构无须任何改动。可以实现多种应用环境下实时业务的无缝接入，充分降低用户管理和使用的复杂程度。

3.安全综合防护功能：集成基于应用的内容过滤和硬件防火墙技术。

4.系统高可靠运行保障技术：采用多种高可靠性保障技术，包括：双机冗余备份技术、硬件自动旁路技术、双电源冗余技术等，使得系统达到99.99%以上的不间断运行水平。

5.高可靠性硬件设计：充分考虑电厂和变电站的特殊运行环境，整体硬件设计分布均匀、布局合理，硬件电源采用双电源设计，电源模块全部采用国外进口工控电源，有效地提高系统平均无故障工作时间。

6.严格的生产流程控制：严格遵循ISO9000 2000版质量认证体系对每一台产品的关键芯片和元器件进行产品老化试验。所有产品在出厂前必须经过240小时连续通电和大流量通信测试，检测合格后会颁发产品合格证并备案，确保现场每一台产品运行的稳定性和硬件的高可靠性。

7.丰富的现场使用经验：通过多个现场环境的实际使用和接入，积累了丰富的现场实施经验，能够适应多种复杂的接入网络环境，能够确保用户调度数据网的运行。

电力纵密

发电企业、电网企业内部基于计算机和网络技术的业务系统，应当划分为生产控制大区和管理信息大区。

生产控制大区可以分为控制区(安全区 I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。 根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免形成不同安全区的纵向交叉联接。

电力调度数据网应当在通道上使用***的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公用数据网的安全隔离。