《新能源电厂电力监控系统网络安全监测装置典型部署方案.docx》由会员分享,可在线阅读,更多相关《新能源电厂电力监控系统网络安全监测装置典型部署方案.docx(48页珍藏版)》请在第一文库网上搜索。
1、新能源电厂网络安全监测装置典型部署方案一.建设背景XX二、网络安全监测装置1 .型号口型网络安全监测装置2 .接口规范(以科东为例)(1 )采用RJ45接口 ;(2 )具备8个10M/100M/1000M自适应以太网电口(支持网口扩展);(3 )两个交流220V/50HZ ,电源插座;(4 )两个电源开关;(5)两个出82.0接口。3 .物理特性尺寸:采用1U整层机箱;重量:10kg。4 .设备外观三、部署方案3.1 接入范围新能源电厂设备接入范围为涉网业务系统的主机设备,包括远动装置(RT PMU、故障录波、保信子站、电能量采集装置、功率预测服务器等,网络设备(内网交换机)以及通用安防设备(
2、防火墙、IDS )和专用的安全防护设备(正、反向隔离设备)的接入(由于目前网络安全监测装置没有针对日志审计系统制定采集规范,因此不在本次监控范围之内1远动装置、PMU终端装置通过调度数据网与调度端通讯,独立挂载于调度数据网交换机实时vlan端口上;电能量采集装置、故障录波装置通过调度数据网与调度端通讯,独立挂载于调度数据网交换机非实时vlan端口上。针对主机设备、网络设备、通用及专用安防设备的具体监视项详见附录10o3.2 技术方案1)简易型部署方案:图1简易型电厂部署拓扑图在电厂的安全I、口区各部署一台口型网络安全监测装置,一端连接到电厂各个涉网业务系统交换机,另一端连接至调度数据网交换机(
3、如果告警信息需要同时上送至省调及地调主站侧,装置可同时分两路进行数据转发),负责采集电厂涉网业务系统的服务器、工作站、网络设备(内网交换机)和安全防护设备的安全事件,对于告警信息进行本地存储以外,同时将告警信息转发至调度端主站侧的数据网关机,最终汇总到主站侧网络安全管理平台。经过调研反馈,目前现场不存在AB双网,如果电厂内存在A、B网,则型网络安全监测装置分别接入A、B网交换机,实现对监视对象的采集。如果需要将非法外联隐患较大的风机监控系统(非涉网部分)纳入监视范围则需要口型网络安全监测装置接入风机监控系统的交换机实现对风机监控系统的后台监控主机等监视。2)标准型监控部署方案一:,安全-IX!
4、.企二士一7一一南度数据向一一、一耀向从厘片姒向加密认皿装- ?!内网交触11 II;I!图2标准一型电厂部署拓扑图在简易型监控部署方案基础上,为了实现场站端就地监视功能,落实场站作为安全防护主体责任人的要求,可以通过增加在口区部署一台人机工作站,口型网络安全监测装置客户端软件部署在人机工作站上,实现本地监视和本地管理功能。3)标准型监控部署方案二:安全区安全:区买BVP上姒向加空认沽54曾纵臼机空认证装置纵向加盟认证装2K地割交换机内网交炭机返动机(RJ)PMU涉网业务系统Q防水塔电能看乘集系统功率使薰版务笈IDS工一嬴wwr !内网交涣机I在标准型监控部署方案一基础上,为了细化本地监视和本
5、地管理功能,可以增加两台服务器,一台作为数据库服务器,另外一台作为本地监视服务器,用来存储口型网络安全监测装置采集到的监视对象的运行信息、操作信息及告警信息,并部署数据库和对应程序模块实现安全监视、安全告警、安全分析以及安全审计功能,进一步细化并更加全面的落实场站安全防护主体工作。3.3 适应性改造3.4 1.改造方案说明:新能源电厂部署网络安全监测装置的同时需要协调对应的电厂业务厂商,对监视的服务器、工作站、网络设备(非调度数据网交换机)进行适应性改造,实现对其自身感知的安全事件进行采集。装置类被监测对象操作系统多为经过裁剪的Linux操作系统,很多协议及端口受到限制,不便于agent监测程
6、序的开发,因此改造的优先程度为先改造局域网型被监测对象,后改造装置类被监测对象,可以为装置类的 agent 监测程序的开发留出更多时间,同时也可以考虑将装置类的被监测对象替换为非装置类,便于部署agent监测程序。1 )主机的改造:新能源电厂方面需要将监视的业务的服务器、工作站的操作系统通过部署agent的方式进行改造 ,agent可由场站业务厂商提供,也可使用第三方厂商提供的agent ,如果采用第三方厂商提供的agent ,先由场站业务厂商做集成测试,完成测试后再到现场进行部署。目前部分第三方厂商针对主流的linux系列、windows系列、UNIX系列的agent已经完成研发。详细信息参
7、见附录1、附录2、附录3内容。2 )交换机的改造:交换机需要满足SNMP V2或V3协议,如果不满足,则需要进行版本升级或彻底更换。对于满足SNMP V2或V3协议的交换机但不能完全满足采集规范时,需要由场站业务厂商进行私有mib的开发。目前装置支持对于国产主流型号的交换机进行数据采集。工控交换机目前部分厂商支持改造接入条件。详细信息参见附录4、附录5、附录6、附录7内容。如果口型网络安全监测装置具备流量分析功能时,若内网核心交换机镜像口被IDS占用,则可新增一台交换机串接,并将新增交换机镜像出2路镜像口,分别接入IDS和型网络安全监测装置;若无IDS占用核心交换机镜像口,则型网络安全监测装置
8、需要接入内网核心交换机的镜像口。3)安防设备的改造:安防设备发送的报文日志格式需要要满足按照GB/T 31992-2015电力系统通用告警格式规范要求,否则需要安防设备厂商提供日志格式转换的动态库。详细信息参见附录8、附录9内容。3.4装置功能3.4.1 本地监视功能1、本地数据采集:(1 )应支持对服务器、工作站、网络设备、安全防护设备等监测对象进行数据采集;(2 )应支持采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息;(3 )应支持采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息;(4 )应支持采集安全防护设备的用户登录
9、、配置变更、运行状态、安全事件信息等事件信息;(5 )应支持触发性事件信息的采集和周期性上送的状态类信息的采集。2、数据分析处理:(1 )应支持以分钟级统计周期,对重复出现的事件进行归并处理;(2 )应支持根据参数配置,对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理,根据处理结果决定是否形成新的上报事件。(3 )应支持对网络设备日志信息进行分析处理,提取出需要的事件信息(如用户添加事件);(4 )可以形成外设接入事件、用户登录事件、危险操作事件、状态异常事件等上传事件。具体内容请参见附录10o3、安全分析:使用综合分析手段,通过对设备安全监视与安全告警数据进行不同
10、维度的分析与挖掘,提供多视角、多层次的分析结果。4、监视告警:(1 )应遵循GB/T 31992-2015电力系统通用告警格式,提供实时告警、历史告警功能。(2 )应针对监测装置的告警情况,采用告警提示窗、告警悬浮、告警轮播等多种方式实时展示告警情况;(3 )告警范围包括:安全事件类、运行异常类、设备故障类、人员操作类告警。(4)应提供6个月内的安全告警信息的记录、查询等功能。包括设备信息、安全告警发生次数、发生时间、告警内容、是否解决、解决方法等信息。支持按所属区域、安全区、电设备类型等属性进行告警筛选,支持按告警级别、确认状态、发生时间等属性对告警进行搜索的功能,支持告警内容的全文检索,支
11、持按关键字段对告警记录进行排序。5、参数管理:网络安全监测装置参数配置项应至少包括系统参数、通信参数及事件处理参数,支持参数配置导出功能及同产品的参数配置备份导入功能,即达到同产品的参数配置的互换性。6、图形化展现:应提供本地图形化界面,对监视对象进行监视管理,满足如下要(1 )应支持采集信息、上传信息的本地查看,应支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看;(2 )应具备自诊断功能,至少包括进程异常、通信异常、硬件异常、CPU占用率、过高、存储空间剩余容量过低、内存占用率过高等,检测到异常时应提示(3 )应具备用户管理功能,基于三权分立原则划分管理员、操作员、审计
12、员等,不同角色,并为不同角色分配不同权限;应满足不同角色的权限相互制约要求,应不存在拥有所有权限的超级管理员角色;(4 )应具备资产管理功能,包括资产信息的添加、删除、修改、查看等,资产信息应包括:设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等;(5 )应支持采集信息、上传信息的本地查看,应支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看;(6 )应支持对监视对象数量、在离线状态的统计展示,应支持从设备类型、事件等级等维度对采集信息、上传信息进行统计展示;(7 )应具备日志功能,日志类型至少包括登录日志、操作日志、维护日志等;(8 )日志内容应包括
13、日志级别、日志时间、日志类型、日志内容等信息,日志应具备可读性;342通信功能支持与监测对象通信,包括服务器、工作站、网络设备、安全防护设备。支持与管理平台通信,包括事件上传通信和服务代理通信。1、服务代理:网络安全监测装置以服务代理的形式,提供服务给网络安全管理平台调用,服务代理应满足如下要求:(1)应支持远程调阅采集信息、上传事件等数据信息,应支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息;(2 )应支持对被监测系统内的资产进行远程管理,包括资产信息的添加、删除、修改、查看等;(3 )应支持参数配置的远程管理,包括系统参数、通信参数及事件处理参数;(4 )应
14、支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用;(5 )应支持通过代理方式实现对服务器、工作站等设备主动断网命令的调用;(6 )应支持通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看;(7 )应支持通过网络安全管理平台对网络安全监测装置进行远程程序升级。四.工程实施4.1实施前准备1、为口型网络安全监测装置申请并分配IP地址,包括新能源电厂内各系统(包括A、B网地址)以及调度数据网IP地址;2、组织开展前期调研工作,下发调研清单了解新能源电厂内各业务系统、监控对象具体操作系统版本以及与各电厂业务厂商详细确定 agent 监控程序开发完成时间,同时制定完整的厂家联系人登记表,方便项目实施过程的沟通,具体调研内容详见以下分项调研表:(1 )主机设备:序号场站名称涉网(站控)业务类型涉网(站控)业务主机名称IP地址所在安全区安全一、二区网络是否可达(是否使用防火墙、隔离设备进行防护)操作系统场站业务厂商名称填表人姓名、联系电话(必填)型号发行版本号表1主机设备信息调研表(2 )安防设备:
免费区 
