正规渠道南瑞网络安全监测 助其构建完善的网站安全体系 南瑞

现场调研
网络安全监测装置厂家应提前完成现场调研,填写调研表,根据部署方式等相关规定确定监测装置部署物理位置,网络位置,电源情况,与主站平台通信计划等;调研监控系统型号,版本,计划接入的设备数量、方式等;调研站控层交换机数量,电源,是否支持SNMP,接入监测装置计划等;调研防火墙,隔离装置型号,是否支持接入监测装置。
申请证书
厂站监测装置调试人员将装置生成的证书请求带到调度主站,由主站进行证书签发;
数字证书禁止采用外网的方式进行传输;
设备接入申请
检修公司及电厂按照调度主站的要求完成设备接入申请单填写(可参照《附件2:网络安全监测装置接入申请单》),并提交调度机构审批;省调及各地调公司可根据各自常规流程进行申请及审批;
检修单申请
通过OMS系统进行调度自动化系统及设备检修工作票申请;
™™
监测装置基本配置
调试人员根据厂站类型完成网络安全监测装置网络配置、路由配置、对时配置,导入主站平台证书等,完成与主平台(备平台)多通道双向身份认证,测试与站控层网络连通性。
网络配置——根据地址规划进行上联一区一、二平面数据网交换机网口配置,下联A、B网站控层交换机网口配置
路由配置——应采用明细路由,禁止使用缺省路由
对时配置——配置与主站平台数据网关机进行对时
导入主站平台证书——导入主站平台(备平台)证书
正规渠道南瑞网络安全监测
适应性改造
电厂部署网络安全监测装置的同时需要协调对应的业务厂商,对涉网业务的服务器、工作站、网络设备(非调度数据网交换机)进行适应性改造,实现对其自身感知的安全事件进行采集。
对于监测对象可以分为局域网型和装置型,局域网型指的是业务系统在电厂内部独立组网的被监控对象(电厂计算机监控系统、自动化系统),装置型指的是装置类的业务系统( PMU、保信子站、电能量采集装置、RTU)。由于装置类被监测对象操作系统多为经过裁剪的Linux操作系统,很多协议及端口受到限制,不便于agent监测程序的开发,因此改造的优先程度为先改造局域网型被监测对象,后改造装置类被监测对象,可以为装置类的agent监测程序的开发留出更多时间,同时也可以考虑将装置类的被监测对象替换为非装置类,便于部署agent监测程序。
1)主机的改造:电厂方面需要将涉网业务的服务器、工作站的操作系统通过部署agent的方式进行改造,agent可由业务厂商提供,也可使用第三方厂商提供的agent,如果采用第三方厂商提供的agent,先由业务厂商做集成测试,完成测试后再到现场进行部署。
2)交换机的改造:交换机需要满足SNMP V2或V3协议,如果不满足,则需要进行版本升级或更换。对于满足SNMP V2或V3协议的交换机但不能完全满足采集规范时,需要由业务厂商进行私有mib的开发。目前装置支持对于国产主流型号的交换机进行数据采集。工控交换机目前部分厂商支持改造接入条件。
3)安防设备的改造:安防设备发送的报文日志格式需要要满足按照《GB/T 31992-2015 电力系统通用告警格式》规范要求,否则需要提供安防设备厂商提供日志格式转换的动态库。详细信息参见附录5内容。
正规渠道南瑞网络安全监测
告警治理
调试人员应在主机Agent部署前,提前整理并录入白名单,白名单可形成知识库,在接入过程中逐渐完善。
网络外联白名单——主机Agent部署时,应提前整理并录入网络外联白名单,白名单应包括该主机需要进行网络交互的所有网络地址(段),不允许加全网段、A、B类地址,限制添加C类地址,地址应尽可能细化。
关键服务端口白名单——主机Agent部署时,应提前整理并录入关键服务端口白名单,原则上只开放变电站监控系统需要的端口及服务。
对于部分无法消除的告警,如交换机MAC地址未绑定,调试人员可酌情在网络安全监测装置中配置白名单。
告警模拟上送
厂站进行如下告警模拟,主站运维人员观察告警接收情况(多通道),时间误差应小于30 秒:
①监控后台机中进行USB 插拔、网络外联事件、登录失败告警事件测试。
②防火墙进行不符合安全策略事件、修改策略测试。
③交换机进行登录失败、配置更改、修改用户名密码测试。
设备加固
调试人员需对新增的网络安全监测装置和交换机进行加固,包括修改监测装置前台登录密码、后台登录密码,交换机后台登录密码,关闭交换机不用的端口,配置三权分立用户和口令等。
正规渠道南瑞网络安全监测
(三)高安全等级的网络安全监测装置
根据《网络安全法》和等级保护相关要求,网络安全监测装置要求达到等级保护三级标准,南瑞信通研发的ISG-3000网络安全监测装置内置通过公安部鉴定的TMAC-3000内核安全增强软件达到等保三级安全防护强度,其他厂商均为较低的一级、二级安全防护等级。
(四)自主可控的基线核查和漏洞扫描主动监测技术
南瑞信通研制的网络安全管理系统包括漏洞扫描、基线核查等模块均为自主研发,能够满足用户应用模块开发、软件集成等需求,并提高工程实施的自主性,降低用户投资成本。其它厂商需外委第三方采购或开发,成本较高,升级不便,可控性差。
(五)可提供等保测评等整体安全解决方案
南瑞信通是公安部、能源局授权的电力行业信息安全等级保护第三测评实验室,有丰富的安全服务经验,可为用户提供上前线安全测评、上线后等保测评、安全加固和常态化安全运营等安全防护整体解决方案。
附件:
南瑞NS-5000电力监控系统网络安全监管平台部分截图

图1安全概览

图2拓扑监视

图3行为监视

图4威胁监视

图5告警审计

图6综合审计

图7公安部等保三级证书
正规渠道南瑞网络安全监测
主机提供信息
厂站侧主机按照规范需要接入:I区, 监控主机;五防系统;远动机;继电保护模块;时钟系统。II区,电能量采集装置;故障录波;保信子站。需协调用户安排相关厂家到达现场配合。


序号
变电站名称
涉网业务主机名称
IP
厂商名
主机涉网业务类型
所在安全区(1、2区)
1、2区网络是否可达(用防火墙作为隔离)
是否可信计算(操作系统安全加固)
操作系统(Windows、Linux、Unix)
版本号
综自厂商名称
填表人姓名、联系电话(必填)
(二)高适应性的网络流量分析技术
考虑到部分存量变电站及电厂存在的无法通过部署安全监测工具实现对主机监测的问题,南瑞信通在网络安全监测装置研制中增加了网络流量分析功能,无需在监控主机上部署agent即可实现对外来设备接入、远程登录、开启危险端口等的安全监测,支持实时监测Syn Flood、Land Attack、UDP Flood Attack等网络攻击事件,同时还支持101、104等电力工控协议解析,实时监测异常业务行为。其他厂商均无此功能。
正规渠道南瑞网络安全监测