新款南瑞网络安全监测 南瑞

告警治理
调试人员应在主机Agent部署前,提前整理并录入白名单,白名单可形成知识库,在接入过程中逐渐完善。
网络外联白名单——主机Agent部署时,应提前整理并录入网络外联白名单,白名单应包括该主机需要进行网络交互的所有网络地址(段),不允许加全网段、A、B类地址,限制添加C类地址,地址应尽可能细化。
关键服务端口白名单——主机Agent部署时,应提前整理并录入关键服务端口白名单,原则上只开放变电站监控系统需要的端口及服务。
对于部分无法消除的告警,如交换机MAC地址未绑定,调试人员可酌情在网络安全监测装置中配置白名单。
告警模拟上送
厂站进行如下告警模拟,主站运维人员观察告警接收情况(多通道),时间误差应小于30 秒:
①监控后台机中进行USB 插拔、网络外联事件、登录失败告警事件测试。
②防火墙进行不符合安全策略事件、修改策略测试。
③交换机进行登录失败、配置更改、修改用户名密码测试。
设备加固
调试人员需对新增的网络安全监测装置和交换机进行加固,包括修改监测装置前台登录密码、后台登录密码,交换机后台登录密码,关闭交换机不用的端口,配置三权分立用户和口令等。
设备接入情况整理
厂站设备调试人员整理现场设备配置,留存,命名方式为:地区名+XXkV+变电站名+监测装置/交换机+序列号后四位,如“南京110kV苜蓿园变监测装置1123”,“南京110kV苜蓿园变交换机6238”。另外,根据终现场设备接入情况,填写《附件6:网络安全监测装置实施接入反馈表》。
注意事项
在网络安全监测装置调试过程必须使用专用调试工具和存贮介质,防止由装置调试引起的网络安全事件。
完成网络安全监测装置的部署后,需与主站平台侧维护人员确认是否可以离开现场。
新款南瑞网络安全监测
验收记录
监测对象采集项测试
厂站装置调试人员协调监控对象厂家,根据《附件4:网络安全监测装置设备接入测试大纲》,完成所有已接入设备的安全事件采集项测试。
监测装置服务代理功能测试
主站平台运维人员填写《附件5:主站平台验收表》(每个通道填一张),完成每个通道下列监测装置服务代理功能测试:
监控对象参数管理
验证主站平台能否对厂站网络安全监测装置监控对象的网络连接白名单、服务端口白名单、关键文件/目录白名单、危险操作命令监测清单、服务端口监测周期、存在光驱监测周期等进行管理;
厂站监测装置配置管理
新款南瑞网络安全监测
二、现状
根据国调的安排,平台只有南瑞信通、科东2家负责研发,监测装置主要由南瑞研制,同时也对自动化厂商等开放。
南瑞信通研制的平台和装置分别是NS-5000电力监控系统网络安全管理平台、ISG-3000网络安全监测装置。
目前主要用户是华东分部、江苏、上海、安徽、陕西、重庆、新疆、西藏、甘肃、吉林、四川,另外福建、浙江、山西也有部分。
南网总调态势感知平台项目也是我方承担(同源技术产品)。
大部分网省调都希望在所辖范围内同时共用多家厂商的产品,平台如此,装置更是如此,因此有大量可挖掘的潜在市场。

南瑞NS-5000电力监控系统网络安全管理平台
南瑞ISG-3000网络安全监测装置
网络安全监测装置
部署前准备
网络环境准备


图1调度端网络拓扑图
网络连接需求:
装置至少需配置两个IP,其中一个为数据调度网IP(一般为二平面,如接入俩套数据网则需要2个数据IP)与电力监控系统网络安全监管平台数据网关机连通,另一个为厂站内网IP(如厂站内网有AB 网则需要2个内网IP)。没有IP则无法调试
对外端口:
序号
端口号
端口说明
备注
1
22
sshd端口
纵向需配置
2
9999
加密程序SV监控端口
-
3
8801
服务代理端口
纵向需配置
4
8800
主机采集端口
纵向需配置
5
514
syslog端口
-
6
162
SNMP端口
-
7
9092
消息总线服务
-
8
2181
消息总线服务
-
9
20021
本地管理工具与devicemanager的端口
-
10
3306
mysqld服务
-
11
6010
sshd服务
-
12
6011
sshd服务
-
13
6012
sshd服务
-
14
6013
sshd服务
-
15
123
ntpd服务
-
新款南瑞网络安全监测