供应南瑞网络安全监测 安全检查和实时告警

三、五大技术优势
对比项
南瑞信通
科东
自动化厂商
其他厂商
①主机操作系统安全监测工具
有一支系统内国调一认可的操作系统安全研究团队
支持RedHat5、 RedHat6、Centos6、Centos5、Solaris 10、HP-UNIX B11、Windows7、 WindowsXP、Windows2003、Windows2008和WindowsVista等
仅支持Linux
×
×
②网络流量分析功能
(1)无需在监控主机上部署agent即可实现对外来设备接入、远程登录、开启危险端口等的安全监测;
(2)支持实时监测Syn Flood、Land Attack、UDP Flood Attack等网络攻击事件;
(3)支持101、104等电力工控协议解析,实时监测异常业务行为
×
×
×
③产品安全防护等级
ISG-3000网络安全监测装置内置通过公安部鉴定的TMAC-3000内核安全增强软件,达到等保三级安全防护强度
×
×
×
④基线核查与漏洞扫描
漏洞扫描、基线核查等模块均为自主研发,能够满足用户高级应用模块开发、软件集成等需求,并提高工程实施的自主性,降低用户投资成本
外委,成本高,升级难,可控性差
×
×
⑤综合解决方案能力
南瑞信通是公安部、能源局授权的电力行业信息安全等级保护第三测评实验室,可为用户提供等保测评、安全加固等整体解决方案
×
×
×
供应南瑞网络安全监测
南瑞信通NS-5000电力监控系统网络安全管理平台及ISG-3000网络安全监测装置简介
一、背景
国调自2016年底启动新一代内网安全监视平台的研制工作,也就是电力监控系统网络安全管理系统,包含主站端的管理平台和厂站端的网络安全监测装置2部分,平台部署与国、分、省、地调侧,装置部署于变电站、电厂调度数据网涉网侧。
根据经研咨【2017】712号文,项目投资为:平台6.8亿,装置20亿,其中国(分)、省调平台为231万/套,大型地调(厂站数量超过100家)为209万/套,小型地调(厂站数量不到100家)为175万/套,监测装置5.5~7.5万/台。
系统按照设备自身感知、监测装置分布采集、监管平台统一管控的原则,构建感知、采集、管控三层架构的网络安全监管系统技术体系。
现场调研
网络安全监测装置厂家应提前完成现场调研,填写调研表,根据部署方式等相关规定确定监测装置部署物理位置,网络位置,电源情况,与主站平台通信计划等;调研监控系统型号,版本,计划接入的设备数量、方式等;调研站控层交换机数量,电源,是否支持SNMP,接入监测装置计划等;调研防火墙,隔离装置型号,是否支持接入监测装置。
申请证书
厂站监测装置调试人员将装置生成的证书请求带到调度主站,由主站进行证书签发;
数字证书禁止采用外网的方式进行传输;
设备接入申请
检修公司及电厂按照调度主站的要求完成设备接入申请单填写(可参照《附件2:网络安全监测装置接入申请单》),并提交调度机构审批;省调及各地调公司可根据各自常规流程进行申请及审批;
检修单申请
通过OMS系统进行调度自动化系统及设备检修工作票申请;
??
供应南瑞网络安全监测
二、现状
根据国调的安排,平台只有南瑞信通、科东2家负责研发,监测装置主要由南瑞研制,同时也对自动化厂商等开放。
南瑞信通研制的平台和装置分别是NS-5000电力监控系统网络安全管理平台、ISG-3000网络安全监测装置。
目前主要用户是华东分部、江苏、上海、安徽、陕西、重庆、新疆、西藏、甘肃、吉林、四川,另外福建、浙江、山西也有部分。
南网总调态势感知平台项目也是我方承担(同源技术产品)。
大部分网省调都希望在所辖范围内同时共用多家厂商的产品,平台如此,装置更是如此,因此有大量可挖掘的潜在市场。

南瑞NS-5000电力监控系统网络安全管理平台
南瑞ISG-3000网络安全监测装置
(二)高适应性的网络流量分析技术
考虑到部分存量变电站及电厂存在的无法通过部署安全监测工具实现对主机监测的问题,南瑞信通在网络安全监测装置研制中增加了网络流量分析功能,无需在监控主机上部署agent即可实现对外来设备接入、远程登录、开启危险端口等的安全监测,支持实时监测Syn Flood、Land Attack、UDP Flood Attack等网络攻击事件,同时还支持101、104等电力工控协议解析,实时监测异常业务行为。其他厂商均无此功能。
供应南瑞网络安全监测
资产录入规范
设备名称
设备命名应言简意赅,可令调度主站迅速定位是哪台机器,名称原则上只包含中文,也可以阿拉伯数字和部分特定字母(如A、B、PMU等)辅助标识,示例:一区A网交换机、风功率预测服务器、故障录播器1、一二区横向防火墙,监控后台1,PMU1等;
IP及Mac
对于监控系统内的设备存在A、B网地址的,应同时录入A、B网IP及Mac地址,如不存在A、B网地址的,部分设备既有数据网地址又有站控层地址的,原则上应填写和网络安全监测装置通信的IP及Mac;
厂商
统一厂商名规范,规范常见厂商名称,避免出现同一厂商多个表达方式的情况,常见厂商名称见《附件1:厂站业务系统及设备、厂商表》,对于附件1外的厂商应联系省调平台维护人员申请确认,并由省调平台添加到厂商字典,便于统一管理;原则上厂商应遵循调控云厂商库的定义。
序列号(业务系统)
鉴于江苏公司计划针对站内业务系统及设备进行分类统计,并形成统计报表,目前监测装置录入监视对象的各字段属性中,序列号字段体现的价值相对较小,故江苏地区监测装置录入的监视对象,将该字段统一填写业务系统字段,便于主站平台统计厂站已接入的相关业务系统及设备数量信息,厂站业务系统及代码详见《附件1:厂站业务系统及设备、厂商表》;
版本
该字段应按照实际情况正确填写,对于日志不符合规范的交换机和安防设备,网络安全监测装置可采用动态库和正则表达式两种解析方式,并通过该字段的版本去匹配对应的动态库和正则表达式;
分区
网络安全监测装置技术规范定了一个保留字段用于扩展,为保障主站调阅厂站拓扑页面的正常显示,现要求该字段用于分区字段,定义该设备所属分区,1代表安全I区,2代表安全II区。
接入优先级
接入网络安全监测装置的厂站设备按照重要程度分为三个优先级,第一优先为网络与安防设备,包含监控系统交换机及其他变电站站控层、电厂涉网系统交换机,横向防火墙,正反向隔离,入侵监测,防恶意代码等;第二优先为主机类设备,包含监控后台、通信网关机、故障录波器、保信子站(非嵌入式系统)、PMU等;第三优先级为嵌入式设备类,包含电能量采集装置、保信子站(嵌入式系统)、远动机(嵌入式系统)等。接入监测装置的设备需结合优先级综合考虑,第一类必须接入,第二类原则上也必须接入,应由各单位与相关系统厂家确认是否具备接入条件,第三类设备可以暂缓接入;
表1:变电站站控层系统及设备清单
供应南瑞网络安全监测
设备接入情况整理
厂站设备调试人员整理现场设备配置,留存,命名方式为:地区名+XXkV+变电站名+监测装置/交换机+序列号后四位,如“南京110kV苜蓿园变监测装置1123”,“南京110kV苜蓿园变交换机6238”。另外,根据最终现场设备接入情况,填写《附件6:网络安全监测装置实施接入反馈表》。
注意事项
在网络安全监测装置调试过程必须使用专用调试工具和存贮介质,防止由装置调试引起的网络安全事件。
完成网络安全监测装置的部署后,需与主站平台侧维护人员确认是否可以离开现场。
供应南瑞网络安全监测