原装南瑞网络安全监测

安防设备提供信息


序号
安防设备类型(IDS、防火墙、防病毒、隔离装置、日志审计)
日志格式能否满足国调要求或提供日志解析插件
厂商名称
是否启用
所在安全区




















网络设备提供信息
序号
内网交换机名称
IP地址
所在区域(1、2)
设备厂商
固件版本
型号
是否支持固件升级
支持SNMP协议版本
连接设备涉网业务类型
备注
南瑞信通NS-5000电力监控系统网络安全管理平台及ISG-3000网络安全监测装置简介
一、背景
国调自2016年底启动新一代内网安全监视平台的研制工作,也就是电力监控系统网络安全管理系统,包含主站端的管理平台和厂站端的网络安全监测装置2部分,平台部署与国、分、省、地调侧,装置部署于变电站、电厂调度数据网涉网侧。
根据经研咨【2017】712号文,项目投资为:平台6.8亿,装置20亿,其中国(分)、省调平台为231万/套,大型地调(厂站数量超过100家)为209万/套,小型地调(厂站数量不到100家)为175万/套,监测装置5.5~7.5万/台。
系统按照设备自身感知、监测装置分布采集、监管平台统一管控的原则,构建感知、采集、管控三层架构的网络安全监管系统技术体系。
原装南瑞网络安全监测
该方案中,监测装置优先使用华东接入网与华东网调通信,优先使用省级接入网与江苏省调通信。在此方式下,监测装置的地址及主备状态配置应为(同一分组即为主备关系,权限用于区分主备,每组仅有一个IP地址,不需要区分权限,默认为0):
华东网调平台地址1,分组号1,权限0;
江苏省调平台地址2,分组号2,权限0;
华东备调平台地址3,分组号3,权限0;
江苏备调平台地址4,分组号4,权限0。
对于220kV及以下统调电厂应采用主主模式,同步上送江苏省调、江苏备调;监测装置同时使用一、二平面上送江苏省调、江苏备调,一平面主送省调、二平面主送备调,如下图所示:


在此方式下,监测装置的地址及主备状态配置应为:
江苏省调一平面地址1,分组号1,权限0;
江苏省调二平面地址2,分组号1,权限1;
江苏备调一平面地址3,分组号2,权限1;
江苏备调二平面地址4,分组号2,权限0。
对于220kV及以下变电站、非统调电厂(苏州地区以外),应采用主备模式,一般建议优先使用二平面网络上送至地调平台;
在此方式下,监测装置的地址及主备状态配置应为:
xx地调一平面地址1,分组号1,权限1;
xx地调二平面地址2,分组号1,权限0。
苏州地区的220kV及以下变电站、非统调电厂应采用主主模式往苏州地调、苏州备调上送,一平面主送地调、二平面主送备调。


在此方式下,监测装置的地址及主备状态配置应为:
苏州地调一平面地址1,分组号1,权限0;
苏州地调二平面地址2,分组号1,权限1;
苏州备调一平面地址3,分组号2,权限1;
苏州备调二平面地址4,分组号2,权限0。
设备接入情况整理
厂站设备调试人员整理现场设备配置,留存,命名方式为:地区名+XXkV+变电站名+监测装置/交换机+序列号后四位,如“南京110kV苜蓿园变监测装置1123”,“南京110kV苜蓿园变交换机6238”。另外,根据最终现场设备接入情况,填写《附件6:网络安全监测装置实施接入反馈表》。?
注意事项
在网络安全监测装置调试过程必须使用专用调试工具和存贮介质,防止由装置调试引起的网络安全事件。
完成网络安全监测装置的部署后,需与主站平台侧维护人员确认是否可以离开现场。
原装南瑞网络安全监测
监测装置基本配置
调试人员根据厂站类型完成网络安全监测装置网络配置、路由配置、对时配置,导入主站平台证书等,完成与主平台(备平台)多通道双向身份认证,测试与站控层网络连通性。
网络配置——根据地址规划进行上联一区一、二平面数据网交换机网口配置,下联A、B网站控层交换机网口配置
路由配置——应采用明细路由,禁止使用缺省路由
对时配置——配置与主站平台数据网关机进行对时
导入主站平台证书——导入主站平台(备平台)证书