江苏正规渠道网络安全监测 安全检查和实时告警

验收记录
监测对象采集项测试
厂站装置调试人员协调监控对象厂家,根据《附件4:网络安全监测装置设备接入测试大纲》,完成所有已接入设备的安全事件采集项测试。
监测装置服务代理功能测试
主站平台运维人员填写《附件5:主站平台验收表》(每个通道填一张),完成每个通道下列监测装置服务代理功能测试:
监控对象参数管理
验证主站平台能否对厂站网络安全监测装置监控对象的网络连接白名单、服务端口白名单、关键文件/目录白名单、危险操作命令监测清单、服务端口监测周期、存在光驱监测周期等进行管理;
厂站监测装置配置管理
江苏正规渠道网络安全监测
设备接入情况整理
厂站设备调试人员整理现场设备配置,留存,命名方式为:地区名+XXkV+变电站名+监测装置/交换机+序列号后四位,如“南京110kV苜蓿园变监测装置1123”,“南京110kV苜蓿园变交换机6238”。另外,根据最终现场设备接入情况,填写《附件6:网络安全监测装置实施接入反馈表》。
注意事项
在网络安全监测装置调试过程必须使用专用调试工具和存储介质,防止由装置调试引起的网络安全事件。
完成网络安全监测装置的部署后,需与主站平台侧维护人员确认是否可以离开现场。
江苏正规渠道网络安全监测
网络安全监测装置
部署前准备
网络环境准备


图1调度端网络拓扑图
网络连接需求:
装置至少需配置两个IP,其中一个为数据调度网IP(一般为二平面,如接入俩套数据网则需要2个数据IP)与电力监控系统网络安全监管平台数据网关机连通,另一个为厂站内网IP(如厂站内网有AB 网则需要2个内网IP)。没有IP则无法调试
对外端口:
序号
端口号
端口说明
备注
1
22
sshd端口
纵向需配置
2
9999
加密程序SV监控端口
-
3
8801
服务代理端口
纵向需配置
4
8800
主机采集端口
纵向需配置
5
514
syslog端口
-
6
162
SNMP端口
-
7
9092
消息总线服务
-
8
2181
消息总线服务
-
9
20021
本地管理工具与devicemanager的端口
-
10
3306
mysqld服务
-
11
6010
sshd服务
-
12
6011
sshd服务
-
13
6012
sshd服务
-
14
6013
sshd服务
-
15
123
ntpd服务
-
江苏正规渠道网络安全监测
(二)高适应性的网络流量分析技术
考虑到部分存量变电站及电厂存在的无法通过部署安全监测工具实现对主机监测的问题,信通在网络安全监测装置研制中增加了网络流量分析功能,无需在监控主机上部署agent即可实现对外来设备接入、远程登录、开启危险端口等的安全监测,支持实时监测Syn Flood、Land Attack、UDP Flood Attack等网络攻击事件,同时还支持101、104等电力工控协议解析,实时监测异常业务行为。其他厂商均无此功能。
江苏正规渠道网络安全监测
二、现状
根据国调的安排,平台只有信通、科东2家负责研发,监测装置主要由研制,同时也对自动化厂商等开放。
信通研制的平台和装置分别是NS-5000电力监控系统网络安全管理平台、-3000网络安全监测装置。
目前主要用户是华东分部、江苏、上海、安徽、陕西、重庆、新疆、西藏、甘肃、吉林、四川,另外福建、浙江、山西也有部分。
南网总调态势感知平台项目也是我方承担(同源技术产品)。
大部分网省调都希望在所辖范围内同时共用多家厂商的产品,平台如此,装置更是如此,因此有大量可挖掘的潜在市场。

NS-5000电力监控系统网络安全管理平台
-3000网络安全监测装置
江苏正规渠道网络安全监测