南京全新科东网络安全监测 提供了透明的远程安全监测 科东

研发背景
北京科东电力控制系统有限责任公司作为国家电力调度通信中心主持的《全国电力监控系统安全防护方案》研究课题的参与单位,派出了多名工作人员参与电力监控系统安全防护专家组工作,从事总体方案、技术方案、实施方案的编写,并受国家电力调度通信中心委托开发电力系统专用网络安全产品。
在国调中心的组织下,2016底开始开展《电力监控系统网络安全监测装置技术规范》的编制工作。网络安全监测装置监测对象包括调度主站、变电站站控层及发电厂涉网生产控制大区的主机设备、网络设备和安全防护设备等,并根据实际业务需要研发Ⅰ、Ⅱ型网络安全监测装置,分别服务于主站及厂站侧。
公司现有员工总数为993人。科东公司93%的员工具有本科及以上学历,其中硕士、博士234人;37%的员工获得各类专业技术资格,其中教授级高级工程师8人、中高级以上工程师176人,国家“千人计划”专家—南瑞集团电网仿真与可视化首席专家1名。国家电网专业规划专家多名,南瑞集团专家8名、资深专家1名。公司已形成了一支老中青相结合的、具有高技术水平和创新能力的人才队伍,成为电网自动化领域科研及工程建设的一支重要力量。
4.9 基本功能
4.9.1数据采集
数据采集满足如下功能:
支持对变电站站控层或发电厂涉网生产控制大区内的服务器、工作站、网络设备(交换机)、安全防护设备等监测对象进行数据采集;
支持采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息;
支持采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息;
支持采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息;
支持触发性事件信息的采集和周期性上送的状态类信息的采集;
Ⅱ型网络安全监测装置支持的具体采集信息见附录A.1。
4.9.2数据分析处理
数据处理应满足如下要求:
支持以分钟级统计周期,对重复出现的事件进行归并处理;
支持根据参数配置,对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理,根据处理结果决定是否形成新的上报事件。
4.9.3服务代理
网络安全监测装置以服务代理的形式提供服务给网络安全管理平台调用,服务代理满足如下功能:
支持远程调阅采集信息、上传事件等数据信息,支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息;
支持对被监测系统内的资产进行远程管理,包括资产信息的添加、删除、修改、查看等;
支持参数配置的远程管理,包括系统参数、通信参数及事件处理参数;
支持通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看;
支持通过网络安全管理平台对网络安全监测装置进行远程程序升级。
?
科东公司长期从事电力系统自动化领域的技术研究、产品开发、方案咨询和工程服务,业务覆盖电网自动化、用电自动化、电力仿真及电力市场等领域,致力于电网自动化技术在电力系统中的推广与应用,从事相关领域的基础理论研究、关键技术开发、工程实施与推广应用,技术研发能力及产品居国内优秀水平。科东公司在调度自动化、电力市场、电力培训仿真、二次系统安全防护、用电信息采集、微网控制、多渠道缴费等技术领域拥有丰富的经验并拥有多项。公司业务范围涉及电力系统多个领域。在自动化控制的主要业务为电网调度自动化系统工程、调度员培训仿真、变电站培训仿真和电力市场、电量计量的研究开发与工程化、技术服务、技术咨询、技术培训及工程承包等
南京全新科东网络安全监测
北京科东电力控制系统有限责任公司(以下简称“科东公司”)成立于1995年11月,时由中国东北电力集团公司、电力工业部电力科学研究院(中国电力科学研究院前身)共同出资设立,注册资本15000万元,是北京市认定的高新技术企业和软件企业;2002年,并入中国电科院电网及仿真业务;国家鼓励创新,东北电网20%股份转让公司骨干,成为“混合所有制”企业;2010年,国资委规范国有企业员工持股和投资,成为中国电力科学研究院独资子公司;2012年,国家电网产业科研整合,划转至国网电力科学研究院;2013年,国家电网规范资本市场同业竞争,划转至国电南瑞科技股份有限公司。
部署方案
在变电站站控层或并网电厂电力监控系统的安全Ⅱ区部署网络安全监测装置,采集变电站站控层和发电厂涉网区域的服务器、工作站、网络设备和安全防护设备的安全事件,并转发至调度端网络安全管理平台的数据网关机。同时,支持网络安全事件的本地监视和管理。
当变电站站控层或发电厂涉网区域存在Ⅰ、Ⅱ区,并且网络可达时,网络安全监测装置部署在Ⅱ区.

当变电站站控层或发电厂涉网区域Ⅰ、Ⅱ区网络完全断开,则Ⅰ、Ⅱ区各部署一台网络安全监测装置.


当变电站站控层或发电厂涉网区域无Ⅱ区时,则网络安全监测装置直接部署于Ⅰ区,
当变电站站控层或发电厂涉网区域网络存在A、B双网,网络安全监测装置需要同时与A、B双网互联。


南京全新科东网络安全监测
附录A
(资料性附录)
采集信息规范
A.1 Ⅱ型网络安全监测装置采集信息列表
表A.1 服务器、工作站设备采集信息表


表A.2 网络设备采集信息表
序号
采集信息
信息产生方式
备注及说明
1
配置变更
触发
SNMP TRAP,当交换机配置有变更时产生
2
网口状态
周期
SNMP轮询(默认5秒钟,可配置),交换机应能够提供所有网口的up/down状态
3
网口up
触发
SNMP TRAP,当交换机网口有设备接入时产生
4
网口down
触发
SNMP TRAP,当交换机网口有设备拔出时产生
5
网口流量超过阈值
触发
SNMP TRAP
各网口流量阈值为80%,流量超限应通过TRAP主动上报。
交换机应支持RMON协议告警组和事件组。
6
登录成功
触发
SNMP TRAP,当有用户成功登录交换机时产生
7
退出登录
触发
SNMP TRAP,当有用户退出登录交换机时产生
8
登录失败
触发
SNMP TRAP,当有用户登录交换机失败时产生
9
修改用户密码
触发
SNMP TRAP,当有用户成功修改交换机登录密码时产生
10
用户操作信息
触发
SNMP TRAP,当有登录的用户对交换机进行任何操作时,需要产生命令行形式的操作信息。
对于web登录的用户操作,交换机需要自行转换成命令行形式的操作信息
11
MAC地址绑定关系
周期
SNMP轮询(默认60分钟,可配置),交换机应能够提供所有网口的MAC地址绑定关系。
交换机应绑定MAC地址,并关闭自动学习功能。


表A.3 安全防护设备:横向隔离装置采集信息表


表A.4 安全防护设备:防火墙采集信息表