原装南瑞网络安全监测 提供了透明的远程安全监测

安装前准备
主站工作
地址规划
网络安全监测装置需要使用的地址包括数据网地址和站控层地址。
主站人员进行数据网地址的规划,分为一平面地址和二平面地址,根据江苏公司统一规划,安全I区监测装置IP地址为**.**.**.46。
站控层地址由监控系统厂商分配,若有A、B网则需要分别分配一个地址。
配置加密装置策略
该方案中,监测装置优先使用华东接入网与华东网调通信,优先使用省级接入网与江苏省调通信。在此方式下,监测装置的地址及主备状态配置应为(同一分组即为主备关系,权限用于区分主备,每组仅有一个IP地址,不需要区分权限,默认为0):
华东网调平台地址1,分组号1,权限0;
江苏省调平台地址2,分组号2,权限0;
华东备调平台地址3,分组号3,权限0;
江苏备调平台地址4,分组号4,权限0。
对于220kV及以下统调电厂应采用主主模式,同步上送江苏省调、江苏备调;监测装置同时使用一、二平面上送江苏省调、江苏备调,一平面主送省调、二平面主送备调,如下图所示:


在此方式下,监测装置的地址及主备状态配置应为:
江苏省调一平面地址1,分组号1,权限0;
江苏省调二平面地址2,分组号1,权限1;
江苏备调一平面地址3,分组号2,权限1;
江苏备调二平面地址4,分组号2,权限0。
对于220kV及以下变电站、非统调电厂(苏州地区以外),应采用主备模式,一般建议优先使用二平面网络上送至地调平台;
在此方式下,监测装置的地址及主备状态配置应为:
xx地调一平面地址1,分组号1,权限1;
xx地调二平面地址2,分组号1,权限0。
苏州地区的220kV及以下变电站、非统调电厂应采用主主模式往苏州地调、苏州备调上送,一平面主送地调、二平面主送备调。


在此方式下,监测装置的地址及主备状态配置应为:
苏州地调一平面地址1,分组号1,权限0;
苏州地调二平面地址2,分组号1,权限1;
苏州备调一平面地址3,分组号2,权限1;
苏州备调二平面地址4,分组号2,权限0。
原装南瑞网络安全监测
二、现状
根据国调的安排,平台只有南瑞信通、科东2家负责研发,监测装置主要由南瑞研制,同时也对自动化厂商等开放。
南瑞信通研制的平台和装置分别是NS-5000电力监控系统网络安全管理平台、ISG-3000网络安全监测装置。
目前主要用户是华东分部、江苏、上海、安徽、陕西、重庆、新疆、西藏、甘肃、吉林、四川,另外福建、浙江、山西也有部分。
南网总调态势感知平台项目也是我方承担(同源技术产品)。
大部分网省调都希望在所辖范围内同时共用多家厂商的产品,平台如此,装置更是如此,因此有大量可挖掘的潜在市场。

南瑞NS-5000电力监控系统网络安全管理平台
南瑞ISG-3000网络安全监测装置
原装南瑞网络安全监测
网络安全监测装置
部署前准备
网络环境准备


图1调度端网络拓扑图
网络连接需求:
装置至少需配置两个IP,其中一个为数据调度网IP(一般为二平面,如接入俩套数据网则需要2个数据IP)与电力监控系统网络安全监管平台数据网关机连通,另一个为厂站内网IP(如厂站内网有AB 网则需要2个内网IP)。没有IP则无法调试
对外端口:
序号
端口号
端口说明
备注
1
22
sshd端口
纵向需配置
2
9999
加密程序SV监控端口
-
3
8801
服务代理端口
纵向需配置
4
8800
主机采集端口
纵向需配置
5
514
syslog端口
-
6
162
SNMP端口
-
7
9092
消息总线服务
-
8
2181
消息总线服务
-
9
20021
本地管理工具与devicemanager的端口
-
10
3306
mysqld服务
-
11
6010
sshd服务
-
12
6011
sshd服务
-
13
6012
sshd服务
-
14
6013
sshd服务
-
15
123
ntpd服务
-
原装南瑞网络安全监测
江苏地区变电站网络安全监测装置
实施作业指导书
范围
本作业指导书规定了网络安全监测装置接入相关规定、安装前准备、实施流程、验收记录等内容。
本作业指导书适用于江苏地区变电站网络安全监测装置实施。
接入相关规定
安装位置
网络安全监测装置应优先安装于调度数据网屏柜,通过两路交/直流电源供电。
网络位置
网络安全监测装置应优先部署在站内安全I区,对主站连接数据网交换机,对站内连接站控层交换机。
数据上送通道及权限配置
网络安全监测装置支持主主链路(即同时向两个网络安全管理平台发送网络安全事件)、主备链路(即以主备链路的方式向同一个网络安全管理平台发送网络安全事件)接入方式。网络安全监测装置对上应同时接入调度数据网一、二平面,不同类型厂站与主站平台的连接关系如下:
对于500kV及以上变电站、统调电厂应采用主主模式,一平面上送华东网调,二平面同步上送江苏省调、江苏备调。监测装置使用一平面上送华东网调、江苏备调,使用二平面上送华东备调、江苏省调,各通道均同步发送,如下图所示:
原装南瑞网络安全监测
主机提供信息
厂站侧主机按照规范需要接入:I区, 监控主机;五防系统;远动机;继电保护模块;时钟系统。II区,电能量采集装置;故障录波;保信子站。需协调用户安排相关厂家到达现场配合。


序号
变电站名称
涉网业务主机名称
IP
厂商名
主机涉网业务类型
所在安全区(1、2区)
1、2区网络是否可达(用防火墙作为隔离)
是否可信计算(操作系统安全加固)
操作系统(Windows、Linux、Unix)
版本号
综自厂商名称
填表人姓名、联系电话(必填)
原装南瑞网络安全监测