南瑞网络安全监测京网 助其构建完善的网站安全体系

南瑞信通NS-5000电力监控系统网络安全管理平台及ISG-3000网络安全监测装置简介
一、背景
国调自2016年底启动新一代内网安全监视平台的研制工作,也就是电力监控系统网络安全管理系统,包含主站端的管理平台和厂站端的网络安全监测装置2部分,平台部署与国、分、省、地调侧,装置部署于变电站、电厂调度数据网涉网侧。
根据经研咨「2019】712号文,项目投资为:平台6.8亿,装置20亿,其中国(分)、省调平台为231万/套,大型地调(厂站数量超过100家)为209万/套,小型地调(厂站数量不到100家)为175万/套,监测装置5.5~7.5万/台。
系统按照设备自身感知、监测装置分布采集、监管平台统一管控的原则,构建感知、采集、管控三层架构的网络安全监管系统技术体系。
南瑞网络安全监测京网
接入监视对象
调试人员应在接入下列监视对象前按照资产录入规范要求进行资产录入:
主机设备——调试人员配合监控系统厂家完成监控后台、通信网关机、保信子站、故障录波等主机Agent部署,并完成站内相关设备与网络安全监测装置的联调,主要包括以下步骤:
交换机——对于已经支持或可以通过升级固件支持SNMP的交换机,由监控系统厂商升级后配置SNMP/TRAP地址(即网络安全监测装置的A或B网地址)。对于不支持SNMP的交换机,调试人员配合监控系统厂商完成站控层交换机的更换,并配置SNMP/TRAP地址。
安防设备——调试人员完成防火墙、隔离装置等安防设备的syslog日志配置,完成与网络安全监测装置的联调测试;对于syslog日志不规范的安防设备,可通过动态链接库或者正则的方式完成对安防设备的syslog日志的解析。
南瑞网络安全监测京网
网络安全监测装置
部署前准备
网络环境准备


图1调度端网络拓扑图
网络连接需求:
装置至少需配置两个IP,其中一个为数据调度网IP(一般为二平面,如接入俩套数据网则需要2个数据IP)与电力监控系统网络安全监管平台数据网关机连通,另一个为厂站内网IP(如厂站内网有AB 网则需要2个内网IP)。没有IP则无法调试
对外端口:
序号
端口号
端口说明
备注
1
22
sshd端口
纵向需配置
2
9999
加密程序SV监控端口
-
3
8801
服务代理端口
纵向需配置
4
8800
主机采集端口
纵向需配置
5
514
syslog端口
-
6
162
SNMP端口
-
7
9092
消息总线服务
-
8
2181
消息总线服务
-
9
20021
本地管理工具与devicemanager的端口
-
10
3306
mysqld服务
-
11
6010
sshd服务
-
12
6011
sshd服务
-
13
6012
sshd服务
-
14
6013
sshd服务
-
15
123
ntpd服务
-
南瑞网络安全监测京网
(二)高适应性的网络流量分析技术
考虑到部分存量变电站及电厂存在的无法通过部署安全监测工具实现对主机监测的问题,南瑞信通在网络安全监测装置研制中增加了网络流量分析功能,无需在监控主机上部署agent即可实现对外来设备接入、远程登录、开启危险端口等的安全监测,支持实时监测Syn Flood、Land Attack、UDP Flood Attack等网络攻击事件,同时还支持101、104等电力工控协议解析,实时监测异常业务行为。其他厂商均无此功能。
南瑞网络安全监测京网