去哪买网络安全监测 安全检查和实时告警

资产录入规范
设备名称
设备命名应言简意赅,可令调度主站迅速定位是哪台机器,名称原则上只包含中文,也可以阿拉伯数字和部分特定字母(如A、B、PMU等)辅助标识,示例:一区A网交换机、风功率预测服务器、故障录播器1、一二区横向防火墙,监控后台1,PMU1等;
IP及Mac
对于监控系统内的设备存在A、B网地址的,应同时录入A、B网IP及Mac地址,如不存在A、B网地址的,部分设备既有数据网地址又有站控层地址的,原则上应填写和网络安全监测装置通信的IP及Mac;
厂商
统一厂商名规范,规范常见厂商名称,避免出现同一厂商多个表达方式的情况,常见厂商名称见《附件1:厂站业务系统及设备、厂商表》,对于附件1外的厂商应联系省调平台维护人员申请确认,并由省调平台添加到厂商字典,便于统一管理;原则上厂商应遵循调控云厂商库的定义。
序列号(业务系统)
鉴于江苏公司计划针对站内业务系统及设备进行分类统计,并形成统计报表,目前监测装置录入监视对象的各字段属性中,序列号字段体现的价值相对较小,故江苏地区监测装置录入的监视对象,将该字段统一填写业务系统字段,便于主站平台统计厂站已接入的相关业务系统及设备数量信息,厂站业务系统及代码详见《附件1:厂站业务系统及设备、厂商表》;
版本
该字段应按照实际情况正确填写,对于日志不符合规范的交换机和安防设备,网络安全监测装置可采用动态库和正则表达式两种解析方式,并通过该字段的版本去匹配对应的动态库和正则表达式;
分区
网络安全监测装置技术规范定了一个保留字段用于扩展,为保障主站调阅厂站拓扑页面的正常显示,现要求该字段用于分区字段,定义该设备所属分区,1代表安全I区,2代表安全II区。
接入优先级
接入网络安全监测装置的厂站设备按照重要程度分为三个优先级,第一优先为网络与安防设备,包含监控系统交换机及其他变电站站控层、电厂涉网系统交换机,横向防火墙,正反向隔离,入侵监测,防恶意代码等;第二优先为主机类设备,包含监控后台、通信网关机、故障录波器、保信子站(非嵌入式系统)、PMU等;第三优先级为嵌入式设备类,包含电能量采集装置、保信子站(嵌入式系统)、远动机(嵌入式系统)等。接入监测装置的设备需结合优先级综合考虑,第一类必须接入,第二类原则上也必须接入,应由各单位与相关系统厂家确认是否具备接入条件,第三类设备可以暂缓接入;
表1:变电站站控层系统及设备清单
去哪买网络安全监测
验收记录
监测对象采集项测试
厂站装置调试人员协调监控对象厂家,根据《附件4:网络安全监测装置设备接入测试大纲》,完成所有已接入设备的安全事件采集项测试。
监测装置服务代理功能测试
主站平台运维人员填写《附件5:主站平台验收表》(每个通道填一张),完成每个通道下列监测装置服务代理功能测试:
监控对象参数管理
验证主站平台能否对厂站网络安全监测装置监控对象的网络连接白名单、服务端口白名单、关键文件/目录白名单、危险操作命令监测清单、服务端口监测周期、存在光驱监测周期等进行管理;
厂站监测装置配置管理
设备接入情况整理
厂站设备调试人员整理现场设备配置,留存,命名方式为:地区名+XXkV+变电站名+监测装置/交换机+序列号后四位,如“南京110kV苜蓿园变监测装置1123”,“南京110kV苜蓿园变交换机6238”。另外,根据最终现场设备接入情况,填写《附件6:网络安全监测装置实施接入反馈表》。
注意事项
在网络安全监测装置调试过程必须使用专用调试工具和存储介质,防止由装置调试引起的网络安全事件。
完成网络安全监测装置的部署后,需与主站平台侧维护人员确认是否可以离开现场。
监测装置基本配置
调试人员根据厂站类型完成网络安全监测装置网络配置、路由配置、对时配置,导入主站平台证书等,完成与主平台(备平台)多通道双向身份认证,测试与站控层网络连通性。
网络配置——根据地址规划进行上联一区一、二平面数据网交换机网口配置,下联A、B网站控层交换机网口配置
路由配置——应采用明细路由,禁止使用缺省路由
对时配置——配置与主站平台数据网关机进行对时
导入主站平台证书——导入主站平台(备平台)证书
信通NS-5000电力监控系统网络安全管理平台及-3000网络安全监测装置简介
一、背景
国调自2016年底启动新一代内网安全监视平台的研制工作,也就是电力监控系统网络安全管理系统,包含主站端的管理平台和厂站端的网络安全监测装置2部分,平台部署与国、分、省、地调侧,装置部署于变电站、电厂调度数据网涉网侧。
根据经研咨【2019】712号文,项目投资为:平台6.8亿,装置20亿,其中国(分)、省调平台为231万/套,大型地调(厂站数量超过100家)为209万/套,小型地调(厂站数量不到100家)为175万/套,监测装置5.5~7.5万/台。
系统按照设备自身感知、监测装置分布采集、监管平台统一管控的原则,构建感知、采集、管控三层架构的网络安全监管系统技术体系。
适应性改造
电厂部署网络安全监测装置的同时需要协调对应的业务厂商,对涉网业务的服务器、工作站、网络设备(非调度数据网交换机)进行适应性改造,实现对其自身感知的安全事件进行采集。
对于监测对象可以分为局域网型和装置型,局域网型指的是业务系统在电厂内部独立组网的被监控对象(电厂计算机监控系统、自动化系统),装置型指的是装置类的业务系统( PMU、保信子站、电能量采集装置、RTU)。由于装置类被监测对象操作系统多为经过裁剪的Linux操作系统,很多协议及端口受到限制,不便于agent监测程序的开发,因此改造的优先程度为先改造局域网型被监测对象,后改造装置类被监测对象,可以为装置类的agent监测程序的开发留出更多时间,同时也可以考虑将装置类的被监测对象替换为非装置类,便于部署agent监测程序。
1)主机的改造:电厂方面需要将涉网业务的服务器、工作站的操作系统通过部署agent的方式进行改造,agent可由业务厂商提供,也可使用第三方厂商提供的agent,如果采用第三方厂商提供的agent,先由业务厂商做集成测试,完成测试后再到现场进行部署。
2)交换机的改造:交换机需要满足SNMP V2或V3协议,如果不满足,则需要进行版本升级或更换。对于满足SNMP V2或V3协议的交换机但不能完全满足采集规范时,需要由业务厂商进行私有mib的开发。目前装置支持对于国产主流型号的交换机进行数据采集。工控交换机目前部分厂商支持改造接入条件。
3)安防设备的改造:安防设备发送的报文日志格式需要要满足按照《GB/T 31992-2015 电力系统通用告警格式》规范要求,否则需要提供安防设备厂商提供日志格式转换的动态库。详细信息参见附录5内容。
去哪买网络安全监测
告警治理
调试人员应在主机Agent部署前,提前整理并录入白名单,白名单可形成知识库,在接入过程中逐渐完善。
网络外联白名单——主机Agent部署时,应提前整理并录入网络外联白名单,白名单应包括该主机需要进行网络交互的所有网络地址(段),不允许加全网段、A、B类地址,限制添加C类地址,地址应尽可能细化。
关键服务端口白名单——主机Agent部署时,应提前整理并录入关键服务端口白名单,原则上只开放变电站监控系统需要的端口及服务。
对于部分无法消除的告警,如交换机MAC地址未绑定,调试人员可酌情在网络安全监测装置中配置白名单。
告警模拟上送
厂站进行如下告警模拟,主站运维人员观察告警接收情况(多通道),时间误差应小于30 秒:
①监控后台机中进行USB 插拔、网络外联事件、登录失败告警事件测试。
②防火墙进行不符合安全策略事件、修改策略测试。
③交换机进行登录失败、配置更改、修改用户名密码测试。
设备加固
调试人员需对新增的网络安全监测装置和交换机进行加固,包括修改监测装置前台登录密码、后台登录密码,交换机后台登录密码,关闭交换机不用的端口,配置三权分立用户和口令等。
去哪买网络安全监测