1、北京君誉科技有限公司 17610078837文档下载 南 瑞 ISG-3000 电 力 监 控 系 统 网 络 安 全 监 测 装 置 技 术 白 皮 书 2018 年 1 月南瑞 ISG-3000 网络安全监测 装 置技术白皮书北京君誉科技有限公司 17610078837文档下载 目 录1. 序言 .12. 体系结构 .22.1. 监测体系 .22.2. 厂站监测架构 .23. 产品简介 .33.1. 装置硬件简介 .43.2. 装置功能简介 .53.2.1. 数据采集 .53.2.2. 安全分析与告警 .63.2.3. 本地安全管理 .73.2.4. 告警上传 .83.2.5. 服务代理
2、.83.2.6. 时钟同步 .93.2.7. 流量分析 .93.2.8. 防病毒 .93.2.9. 拓扑调阅 .93.2.10. 安全防护 .104. 监测装置原理说明及技术优势 .104.1. 主机 agent 监测 .104.2. 网络设备监测 .114.3. 安防设备监测 .124.4. 流量分析 .124.5. 技术特点 .135. 部署模式 .155.1. 接入上级管理平台 .155.2. 站内接入 .165.2.1. 变电站部署方式 .165.2.2. 电厂部署方式 .165.3. 流量分析接入 .185.4. 防病毒接入 .19南瑞 ISG-3000 网络安全监测 装 置技术白皮
3、书北京君誉科技有限公司 17610078837文档下载 6. 认证证书 .207. 装置硬件和性能指标 .257.1. 网络安全监测装置(型)硬件和性能指标 .257.2. 网络安全监测装置(型)硬件和性能指标 .25南瑞 ISG-3000 网络安全监测 装 置技术白皮书第 1 页 共 26 页北京君誉科技有限公司 17610078837文档下载 1. 序言 近年来国际上网络安全事件频发,相继发生了乌克兰大面积停电事件、美国东部互 联 网 服 务 瘫 痪 、 勒 索 病 毒 全 球 爆 发 等 网 络 安 全 事 件 。 电 力 作 为 重 要 基 础 设 施 领 域 ,已 被 不 少国家视为
4、“网络战”首选攻击目标,电力监控系统的网络安全形势异常严峻。国家对 网 路 安 全 的 要 求 日 益 提 高 , 网 络 安 全 法 设 置 专 门 章 节 对 电 力 等 关 键 信 息 基 础 设 施 的 网 络安全提出:“应采取监测和记录网络运行状态及网络安全事件的技术措施”的要求, 对网络安全监测提出明确要求。同时,国家发改委 2014 第 14 号令电力监控系统安全防护规定和国家能源局 2015 第 36 号文等文件也对网络安全防护做了明确的规定。 2002 年来,电力行业按照“安全分区、网络专用、横向隔离、纵向认证”的边界防 护策略和监控系统安全可控的基本原则,建立了栅格状的电力
5、监控系统安全防护体系, 其核心思想是事前部署静态的防护策略,需进一步建立网络安全事件“事中发现处置、 事后审计分析”的技术支撑手段,实现网络安全的动态管控,始终维持安防体系的强健 性,阻断各种形式的网络攻击行为,将电力监控系统安全防护体系由静态布防提升为动 态管控。 因此,针对电力监控系统网络空间巨大、安全管控任务艰巨的实际情况,各大电力 企 业 积 极 开 展 电 力 监 控 系 统 网 络 安 全 监 测 预 警 、 态 势 感 知 等 技 术 平 台 建 设 工 作 , 按 照 “设 备自身感知、监测装置就地采集、平台统一管控”的原则,地级以上调控机构建设网络 安 全 管 理 平 台 ,
6、 变 电 站 ( 站 控 层 ) 、 电 厂 部 署 网 络 安 全 监 测 装 置 , 运 用 实 时 监 视 、 预 警 告 警、定位溯源、审计分析、闭环管控等先进适用功能,全面监控网络空间内计算机、网 络设备、安防设施等设备上的安全行为,进一步完善电力监控系统安全防护体系,推动 网络安全管理从“静态布防、边界监视”向“实时管控、纵深防御”的转变,全面实现 “外部侵入有效阻断、外力干扰有效隔离、内部介入有效遏制、安全风险有效管控”的 防控目标。 南瑞 ISG-3000 网络安全监测 装 置技术白皮书第 2 页 共 26 页北京君誉科技有限公司 17610078837文档下载 2. 体系结构
7、 2.1. 监 测 体 系 电力监控系统网络安全管理系统包含主站端的安全管理平台和厂站端的网络安全监测装置两部分,平台部署与国、分、省、地调侧,装置部署于变电站、电厂。系统按照 设备自身感知、监测装置分布采集、管理平台统一管控的原则,构建感知、采集、管控 三层架构的网络安全监管系统技术体系。 NS5000 网络安全管理平台平台统一管控ISG3000网 络 安 全 监 测 装 置 ISG3000 网 络 安 全 监 测 装 置网络设备 数据库 服务器工作站 通用安全设备 专用安全设备图 1 电力监控系统网络安全管理系统架构 2.2. 厂 站 监 测 架 构 变 电 站 、 电 厂 等 通 过 部
8、 署 网 络 安 全 监 测 装 置 实 现 电 力 监 控 系 统 网 络 安 全 监 测 与 管 理 , 其中变电站中区和区间有防火墙连通的,只需在区部署一台网络安全监测装置; 若区和区间没有防火墙,需在区和区各部署一台网络安全监测装置;电厂除涉 网部分需部署网络安全监测装置并接入调度端平台之外,可根据需要,在电厂局域网部设备自身感知装置分布采集分析管控南瑞 ISG-3000 网络安全监测 装 置技术白皮书第 3 页 共 26 页北京君誉科技有限公司 17610078837文档下载 署网络安全管理平台,实现发电厂自身网络安全事件快速处置能力及响应效率。 (一)变电站部署架构: 网络安全监测
9、装置部署于变电站站控层网络,同时接入站控层 A、 B 双 网 交 换 机 , 采集站控层监控主机、工作站、数据网关机、保信子站、五防等主机设备,以及站控层所 有网络设备和安全防护设备的安全信息。详见 5.2.1。 (二)电厂部署架构: 由于电厂内系统较多,且多数系统无网络连接,宜部署多台网络安全监测装置以满足发电厂涉网区域内各类设备的接入,接入对象主要包括监控主机、操作员站、网关机、PMU、NCS 系统等涉网主机类设备、网络设备以及安全防护设备。详见 5.2.2。 建议电厂局域网部署网络安全管理平台,以满足电厂自身安全监视管理的要求,提 升网络安全管理水平。 3. 产品简介 为满足电力监控系统
10、网络安全监管的需要,南瑞集团公司依托在网络安全产品研制 中的广泛技术积累和应用实践经验,以性能好功能全使用简便运行稳定为设计原 则,自主研制并推出 ISG-3000 厂站网络安全监测装置。 ISG-3000 网络安全监测装置用以采集变电站站控层和发电厂涉网区域的服务器、工 作站、网络设备和安全防护设备的安全事件,转发至调度端网络安全管理平台的数据网 关机,并提供来自网络安全管理平台相关服务调用,同时,支持网络安全事件的本地监 视管理。通过长时间的测试和丰富的试点经验,ISG-3000 厂站网络安全监测装置具有很高的 可靠性、稳定性,为电力监控系统业务的安全稳定运行提供了有效保障。 南瑞 ISG
11、-3000 网络安全监测 装 置技术白皮书第 4 页 共 26 页北京君誉科技有限公司 17610078837文档下载 图 2 南瑞 ISG-3000 网络安全监测装置 3.1. 装 置 硬 件 简 介 采用非 x86 低 功 耗 工 业 级 硬 件 架 构 设 计 , 减 少 受 攻 击 的 概 率 , 同 时 保 障 装 置 在 恶 劣 环 境中的安全可靠运行; 采用无风扇、无旋转部件硬件设计,保证装置长期稳定运行; 采 用 双 路 电 源 独 立 供 电 , 同 时 支 持 双 路 直 流 电 源 和 双 路 交 流 电 源 , 实 现 了 双 电 源 的 在 线 无 缝 切 换 , 任
12、 一 回 路 电 源 中 断 不 造 成 装 置 故 障 或 重 启 , 有 效 地 提 高 整 个 电 源 工 作 的 可靠性及延长整个系统的平均无故障工作时间; 具备装置故障告警信号输出接点,装置运行灯灭时导通装置故障接点; 具备 B 码 对 时 接 口 , 支 持 IRIG-B 码和 SNTP 两 种 对 时 方 式 , 保 障 装 置 业 务 运 行 过 程 中 的时间准确性; 具 备 完 备 的 安 全 事 件 告 警 机 制 , 当 发 生 非 法 入 侵 、 装 置 异 常 、 通 信 中 断 、 对 时 异 常 或 关键进程异常时,可通过告警指示灯输出告警信息; 装置有明显的接
13、地标志,有安全警示标识。 南瑞 ISG-3000 网络安全监测 装 置技术白皮书第 5 页 共 26 页北京君誉科技有限公司 17610078837文档下载 3.2. 装 置 功 能 简 介 3.2.1. 数据采集3.2.1.1. 采集对象 采 集 对 象 包 括 变 电 站 及 发 电 厂 的 主 机 设 备 、 网 络 设 备 、 网 络 分 析 仪和 安 全 防 护 设 备 。 3.2.1.2. 采集内容 主机、网络、安全防护设备的重要运行信息及安全告警信息以及网络分析仪的分析 数据。 1) 主机设备采集信息 包括主机设备操作系统层面所有的用户登录、操作信息、外设设备(键盘、鼠标以及所有
14、移动存储设备)接入信息及网络外联等安全事件信息。 2) 网络设备采集信息 包括交换机相关的配置变更、流量信息、网口状态等安全事件信息。 3) 安全防护设备采集信息 a)横向隔离装置采集信息:包括厂站横向隔离装置的运行状态、安全事件及配置变 更等信息; b)防火墙采集信息:包括厂站防火墙的运行状态、安全事件、策略变更及设备异常 等信息。 4) 采集实现方式 a)主机设备可由主机操作系统直接报给厂站安全监测装置或通过部署 Agent 的方式进行采集; b)网络设备可通过 Snmp 和 Snmp Trap 协议方式进行采集; c)安防设备可通过 Syslog 方式提供; d)网络分析仪的数据通过 南
15、瑞 ISG-3000 网络安全监测 装 置技术白皮书第 6 页 共 26 页北京君誉科技有限公司 17610078837文档下载 MMS 报文提供给厂站安全监测装置。 南瑞 ISG-3000 网络安全监测 装 置技术白皮书第 6 页 共 26 页北京君誉科技有限公司 17610078837文档下载 3.2.2. 安全分析与告警3.2.2.1. 安全分析 1) 以小时为单位,重复次数累加的告警应能定时(15 分钟,可配置)归并; 2) 对主机关键文件变更、用户权限变更、危险操作,对网络设备流量超过阈值,配 置变更等事件进行安全性分析。 3.2.2.2. 安全告警 1) 安全事件类告警 对运行过程
16、中监视到非法访问、操作时产生的安全事件进行实时监视并形成告警,包括如下内容: a )主 机 设 备 非 法 网 络 外 联 告 警 ( 紧 急 ) ;b)纵 向 加 密 、 隔 离 、 防 火 墙 设 备 拦 截 到 的 不 符 合 安 全 策 略 的 访 问 ( 重 要 ) ; c)纵 向 加密 、 隔 离 、 防 火 墙 设 备 修 改 策 略 、 配 置 的 操 作 ( 普 通 ) ; d)主机设备发现的用户异常操作告警(普通); e )主 机 设 备 发 现 的 非 法 设 备 接 入 告 警 ( 重 要 ) ; f)网 络 设 备 发 现的 非 法 网 络 接 入 告 警 ( 重 要
17、 ) ; g)主 机 设 备 外 设 设 备 配 置 告 警 ( 重 要 ) 。 2) 运行异常告警功能 应能够对运行过程中监视到运行异常进行实时监视并形成告警,包括以下内容: a)通过监视安防设备 CPU 利用率信息分析出的 CPU 使 用 越 限 告警 ( 普 通 ) ; b)通 过 监 视 安 防 设 备 内 存 利 用 率 信 息 分 析 出 的 内 存 使 用 越 限 告 警 ( 普 通 ); c)网 络 设 备 检 测 到 的 流 量 突 变 告 警 ( 普 通 ) 。 3) 设备故障类告警 能够对监视对象的硬件状态异常进行实时监视并形成告警,包括以下内容: a )监 视对 象 自 身 检 测 到 的 电 源 故 障 告 警 ( 重 要 ) ;
