南瑞电力监控系统网络安全监测装置ISG-3000 Ⅱ型

 ISG-3000网络安全监测装置用以采集变电站站控层和发电厂涉网区域的服务器、工作站、网络设备和安全防护设备的安全事件,转发至调度端网络安全管理平台的数据网关机,并提供来自网络安全管理平台相关服务调用,同时,支持网络安全事件的本地监视管理。

 

类型:上架型安全硬件平台
处理器:多核处理器
内存:8G
网络接口:默认8个千兆自适应电口,可进行扩展选配:
电口:100M/1000Mbps 自适应
光口:ST/LC/SC 100M/1000Mbps
USB接口 2个
工作温度:0~40℃
工作湿度:5~95% R.H
电源规格:220V交流双电源,


南瑞网络安全监测装置功能


1、拓扑管理


在南瑞网络安全监测装置图形化界面中可展示变电站拓扑结构。
a)拓扑图应能反映实际组网设备以及设备间的连线情况;
b)拓扑图应能通过设备与连线颜色的变换反映变电站安全运行现状;
c)支持子视图与云图功能。


2、设备白名单管理


白名单内的设备包括所有接入站控层网络的设备(包括主机、交换机、安防设备、U盘等)。通过设备序列号、IP以及MAC地址进行白名单限定。


1.IP地址白名单
IP地址白名单可以通过SCD文件导入以及手动添加的方式进行创建。


2.MAC地址白名单
MAC地址白名单可通过IP地址白名单自动生成以及手动添加的方式进行创建。


3.USB设备白名单
通过管理手段规范变电站内使用正规U盘,部署阶段将站内所有U盘序列号导入南瑞网络安全监测装置,生成变电站U盘白名单,作为合法U盘唯一标识。


3、主机安全监视


1.USB设备拔插


监测对象包括站控层具备USB口的主机。主机上需要安装部署绿色免安装代理软件(Agent)来监测各主机USB设备拔插情况。当发生USB设备接入与拔出时,结合USB设备白名单,产生不同告警信息。


2.非法外联


监视主机网络连接情况,当发现主机连入互联网时,立即产生告警。


3.Agent运行监测


南瑞网络安全监测装置通过和主机Agent之间保持心跳报文的方式,监测主机Agent是否处于开启状态,若装置在约定时间段内未收到心跳报文,判定为该主机Agent离线,产生告警信息并展示。


4、网络设备安全监视


1.网口状态监测
通过SNMP轮询和TRAP方式主被动监测交换机网口运行状态,当运行状态发生变更时,产生实时告警,并通过改变拓扑图中主机和相关连线颜色做实时展现。


2.非法MAC接入监测
当发生交换机网口插入事件时,自动监测对端设备MAC地址并与MAC地址白名单进行比对,若接入设备MAC地址不在MAC地址白名单内,产生非法设备接入告警。


3.网口流量监测
监测交换机各网口实时流量,当网口流量超过既定阈值(如40%)时产生流量超限告警,并通过改变拓扑图中相应设备和相关连线颜色做实时展现。


5、安防设备安全监测


南瑞网络安全监测装置可以通过收集Syslog日志方式采集安防设备(包括防火墙、隔离装置)发出的安全日志,并加以展现


6、网络流量安全监测


提供网络数据包高速捕获,并支持IP、端口、协议类型的报文过滤,IP分片重组、TCP流还原以及报文压缩存储。


1)在线捕获流量报文
镜像关键设备网口流量发送至南瑞网络安全监测装置,南瑞网络安全监测装置将捕获的实时流量数据包以pcap文件形式存储,并用时间戳命名,用于后续分析审计。


2)非法IP监测
对每个镜像数据包作IP解析,对照IP地址白名单,判断是否有非法IP设备接入,如果有非法IP,告警并展示。


3)非法协议监测
解析每个IP镜像数据包获取端口号,即传输层协议,对照稳态运行状态下变电站内所有传输协议类型,如果出现非法传输协议,告警并展示。


4)网络攻击监测
对常见的网络层攻击进行检测并及时告警,主要包含9种常规攻击:


synflood
arpflood
icmpflood
pingof death attack
smurfattack
unreachablehost attack
landattack
teardropattack
udpflood


7、告警管理


告警在进行本地存储,并在需要时进行调阅查询。具备对告警的查询功能,查询条件包括告警对象、时间范围、告警级别、告警类型、告警内容关键字等。


8、平台对接


南瑞网络安全监测装置提供告警处理上传功能,可以与内网安全监视平台进行无缝对接。


9、硬件和性能指标


1) 1U整层机箱,整机无旋转部件;


2) CPU4 核 1.8GHz,8GB 内存;


3) 256GB硬盘容量;


4) 8个自适应网口,1 个B 码对时接口;


5) 双路交直流电源独立供电;


6) 内置等保三级操作系统安全增强组件;


7) 支持 RedHat5、 RedHat6、Centos6、Centos5、Solaris 10、HP-UNIX B11、Windows7、 WindowsXP、Windows2003、Windows2008 和 WindowsVista 等操作系统采集 agent;


8) 采集信息吞吐量≥600 条/s;


9) 支持监测对象数量≥200;


10) 对上传事件信息的处理时间≤0.6s,对远程调阅的处理时间≤2.5s;


11) 支持采集信息的本地存储,保存至少半年的采集信息;


12) 支持上传事件信息的本地存储,保存至少一年的上传事件信息;


13) 本地日志审计记录条数≥10000000 条;


14) 通过 IRIG-B 同步,对时精度≤1ms,通过 SNTP 同步,对时精度≤100ms;


15) 在没有外部时钟源校正时,24 小时守时误差应不超过 1s;


16) 平均故障间隔时间(MTBF)≥30000h;


17) 流量分析功能对小包解析速率≥18000pps。