江苏南瑞网络安全监测优势 南瑞

适应性改造
电厂部署网络安全监测装置的同时需要协调对应的业务厂商,对涉网业务的服务器、工作站、网络设备(非调度数据网交换机)进行适应性改造,实现对其自身感知的安全事件进行采集。
对于监测对象可以分为局域网型和装置型,局域网型指的是业务系统在电厂内部独立组网的被监控对象(电厂计算机监控系统、自动化系统),装置型指的是装置类的业务系统( PMU、保信子站、电能量采集装置、RTU)。由于装置类被监测对象操作系统多为经过裁剪的Linux操作系统,很多协议及端口受到限制,不便于agent监测程序的开发,因此改造的优先程度为先改造局域网型被监测对象,后改造装置类被监测对象,可以为装置类的agent监测程序的开发留出更多时间,同时也可以考虑将装置类的被监测对象替换为非装置类,便于部署agent监测程序。
1)主机的改造:电厂方面需要将涉网业务的服务器、工作站的操作系统通过部署agent的方式进行改造,agent可由业务厂商提供,也可使用第三方厂商提供的agent,如果采用第三方厂商提供的agent,先由业务厂商做集成测试,完成测试后再到现场进行部署。
2)交换机的改造:交换机需要满足SNMP V2或V3协议,如果不满足,则需要进行版本升级或更换。对于满足SNMP V2或V3协议的交换机但不能完全满足采集规范时,需要由业务厂商进行私有mib的开发。目前装置支持对于国产主流型号的交换机进行数据采集。工控交换机目前部分厂商支持改造接入条件。
3)安防设备的改造:安防设备发送的报文日志格式需要要满足按照《GB/T 31992-2015 电力系统通用告警格式》规范要求,否则需要提供安防设备厂商提供日志格式转换的动态库。详细信息参见附录5内容。
(一)自主可控主机操作系统安全监测技术
南瑞信通是系统内一得到国调网安处认可的操作系统研究团队。我们针对大量存量厂站操作系统类型版本多、难以进行系统升级的情况,自主研制了操作系统安全监测工具,支持RedHat5、 RedHat6、Centos6、Centos5、Solaris 10、HP-UNIX B11、Windows7、 WindowsXP、Windows2003、Windows2008和WindowsVista等,是目前一能同时自主完成平台、装置和监控系统主机agent部署的厂家。
二、现状
根据国调的安排,平台只有南瑞信通、科东2家负责研发,监测装置主要由南瑞研制,同时也对自动化厂商等开放。
南瑞信通研制的平台和装置分别是NS-5000电力监控系统网络安全管理平台、ISG-3000网络安全监测装置。
目前主要用户是华东分部、江苏、上海、安徽、陕西、重庆、新疆、西藏、甘肃、吉林、四川,另外福建、浙江、山西也有部分。
南网总调态势感知平台项目也是我方承担(同源技术产品)。
大部分网省调都希望在所辖范围内同时共用多家厂商的产品,平台如此,装置更是如此,因此有大量可挖掘的潜在市场。

南瑞NS-5000电力监控系统网络安全管理平台
南瑞ISG-3000网络安全监测装置
江苏南瑞网络安全监测优势
风险规避措施


工作内容与运行中的监控、远动等业务没有交互,因此对运行系统的影响较小,但是由于涉及到主机设备的探针布置、参数修改及重启,以及交换机的升级和更换,故针对可能有影响的设备进行逐一分析并列举应对措施。


序号
风险识别
应对措施
1
本次进站工作涉及范围较宽,涉及设备较多,存在工作范围的风险;
明确工作范围,防止走错屏柜和间隔,防止误操作设备;
明确工作内容,防止错误操作;
实施过程中,应遵循安全规程的组织措施和技术措施,确保安全措施可靠落实和安全生产工作有序开展。
2
主机需要布置安全探针并配置参数等,理论上存在对原监控系统业务影响风险,而且需要重启主机等操作;
操作前做好备份,对有冗余的主机,先操作其中一台,确保测试完毕无异常后,再操作另外一台;
工作前应制定详细的实施方案。
3
站控层交换机升级程序或者更换交换机,修改配置并重启等操作,并且现场站控层通信网络为单网,故会造成主机、网关机和保护、测控等装置短时间的单网通信中断;
需要提前联系调度,做好主站相应措施。
4
厂站纵向加密涉及修改配置操作。
需要提前做好纵向加密配置备份及策略备份。
5
与主站联调过程中,存在使用调试专用笔记本电脑测试站控层交换机网络安全事件触发。
工作中严格管控外来工作人员行为,严禁连接外网,防止发生网络安全告警信息和违规外联。
江苏南瑞网络安全监测优势
验收记录
监测对象采集项测试
厂站装置调试人员协调监控对象厂家,根据《附件4:网络安全监测装置设备接入测试大纲》,完成所有已接入设备的安全事件采集项测试。
监测装置服务代理功能测试
主站平台运维人员填写《附件5:主站平台验收表》(每个通道填一张),完成每个通道下列监测装置服务代理功能测试:
监控对象参数管理
验证主站平台能否对厂站网络安全监测装置监控对象的网络连接白名单、服务端口白名单、关键文件/目录白名单、危险操作命令监测清单、服务端口监测周期、存在光驱监测周期等进行管理;
厂站监测装置配置管理
南瑞信通NS-5000电力监控系统网络安全管理平台及ISG-3000网络安全监测装置简介
一、背景
国调自2016年底启动新一代内网安全监视平台的研制工作,也就是电力监控系统网络安全管理系统,包含主站端的管理平台和厂站端的网络安全监测装置2部分,平台部署与国、分、省、地调侧,装置部署于变电站、电厂调度数据网涉网侧。
根据经研咨【2017】712号文,项目投资为:平台6.8亿,装置20亿,其中国(分)、省调平台为231万/套,大型地调(厂站数量超过100家)为209万/套,小型地调(厂站数量不到100家)为175万/套,监测装置5.5~7.5万/台。
系统按照设备自身感知、监测装置分布采集、监管平台统一管控的原则,构建感知、采集、管控三层架构的网络安全监管系统技术体系。
接入监视对象
调试人员应在接入下列监视对象前按照资产录入规范要求进行资产录入:
主机设备——调试人员配合监控系统厂家完成监控后台、通信网关机、保信子站、故障录波等主机Agent部署,并完成站内相关设备与网络安全监测装置的联调,主要包括以下步骤:
交换机——对于已经支持或可以通过升级固件支持SNMP的交换机,由监控系统厂商升级后配置SNMP/TRAP地址(即网络安全监测装置的A或B网地址)。对于不支持SNMP的交换机,调试人员配合监控系统厂商完成站控层交换机的更换,并配置SNMP/TRAP地址。
安防设备——调试人员完成防火墙、隔离装置等安防设备的syslog日志配置,完成与网络安全监测装置的联调测试;对于syslog日志不规范的安防设备,可通过动态链接库或者正则的方式完成对安防设备的syslog日志的解析。