采用双路交流电源独立供电,任一回路电源中断不造成装置故障或重启;交流电源电压:220V,允许偏差-20%~+15%;
交流电源频率:50Hz,允许偏差±5%;
交流电源波形为正弦波,谐波含量小于5%。
数据采集
数据采集满足如下要求:1)支持对服务器、工作站、网络设备、安全防护设备、数据库等监测对象进行数据采集;
2)支持采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息;
3)支持采集数据库的操作信息、运行状态等事件信息;
4)支持采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息;
5)支持采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息;
6)支持触发性事件信息的采集和周期性上送的状态类信息的采集;7)网络安全监测装置支持的具体采集信息应满足电力系统的要求。8.1.4.2数据分析处理
数据处理满足如下要求:
1)支持以分钟级统计周期,对重复出现的事件进行归并处理;
2)支持根据参数配置,对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理,根据处理结果决定是否形成新的上报事件。具体参数见表8.1-6;
3)支持对网络设备日志信息进行分析处理,提取出需要的事件信息(如用户添加事件);
4)Ⅰ型网络安全监测装置支持对网络设备、安全防护设备的采集信息做格式化处理,形成符合网络安全管理平台消息总线的数据格式;
5)能形成外设接入事件、用户登录事件、危险操作事件、状态异常事件等上传事件。
服务代理
网络安全监测装置以服务代理的形式提供服务给网络安全管理平台调用,服务代理满足如下要求:1)支持远程调阅采集信息、上传事件等数据信息,应支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息;
2)支持对被监测系统内的资产进行远程管理,包括资产信息的添加、删除、修改、查看等;
3)支持参数配置的远程管理,包括系统参数、通信参数及事件处理参数4)应支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用;
5)支持通过代理方式实现对服务器、工作站等设备主动断网命令的调用;
6)支持通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看;
7)支持通过网络安全管理平台对网络安全监测装置进行远程程序升级。
与监测对象通信
1)与服务器、工作站设备通信网络安全监测装置与服务器、工作站设备通信满足以下要求:
支持采用自定义TCP协议与服务器、工作站等设备进行通信,实现对服务器、工作站等设备的信息采集与命令控制。报文格式包括报文头、报文体和报文尾三部分,具体报文格式及报文类型定义以电力系统的要求为准。
Ⅰ型网络安全监测装置还应支持通过消息总线功能接收服务器、工作站等设备事件信息。
2)与数据库通信
网络安全监测装置与数据库通信应支持通过消息总线功能接收数据库设备事件信息。
3)与网络设备通信
网络安全监测装置与网络设备通信应满足以下要求:应支持通过SNMP协议主动从交换机获取所需信息;应支持通过SNMPTRAP协议被动接收交换机事件信息;
应采用SNMP、SNMP TRAP V2c及以上版本与交换机进行通信;应支持通过日志协议采集交换机信息。
4)与安全防护设备通信
网络安全监测装置与安全防护设备通信应支持通过GB/T 31992协议采集安全防护设备信息。
与管理平台通信
1)事件上传通信事件上传通信应满足如下要求:
应采用DL/T 634.5104通信协议;网络安全管理平台作为服务端,网络安全监测装置作为客户端;应采用自定义的报文类型;TCP连接建立后,应首先进行基于调度数字证书的双向身份认证,认证通过后才能进行事件上传;应只与网络安全管理平台建立一条TCP连接。
Ⅰ型网络安全监测装置还应支持通过消息总线与网络安全管理平台进行事件上传。
2)服务代理通信
服务代理通信满足如下要求:
应采用基于TCP的自定义通信协议;网络安全监测装置作为服务端,网络安全管理平台作为客户端;应支持多个TCP连接,至少支持4个;对未配置的网络安全管理平台IP地址发来的TCP连接请求应拒绝响应。
l型网络安全监测装置还应支持通过消息总线与网络安全管理平台进行服务代理通信。
本地管理
提供本地图形化界面对网络安全监测装置进行管理,满足如下要求:1) 具备自诊断功能,至少包括进程异常、通信异常、硬件异常、CPU占用率过高、存储空间剩余容量过低、内存占用率过高等,检测到异常时应提示告警,诊断结果应记录日志;
2)具备用户管理功能,基于三权分立原则划分管理员、操作员、审计员等不同角色,并为不同角色分配不同权限;应满足不同角色的权限相互制约要求,应不存在拥有所有权限的超级管理员角色;
3)具备资产管理功能,包括资产信息的添加、删除、修改、查看等,资产信息应包括:设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等;
4)支持采集信息、上传信息的本地查看,应支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看;
5)支持对监视对象数量、在离线状态的统计展示,应支持从设备类型、事件等级等维度对采集信息、上传信息进行统计展示;
6)具备日志功能,日志类型至少包括登录日志、操作日志、维护日志等
7)日志内容包括日志级别、日志时间、日志类型、日志内容等信息,日志应具备可读性;
8)支持通过本地实现对服务器、工作站等设备的基线核查功能的调用。8.1.8时钟同步
时钟同步满足如下要求:
1)支持IRIG-B码或SNTP对时方式;2)应具备授时功能。
性能
1)Ⅰ型网络安全监测装置采集信息吞吐量≥3000条/s;Ⅱ型网络安全监测装置采集信息吞吐量≥600条/s;2)Ⅰ型网络安全监测装置支持监测对象数量≥500;ⅡI型网络安全监测装置支持监测对象数量≥100;
3)Ⅰ型网络安全监测装置内存≥8GB,存储空间≥500GB;Ⅱ型网络安全监测装置内存≥4GB,存储空间≥250GB;
4)对上传事件信息的处理时间≤1s;5)对远程调阅的处理时间≤3s;
6)应具备不少于4个10M/100M/1000M自适应以太网电口(支持网口扩展),采用RJ45接口;
7)应支持采集信息的本地存储,保存至少半年的采集信息;
8)应支持上传事件信息的本地存储,保存至少一年的上传事件信息;9)本地日志审计记录条数≥10000条;
10)通过IRIG-B同步,对时精度≤1ms,通过SNTP同步,对时精度≤100ms11)在没有外部时钟源校正时,24小时守时误差应不超过1s ;
12)平均故障间隔时间(MTBF)≥30000h。
