南瑞 ISG-3000 网络安全监测装置技术白皮书
事件进行记录审计。 4.5. 技术特点
南瑞信通依据国调对网络安全管理系统的要求,并结合自身安全防护技术研究积累 及工程项目经验,开展系统开发工作。
(一) 在提高网络安全管理系统规范性方面
系统功能及告警处理方式严格按照《电力监控系统网络安全管理平台功能规范-基础 平台》、《电力监控系统网络安全管理平台功能规范-应用》以及《电力监控系统网络安全 监测装置技术规范》,并有多项独有功能。
(二) 在提高电力监控系统安全监测范围方面
优势一:具备各类主机安全监测工具,支撑用户实现主机监测接入要求。 针对大量存量厂站操作系统类型版本多、难以进行系统升级的情况,我们自主研制
了操作系统安全监测工具,支持 RedHat5、 RedHat6、Centos6、Centos5、Solaris 10、 HP-UNIX B11、Windows7、 WindowsXP、Windows2003、Windows2008 和 WindowsVista 等, 是目唯一能同时自主完成平台、装置、主机采集 agent 及核查漏扫研制的厂家。
优势二:集成流量分析模块,解决存量变电站及发电厂监测手段难以部署难题。
考虑到部分存量变电站及电厂存在的无法通过部署安全监测工具实现对主机监测的 问题,我们在网络安全监测装置研制中集成了网络流量分析功能,无需在监控主机上部 署 agent 即可实现对外来设备接入、远程登录、开启危险端口等的安全监测,支持实时 监测 Syn Flood、Land Attack、UDP Flood Attack 等网络攻击事件,同时还支持 101、 104 等电力工控协议解析,实时监测异常业务行为。其他厂商均无此功能。
(三) 在提升电力监控系统安全防护水平方面
优势三:集成防病毒功能,强化厂站安全防护能力。 我方的网络安全监测装置(Ⅱ型)集成了防病毒的管理功能并提供防病毒客户端引
擎,并能通过平台实现病毒库的远程管理,可进一步提高厂站安全防护水平。 优势四:
采用自主安全操作系统,满足变电站等级保护三级要求。
第 17 页 共 26 页
北京君誉科技有限公司 17610078837
文档下载junyu2016.com
南瑞 ISG-3000 网络安全监测装置技术白皮书
我方的网络安全监测装置(Ⅱ型)集成了我方通过公安部三级检测的 TMAC-3000 操 作系统安全增强组件,符合《网络安全法》及 14 号令、36 号文所要求的等级保护三级安 全防护要求。
优势五:具备行业内最全安全资质,为用户提供综合安全解决方案。
我方作为公安部、能源局授权的电力行业信息安全等级保护第三测评实验室,有丰 富的安全服务经验,可为用户提供上前线安全测评、上线后等保测评、安全加固和常态 化安全运营等整体解决方案。
(四) 在强化安全事件分析诊断能力方面
优势六:实现厂站拓扑调阅,提高网络安全事件快速定位能力。 我方在平台及网络安全监测装置(Ⅱ型)技术规范的基础上扩展开发了拓扑调阅功 能,能够进一步辅助用户快速定位及分析厂站网络安全事件。
(五) 在技术自主可控方面 优势七:系统功能模块自主可控,无需依赖其它厂家对系统完善。
我方研制的网络安全管理系统包括漏洞扫描、基线核查等模块以及主机安全监测工 具等均为自主研发,安全可控,能够满足用户高级应用模块开发、软件集成等需求,并 提高工程实施的自主性,降低用户投资成本。
第 18 页 共 26 页
北京君誉科技有限公司 17610078837
文档下载junyu2016.com
南瑞 ISG-3000 网络安全监测装置技术白皮书
5. 部署模式
南瑞 ISG-3000 电力监控系统网络安全监测装置部署于各类电厂、变电站,对上通过 调度数据网接入上级管理平台,对下连接电厂涉网部分和变电站站控层所有监视对象, 由此,将站内部署分为电厂涉网部分和变电站两种模式,同时还包括流量分析和防病毒 两类特色功能的接入。
5.1. 接入上级管理平台
南瑞 ISG-3000 网络安全监测装置通过 I 区调度数据网实时 VPN 连接调度端安全 I 区的 I 型网络安全监测装置,通过 II 区调度数据网非实时 VPN 连接调度端安全 II 区的数 据网关机,ISG-3000 网络安全监测装置接入上级管理平台拓扑架构如下图所示:
安全I区 安全Ⅱ 区 网络安全管理平台 (NS5000) 服务器 数据库 工作站 防病毒软件 服务器 数据库 工作站 防病毒软件 入侵检测装置 入侵检测装置 监视告警 分析与审计 人机 数据库 安全核查 工作站 服务器 服务器 Ⅰ型网络安全 监测装置 数据网关机 (ISG-3000) 防火墙 Ⅰ型网络安全 数据网关机 监测装置 (ISG-3000) 数据网关机服务网关机 调度数据网 实时VPN 1平面 2平面 1平面 调度数据网 非实时2平面 调度数据网 管理VPN 网络安全管理平台 下级调度机构 Ⅱ型网络安全监测装置 (ISG-3000) 变电站、电厂(涉网部分) Ⅱ型网络安全监测装置 (ISG-3000) 变电站、电厂(涉网部分)
图 3 装置接入上级管理平台架构图
第 19 页 共 26 页
北京君誉科技有限公司 17610078837
文档下载junyu2016.com
南瑞 ISG-3000 网络安全监测装置技术白皮书
5.2. 站内接入
5.2.1. 变电站部署方式
网络安全监测装置部署于变电站站控层网络,接入站控层 A、B 双网交换机,同时, 接入对应安全大区内调度数据网交换机,通过相应调度数据网 VPN 连接上级管理平台。 变电站部署拓扑如下:
安全I区 安全Ⅱ 区 管 理信息 大区
调度数据网 实时VPN 调度数据网 非实时
纵向加密认证装置 纵向加密认证装置 调度数据网交换机 Ⅱ型网络安 全监测装置 (ISG-3 000) 如Ⅰ、Ⅱ区间无 防火墙时需部署 调度数据网交换机 Ⅱ型网络安全监测装置 (ISG-3000) 正向隔离装置
通信网关机 服务器 工作站 通信网关机 服务器 工 作站 反向隔离装置
防病毒软件 入侵检测装置 防火墙 防病毒软件 入侵检测装置 图 4 变电站部署架构图
5.2.2. 电厂部署方式
5.2.2.1. 电厂涉网部分装置部署方式 由于电厂内系统较多,且多数系统无网络连接,
宜部署多台Ⅱ型网络安全监测装置 以满足发电厂涉网区域内各类设备的接入。
对于安全 I 区而言,涉网部分主要为 NCS 系统,装置需同时接入 NCS 系统内、水电 监控系统、光伏电站监控系统、风电厂综合监控系统站控层 A、B 双网交换机,需单独连 接 PMU 等其他涉网设备,同时,装置需要连接 I 区调度数据网交换机,通过调度数据网 实时 VPN 连接上级管理平台。
第 20 页 共 26 页
北京君誉科技有限公司 17610078837
文档下载junyu2016.com
相关推荐:
loading