我方的网络安全监测装置(Ⅱ型)集成了我方通过公安部三级检测的 TMAC-3000 操 作系统安全增强组件,符合《网络安全法》及 14 号令、36 号文所要求的等级保护三级安 全防护要求。
优势五:具备行业内最全安全资质,为用户提供综合安全解决方案。
我方作为公安部、能源局授权的电力行业信息安全等级保护第三测评实验室,有丰 富的安全服务经验,可为用户提供上前线安全测评、上线后等保测评、安全加固和常态 化安全运营等整体解决方案。
(四) 在强化安全事件分析诊断能力方面
优势六:实现厂站拓扑调阅,提高网络安全事件快速定位能力。 我方在平台及网络安全监测装置(Ⅱ型)技术规范的基础上扩展开发了拓扑调阅功 能,能够进一步辅助用户快速定位及分析厂站网络安全事件。
(五) 在技术自主可控方面 优势七:系统功能模块自主可控,无需依赖其它厂家对系统完善。
我方研制的网络安全管理系统包括漏洞扫描、基线核查等模块以及主机安全监测工 具等均为自主研发,安全可控,能够满足用户高级应用模块开发、软件集成等需求,并 提高工程实施的自主性,降低用户投资成本。
5. 部署模式
南瑞 ISG-3000 电力监控系统网络安全监测装置部署于各类电厂、变电站,对上通过 调度数据网接入上级管理平台,对下连接电厂涉网部分和变电站站控层所有监视对象, 由此,将站内部署分为电厂涉网部分和变电站两种模式,同时还包括流量分析和防病毒 两类特色功能的接入。 5.1. 接入上级管理平台
南瑞 ISG-3000 网络安全监测装置通过 I 区调度数据网实时 VPN 连接调度端安全 I 区的 I 型网络安全监测装置,通过 II 区调度数据网非实时 VPN 连接调度端安全 II 区的数 安全Ⅱ 区 安全I网络安全管理平台 据网关机,ISG-3000 网络安全监测装置接入上级管理平台拓扑架构如下图所示:
(NS5000) 区 调度数据网 实时VPN 调度数据网 非实时调度数据网 管理VPN 图 3 装置接入上级管理平台架构图
5.2. 站内接入 变电站部署方式
网络安全监测装置部署于变电站站控层网络,接入站控层 A、B 双网交换机,同时, 接入对应安全大区内调度数据网交换机,通过相应调度数据网 VPN 连接上级管理平台。 变电站部署拓扑如下:
安全I区 安全Ⅱ 区 管 理信息 大区
图 4 变电站部署架构图 电厂部署方式 电厂涉网部分装置部署方式 由于电厂内系统较多,且多数系统无网络连接,宜部署多台Ⅱ型网络安全监测装置 以满足发电厂涉网区域内各类设备的接入。 对于安全 I 区而言,涉网部分主要为 NCS 系统,装置需同时接入 NCS 系统内、水电 监控系统、光伏电站监控系统、风电厂综合监控系统站控层 A、B 双网交换机,需单独连 接 PMU 等其他涉网设备,同时,装置需要连接 I 区调度数据网交换机,通过调度数据网 实
时
VPN
连
接
上
级
管
理
平
台
。
对于安全 II 区而言,装置需监测各类服务器、工作站、保信子站、故障录波及电量 采集网关机等涉网设备,装置需跨接不同网络内组网交换机,同时连接 II 区调度数据网 第一平面接入网 第二平面接入网 交换机,通过调度数据网非实时 VPN 连接上级管理平台。 电厂涉网部分部署拓扑如下: 路由器一 实时VPN 安全区I纵向 加密认证装置 安全区I 实时交换机 非实时VPN 安全区II纵向 加密认证装置 安全区II 非实时交换机 实时VPN 路由器二 非实时VPN 安全区I纵向 加密认证装置 安全区I 实时交换机 安全区II纵向 加密认证装置 安全区II 非实时交换机 数据通信 网关机数据通信 网关机PMU 入侵检测系统 风功率预测 电能量采 集终端服 务器B 发电计划 管理子系统 正向隔离装置 线路 测控 无功电压 控制系统 母线 测控 有功功率 控制系统 安全区I 防火墙 反向隔离装置 安全区II 图 5 电厂涉网部分部署架构图
电厂局域网部署方式 电厂推荐部署简易型平台,实现发电厂网络安全事件快速处置能力及响应效率,满足
电厂自身安全监视管理的要求。接入省级及以上调度数据网的电厂可在安全Ⅰ、Ⅱ区分 别部署Ⅰ型网络安全监测装置,在安全Ⅱ区部署一台服务器(服务器数量可以根据现场 情况进行增加)和一台工作站;接入省级以下调度数据网的电厂可在安全Ⅰ、Ⅱ区分别 部署Ⅰ型网络安全监测装置,在安全Ⅱ区部署一台工作站。
相关推荐:
loading