江苏南瑞网络安全监测说明书 安全检查和实时告警
南京华光电力科技有限公司
二、现状
根据国调的安排,平台只有南瑞信通、科东2家负责研发,监测装置主要由南瑞研制,同时也对自动化厂商等开放。
南瑞信通研制的平台和装置分别是ns-5000电力监控系统网络安全管理平台、isg-3000网络安全监测装置。
目前主要用户是华东分部、江苏、上海、安徽、陕西、重庆、新疆、西藏、甘肃、吉林、四川,另外福建、浙江、山西也有部分。
南网总调态势感知平台项目也是我方承担(同源技术产品)。
大部分网省调都希望在所辖范围内同时共用多家厂商的产品,平台如此,装置更是如此,因此有大量可挖掘的潜在市场。
南瑞ns-5000电力监控系统网络安全管理平台
南瑞isg-3000网络安全监测装置
接入监视对象
调试人员应在接入下列监视对象前按照资产录入规范要求进行资产录入:
主机设备——调试人员配合监控系统厂家完成监控后台、通信网关机、保信子站、故障录波等主机agent部署,并完成站内相关设备与网络安全监测装置的联调,主要包括以下步骤:
交换机——对于已经支持或可以通过升级固件支持snmp的交换机,由监控系统厂商升级后配置snmp/trap地址(即网络安全监测装置的a或b网地址)。对于不支持snmp的交换机,调试人员配合监控系统厂商完成站控层交换机的更换,并配置snmp/trap地址。
安防设备——调试人员完成防火墙、隔离装置等安防设备的syslog日志配置,完成与网络安全监测装置的联调测试;对于syslog日志不规范的安防设备,可通过动态链接库或者正则的方式完成对安防设备的syslog日志的解析。
告警治理
调试人员应在主机agent部署前,提前整理并录入白名单,白名单可形成知识库,在接入过程中逐渐完善。
网络外联白名单——主机agent部署时,应提前整理并录入网络外联白名单,白名单应包括该主机需要进行网络交互的所有网络地址(段),不允许加全网段、a、b类地址,限制添加c类地址,地址应尽可能细化。
关键服务端口白名单——主机agent部署时,应提前整理并录入关键服务端口白名单,原则上只开放变电站监控系统需要的端口及服务。
对于部分无法消除的告警,如交换机mac地址未绑定,调试人员可酌情在网络安全监测装置中配置白名单。
告警模拟上送
厂站进行如下告警模拟,主站运维人员观察告警接收情况(多通道),时间误差应小于30 秒:
①监控后台机中进行usb 插拔、网络外联事件、登录失败告警事件测试。
②防火墙进行不符合安全策略事件、修改策略测试。
③交换机进行登录失败、配置更改、修改用户名密码测试。
设备加固
调试人员需对新增的网络安全监测装置和交换机进行加固,包括修改监测装置前台登录密码、后台登录密码,交换机后台登录密码,关闭交换机不用的端口,配置三权分立用户和口令等。
资产录入规范
设备名称
设备命名应言简意赅,可令调度主站迅速定位是哪台机器,名称原则上只包含中文,也可以阿拉伯数字和部分特定字母(如a、b、pmu等)辅助标识,示例:一区a网交换机、风功率预测服务器、故障录播器1、一二区横向防火墙,监控后台1,pmu1等;
ip及mac
对于监控系统内的设备存在a、b网地址的,应同时录入a、b网ip及mac地址,如不存在a、b网地址的,部分设备既有数据网地址又有站控层地址的,原则上应填写和网络安全监测装置通信的ip及mac;
厂商
统一厂商名规范,规范常见厂商名称,避免出现同一厂商多个表达方式的情况,常见厂商名称见《附件1:厂站业务系统及设备、厂商表》,对于附件1外的厂商应联系省调平台维护人员申请确认,并由省调平台添加到厂商字典,便于统一管理;原则上厂商应遵循调控云厂商库的定义。
序列号(业务系统)
鉴于江苏公司计划针对站内业务系统及设备进行分类统计,并形成统计报表,目前监测装置录入监视对象的各字段属性中,序列号字段体现的价值相对较小,故江苏地区监测装置录入的监视对象,将该字段统一填写业务系统字段,便于主站平台统计厂站已接入的相关业务系统及设备数量信息,厂站业务系统及代码详见《附件1:厂站业务系统及设备、厂商表》;
版本
该字段应按照实际情况正确填写,对于日志不符合规范的交换机和安防设备,网络安全监测装置可采用动态库和正则表达式两种解析方式,并通过该字段的版本去匹配对应的动态库和正则表达式;
分区
网络安全监测装置技术规范定了一个保留字段用于扩展,为保障主站调阅厂站拓扑页面的正常显示,现要求该字段用于分区字段,定义该设备所属分区,1代表安全i区,2代表安全ii区。
接入优先级
接入网络安全监测装置的厂站设备按照重要程度分为三个优先级,优先为网络与安防设备,包含监控系统交换机及其他变电站站控层、电厂涉网系统交换机,横向防火墙,正反向隔离,入侵监测,防恶意代码等;第二优先为主机类设备,包含监控后台、通信网关机、故障录波器、保信子站(非嵌入式系统)、pmu等;第三优先级为嵌入式设备类,包含电能量采集装置、保信子站(嵌入式系统)、远动机(嵌入式系统)等。接入监测装置的设备需结合优先级综合考虑,类必须接入,第二类原则上也必须接入,应由各单位与相关系统厂家确认是否具备接入条件,第三类设备可以暂缓接入;
表1:变电站站控层系统及设备清单
(一)自主可控主机操作系统安全监测技术
南瑞信通是系统内一得到国调网安处认可的操作系统研究团队。我们针对大量存量厂站操作系统类型版本多、难以进行系统升级的情况,自主研制了操作系统安全监测工具,支持redhat5、 redhat6、centos6、centos5、solaris 10、hp-unix b11、windows7、 windowsxp、windows2003、windows2008和windowsvista等,是目前一能同时自主完成平台、装置和监控系统主机agent部署的厂家。
刘经理
025-82211867
18851182817
qq: 944573653
小本子奶茶记事本 韩国 可爱 笔记本创意文具批发学习用品
上海开工仪式开盘仪式启动仪式的费用怎么计算
加盟澳仑防水市场前景如何?
浙江工程洗车设备
养20只牛多少钱急售
江苏南瑞网络安全监测说明书 安全检查和实时告警
钢质隔热防火窗公司 超强防火_稳定安全
黄泥磅家庭敬老院:有助父母健康长寿的事
影响全自动高空制瓦机价格
梦兹供应进口床垫,全球销量占据前列地位
文一路辅导中心选哪家,辅导中心去哪家
木质素纤维价格合理,生产厂家质量保证,欢迎选购
船用五金游艇系船柱
无锡立体停车车库办理流程
餐饮连锁加盟店排行榜
开博赞忆鸣惊人教育培训班怎么样?加盟成本高不高?
买312屋脊瓦机如何选择一家质量好的厂家?
湖南工厂化循环水养殖工艺哪家公司的好呢?点击这里有答案
好采网批发pp塑料标准编织袋 定制印刷覆膜快递物流蛇皮袋
河南合作加盟项目市场的品牌,全新的模式
二、现状
根据国调的安排,平台只有南瑞信通、科东2家负责研发,监测装置主要由南瑞研制,同时也对自动化厂商等开放。
南瑞信通研制的平台和装置分别是ns-5000电力监控系统网络安全管理平台、isg-3000网络安全监测装置。
目前主要用户是华东分部、江苏、上海、安徽、陕西、重庆、新疆、西藏、甘肃、吉林、四川,另外福建、浙江、山西也有部分。
南网总调态势感知平台项目也是我方承担(同源技术产品)。
大部分网省调都希望在所辖范围内同时共用多家厂商的产品,平台如此,装置更是如此,因此有大量可挖掘的潜在市场。
南瑞ns-5000电力监控系统网络安全管理平台
南瑞isg-3000网络安全监测装置
接入监视对象
调试人员应在接入下列监视对象前按照资产录入规范要求进行资产录入:
主机设备——调试人员配合监控系统厂家完成监控后台、通信网关机、保信子站、故障录波等主机agent部署,并完成站内相关设备与网络安全监测装置的联调,主要包括以下步骤:
交换机——对于已经支持或可以通过升级固件支持snmp的交换机,由监控系统厂商升级后配置snmp/trap地址(即网络安全监测装置的a或b网地址)。对于不支持snmp的交换机,调试人员配合监控系统厂商完成站控层交换机的更换,并配置snmp/trap地址。
安防设备——调试人员完成防火墙、隔离装置等安防设备的syslog日志配置,完成与网络安全监测装置的联调测试;对于syslog日志不规范的安防设备,可通过动态链接库或者正则的方式完成对安防设备的syslog日志的解析。
告警治理
调试人员应在主机agent部署前,提前整理并录入白名单,白名单可形成知识库,在接入过程中逐渐完善。
网络外联白名单——主机agent部署时,应提前整理并录入网络外联白名单,白名单应包括该主机需要进行网络交互的所有网络地址(段),不允许加全网段、a、b类地址,限制添加c类地址,地址应尽可能细化。
关键服务端口白名单——主机agent部署时,应提前整理并录入关键服务端口白名单,原则上只开放变电站监控系统需要的端口及服务。
对于部分无法消除的告警,如交换机mac地址未绑定,调试人员可酌情在网络安全监测装置中配置白名单。
告警模拟上送
厂站进行如下告警模拟,主站运维人员观察告警接收情况(多通道),时间误差应小于30 秒:
①监控后台机中进行usb 插拔、网络外联事件、登录失败告警事件测试。
②防火墙进行不符合安全策略事件、修改策略测试。
③交换机进行登录失败、配置更改、修改用户名密码测试。
设备加固
调试人员需对新增的网络安全监测装置和交换机进行加固,包括修改监测装置前台登录密码、后台登录密码,交换机后台登录密码,关闭交换机不用的端口,配置三权分立用户和口令等。
资产录入规范
设备名称
设备命名应言简意赅,可令调度主站迅速定位是哪台机器,名称原则上只包含中文,也可以阿拉伯数字和部分特定字母(如a、b、pmu等)辅助标识,示例:一区a网交换机、风功率预测服务器、故障录播器1、一二区横向防火墙,监控后台1,pmu1等;
ip及mac
对于监控系统内的设备存在a、b网地址的,应同时录入a、b网ip及mac地址,如不存在a、b网地址的,部分设备既有数据网地址又有站控层地址的,原则上应填写和网络安全监测装置通信的ip及mac;
厂商
统一厂商名规范,规范常见厂商名称,避免出现同一厂商多个表达方式的情况,常见厂商名称见《附件1:厂站业务系统及设备、厂商表》,对于附件1外的厂商应联系省调平台维护人员申请确认,并由省调平台添加到厂商字典,便于统一管理;原则上厂商应遵循调控云厂商库的定义。
序列号(业务系统)
鉴于江苏公司计划针对站内业务系统及设备进行分类统计,并形成统计报表,目前监测装置录入监视对象的各字段属性中,序列号字段体现的价值相对较小,故江苏地区监测装置录入的监视对象,将该字段统一填写业务系统字段,便于主站平台统计厂站已接入的相关业务系统及设备数量信息,厂站业务系统及代码详见《附件1:厂站业务系统及设备、厂商表》;
版本
该字段应按照实际情况正确填写,对于日志不符合规范的交换机和安防设备,网络安全监测装置可采用动态库和正则表达式两种解析方式,并通过该字段的版本去匹配对应的动态库和正则表达式;
分区
网络安全监测装置技术规范定了一个保留字段用于扩展,为保障主站调阅厂站拓扑页面的正常显示,现要求该字段用于分区字段,定义该设备所属分区,1代表安全i区,2代表安全ii区。
接入优先级
接入网络安全监测装置的厂站设备按照重要程度分为三个优先级,优先为网络与安防设备,包含监控系统交换机及其他变电站站控层、电厂涉网系统交换机,横向防火墙,正反向隔离,入侵监测,防恶意代码等;第二优先为主机类设备,包含监控后台、通信网关机、故障录波器、保信子站(非嵌入式系统)、pmu等;第三优先级为嵌入式设备类,包含电能量采集装置、保信子站(嵌入式系统)、远动机(嵌入式系统)等。接入监测装置的设备需结合优先级综合考虑,类必须接入,第二类原则上也必须接入,应由各单位与相关系统厂家确认是否具备接入条件,第三类设备可以暂缓接入;
表1:变电站站控层系统及设备清单
(一)自主可控主机操作系统安全监测技术
南瑞信通是系统内一得到国调网安处认可的操作系统研究团队。我们针对大量存量厂站操作系统类型版本多、难以进行系统升级的情况,自主研制了操作系统安全监测工具,支持redhat5、 redhat6、centos6、centos5、solaris 10、hp-unix b11、windows7、 windowsxp、windows2003、windows2008和windowsvista等,是目前一能同时自主完成平台、装置和监控系统主机agent部署的厂家。
刘经理
025-82211867
18851182817
qq: 944573653
小本子奶茶记事本 韩国 可爱 笔记本创意文具批发学习用品
上海开工仪式开盘仪式启动仪式的费用怎么计算
加盟澳仑防水市场前景如何?
浙江工程洗车设备
养20只牛多少钱急售
江苏南瑞网络安全监测说明书 安全检查和实时告警
钢质隔热防火窗公司 超强防火_稳定安全
黄泥磅家庭敬老院:有助父母健康长寿的事
影响全自动高空制瓦机价格
梦兹供应进口床垫,全球销量占据前列地位
文一路辅导中心选哪家,辅导中心去哪家
木质素纤维价格合理,生产厂家质量保证,欢迎选购
船用五金游艇系船柱
无锡立体停车车库办理流程
餐饮连锁加盟店排行榜
开博赞忆鸣惊人教育培训班怎么样?加盟成本高不高?
买312屋脊瓦机如何选择一家质量好的厂家?
湖南工厂化循环水养殖工艺哪家公司的好呢?点击这里有答案
好采网批发pp塑料标准编织袋 定制印刷覆膜快递物流蛇皮袋
河南合作加盟项目市场的品牌,全新的模式