电力监控系统网络安全态势感知厂站装置技术规范(试行)2018.04
电力监控系统安全态势感知技术探究 王子琨
电力监控系统安全态势感知技术探究王子琨摘要:近年来的电网网络安全事件的不断发生使得电力监控系统网络安全形势日益严峻,在此背景下,通过电力监控系统安全态势感知技术主动感知电力监控系统的各类网络安全风险以及非法访问事件具有重要意义。
文章通过对电力监控系统网络安全态势感知的总体目标及主要内容进行阐述,并对各个应用功能进行分析,在此基础上提出了安全态势感知平台的部署方案,最终达到电力监控系统网络安全风险可发现、可控制、可溯源的目标。
关键词:电力监控;网络安全;态势感知1 绪论近年来,伊朗、乌克兰、委内瑞拉等国家的电网安全事件给世界各国敲响了警钟,电力监控系统的网络安全已经被提高到了国家安全层面。
但目前,电力监控系统的网络安全主要依靠人工进行监视,难以实时、有效地监视电力监控系统的网络安全状态,存在极大的安全隐患。
因此,亟需研究电力监控系统网络安全态势感知技术并建设网络安全态势感知平台,以实现电力监控系统网络安全相关数据的全面采集和实时监视,最终达到电力监控系统网络安全风险可发现、可控制、可溯源的目标。
2 电力监控系统网络安全态势感知概述2.1总体目标电网安全事件说明敌对组织及黑客实施网络攻击的主要意图是,通过电力监控系统破坏电力系统的运行,达到破坏社会稳定、扰乱公共秩序或获取经济利益的目的。
电力监控系统是国家电网企业中最核心、也最为重要的系统,是电力安全生产的基础。
为确保电力监控系统的安全,构建了安全分区、网络专用、横向隔离、纵向认证的网络安全防护体系。
在此基础上,电力监控系统网络安全态势感知是基于网络环境实时动态地监视和感知安全风险,及时发现如非法跨区互联、网络非法接入、非法移动介质接入等各类网络安全风险以及非法访问事件,以实现对各电力监控系统全面、实时的网络安全态势感知及预警,全面提升对网络安全威胁的识别、分析和处置能力,实现电力监控系统网络安全的闭环管控,全面提高电力监控系统网络安全防护的整体水平。
变电站电力监控系统网络安全态势感知厂站装置实施十大问题
问题1:当地配合施工单位未能同步进站施工。
第一次进站的工程实施部分(如取电、综合布线)需要当地的施工单位配合完成,工程施工单位由于他们的工期安排不能与我们施工人员同时进站,导致未能在工作票规定时间内同步完成工程实施工作。
建议:业主单位能够协调施工单位配合我们同步进站。
问题2:开票进站未能得到配合支持。
部分变电站管理所要求自行开票进站,或者在进站手续上未给以有效的配合支持,导致实施计划不能按期执行,影响进度。
建议:业主单位能够配合开具工作票,落实进站相关手续。
问题3:IP地址和端口未及时分配影响调试进度。
进站实施需要调试主厂站网络通道,如果不能在进站前分配好IP和端口,则会影响通道调试工作;同时也影响站内网络安全设备配置Snmp、Snmp trap、syslog服务(配置时需要明确目的IP地址)。
建议:业主单位统一规划IP地址和端口,及时分配提供。
问题4:站内网络安全设备资产台账缺失,设备口令丢失。
进站后调试主厂站通道,需要对二次安防设备配置安全策略,由于站内资产台账缺失,交换机口令丢失,不能登录设备配置相关策略,影响通道调试工作;同时也影响站内设备配置Snmp、Snmp trap、syslog服务(不能验证日志数据是否发送到厂站装置)。
建议:业主单位提前梳理资产台账,做好设备配置的相关准备。
问题5:厂站装置接入工作涉及跨部门跨专业,配合力度不理想。
部分供电局Ⅲ区IP地址分配由信息中心负责,交换机配置由通信专业负责,接入的网络安全设备又涉及试验所等专业;跨屏柜取电及网络布线,会涉及到继保班和通信专业两个班组配合,一般陪同进站是自动化班人员,继保班或通信专业由于他们的工期安排不能与施工人员同时进站,无法进一步完成从UPS屏柜引电或网络布线施工。
建议:业主单位提前与各专业班组联系,统一时间共同进站完成站内施工及调试工作。
问题6:站内设备调试人员未落实到位。
站内二次安防及站控层等站内设备需要配置Snmp、Snmp trap、syslog服务才能实现厂站装置对站内设备的监视,二次安防、站控层以及保信等维保厂家没有协调到位,不能进站配合,导致不能在工作票规定时间内完成设备接入及功能调试工作。
电力监控系统安全防护规定【最新版】
电力监控系统安全防护规定第一章总则第一条为了加强电力监控系统的信息安全管理,防范黑客及恶意代码等对电力监控系统的攻击及侵害,保障电力系统的安全稳定运行,根据《电力监管条例》、《中华人民共和国计算机信息系统安全保护条例》和国家有关规定,结合电力监控系统的实际情况,制定本规定。
第二条电力监控系统安全防护工作应当落实国家信息安全等级保护制度,按照国家信息安全等级保护的有关要求,坚持“安全分区、网络专用、横向隔离、纵向认证”的原则,保障电力监控系统的安全。
第三条本规定所称电力监控系统,是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等。
第四条本规定适用于发电企业、电网企业以及相关规划设计、施工建设、安装调试、研究开发等单位。
第五条国家能源局及其派出机构依法对电力监控系统安全防护工作进行监督管理。
第二章技术管理第六条发电企业、电网企业内部基于计算机和网络技术的业务系统,应当划分为生产控制大区和管理信息大区。
生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。
根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免形成不同安全区的纵向交叉联接。
第七条电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公用数据网的安全隔离。
电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。
第八条生产控制大区的业务系统在与其终端的纵向联接中使用无线通信网、电力企业其它数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行通信的,应当设立安全接入区。
第九条在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。
电厂电力监控系统网络安全防护管理制度
电厂电力监控系统网络安全防护管理制度(总11页)本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March*********公司电力监控系统网络安全防护管理制度1范围为了加强*********公司电力监控系统的信息安全管理,防范黑客及恶意代码等对电力监控系统的攻击及侵害,保障电力监控系统及电力调度数据网络的安全,特制定本制度。
1.1本制度包括:门禁和人员管理,权限和访问控制管理,电力监控系统安全防护和设备运维管理,数据和系统的备份管理,用户口令密钥及数字认证书的管理,审计管理,恶意代码防范管理,电力监控系统安全防护培训管理、电力监控系统安全评估管理、电力监控系统机房管理。
2规范性引用文件下列文件中的条款通过本制度的引用而成为本制度的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本制度,然而,鼓励根据本制度达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本制度。
《电力监控系统安全防护规定》(国家发展和改革委员会 2014年第14号令)《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)《电力监控系统安全防护总体方案》国能安全(2015)36号文《发电厂监控系统安全防护方案》国能安全(2015)36号文《变电站监控系统安全防护方案》国能安全(2015)36号文《配电监控系统安全防护方案》国能安全(2015)36号文《电力监控系统安全防护评估规范》国能安全(2015)36号文《关于印发<中国南方电网有限责任公司电力事故事件调查规程>补充内容(电力监控系统信息安全事件有关规定)的通知》(南方电网安监〔2016〕12 号)《中华人民共和国网络安全法》(2017年6月)《国家能源局关于加强电力行业网络安全工作的指导意见》(国能发安全〔2018〕72号)《中国南方电网电力调度管理规程》(Q/CS212045-2017)《中国南方电网电力监控系统网络安全管理办法》(Q/CSG212001)《中国南方电网电力监控系统网络安全技术规范》(Q/CSG1204009)《中国南方电网有限责任公司保密工作管理办法》(Q/CSG 221008)3术语和定义3.1电力监控系统:是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等。
电力行业网络安全态势感知研究
电力行业网络安全态势感知研究摘要:本文通过阐述电力行业网络安全态势感知相关情况,同时说明了电力行业网络安全态势感知系统的科学设计和实现,分析了电力调度系统网络安全态势感知仿真案例,从而充分发挥出电力行业网络安全态势感知系统的良好作用。
关键词:电力行业;网络安全;态势感知一、电力行业网络安全态势感知系统的科学设计和实现(一)确保电力调度审核工作的科学、规范性当开展电力调度工作以前,一般需要向上级领导实施工作上报,有关工作人员应该保证所上报数据的科学性,使相关机械设备的类型、系统运行的周期、时间等均满足相关要求。
假如所上报的材料当中显现出一些特殊的因素,则应该马上与上级部门进行具体原因的解释,谨防因为沟通不足导致产生系统的故障问题。
此外,还能够委派相关人员科学指导具体操作,同时分享实践经验,加大对系统运行维护管理的力度。
所以,确保电力调度审核工作的科学、规范性十分关键。
(二)发挥出系统服务层的良好作用当安全态势感知系统运行的过程当中,可以详细掌握网络系统遭到攻击与否,比如,预测安全情况。
编制出科学的应急策略,强化安全防护管理。
并且将安全云服务中心当作支撑,做好相关基础设施的构建工作,以本质的视角不断提高网络安全的防护能力,并且形成一定的震慑作用。
同时,可以将安全告警事件当作重点,开展网络安全高层视图的合理设计工作,进而不但满足相关需要,而且细致地了解到网络环境的安全情况,便于针对安全态势进行深入,然后科学进行应对[2]。
(三)注重新型检修与数据实时监测技术的科学利用网络信息化时代的来临,加快了技术创新和变化的速度,运用先进的检修技术,能够进一步完善从前老旧技术存在的不足,避免产生不良的影响,并且以电网调控系统运行过程当中的相关设备作为对象,以定期的形式及时进行检查与升级处理,以便有效了解电网调控系统实际的运作状况,确保了电网系统运作的质量符合相关要求,使电力系统的安全性也满足规定。
除此之外,采购有关电力设备的过程当中,需要做到货比三家,科学对比不同的品牌型号设备在使用性能、质量等方面的情况,最终选取合适的产品,从而有利于攻克由于相关设备的质量问题导致出现的安全与不稳定性情况,同时也缩减了针对相关设备故障检修的次数,让经济成本得以下降[3]。
电力监控系统安全防护评价规范
电力监控系统安全防护评价规范一、背景介绍随着电力行业的发展,电力监控系统已经成为了现代电力生产、输配电及产品应用的重要组成部分。
然而,电力监控系统也面临着一些安全方面的隐患和风险,如网络攻击、设备故障等问题。
因此,为了保障电力监控系统的安全性和合法性,需要制定一些安全防护评价规范。
二、电力监控系统安全防护评价规范1. 安全策略的制定在制定安全策略时应针对电力监控系统的特点,采取针对性措施,从以下三个方面考虑:(1)物理安全对系统的服务器、交换机、路由器等设备需要进行严格的物理防范措施,比如使用电子锁、密钥锁等。
对安全区域采取指纹或人脸识别等技术进行认证辨识。
(2)硬件安全采取加密措施或防抄袭措施,对软件进行授权操作。
(3)网络安全采取防火墙、虚拟专网、安全加密等方式对网络进行保护。
此外,对于可能被威胁到的端口也需要采取限制措施。
2. 网络管理的规范具体规范如下:(1)设备的监控与管理对于系统内部的硬件和软件进行实时监控,及时处理威胁事件。
此外,还需要定期对设备进行漏洞扫描、修复等操作。
(2)数据的备份管理定期对数据进行备份,本地备份和远程备份结合使用,确保数据的可靠性和安全性。
(3)用户权限的管理依据用户的角色和职责,设定不同的权限,严禁非授权用户的操作,保障数据的安全性。
3. 安全监控的实施对于安全监控的实施需要采用以下手段:(1)安全事件日志的记录记录日志,对系统的网络、安全、电力等方面的行为进行审计,同时采用多级告警机制,及时响应异常事件。
(2)安全事件的响应制定应急预案,实行安全事件处置的协调和通知机制,做到真正的快速响应和紧急处理。
4. 安全评估的实施对于电力监控系统需要进行定期的安全评估,以保证系统的稳定性、可靠性以及安全性。
具体的评估内容包括:(1)系统漏洞的扫描对系统进行网络渗透测试、安全漏洞扫描等操作,寻找系统中可能存在的漏洞,并进行修复。
(2)系统的安全性评估按照一定的标准对系统进行安全性评估,给出具体的评估报告,以便对系统进行完善。
国网:电能质量在线监测装置通用技术规范
本规范对应的专用技术规范目录序号名称编号1 电能质量在线监测装置专用技术规范 1102007−0000−01电能质量在线监测装置采购标准技术规范使用说明1. 本标准技术规范分为通用部分、专用部分。
2. 项目单位根据需求选择所需设备的技术规范。
技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。
3. 项目单位应按实际要求填写“项目需求部分”。
如确实需要改动以下部分,项目单位应填写专用部分中项目单位技术差异表并加盖该网、省公司物资部(招投标管理中心)公章,与辅助说明文件随招标计划一起提交至招标文件审查会:1)改动通用部分条款及专用部分固化的参数。
2)项目单位要求值超出标准技术参数值范围。
3)根据实际使用条件,需要变更环境温度、湿度、海拔高度、耐受地震能力、用途和安装方式等要求。
经标书审查会同意后,对专用部分的修改形成项目单位技术差异表,放入专用部分表格中,随招标文件同时发出并视为有效,否则将视为无差异。
4. 投标人逐项响应技术规范专用部分中标准技术参数表、项目需求部分和投标人响应部分三部分相应内容。
填写投标人响应部分,应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。
投标人还应对项目需求部分的项目单位技术差异表中给出的参数进行响应。
项目单位技术差异表与标准技术参数表和使用条件表中参数不同时,以项目单位技术差异表中给出的参数为准。
投标人填写技术参数表时,如有偏差除填写投标人技术偏差表外,必要时应提供证明参数优于招标人要求的相关试验报告。
5. 对扩建工程,如有需要,项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。
6. 技术规范的页面、标题、标准参数值等均为统一格式,不得随意更改。
7. 一次设备的型式、电气主接线和一次系统情况对二次设备的配置和功能要求影响较大,应在专用部分中详细说明。
目 次电能质量在线监测装置采购标准技术规范使用说明 (27)1总则 (29)1.1引言 (29)1.2供方职责 (29)2技术规范要求 (29)2.1规范性引用文件 (29)2.2使用环境条件 (30)2.3装置额定参数 (30)2.4装置功率消耗 (30)2.5电能质量在线监测装置总的技术要求 (30)3试验 (31)3.1试验要求 (31)3.2电气性能试验 (31)3.3现场试验 (31)4技术服务、设计联络、工厂检验和监造 (32)4.1卖方提供的样本和资料 (32)4.2技术资料、图纸和说明书格式 (32)4.3供确认的图纸 (32)4.4买卖双方设计的图纸 (32)4.5其他资料和说明书 (32)4.6卖方提供的数据 (32)4.7图纸和资料分送单位、套数和地址 (33)4.8设计联络会议 (33)4.9工厂验收和现场验收 (33)4.10质量保证 (33)4.11项目管理 (33)4.12现场服务 (34)4.13售后服务 (34)4.14备品备件、专用工具及试验仪器 (34)1总则1.1引言投标人应具备招标公告所要求的资质,具体资质要求详见招标文件的商务部分。
国家能源局公告2018年第16号——行业标准目录-国家能源局公告2018年第16号
2018年12月25日
——结束——
国家能源局公告
2018年第16号
依据《国家能源局关于印发<能源领域行业标准化管理办法(试行)>及实施细则的通知》(国能局科技〔2009〕52号)有关规定,经审查,国家能源局批准《光伏发电工程地质勘察规范》等204项行业标准,其中能源标准(NB)32项、电力标准(DL)172项,现予以发布。
附件:行业标准目录
国家能源局公告2018年第16号——行业标准目录
制定机关
国家能源局
公布日期
2018.12.25
施行日期
2018.12.25
文号
国家能源局公告2018年第16号
Байду номын сангаас主题类别
能源标准
效力等级
部门规范性文件
时效性
现行有效
正文:
----------------------------------------------------------------------------------------------------------------------------------------------------
网络安全态势感知系统在火力发电厂的应用
网络安全态势感知系统在火力发电厂的应用摘要:近年来,我国对电能的需求不断增加,火力发电厂建设越来越多。
电力监控系统的网络不断扩大,网络安全形势日益严峻,鉴于此,在火力发电厂加装了网络安全态势感知装置,其能够对电力监控系统的网络数据进行提取、分析及预测,实现全天候、全方位网络安全态势感知,确保电力监控网络安全稳定运行。
本文就网络安全态势下感知系统在火力发电厂的应用进行研究,以供参考。
关键词:安全防护;网络安全;态势感知引言新时期,随着网络化、智能化、信息化的深入普及与应用,电力市场面临着巨大的供电压力。
火力发电厂是我国主要的电力来源,近些年,随着煤炭原料价格的不断上涨,火力发电厂发电成本持续上升,如何节能降耗、降低发电成本是当下火力发电厂面临的首要问题。
随着电力改革的不断推进,火力发电厂也逐步改变了传统单一的安全性生产方式,逐步向着以坚持经济效益为中心的全方位发展新模式迈进。
1发电厂中的智慧安全系统架构在确定发电厂在安全管理方面的需求后,智慧安全系统才能够发挥出其作用。
智慧安全系统能够进行安全信息采集,信息采集主要在安全监测层进行,将采集到的数据信息进行应用集成,这主要在智能管控和安全管理层进行,最后实现各项功能,主要在应用层完成。
通过应用智慧安全系统让发电厂能够全面落实安全管理的需求,从事后解决变为事前预防和事中控制。
发电厂应用智慧安全系统,这一系统的整体架构比较复杂,具体如图1所示。
智慧安全系统主要包括三个部分。
即前端设备,包括监控摄像头、监测报警器、读卡器、二维码、芯片等等,前端设备的主要职责就是对防范区域内的视频、音频、环境情况、看情况的信息数据进行现场采集,将采集到的数据存储或者上传,将采集到的数据信息与监控中心预先设置好的数据进行联动;传输网络部分的主要职责就是对一些长距离介质进行传输,一般为光纤传输,将前端设备得到的信号采集后转化成光纤信号上传至后台中心;监控中心的主要职责就是对前端设备得到的一些光信号进行集中转换和管理,同时能够对前端设备以及相关管理部门发出的需求信息进行全面管理,根据前端设备得到的相关信息进行设备控制、报警信号分析、输出报表等等。
500kV变电站电力监控网络安全态势感知系统的实施与应用
500kV变电站电力监控网络安全态势感知系统的实施与应用500kV变电站是电力系统中的重要枢纽,对于国家电网的安全稳定运行具有重要意义。
为了保障500kV变电站的安全运行,电力监控网络安全态势感知系统应运而生。
本文将介绍该系统的实施与应用,以及其在500kV变电站中的重要意义。
1. 系统概述500kV变电站电力监控网络安全态势感知系统是基于先进的信息技术和网络安全技术,对500kV变电站的电力监控网络进行全面监测和感知,实现对网络安全态势的及时预警和处置,确保电力系统的安全稳定运行。
2. 系统组成该系统由监控中心、传感设备、数据采集设备、分析处理设备和安全防护设备等组成。
监控中心负责系统的整体监测和管理,传感设备负责对电力网络进行实时监测,数据采集设备负责对监测数据的采集与传输,分析处理设备负责对监测数据进行分析和处理,安全防护设备负责对网络进行安全防护。
3. 系统功能该系统具有实时监测、态势感知、安全预警、应急处置等功能,能够及时发现电力网络中的安全隐患,并采取相应的措施进行处置,确保电力系统的安全运行。
1. 安全监测该系统能够对500kV变电站的电力网络进行全面监测,实时掌握网络的运行状态,及时发现网络中的异常情况,提供安全保障。
2. 安全感知通过对监测数据的分析和处理,系统能够感知网络中的安全态势,并对可能的安全威胁进行预警,为安全防范提供数据支持。
3. 安全预警一旦系统发现网络中存在安全隐患或威胁,将立即进行预警,并及时通知相关人员进行处置,避免事故的发生。
2. 提高应急响应能力系统能够及时发现网络中的安全隐患并进行预警,提高了变电站的应急响应能力,降低了安全事故的发生率。
3. 优化安全防护体系该系统为500kV变电站建立了完善的安全防护体系,提高了对网络安全威胁的识别和处置能力,为电力系统的安全保障提供了有力支持。
4. 提高管理效率系统将实时监测和管理500kV变电站的电力网络,提高了管理效率,为相关人员提供了科学决策和技术支持。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力监控系统网络安全态势感知厂站装置技术规范(试行)中国南方电网系统运行部二零一八年四月目次1范围 (1)2规范性引用文件 (1)3术语和定义 (1)3.1电力监控系统网络安全态势感知主站系统 (1)3.2电力监控系统网络安全态势感知厂站装置 (1)4总体架构 (1)5功能要求 (2)5.1运行概览 (2)5.2原始数据采集 (3)5.2.1资产发现 (3)5.2.2日志采集 (4)5.2.3流量采集 (4)5.2.4Agent采集 (5)5.3上送主站通信 (5)5.3.1事件告警 (5)5.3.2拓扑成图 (5)5.3.3资产及其运行状态 (6)5.4设备管理 (8)5.4.1通信设置 (8)5.4.2账户设置 (9)5.4.3资产维护 (10)5.4.4规则维护 (10)5.4.5设备日志 (10)5.4.6原始报文检索 (11)5.4.7多主站配置 (11)6硬件部署要求 (11)6.1厂站硬件部署架构 (11)6.2硬件要求 (12)7性能及安全性要求 (12)7.1性能要求 (12)7.2安全要求 (12)附件A 电力监控系统网络安全态势感知厂站装置采集信息规范 (1)表A.1 主机设备采集信息表 (1)表A.2 网络设备采集信息表 (1)表A.3 纵向加密认证装置采集信息表 (2)表A.4 正反向隔离装置采集信息表 (3)表A.5 硬件防火墙设备采集信息表 (3)附件B 电力监控系统网络安全态势感知厂站装置安全告警分类规范 (1)表B.1 安全事件类告警表 (1)1范围本规范规定了电力监控系统网络安全态势感知厂站装置主要技术要点,包括运行概览、原始数据采集、上送主站通信、设备管理等。
本规范适用于南方电网各级单位,可用于指导电力监控系统网络安全态势感知厂站装置的研发、验收和应用。
2规范性引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。
凡注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规定。
凡未注明日期的引用文件,其最新版本适用于本规定。
《电力系统安全防护规定》(国家发改委2014第14号令)《电力监控系统安全防护总体方案和评估规范》(国能安全[2015]36号)GB/T 20272 信息安全技术操作系统安全技术要求GB/T 20273 信息安全技术数据库管理系统安全技术要求GB/T 22239信息系统安全等级基本要求Q/CSG212001-2015中国南方电网电力监控系统安全防护管理办法Q/CSG1204009-2015 中国南方电网电力监控系统安全防护技术规范3术语和定义3.1电力监控系统网络安全态势感知主站系统电力监控系统网络安全态势感知主站系统(下简称“态势感知主站系统”或“主站系统”)是指部署在各个调控中心(监控、检修中心),具备网络安全数据采集、安全监视、安全审计、预测分析等功能的系统。
3.2电力监控系统网络安全态势感知厂站装置电力监控系统网络安全态势感知厂站装置(下简称“厂站装置”)是指部署在厂站电力监控系统局域网网络内部,对厂站电力监控系统网络安全数据进行采集、分析处理并与主站系统通信的装置。
4总体架构全网电力监控系统网络安全态势感知系统的总体部署架构如下图所示:设备状变电站视计量设备状变电站视频监设备状计量态势感知主站系统应用分析态势感知主站系统前置服应用分析态势感知主站系统前置服务态势感知主站系统应用分析图 4-1电力监控系统网络安全态势感知系统总体部署架构示意图电力监控系统网络安全态势感知主站系统、厂站装置在生产控制大区的态势感知数据信息通过调度数据网非实时VPN 进行交互;主站系统、厂站装置在管理信息大区的态势感知数据信息通过综合数据网进行交互。
在网、省级主站部署态势感知主站系统。
网级态势感知主站系统实现对网级电力监控系统主站系统、各省市电力监控系统以及厂站电力监控系统网络安全态势感知数据的汇总、分析以及展示;省级态势感知主站系统实现对省级电力监控系统主站系统、各地市电力监控系统以及厂站的态势感知数据的汇总、分析以及展示;在地市级及以下主站端部署态势感知采集服务器,实现对本地市局本部电力监控系统及厂站态势感知数据采集,上送至省级主站系统进行统一汇总、分析及展示。
试点建设地级主站系统参照省级主站系统建设。
在厂站端部署厂站装置实现电力监控系统态势感知数据的采集。
5 功能要求 5.1 运行概览运行概览为厂站装置自检状态、通信监测、采集监测等信息总览,应满足以下要求:a) 人机交互界面采用C/S 架构;b)应支持自检状态、通信监测、采集监测信息的分区域展示,展示项应包括但不限于下表所示;表5-1运行概览一览表c)支持监测终端本地接显示器模式;d)支持笔记本通过指定网口接入方式。
5.2原始数据采集5.2.1资产发现a)通过探测采集、镜像流量、NMAP、SNMP等手段自动发现厂站装置监测范围内的资产,采集内容如下表所示;表5-5 资产属性一览表表5-6 资产对应的IP地址信息表b)展示资产的关键属性,资产关键属性包括:IP、MAC、主机名、设备类型、软件版本等;c)提供手动录入资产信息的工具;d)自动发现资产与手工录入资产进行比对,差异上传主站进行确认。
5.2.2日志采集a)采集主机、安全设备、网络设备的原始日志;b)日志采集内容包括:设备IP、设备名称、设备类型、采集时间、日志类型、日志子类型、原始日志内容等;c)对原始日志按照设备类型、日志类型、日志子类型等进行范式化处理,并以事件形式记录入数据库中;d)根据事件告警规则(CPU阈值、内存阈值、磁盘阈值等)匹配,将范式化后的事件形成告警,同时记录到数据库。
5.2.3流量采集a)实时发现并采集敏感报文和可疑文件,主动将特征信息上送主站;b)实时统计周期内设备某一具体端口的上下行流量;c)以通讯会话五元组为视角,统计每个会话统计周期内的发生次数、每次持续时长以及流量数据;d)通信状态异常情况采集指通过镜像站内网络设备的端口抓取原始通信报文,包括IEC61850、IEC103、IEC104等规约报文,分析通信状态机异常情况。
5.2.4Agent采集a)支持对Windows或Linux操作系统的服务器、工作站、网络设备、安全防护设备等监测对象进行数据采集;b)支持采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息;c)支持采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息;d)支持采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息;e)支持触发性事件信息的采集和周期性上送的状态类信息的采集;f)支持上级平台数据调阅,返回调阅数据。
5.3上送主站通信5.3.1事件告警事件告警上送分为事件告警生成后主动上送主站和响应主站事件调阅请求上送两种类型;a)事件告警生成后,按照告警级别、告警时间、告警设备类型、告警设备IP等将事件告警信息通过104通信协议主动上送主站,告警分类及通信协议详见附件B、附件C;b)接收主站事件调阅请求,按照条件从数据库查询历史事件数据,条件查询包括设备类别(主机、安全设备、网络设备等)、事件类型(行为、运行、告警、故障)、采集开始时间和结束时间等,生成事件数据通过TCP通信协议上送主站,详见附件D。
5.3.2拓扑成图a)支持自动发现和手动添加两种方式,生成包含站控层A、B网的生产控制大区物理连接拓扑图以及信息管理大区物理连接图;b)物理连接拓扑图呈现设备端口与设备端口之间物理连接关系,能够实时展示设备整体实时运行状态,并通过拓扑连线实时展示当前的设备端口流量情况;c)物理连接拓扑图应能发现非法跨区互联设备,同时突出显示非法跨区互联的连线;d)物理连接拓扑图应能发现网络非法接入和网络非法退出的设备,并闪烁显示告警。
针对网络接入设备采用特定的图标进行标识,针对网络退出设备图标采用灰度化处理;e)物理连接拓扑图应能实现多层拓扑的逐层钻取,支持放大、缩小和平移;f)支持上级主站通过TCP通信协议进行拓扑调阅,详见附件D;g)对上级主站提供物理连接拓扑图和物理连接拓扑关系表两种拓扑关系查询的方式;h)物理拓扑连接关系表包含:序号、本端设备名称、端口号、对端设备名称、端口号;i)安全I区厂站装置物理拓扑连接关系表应包含生产控制大区设备物理拓扑连接关系,安全III区厂站装置物理拓扑连接关系表应包含信息管理大区设备物理拓扑连接关系;j)物理拓扑连接关系表提供按IP、设备名称进行检索查询;k)支持对物理拓扑连接关系数据的导出,格式支持excel、PDF。
5.3.3资产及其运行状态运行数据采集实现对厂站装置监测范围内的三类设备(主机设备、网络设备、安全设备)的资产及其运行状态的展示,其中资产信息通过TCP协议上送主站,运行信息通过104协议上送主站,详见附件C、附件D。
5.3.3.1主机设备通过Agent、SNMP、流量分析等手段采集并展示主机设备的资产信息及运行数据,详细采集内容参见附件A表A.1《主机设备采集信息表》。
资产信息详见表5-5、表5-6,运行信息的详细内容如下表:表5-2 主机设备实时运行信息一览表5.3.3.2网络设备通过SSH、SYSLOG、SNMP、流量分析等手段采集并展示网络设备的资产信息及运行数据,详细采集内容参见附件A表A.2《网络设备采集信息表》。
资产信息详见表5-5、表5-6,实时运行信息的详细内容如下表:表5-3 网络设备实时运行信息一览表5.3.3.3安全设备通过SYSLOG、SNMP、流量分析等手段采集并展示安全设备的资产信息及运行数据,信息采集内容参见附件A表A.3《纵向加密认证装置采集信息表》、表A.4《正反向隔离装置采集信息表》以及表A.5《硬件防火墙设备采集信息表》。
资产信息详见表5-5、表5-6,实时运行信息的详细内容如下表:表5-4 安全设备实时运行信息一览表5.4设备管理5.4.1通信设置5.4.1.1通信接口配置通信接口配置包括厂站装置网卡参数、路由参数以及与主站通信的参数的配置,包括以下内容:表 5-7 厂站装置网卡参数配置表表 5-8 厂站装置路由参数配置表表 5-9 厂站装置与主站通信参数配置表5.4.1.2采集参数配置采集参数配置主要包括SNMP采集、SNMP Trap采集、Syslog采集、Agent 采集参数的设置:a)SNMP采集参数配置包括:开始IP地址和结束IP地址(如果只扫描一个IP对象时开始IP地址和结束地址一致)、SNMP端口号、SNMP团体名称、SNMP版本;b)SNMP Trap采集参数配置包括:IP地址、SNMP Trap端口号、SNMP Trap版本;c)Syslog采集参数配置包括:IP地址、Syslog端口号;d)Agent采集参数配置包括:IP地址、Agent端口号。