Ⅱ型网络安全监测装置介绍PPT演示课件

网络安全监测装置基础知识培训,湖北鑫英泰系统技术股份有限公司,背景介绍,网络安全管理系统总体设计,网络安全监测装置及部署方案,近年来，相继发生乌克兰大面积停电（2015年）、美国东部互联网服务瘫痪（2016年）、全球爆发勒索病毒（2017年）等事件；,电力系统已成为国际网络战的重要攻击目标，电力监控系统安全防护承受巨大压力，需要建立网络安全管理的技术手段,。,1.威胁日益突出,网络安全法要求采取监测、记录网络运行状态和网络安全事件的技术措施；,等级保护制度对第三方审计有明确的要求，目前缺乏支持网络设备、安全设备、操作系统、应用程序等多层面联合审计的技术支撑手段；,公司高度重视网络安全工作，将网络安全视为大电网安全的重要组成部分，明确要求建立电力监控系统网络安全事件快速反应机制和预防预控机制。,2.要求日益严格,网络安全管理面临的新形势,网络接触,攻击准备,实施打击,因此，网络攻击的防御必须及早开展，事前完成安全风险的预防预控，事中需要在接触之时发现，破坏之前消灭。4,3.网络攻击技术发展迅速,网络安全管理面临的新形势,接触手段隐秘,综合打击危害大,攻击平台建立迅速,外部网络访问外部设备接入内部登录系统,执行破坏性操作植入并传播病毒干扰系统正常运行窃取涉密信息,安装程序运行程序获取权限,电网调度控制系统1118套调度数据网节点52865个,截至2016年底，电力监控系统网络空间覆盖：,配电自动化系统112套,专用负荷控制系统9套,用电信息采集系统（含负荷控制）27套,发电厂监控系统9200套,变电站监控系统36456套,庞大网络空间的有效管理需要依靠有效的技术手段，实现网络风险的预知、预防和预控，实现外部网络威胁和内部网络不安全行为的实时管控。,4.任务艰巨,网络安全管理面临的新形势,通用的安全监测产品一般基于网络流量和报文分析技术，主要对互联网通用服务和协议进行监测、分析，对于网络空间隔离、设备和用户相对确定、网络服务私有可控、正常情况下无人操作的电力监控系统而言，不是最佳选择。,迫切需要研发适合电力监控系统、面向设备事件的网络安全监测技术,建立新一代管理系统必要性,-通用网络安全监测技术不是最佳选择,7,外部攻击行为,防火墙,反向隔离装置,网络设备,服务器工作站,操作系统,数据库,内部不安全行为纵向加密认证装置,采集对象监测事件应用功能,现状仅覆盖网络边界上的防护设备仅能对跨边界的网络安全事件进行监视告,需求采集来自可信模块的审计告警信息。覆盖系统内部的服务器、工作站和网络设备。全面监测外部网络访问、外部设备接入、用户登录、人员操作等事件。实现网络安全监视告警、分析定位、追踪处置、审计溯源、风险核查和协同管控。,纵向加密认证装置正向隔离装置可信、采集模块,建立新一代管理平台必要性,1、新修订发布的并网调度协议合同范本新增13.4条“乙方应按照国家相关要求，落实电力监控系统网络安全实时监测手段建设，在本地实现对生产控制大区服务器、工作站、网络设备及安防设备网络安全事件的实时采集、监视、告警、审计、和核查功能，并将相关信息接入甲方网络安全管理平台。,电厂侧实现相关监测功能具有明确依据：,2、国家发改委国家能源局关于推进电力安全生产领域改革发展的实施意见第37条“加强网络安全建设。组织实施网络安全重大专项工程，加快网络安全实时监测手段建设。”,3、电力监控系统安全防护总体方案（国能安全【2015】36号）附件1，第3.13条等有相关要求。,4、国家电网调【2017】1084号文中明确指出：在变电站、并网电厂电力监控系统的安全区（或区）部署网络安全监测装置，实现对网络安全事件的监视与管理。,政策依据,背景介绍,2,网络安全管理系统总体设计,网络安全监测装置及部署方案,网络安全管理系统总体设计,原则,业务目标,功能目标,网络安全管理平台是电力监控系统网络安全闭环管理的专用技术支撑手段，是发现并反制网络有害行为的重要工具。同时也满足网络安全法及等级保护相关标准规范的技术要求。,外部侵入有效阻断,外力干扰有效隔离,内部介入有效遏制,安全风险有效管控,支持安全策略和安全保护措施的闭环管理,支持网络安全事件的全方位监视和控制,支持网络安全态势的只能分析,设计原则及目标,继承优势,创新发展,先进实用,巩固现有静态布防的安全策略和防护手段，通过闭环管理手段进一步强化。,监视技术和分析手段更丰富，同时具备必要的响应处置手段,面向设备基于事件的监视技术，分布式的网络安全管理体系,各类网络安全事件，总是从接触、控制的第一台设备开始发展、蔓延。做好网络监管，必须将监测关口从网络边界前移到服务器、工作站、交换机等具体设备，从每一台设备的网络访问、设备接入、人员登录、设备操作、未知程序运行五类可疑事件入手，及早发现并处置网络攻击、病毒感染等各类安全事件。,技术路线,面向设备、基于事件的网络安全监测与管理,网络安全管理平台,统一管控,网络安全管理技术的三层逻辑结构按照设备自身感知、监测装置分布采集、管理平台统一管控的原则，构建网络安全管理的感知、采集、管控三层逻辑结构。,监管平台,监测装置,监测对象,实现网络安全在线实时监视、告警、分析、审计、核查等功能的集成。,实现对调控机构、厂站、配电、负控等监控系统相关设备网络安全数据的采集，以及与管理平台的通信和交互。,实现服务器、工作站、交换机、纵向加密、正/反向隔离等设备自身可信计算和网络安全数据的感知及上报，并具体执行安全核查。,自身感知,分布采集,网络安全监测装置（安全网关机）,网络安全监测装置（安全网关机）,.,网络设备,可信、采集模块服务器工作站数据库防火墙、IDS纵向加密认证、正/反向隔离,技术路线,通过设备自身网络安全事件的感知，能够直接、高效的发现安全事件，是较为适合电力监控系统安全监管需求的技术路线,。,面向设备的网络安全事件自身感知技术,部署的网络安全监测装置实现对本区域相关设备网络安全数据的采集、处理，同时把处理的结果通过通信手段送到调度机构部署的网络安全监管平台。,基于网络安全监测装置的采集与通信技术,实现网络安全监视、告警、分析、审计、核查等应用功能在调控机构的分布式部署和协同应用。,基于管理平台分级部署、协同管控的应用体系,关键技术,背景介绍,2,网络安全管理系统总体设计,网络安全监测装置及部署方案,网络安全监测装置及部署方案,型网络安全监测装置,采用RJ45接口；,具备8个10M/100M/1000M自适应以太网电口（支持网口扩展）；双路交、直流电源独立供电；256G硬盘容量；4核CPU、8G内存,两个USB2.0接口，1个B码对时接口。,IPSMD-2300S实物图,型网络安全监测装置介绍,站控层业务类别,涉网业务系统,当发电厂I、区网络可达时，型网络安全监测装置部署在II区，如图所示：,电厂部署方案,当发电厂I、区网络可达时，型网络安全监测装置部署在II区，如图所示：,电厂部署方案,当发电厂I、II区网络完全断开，则I、II区各部署一台型网络安全监测装置，如图所示：,电厂部署方案,当发电厂I、II区网络完全断开，则I、II区各部署一台型网络安全监测装置，如图所示：,电厂部署方案,当发电厂无区时，则型网络安全监测装置直接部署于安全I区。当发电厂网络存在A、B双网，型网络安全监测装置需要同时与A、B双网互联。,电厂部署方案,根据调研反馈清单请装置厂家、综自厂商（设备供应商）配合到现场对可接入资产的范围、适应性改造难易程度进行确认，并及时调整装置接入方案。,实施部署阶段，型网络安全监测装置部署及被监测对象适应性改造工作同步开展、有序验证是否接入成功，针对发现的问题及时整改。,部署前期准备,主机设备,网络设备,安防设备,组织开展前期调研工作，下发调研清单了解电厂内各业务系统、监控对象具体情况,收集电厂网络拓扑图,部署前期准备,数据采集功能-数据采集对象,服务工作器站,网络设备,横向隔离,防火墙,入侵检测,防病毒,数据采集功能-采集内容,用户登录操作信息移动存储设备接入网络外联串口/光驱,用户登录网口up/down配置变更流量信息非法MAC,用户登录CPU/内存状态安全事件配置/策略变更,TCP,SYSLOG,SNMPTRAPSYSLOG,型网络安全监测装置，监测对象包括发电厂涉网生产控制大区内主机设备、内网交换机、通用和专用安防设备，通信方式如下：,SNMP,服务器，工作站,交换机,安防设备,通信方式,型网络安全监测装置,DL/T634.5.104,TCP链接请求TCP链接成功厂站认证请求报文主站认证应答报文厂站认证确认报文数据传输通信流程,网络安全监测装置,数据网关机25,网络安全监测装置对采集到的信息进行分析处理后，形成告警，上报到上级调度机构，其通信结构和通信流程如下：主站网络安全管理平台,安全分析与告警功能,型网络安全监测装置,变电站,型网络安全监测装置,DL/T634.5.104,数据网关机,发电厂,通信结构,数据采集功能-告警上传,数据采集功能-告警上传,数据采集功能-告警上传,数据采集功能-告警上传,告警级别,紧急告警重要告警普通告警,告警类别,安全事件类非法网络外联移动存储接入非法网络接入违反安全策略访问危险操作指令,运行异常类普通告警设备离线CPU/内存超阈值,设备故障类电源故障风扇故障,安全告警是指为了安全监测装置对采集到的信息进行分析处理后，需要上报给主站平台的告警。,安全分析与告警功能,远程调阅,采集信息调阅上传事件调阅状态信息调阅拓扑信息调阅,安全核查,基线核查,远程管理,配置管理软件升级,服务接口包括远程调阅、安全核查、远程管理等功能。,服务功能,对采集到的事件数据进行汇总处理，最终形成事件上报到网络安全管理平台。同时，以服务代理的形式提供服务，供网络安全管理平台调用。,事件处理与服务功能,增/删/改/查