2023新能源集控中心网络安全防护方案

新能源集控中心网络安全防护方案2023新能源集控中心网络安全防护方案现代信息系统安全防护技术涉及多个方面，包括安全策略、加密技术、认证技术、审计技术、网络安全技术、安全管理技术等。首先，安全策略是确定信息系统安全级别的基础，它要求系统开发者和用户遵守一定的安全规则，以保障信息系统的安全性。其次，加密技术是保护信息安全的重要手段，它可以有效地保护信息在传输过程中不被第三方获取。认证技术则可以确认某一计算机用户的身份，使得只有被授权的人才可以访问该信息系统。此外，审计技术则可以有效跟踪信息安全运行情况，记录系统中的操作记录，以便及时发现潜在的安全隐患。网络安全技术则是防范网络攻击的重要手段，包括防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等等。最后，安全管理技术则是将上述各种安全技术有机地结合起来，形成一个安全的系统，实现信息系统的安全防护。信息系统安全设计是一个系统工程，需要对系统的管理、技术和软硬件系统各个环节进行统一的综合考虑、规划和构建。一个强有力的安全防护体系需要将组织与人员、技术与产品、流程与体系三者有机结合起来，才能提供多层次纵深化的防护体系，化被动为主动，实现积极防御的作用。（1）加强网络安全策略管理，构建网络安全规范体系，定期审计网络安全状况，及时发现安全问题，并对发现的安全问题进行及时处理；（2）建立网络安全基础设施，加强网络安全管理，强化网络系统的安全保护，实施电力集控中心网络安全措施；（3）加强网络安全监控，检测网络安全漏洞，及时发现安全问题；（4）加强网络安全教育和培训，提高电力集控中心网络安全意识，加强网络安全知识的学习和技能的提高；（5）加强网络安全研究，不断开发新的网络安全技术，提高网络安全水平；（6）加强网络安全合规管理，制定严格的安全政策，确保网络安全合规性；（7）加强网络安全合作，在网络安全方面与其他国家和地区开展合作，共同抵御网络安全威胁。新能源集控中心为了保障系统的安全防护，防范黑客及恶意代码等对集控中心恶意破坏和攻击，防止集控中心系统瘫痪和失控，以及由此导致的设备事故或安全事故，依据国家发改委[2014]14号令《电力监控系统安全防护规定》、国能安全[2015]36号文《电力监控系统安全防护总体方案》、调自〔2017〕39号文《福建电网电厂（用户）涉网电力监控系统安全分区及边界防护实施指导方案（试行）》及调网安〔2018〕10号《并网新能源场站电力监控系统涉网安全防护补充方案》，提出以下安全防护方案及措施。电力系统安全防护原则电力系统信息网络安全分区是指将电力系统信息网络划分成若干安全隔离的分区，以满足不同信息安全需求的一种信息安全技术手段。它能够有效的提高信息系统的安全性和可靠性，同时防止不同信息系统间的安全漏洞，防止黑客入侵系统，保护系统的安全性和可靠性。安全总体设计遵循以下基本原则：需求、风险、代价平衡性：网络系统的绝对安全是难以达到的。通过对安全威胁的定性与定量分析，制定行之有效的安全策略，同时在安全性和投资之间寻求平衡。综合性：运用系统工程的观点、方法分析站点的安全问题，制定工程上可行的具体安全措施，综合应用多种安全措施。一致性：安全措施与网站生命周期同步，安全体系结构必须与安全需求保持一致。易操作性：安全措施易于使用，不能影响系统正常运行。适应性、灵活性：安全措施能够适应系统性能及安全需求的变化。多重保护：构建一个具备多重保护能力的系统，当安全系统某局部被破坏时，其它部分仍能够有效提供安全服务。安全分区根据电力系统二次防护安全要求，结合项目实际状况以及电力监控系统安全防护的特点，各相关系统的重要程度和数据流程、目前状况和安全要求，将整个中心系统分为三个安全区：安全Ⅰ区、安全Ⅱ区（Ⅰ、Ⅱ合称生产控制大区）和安全Ⅲ区（管理信息大区）。1)生产控制大区安全Ⅰ区：实时控制区安全Ⅰ区是中心系统中最重要的部分，安全等级最高，是安全防护的重点与核心。场站集控中心：安全Ⅰ区部署前置采集服务器、监控服务器、监控工作站等，实现安全Ⅰ区的实时监视和控制功能。风电场：安全Ⅰ区部署远动终端，采集风力发电机组、升压站、AGC、AVC等设备的数据。安全Ⅰ区的典型系统包括升压站综自系统、监控系统、五防系统、继电保护系统、AVC、AGC等。这类系统对数据通信的实时性要求为毫秒级或秒级。2)安全Ⅱ区：非控制生产区场站集控中心：在符合电力安全规定的情况下，不单独设置安全Ⅱ区，风电场安全Ⅱ区的数据汇集到安全Ⅰ区的远动终端，经其统一接入安全Ⅰ区的SCADA服务器。风电场：安全Ⅱ区与安全Ⅰ区之间通过防火墙进行逻辑隔离，安全Ⅱ区的典型系统包括电能量计量系统、功率预测系统、保护信息终端等，通过数据接口接入部署在安全Ⅰ区的远动终端，统一上传到场站集控中心。3)安全Ⅲ区：管理信息区数据中心：安全Ⅲ区部署超融合云平台，支撑数据中心应用，并实现数据上传分公司和集团。场站集控中心：安全Ⅲ区部署转发服务器，实现数据上传数据中心。风电场：安全Ⅲ区典型系统有视频监控系统等。视频监控系统通过运营商专线接入数据中心。网络专用电力调度数据网是为生产控制大区服务的专用数据网络，应当在专用通道上使用独立的网络设备组网，采用基不同通道、不同光波长、不同纤芯等方式，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。企业内部管理信息大区纵向互联采用电力企业数据网或互联网,电力企业数据网为电力企业内联网。数据中心、场站集控中心与风电场之间的数据通信线路，采用加密、单向认证等技术保护关键场站及关键业务，在本项目中配置纵向加密及防火墙设备。所用网络设备应关闭或限定网络服务、避免使用默认路由、网络边界关闭OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管协议、使用安全的管理方式、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。横向边界防护场站集控中心生产控制大区与管理信息大区边界安全防护，部署正向安全隔离装置。风电场（安全I区）与非控制区（安全Ⅱ区）边界安全防护，采用具有访问控制功能的网络设备、安全可靠的硬件防火墙设备，实现逻辑隔离、报文过滤、访问控制等功能。纵向边界防护在风电场安全Ⅰ区远动终端与场站集控中心生产控制大区的监控系统通过电力专线网络搭建的通讯链路上，在两侧分别部署电力专用纵向加密装置，采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。综合防护入侵检测场站集控中心安全Ⅰ区各部署一套网络入侵检测系统（IDS），事业部已部署入侵检测系统，可利旧。检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。敏感数据外发检测能够识别并检测特定格式文件的外发，同时能够检测出文件中包含的敏感数据，进行告警，保护企业敏感数据，防止敏感数据泄露造成的损失。客户端攻击检测增加了针对主流客户端应用程序的攻击签名规则，如Word、Excel、PDF、Firefox等，增强了客户终端应用程序的安全检测能力。服务器非法外联检测通过服务器的自学习功能或手动设置服务器正常外联行为，建立合法连接，能够检测服务器异于该合法连接的非法外联行为，及时产生告警信息通知网络管理人员，从而检测是否存在跳转等攻击行为。僵尸网络检测基于实时的信誉机制，结合企业级和全球信誉库，可有效检测恶意URL、僵尸网络，保护用户在访问被植入木马等恶意代码的网站地址时不受侵害，第一时间有效检测Web威胁，并能及时发现网络中可能出现的僵尸网络主机和C&C连接。堡垒机为加强对运维人员、第三方系统运维人员以及设备厂商维护人员进行有效的管理与监控，利用各安全区间的访问控制、边界防护策略建立单点登录机制，仅通过堡垒机进行运维操作，为组织IT系统核心服务器的运维操作提供强有力的监控、审计手段，使其切实满足内控管理中的合规性要求。内容审计提供深入的内容审计功能，可对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。行为审计提供全面的网络行为审计功能，根据设定的行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、在线视频、P2P下载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。流量审计提供基于协议识别的流量分析功能，如：可识别使用80端口的P2P协议，避免基于80端口的HTTP协议流量统计错误，更精确可靠；实时统计出当前网络中的各种报文流量，进行综合流量分析，提供详细的流量报表；可以通过编辑自定义统计指定协议流量的IPTOPN，为流量管理策略的制定提供可靠支持。专用安全产品管理数据中心安全防护工作中涉及使用横向单向安全隔离装置、纵向加密认证装置、防火墙、入侵检测系统等专用安全产品的，按照国家有关要求做好保密工作，禁止关键技术和设备的扩散。备用与容灾集控中心定期对关键业务的数据进行备份，并实现历史归档数据的异地保存。监控系统关键主机设备、网络设备或关键部件应当进行相应的冗余配置。监控系统应当采用冗余设计。其他防护措施禁止生产控制大区内部的E-Mail服务，禁止控制区内通用的WEB服务。允许非控制区内部业务系统采用B/S结构，但仅限于业务系统内部使用。允许提供纵向安全WEB服务，可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。目前，事业部已部署一套堡垒机，本项目可利旧。网络在线监测平台在场站集控中心安全Ⅰ区建设网络在线监测系统，对系统安全事件进行全方位、多角度监控，对非法入侵、异常数据、设备故障、风险告警等情况进行实时监测，形成综合审计报告、安全趋势分析、大数据挖掘分析并进行可视化展示。对支撑电力生产运行的各个系统的运行状态进行全方位监控及分析，提供全面的统计分析和实时的警示告警，提高各个系统的运行可靠性，降低自动化运行人员的工作强度，保证电网生产的安全可靠。主要功能包括：1）数据采集对服务器、工作站、网络设备、安全防护设备等监测对象进行数据采集；采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息；采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息；采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息；触发性事件信息的采集和周期性上送的状态类信息的采集。2）数据分析处理以分钟级统计周期，对重复出现的事件进行归并处理；根据参数配置，对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理，根据处理结果决定是否形成新的上报事件。对网络设备日志信息进行分析处理，提取出需要的事件信息（如用户添加事件）；能够形成外设接入事件、用户登录事件、危险操作事件、状态异常事件等上传事件。3）服务代理网络在线监测平台以服务代理的形式提供服务给网络安全管理平台调用，服务代理具备如下功能：远程调阅采集信息、上传事件等数据信息，根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息；对被监测系统内的资产进行远程管理，包括资产信息的添加、删除、修改、查看等；参数配置的远程管理，包括系统参数、通信参数及事件处理参数；通过代理方式实现对服务器、工作站等设备基线核查功能的调用；通过代理方式实现对服务器、工作站等设备主动断网命令的调用；通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看；通过网络安全管理平台对网络安全监测装置进行远程程序升级。4）通信功能网络在线监测平台采用自定义TCP协议与服务器、工作站等设备进行通信，实现对服务器、工作站等设备的信息采集与命令控制。网络在线监测平台支持通过GB/T31992协议采集安全防护设备信息。5）本地管理提供本地图形化界面对网络安全监测装置进行管理，具备如下功能：自诊断功能，包括进程异常、通信异常、硬件异常、CPU占用率过高、存储空间剩余容量过低、内存占用率过高等，检测到异常时提示告警，诊断结果记录日志；用户管理功能，基于三权分立原则划分管理员、操作员、审计员、审核员四种角色，并为不同角色分配不同权限；满足不同角色的权限相互制约要求，不存在拥有所有权限的超级管理员角色；资产管理功能，包括资产信息的添加、删除、修改、查看等，资产信息包括：设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等；采集信息、上传信息的本地查看，根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看；对监视对象数量、在离线状态的统计展示，从设备类型、事件等级等维度对采集信息、上传信息进行统计展示；日志功能，日志类型包括登录日志、操作日志、维护日志等；日志内容包括日志级别、日志时间、日志类型、日志内容等信息，日志具备可读性；通过本地实现对服务器、工作站等设备的基线核查功能的调用。6）参数配置网络在线监测平台参数配置项包括系统参数、通信参数及事件处理参数，支持参数配置导出功能及同产品的参数配置备份导入功能，即达到同产品的参数配置的互换性。系统参数包括：物理网卡参数、路由配置参数和NTP对时参数；通信参数包括：主机数据采集的服务端口、安全防护设备数据采集的服务端口、网络设备SNMPTRAP端口、装置服务代理端口、平台IP地址、事件上传端口、平台权限等；事件处理参数包括：CPU利用率上限阈值、内存使用率上限阈值、网口流量越限阈值、连续登录失败阈值、归并事件归并周期、磁盘空间使用率上限阈值、历史事件上报分界时间参数。漏洞扫描漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员能了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置，在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，能有效避免黑客攻击行为，做到防患于未然。定期的网络安全自我检测、评估配备漏洞扫描系统，网络管理人员可以定期的进行网络安全检测服务，安全检测可帮助客户最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效的利用已有系统，优化资源，提高网络的运行效率。安装新软件、启动新服务后的检查由于漏洞和安全隐患的形式多种多样，安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来，因此进行这些操作之后应该重新扫描系统，才能使安全得到保障。网络建设和网络改造前后的安全规划评估和成效检验网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全规划评估和成效检验网络承担重要任务前的安全性测试网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全性测试。网络安全事故后的分析调查网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在，帮助弥补漏洞，尽可能多得提供资料方便调查攻击的来源。重大网络安全事件前的准备重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞，帮助用户及时的弥补漏洞。目前，事业部已部署一套漏洞扫描系统，本项目可利旧。数据库审计在数据中心的管理信息大区部署一套数据库审计系统，对分散在各个设备上的审计数据进行收集汇总和集中分析。主要功能包括：多数据库系统及运行平台支持数据库审计系统能够对多种操作系统平台下各个品牌、各个版本的数据库进行审计。系统能够审计的数据库系统包括：Oracle、SQLServer、DB2、Sybase、达梦等。系统能够审计的数据库运行平台包括：Windows、Linux、Unix等。数据库操作审计数据库审计系统能够深入细致的对数据库的各种操作及其内容进行审计，包括用户能够通过各种方式访问数据库的行为。系统审计的行为包括DDL、DML、DCL，以及其他操作等行为；审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数等。实时回放数据库操作借助基于会话的行为分析技术，审计管理员可以对当前网络中所有访问者进行基于时间的审查，了解每个访问者任意时间段内先后进行了什么操作，并支持访问过程回放。数据库审计系统真正实现了对“谁、什么时间段内、对什么数据、进行了哪些操作、结果如何”的全程审计。事件精准定位通过关联尽可能多的身份定位信息进行定位以及做一定的准入权限设置，其审计结果才具有可靠性，才能作为电子证据。数据库审计系统可以对IP、MAC、操作系统用户名、使用的工具、应用系统帐号等一系列进行关联分析，从而追踪到具体人。事件关联分析数据库审计系统可对响应事件进行关联，如根据IP关联出某段时间内该IP所触发的告警数量等；根据一段时间内的数据库或应用系统登录失败次数判断出暴力破解密码的可能性；根据帐号的多次登录判断账号信息泄露或共享账号的可能性；相似SQL语句执行时间过长从而判断该语句设计的合理性等。根据事件关联性分析，自动涌现一批对客户具有使用价值的信息，帮助客户管理和维护好现有应用。访问工具监控数据库审计系统自动扫描连接数据库的访问工具。从访问数据库的源头进行分析，应用系统和客户端工具根据不同的数据库类型可通过ODBC、JDBC、直连等方式连接数据库，直连工具如Winsql、Plsql及C/S架构的客户端工具等。如发现审计记录中出现未知的数据库连接工具或出现规定之外的连接工具，审计管理员可根据工具监控记录分析出使用过该工具的IP及关联的操作记录，进而取证使用该工具的源头及操作的合法性。黑白名单审计数据库审计系统可根据客户意见及实际审计情况，将IP、操作语句、账号等相关信息加入黑白名单。同时，在应用系统中，因应用系统对应后台的SQL语句固定，一旦发现其中含有危险信息则可将对应的SQL加入黑名单，而一旦应用系统中某些语句疑似风险操作但实际并不产生危害则可加入白名单。统计分析数据库审计系统具备将审计日志进行数据化分析并以个性化报表展示的能力，以便帮助安全管理人员更加便捷、深入的剖析数据库运行风险。例如：综合报表、合规性报表、专项报表、自定义报表等。日志审计实现安全审计功能，安全审计实现对网络运行日志、操作系统运行日志、数据库重要日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析，及时发现各种违规行为以及病毒和黑客的攻击行为。日志采集系统能够采集各种不同厂商的安全设备、网络设备、主机、操作系统、数据库、中间件、以及各种应用系统产生的日志，通过Syslog、SNMPTrap、FTP、OPSECLEA、NETBIOS、ODBC、WMI、Shell脚本、VIP、WebService等协议进行采集。可灵活定制不支持的数据源采集，而无须改动代码。日志范式化与分类对于所有采集上来的日志，系统自动进行范式化处理，将各种厂商各种类型的日志格式转换成系统一的格式。系统提供的范式化字段包括日志接收时间、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等。针对不支持的事件类型做范式化不需改动编码，通过修改配置文件即可完成。对日志设备类型、日志类型、日志级别等可进行重定义。在范式化的时候能够对日志进行分类，分类按照安全事件的类型，并提供日志分类的类型清单。在进行日志范式化的时候，系统对日志进行了信息补齐，加入了日志类型字段，对日志进行自动分类，为后续日志审计提供了便利条件。与此同时，系统将原始日志都原封不同的保存了下来，以备调查取证之用。规则关联分析系统具备事件关联分析功能。关联分析功能采用基于国际最前沿的流数据分析技术（SteamDataAnalysis），能够支持多种关联分析算法：单事件关联、多事件关联； 基于规则的关联（包括逻辑关联、统计关联）；事件与事件关联、事件与资产关联。处理性能更高。通过关联分析规则，系统能够对符合关联规则条件的日志产生告警。系统提供了可视化的规则编辑器，用户可以定义基于逻辑表达式和统计条件的关联规则，所有日志字段都可参与关联。规则的逻辑表达式支持等于、不等于、大于、小于、不大于、不小于、位于……之间、属于、包含、FollowBy等运算符和关键字。规则支持统计计数功能，并可以指定在统计时的固定和变动的事件属性，可以关联出达到一定统计规则的事件。规则支持外部引用，可以引用地址资源、端口资源、时间资源、过滤器、资产分类属性。系统支持单事件关联和多事件关联。通过单事件关联，系统可以对符合单一规则的事件流进行规则匹配；通过多事件关联，系统可以对符合多个规则（称作组合规则）的事件流进行复杂事件规则匹配。支持可视化的规则编辑器，可以定义基于逻辑表达式和统计条件的关联规则，所有日志字段都可参与关联。支持规则测试功能，规则测试类似事件查看器的条件匹配与过滤功能，期望看到规则设立的条件、触发次数、及成功匹配的事件内容。支持历史关联分析功能，在完成规则的编写后，关联分析规则能够对规则产生之前的事件进行分析，发现历史事件中是否有符合关联分析规则的内容产生。支持规则事件字段重定义功能，在创建的规则成功作用于事件流以后，在事件信息不完整、不标准、不准确等情况下，安全运维人员依据事件产生的场景信息、上下文信息、逻辑推理等，主观改变或扩展事件数据的属性值，对事件已存在的属性值亦可重新定义。支持规则的导入和导出。操作者在定义规则时能够应用到一个指定安全事件的任何域或所有域。安全规则完全与安全事件设备厂商无关，即使更换设备也无需重写规则。除了布尔逻辑运算符外，关联分析功能还要求提供其它不同的运算符，比如指定安全事件发生的日期时间段、以指定的字串开始、IP地址在指定网段中等等。规则可实时启用和停止。支持长时间关联，能够检测到慢速攻击。日志实时监视系统提供了实时审计视图，审计管理员可以根据内置或者自定义的实时监视策略，从日志的任意维度实时观测安全事件的走向，并可以进行事件调查、钻取，并进行事件行为分析和来源定位。审计员可以实时监视防火墙、IDS、防病毒、网络设备、主机和应用的高危安全事件；可以实时监视各个部门、各个安全域、各个业务系统的重点安全事件；可以实时监视全网的违规登录事件、配置变更事件、针对关键服务器的入侵攻击事件等等。实时显示事件内容包括：接收时间、事件类型、事件名称、报警级别、来源IP、目的IP、设备类型、设备来源IP等，同时事件内容可查看事件详细信息和原始信息。对于实时监视中的日志，用户可以进行追踪调查，进行源目标IP地址定位，并可以以图形化的方式展示日志之间的行为关系。日志统计分析系统提供了统计视图，审计管理员可以根据内置或者自定义的统计策略，从日志的多个维度实时进行安全事件统计分析，并以柱图、饼图、堆积图等形式进行可视化的展示。审计员可以查看一段时间内的主机流量排行、主机登录失败次数排行、活跃病毒排行、网络设备故障排行、最多访问用户排行，等等。统计功能分为实时统计与历史统计两种，实时统计图会随时间推移动态更新，反映最新的统计结果。实时统计和历史统计都可以根据统计结果直接钻取符合条件的事件，统计结果支持导出。日志查询系统提供日志的查询功能，便于从海量数据中获取有用的日志信息。用户可自定义查询策略，基于日志时间、名称、地址、端口、类型等各种条件进行组合查询，并可导出查询结果。系统还提供快速查询和模糊查询功能。日志存储系统将收集来的日志统一安全存储和备份。系统支持TB级的海量数据加密存储，满足合规与内控条款的相关需求。系统支持数据的自动或手动备份，通过数据备份与维护功能，用户可以设定系统数据与事件数据的保存位置与周期，实现系统平台数据的备份与维护工作。系统支持对其应用程序、配置文件、生产数据进行全部和部分的备份和恢复功能；对系统数据提供在线和离线的备份与恢复功能，并能保证恢复之后系统正常运行。管理员可设置事件存储空间告警阈值，方便对事件存储空间进行监控与管理。目前，事业部已部署一套日志审计系统，本项目可利旧。工控系统安全审计场站集控中心安全Ⅰ区各部署一套工控安全审计系统，能够对系统运行状态进行实时监测，支持以仪表盘方式实时展示设备的CPU、内存、磁盘使用情况；能够根据用户需要设置日志上限条数及磁盘告警值，并能够自动清理日志文件。工业协议深度解析支持100+工业协议的识别，支持OPC、Modbus、IEC60870-5-104、IEC61850MMS、SiemensS7等主流工控协议深度解析；支持1000多种协议寄存器、功能码识别；支持OPCDA、XML-DA等操作，包括支持OPC的动态端口、OPC只读字段识别；支持ModbusTCP协议语法、Reset及连接跟踪、协议白名单、点表等字段识别；支持Modbus、S7、OPC协议值域字段识别；支持SiemensS7协议读写操作、版本号、寄存器区、DB区区号、点类型、值范围、传输层协议控制等字段识别；支持Ethernet/IP协议语法、丢包Reset，支持Ethernet/IP协议本身自定义的参数配置，支持CIP数据表、PCCC控制等字段识别；支持对Profinet协议传输功能码及操作对象进行控制；支持IEC104协议白名单、传输原因长度、公共地址长度、信息体地址长度等的配置；支持DNP3协议白名单，包括版本号、源IP、目的IP、源IP掩码、目的IP掩码、源地址、目的地址、功能码等字段识别。事件告警支持对工控协议报文不符合其规约规定的格式进行检测并告警；支持对工程师站组态变更、操控指令变更、PLC下装、负载变更等关键事件告警；支持对告警事件一键加入白名单；支持关键服务中断检测，在设定的时间内，单IP某服务的接收报文为零时进行告警；支持允许管理员自定义工控协议通信告警规则，对符合告警规则的通信行为进行告警。协议通信记录支持对所有网络会话信息的记录，并可通过规则设置进行调整记录信息；记录主流工控协议的通信日志；对非工控协议能够记录网络连接信息。正常通信行为建模支持管理员对建立的工控通信模型白名单进行人工调校；支持对当前通信行为与白名单进行对比，对偏离白名单的行为进行告警。异常流量监测监测设备的流入流出流量并设置基线值，超出基线值进行报警；监测并采集系统内正常的网络通信，并可手动调校相关通信连接基线，对偏离基线的行为进行检测告警。事件分析统计图形化显示一定时间段监控范围内的所有网络连接，并对异常的网络连接标记显示；提供网络流量及报文数量的实时、历史分时、历史分天（可自定义范围）等的统计情况；支持对各类告警事件进行多维度的统计。统一管理通过IP认证、IP+MAC绑定的可信主机才能访问目前设备系统；支持强制口令强度；支持分权分级管理；支持报表功能，用户通过报表可查看事件、日志和审计的统计数据，支持报表下载；支持安全产品的自动升级。防护等级严格参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》标准，集控中心控制区中