2024电力监控系统网络安全监测装置

电力监控系统网络安全监测装置2024年10月1234背景简述网络安全管理体系技术规范解读汇报提纲目录CONTENTS形势日益严峻乌克兰大面积停电（2015年）、美国东部互联网服务瘫痪（2016年）、 全球爆发勒索病毒（2017年）；电力系统已成为国际网络战优先选择的攻击目标，电力监控系统及其网 络安全防护形势日益严峻。要求日益严格《网络安全法》设置专门章节对电力等关键信息基础设施的网络安全提 出更高的要求：采取监测、记录网络运行状态、网络安全事件的技术措 施；公司高度重视网络安全工作，将网络安全与大电网安全等同对待，明确 要求建立电力监控系统网络安全事件快速反应机制和预防预控机制。网络安全形势严峻仅覆盖网络边界上的防护设备只能监测跨边界的网络安全事件仅实现单一的监视告警功能还要全面覆盖监控系统内部的服务器、工作站和网络设备要全面监测外部网络访问、外部设备接入、用户登录、人员操作等各种事件要综合实现网络安全监视、分析、审计、核查和多级协同功能采集对象监测事件应用功能电力监控系统网络安全监管手段亟需提升现状 需求背景简述1网络安全监管体系2技术规范解读3汇报提纲按照“监测对象自身感知、网络安全监测装置分布采集、网络安全管理平台统一管控”的原则，构建电力监控系统网络安全管理体系，实现网络空间安全的实时监控和有效管理，如下图所示：网络安全管理平台调度控制系统网络安全监测装置变电站监控系统网络安全监测装置发电厂监控系统涉网部分网络安全监测装置配电自动化系统网络安全监测装置负荷控制系统网络安全监测装置自身感知分布采集统一管控网络安全监管体系网络安全监测装置类型：部署于电力监控系统局域网网络中，用以对监测对象的网络安全信息采集，为网络安全管理平台上传事件并提供服务代理功能。根据性能差异分为I型网络安全监测装置和II型网络安全监测装置两种。

I型网络安全监测装置采用高性能处理器，可接入500个监测对象，主要用于主站侧。II型网络安全监测装置采用中等性能处理器，可接入100个监测对象，主要用于厂站侧。网络安全监管体系变电站网络安全监测装置…主站网络设备网络安全监管平台网络安全监测装置数据网关机安全设备主机设备数据库主机设备网络设备安全设备采集模块采集模块发电厂网络安全监测装置主机设备网络设备安全设备采集模块信息采集架构网络安全监管平台架构当发电厂涉网区域存在I、II区网络可达时，安全监测装置部署在II区，如图厂站信息采集架构当发电厂涉网区域I、II区网络完全断开，则I、II区各部署一台安全监测装置，如图厂站信息采集架构当发电厂涉网区域无II区时，则安全监测装置直接部署于I区当发电厂涉网区域网络存在A、B双网，安全监测装置需要同时与A、B双网互联。厂站信息采集架构背景简述1网络安全监管体系2技术规范解读3汇报提纲一般要求：宜采用非x86低功

工业级硬件架构设计；在故障、重启的过程中不引起数据重发、误发、漏发；有明显的接地标志；有安全警示标识；II型网络安全监测装置应具备装置故障告警信号输出接点，装置运行灯灭时应导通装置故障接点；II型网络安全监测装置应采用无风扇、无旋转部件硬件设计外观尺寸：网络安全监测装置机箱尺寸应符合GB/T

19520.12的规定，I型网络安全监测装置可采用1U或2U整层机箱，II型网络安全监测装置应采用1U整层机箱。技术要求--一般要求主机、数据库交换机安防设备（纵向加密、横向隔离、防火墙…）用户登录CPU/内存状态安全事件配置/策略变更…用户登录操作信息移动存储设备接入网络外联串口/并口/光驱…用户登录网口up/down配置变更流量信息非法MAC…消息总线SNMPSNMP

TRAPSYSLOGSYSLOG--数据采集网络安全监测装置I型监测对象包括调度主站:包括主机、数据库、内网交换机、安防设备网络安全监测装置I型功能要求主机交换机安防设备（纵向加密、横向隔离、防火墙…）用户登录CPU/内存状态安全事件配置/策略变更…用户登录操作信息移动存储设备接入网络外联串口/并口/光驱…用户登录网口up/down配置变更流量信息非法MAC…TCPSNMPSNMP

TRAPSYSLOGSYSLOG--数据采集网络安全监测装置II型监测变电站站控层及发电厂涉网生产控制大区的主机设备、网络设备和安全防护设备。网络安全监测装置II型功能要求采集内容☑☑☑☑☑☑☑☑☑☑设备设备加密隔离墙库检测毒☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑☑安全事件类病毒爆发类攻击事件类权限变更及越权操作类非法网络访问类非法设备接入类操作类登录信息类用户操作信息类运行信息类网络连接关系类设备运行状态类安全运行指标类运行异常类主站侧特有主机

网络

纵向

横向

防火

数据

入侵

防病功能要求--数据采集采集对象涉及品牌采集区域主机设备麒麟、凝思、Linux、Windows、HP-UX☑主站

☑厂站网络设备华为、华三、中兴东土大唐、国电南自、国电南瑞、长园深瑞、四方☑主站

☑厂站纵向加密装置南瑞信通、科东、卫士通、56所、兴唐☑主站

☑厂站横向隔离装置南瑞信通、科东、珠海鸿瑞☑主站

☑厂站防火墙绿盟、启明星辰、天融信、网御、东软、迪普☑主站

☑厂站入侵检测系统绿盟、启明星辰、天融信、网御、东软、迪普☑主站

⮽厂站防病毒系统瑞星☑主站

⮽厂站数据库达梦、金仓、南大通用☑主站

⮽厂站1功能要求--数据采集采集对象ONE分析与处理功能包括事件归并、阈值设定、事件提取等功能应支持以分钟级统计周期，对重复出现的事件进行归并处理事件归并I型网络安全监测装置应支持对网络设备、安全防护设备的采集信息做格式化处理，形成符合网络安全管理平台消息总线的数据格式应能形成外设接入事件、用户登录事件、危险操作事件、状态异常件等上传事件提取安全事件I型装置总线格式功能要求--分析与处理应支持根据参数配置，对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理，根据处理结果决定是否形成新的上报事件阈值设定参数说明CPU利用率上限阈值CPU利用率超过该阈值，形成上报事件内存使用率上限阈值内存使用率超过该阈值，形成上报事件网口流量上限阈值交换机网口流量超过该阈值，形成上报事件连续登录失败次数连续登录失败次数超过该阈值，形成上报事件功能要求--分析与处理告警级别紧急告警重要告警普通告警告警类别安全事件类非法网络外联移动存储接入非法网络接入违反安全策略访问…运行异常类隧道建立错误心跳丢失普通告警设备离线CPU/内存超阈值…设备故障类电源故障风扇故障…安全告警是指为了安全监测装置对采集到的信息进行分析处理后，需要上报给主站平台的告警。--安全分析与告警安全告警功能要求主站

网络安全监管平台变电站网络安全监测装置监测对采集到的信息进行分析处理后，形成告警，上报到上级调度机构，其通信结构及过程如下：数据网关机网络安全监测装置DL/T634.5.104DL/T634.5.104厂站认证请求报文TCP链接请求厂站认证确认报文数据传输TCP链接成功主站认证应答报文网络安全监测装置数据网关机发电厂网络安全监测装置通信结构通信流程…告警上传安全分析与告警安全审计包括登录操作审计、接入行为审计、安全事件审计等功能。对设备接入后的相关操作行为关联审计及操作回溯。对告警事件发生的趋势及告警事件的源头进行审计。对用户历史登录操作行为特征及轨迹进行审计。登录操作审计接入行为审计安全事件审计功能要求--安全审计主机安全加固配置核查主机用户与口令合规性核查主机通用网络服务关闭情况核查主机审计功能检查基线核查安全核查包括基线核查功能：功能要求--安全核查服务网关机服务接口模型 数据网络安全监测装置服务接口服务接口模型 数据网络安全监测装置借鉴服务总线思想，在厂站网络安全监测装置上实现服务接口功能，为主站平台提供远程服务接口。--服务接口主站平台功能要求远程调阅画面调阅资产调阅采集信息调阅告警信息调阅状态信息调阅拓扑调阅安全核查基线核查远程管理配置管理软件升级服务接口包括远程调阅、安全核查、远程管理等功能。功能要求--服务接口资产管理安全运行状态展示告警管理装置运行状态监测告警生成策略管理拓扑管理安全分析安全审计安全核查增/删/改/查资产统计运行状态安全事件操作行为指标分析趋势分析拓扑连接拓扑数据登录行为接入行为安全事件审计查询

导出汇总分析基线核查CPU/内存/磁盘登录/异常…生成策略网络安全监测装置提供本地的GUI图形界面管理方式，实现对其进行本地化的安全管理。--本地安全管理功能要求数据处理I型网络安全监测装置采集信息吞吐量≥5000条/s；II型网络安全监测装置采集信息吞吐量≥1000条/s；I型网络安全监测装置支持监测对象数量≥500；II型网络安全监测装置支持监测对象数量≥100；存储空间I型网络安全监测装置内存≥8GB，存储空间≥500GB；II型网络安全监测装置内存≥4GB，存储空间≥250GB；应支持采集信息的本地存储，保存至少半年的采集信息应支持上传事件信息的本地存储，保存至少一年的上传事件信息、本地日志审计记录条数≥10000条本地日志审计记录条数≥10000条；上传调阅对上传事件信息的处理时间≤500ms对远程调阅的处理时间≤500ms网口要求应具备不少于4个10M/100M/1000M自适应以太网电口（支持网口扩展），采用RJ45接口；时间精度通过IRIG-B同步，对时精度≤1ms，通过SNTP同步，对时精度≤100ms在没有外部时钟源校正时，24小时守时误差应不超过1s平均故障间隔时间（MTBF）≥30000h网络安全监测装置在自身的性能上需要满足如下要求：性能要求操作系统装置应对操作系统进行安全加固，达到《GB/T20272-2006信息安全技术操作系统安全技术要求》三级及以上要求认证授权按照三权分立原则，划分不同角色，各角色之间职能与责任应相互独立、相互制约应支