常规火电厂网络安全监测装置部署方案.docx

《常规火电厂网络安全监测装置部署方案.docx》由会员分享，可在线阅读，更多相关《常规火电厂网络安全监测装置部署方案.docx（26页珍藏版）》请在第一文库网上搜索。

1、国家电网公司State GridCXJR1K(AT1ON (JFd!NA常规火电厂网络安全监测装置典型实施方案国网重庆市电力公司2018年3月26日.1 概述二、技术方案（一）监测采集范围1（二）数据采集方式11、主机设备22、网络设备3、安防设备2（三）典型部署拓扑图2（四）适应性改造需求3三、实施方案4（）、Vi）. I:（二）工期安排4（三）各阶段工作内容41、J if- 1 -彳 .42、进厂实施5（1 ）.5（2）线路连接5（4）接入调试6（四）风险规避措施7（五）注意事项7 .10.13.151 6. 1 821四、存在问题及解决方式附件1采集信息内容及方式附件2各子系统资产接入清

2、单附件3职责分工安排表附件 4 工期安排表附件5设备信息调研表附件6安全事件采集及上传验收测试方法一、概述近年来国际上网络安全事件频发，相继发生了乌克兰大面积停电事件、美国东部互联网服务瘫痪、勒索病毒全球爆发等网络安全事件。电力作为重要基础设施领域，已被不少国家视为“网络战”首选攻击目标，电力监控系统的网络安全形势异常严峻。电力监控系统安全防护总体方案（国家能源局国能安全（2015） 36号）附件1中3. 13条规定：“生产控制大区应当逐步推广内网安全监视功能，实时监测电力监控系统的计算机、网络及安全设备运行状态，及时发现非法外联、外部入侵等安全事件并告警J2017年，国家电网公司关于加快推进

3、电力监控系统网络安全管理平台建设的通知（国家电网调（2017） 1084号）文件明确指出：“在变电站、并网电厂电力监控系统的安全区（或I区）部署网络安全监测装置，实现对网络安全事件的监视与管理通过网络安全监测装置（以下简称“监测装置”）采集电厂涉网部分主机设备、网络设备、通用及专用安防设备的告警信息，实时监测电厂内部涉网主机的外设接入、网络设备接入、人员登录等安全事件。二、技术方案（-）监测采集范E根据电力监控系统安全防护规定（发改委2014年14号令）第十四条规定“电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系统安全防护的技术监督J电力调度主站采集火电

4、厂网络安全监测信息范围为涉网部分的电力监控系统，覆盖主机设备、网络设备、通用及专用安防设备。根据能源局36号文附件4要求，涉网部分包含“AL与调度中心有关的电厂监控系统”（简称“调度相关系统”）、“B：调度中心监控系统的厂站侧设备”（简称“调度厂站设备”）两部分。火电厂调度相关系统包含：火电厂厂级信息监控系统、烟气监测系统等涉网系统。火电厂调度厂站设备包含：向量测量装置PMU、远程调功终端、电能量采集装置、调度计划终端、故障录波系统装置、保信子站系统等涉网设备。（二）数据采集方式数据采集实现对调度相关系统和调度厂站设备中的主机设备、网络设备、安防设备的安全信息采集内容及方式，详见附件1。1、主

5、机设备（1）采集内容服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息。（2）采集方式在服务器、工作站上部署网络安全监测代理程序（Agent）,将采集的网络安全信息发送至监测装置。监测装置作为服务端监听主机设备的连接请求。2、网络设备（1）采集内容用户登录、操作信息、配置变更、流量信息、网口状态等信息。（2）采集方式1）通过SNMP协议主动从交换机获取所需信息；2）通过SNMP/TRAP协议被动接收交换机事件信息；3）通过日志协议（syslog）采集交换机信息。3、安防设备（1）采集内容用户登录、配置变更、运行状态、安全事件等信息。（2）采集方式通过装置自身日志

6、协议（syslog）将数据传至监测装置。（三）典型部署拓扑图常规火电厂接入的设备数量与类型众多，I区并非每台主机或交换机都能通过I/II区间防火墙与II区的网络可达，有的火电厂KII区设备安装位置分散,施工布线工作量大。故建议在I、H区各部署1台监测装置，实现火电厂I、区的网络安全信息采集。对于如调功终端、调度计划、烟气终端等孤网设备（只涉调度数据网，不涉站控层）可通过扩展网卡的方式与监测装置直接连接，从而采集其安全事件，如不支持扩展网卡，则可通过调度数据网交换机实现与监测装置互通，采集其安全事件。各类子系统资产接入清单间详见附件2。另外，为实现电厂运维人员对本地设备的实时安全监控，在厂内部署

7、工作站,对厂内监测装置采集信息进行统一展示。根据电力监控系统网络安全监测装置技术规范安全事件采集类型和采集原理的不同，火电厂宜采用型网络安全采集装置。火电厂监测装置部署网络拓扑图如下图1所示（红色设备和红色线条代表监测装置、新增设备和接线）：令）交换机服务器忑）工作站0防火墙装置类-| II型网络安全监测装次监测装置连线监测装置可选择连设调度数据网纵向连线子系统内连线跨区横向连线图1常规火电厂监测装置部署方式（四）适应性改造需求火电厂部署网络安全监测装置的同时需要协调对应的电厂业务厂商，对监视的服务器、工作站、网络设备（非调度数据网交换机）进行适应性改造，实现对其自身感知的安全事件进行采集。主

8、机改造：主机的安全事件由部署agent的方式进行采集，如主机操作系统为裁剪版的各类操作系统，不支持各版本agent的部署，则考虑更换主机。如主机操作系统为主流的linux、windows. UNIX系统等，则优先由厂内业务厂商提供agent,其次由监测装置厂商提供。交换机改造：交换机需要满足SNMP协议，如果不满足，则需要进行版本升级或彻底更换。对于满足SNMP协议的交换机但不能完全满足采集规范时，需要由交换机厂商进行私有mib的开发。安防设备改造：安防设备首先应支持日志协议（syslog）,发送的日志格式需要要满足按照GB/T 31992-2015电力系统通用告警格式规范要求。如不支持日志协

9、议（syslog）,否则需要对安防设备进行升级。如日志格式不规范，则由厂商提供日志格式转换的动态库，监测装置厂家结合动态库进行接口程序的开发，并完成实地移植安装。三 实施方案（一）职责分工考虑到火电厂系统涉密和运行持续性等因素，需要由调度机构、装置实施人员、主站运维人员以火电厂安全专责等多方人员共同合作，确保监测装置实施工作顺利实施。各职责方分工配合详见附件3（二）工期安排为更加顺利的完成整个实施部署过程，制定完整的工期安排计划。对实施过程中具体内容对应涉及人员、每项工作需要的人天等进行具体的规划，实施各方需严格按照工期安排，按时按质完成各项工作。工期安排详见附件4（三）各阶段工作内容1、进厂

10、前调研及准备工作（1）设备信息收集：对厂内所有主机设备、网络设备、安防设备的系统版本、厂商、硬件架构等信息进行统计。网络设备是否支持SNMP协议、主机设备是否支持agent部署、安防设备版本是否支持发送日志。对于孤网设备是否具备多网卡，不具备的是否支持扩展网卡。详见附件5。（2）制定的部署方案，根据调研网络拓扑状况，明确设备的部署方式。（3）确定站内IP地址，监测装置连接的交换机采集设备的IP地址，监测装置连接站内交换机IP地址、确定连接的交换机网络接口、线路连接方式等。（4）申请调度数据网IP地址，确定连接调度数据网交换机及其接口。（5）讨论并分配设备安装机柜。（6）与火电厂相关系统厂家及安

11、全防护设备厂家协调好进站实施时间。（7）协调开好工作票。2、进厂实施（1）设备安装 监测装置通常安装在信息机房内，易靠近各火电厂各系统交换机和接入终端。 若被监控对象位置分散、距离较远，建议将监测装置部署在调度数据网屏柜，监控对象通过重新布线的方式实现接入。监测装置采用双路UPS 220V交/直流供电，高度为1U,留意分配好机柜空间及电源。若新增屏柜应采用与其安装场所适应的型式、尺寸、颜色以及一致的标识样式。屏柜应做好接地、电源防雷等措施。（2）线路连接安全I区监测装置安装于I区的监测装置的线路连接调度侧分别与调度数据网一平面和二平面交换机连接，通常设置第1 连接调度数据网一平面实时交换机，第

12、2 口连接调度数据网二平面实时交换机。设置其他网口与火电厂I区站内交换机或站控层交换机连接，如第3 口接入I区控层交换机第X, I区孤网设备如无法扩展网卡，择另选网卡直接与其相连接，如表1所示：表1安全I区监测装置接线表I区监测装置接入位置调度数据网一平面实时交换机第X 口第2 口调度数据网二平面实时交换机第X 口第3 口I区远动交换机第X 口第4 口I区PMU交换机第X 口第5 口第6 口第7 口第8 口安全区监测装置安装于II区的监测装置的线路连接调度侧分别与调度数据网一平面和二平面交换机连接，通常设置第1 口连接调度数据网一平面非实时交换机，第2 口连接调度数据网二平面非实时交换机。其次

13、设置其他网口与火电厂II区站内交换机或站控层交换机连接，如第3 口接入II区控层交换机第X , II区孤网设备如无法扩展网卡，择另选网卡直接与其相连接如表2所示：表2安全II区监测装置业务接入表II区监测装接入位置第1 口调度数据网一平面非实时交换机第X 口第2 口调度数据网二平面非实时交换机第X 口第3 口II区保信子站站控层第X第4 口第5 口第6 口第7 口 第8 口(4)接入调试完成监测装置的通电及功能验证；配置监测装置调度数据网地址，及在各类子系统站控层地址；火电厂各系统厂家完成相关主机的Agent部署及交换机的固件升级;安全防护设备厂商将Syslog地址配置为监测装置的地址； 监测装置完成与主机Agent、交换机、防火墙及隔离装置的接入测试；模拟各类网络安全事件，以验证网络安全监测装置能够实现网络安全事件信息的采集且上级网络安全管理平台能接收到告警信息。测试新增工作站承担数据库存储兼本地监视的功能，包括对厂内所有监测装置的资产信息和安全事件的整合、存储以及实时监视，审计分析等工作。向调度主站申请，进行远程配置或安防厂家现场配置用以开通相应策略，