(二)新系统的体系电力监控系统具有系统相对封闭,网络服务私有可控,非检修时间干预较少等特点,因此,基于网络流量和报文分析的通用网络安全监测装置并非最优解。故需要针对电力监控系统自身特点,在现有安全监视平台基础上,实现对设备实时、直接的安全管理,形成一套完整的网络安全管理系统。按照“设备自身感知、监测装置分布采集、管理平台统一管控”的原则,构建一套感知、采集、管控三层设备协同工作的网络安全管理体系。
(1)管理平台统一管控。通过对管理平台的统一管控,将网络安全实时监视告警、分析定位、追踪处置、审计溯源、风险核查和协同管控等功能集成在一起,实现综合应用。
(2)监测装置分布采集。在主站及各厂站安装网络安全监测装置,分布采集,从而实现对调控机构、变电站、并网电厂等电力监控系统网络安全数据的采集,以及与网络安全管理平台的信息交互。
(3)监测对象自身感知。利用监测对象的自身感知功能,实现监控服务器、人机工作站、网络交换机、纵向加密认证装置、正 / 反向隔离装置等设备自身网络安全事件的自我检测及上报,并执行相应的安全核查内容。
(三)网络安全监测装置网络安全监测装置(安全网关机)
是网络安全管理平台架构数据流的中间节点,负责采集并上送安全信息。网安装置主要负责采集监测对象的安全信息(违规外联、特定服务端口使用等),将信息上送至主站,并向平台提供安全事件数据、支持相关服务调用。
网络安全监测装置分为Ⅰ型和Ⅱ型。
Ⅱ型网络安全监测装置主要实现对变电站站控层、发电厂涉网部分的主机设备、网络设备、安全设备进行监测。下文提到的网络安全监测装置由于安装在变电站现场,均为Ⅱ型。
二、网络安全监测装置厂站端部署厂站端建设主要包括对操作系统适应性改造,部署网络安全监测装置两个方面内容。在进站实施前,一定要详细调研清楚监控系统主机、交换机、防火墙、隔离装置等版本、型号。厂站网络安全监测装置在现场部署实施前,需要做好以下准备工作:现场设备及环境勘查、设备接入测试、IP 地址预分配、实施方案制订审核、安装位置确定、工作票准备等。归纳总结为以下三个步骤:现场勘查,接入准备,接入调试。
(一)现场勘查变电站站控层设备(监控主机、交主站 厂站数据库 服务器 纵向加密认证装置 防火墙 正/反向隔离装置 网络设备Ⅰ型网络安全监测装置数据库 服务器 纵向加密认证装置 防火墙 正/反向隔离装置 网络设备Ⅱ型网络安全监测装置网络安全管理平台统一管控分布采集自身感知换机、数据通信网关机等)都应纳入网络安全监测范围。在进站实施前,需要详细核实变电站现场的系统架构及设备,了解整个系统的网络结构、监控主机、交换机、防火墙、隔离装置等设备的版本、型号以及入网许可等。
(二)接入准备接入准备工作主要包括以下要点:接入申请单、数字证书、检修申请和工作票等。
(1)厂站检修提供网安装置接入申请单,发给主站网安专职。
(2)主站专职反馈网安装置接入反馈单、主站平台证书。
(3)厂站网安装置调试人员将主站平台证书导入厂站网安装置,并导出厂站网安装置证书请求发给主站网安专职。
(4)主站网安专职签发厂站网安装置证书后,导入主站平台。省调平台要接收 220kV 变电站网安装置信息,故需将 220kV 变电站厂站证书发省调。
(5)通过 OMS 检修流程进行监控系统检修申请。
(6)根据实际情况通过 PMS2.0 签发网安装置安装调试工作票。
(三)接入调试(1)确认安装位置、电源及软件版本。220kV 变电站网络安全监测装置部署在安全Ⅱ区,通过两套数据网Ⅱ区交换机接入主站监控平台,110kV 变电站无Ⅱ区业务的可部署在安全Ⅰ区,原则上要求装置安装在远动机屏(实际现场工作中一般安装在站控层网络设备屏,便于网线布置),通过两路直流电源供电,监视变电站内的后台机、交换机、防火墙、隔离装置等设备。装置安装前确认软件版本与发布的版本一致。
(2)设备安全策略配置。网络安全监测装置物理安装完成后,检修人员更换变电站内不符合要求的交换机、防火墙等设备,对具有安全Ⅱ区的变电站,加装防火墙隔离Ⅰ、Ⅱ区设备,被隔离的Ⅱ区设备由设备的相关管理单位配合补充提供防火墙配置策略。检修人员配合监控及防火墙厂家完成站内 Agent 部署,交换机、防火墙设备的调试,并完成站内相关设备与网络安全监测装置的联调。
(3)设备调试验收。检修人员配合监控、防火墙厂家按照相关要求,完成告警信号的测试与联调。网络安全监测装置厂站调试人员利用模拟主站平台,完成与主站平台调试,完成告警模拟上送、远程调阅、远程管控、基线核查、策略修改等功能项目的验收。
留言列表