变电站网络安全监测装置部署

　　伴随着电力系统自动化、信息化、智能化技术的深入发展和广泛应用，如何确保电力系统的安全性和稳定性成为保障社会经济发展的重要问题。虽然我国为保障电力通信专网的安全、稳定运行，采用了信息内外双网运行的模式，但是这种网络安全防护模式仍然存在很多的风险和漏洞，在设备维护、网络管理方面仍然存在许多亟待解决的问题。网络安全监测装置部署于电力监控系统局域网内，用以对监测对象的网络安全信息采集，为网络安全管理平台上传事件并提供服务代理功能。
　　
　　为确保电力系统网络安全，要进一步加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段和平台建设，积极发展网络安全产业，做到关口前移。
　　
　　1系统功能1．1监测对象东方电子自主研发的DF-1911S网络安全监测装置属于Ⅱ型网络安全监测装置，主要用于厂站侧，可接人200个监测对象。主要监测对象有：防火墙、正反向隔离装置、服务器、交换机、纵向加密装置、防病毒系统、入侵检测系统及网络安全监测装置等。
　　
　　1．2数据采集网络安全监测装置支持对服务器、工作站、网络设备、安全防护设备等监测对象进行数据采集，主要包括：(1)服务器、工作站：用户登录信息、操作行为信息、网络连接信息、系统配置信息、权限变更信息、硬件配置信息、硬件状态信息、系统运行信息、外设接入信息、平台核查指令信息。
　　
　　(2)网络设备：局域网内交换机设备、连接交换机的活跃设备等网络设备拓扑信息、在线时长、cPU利用率、内存利用率、网口状态、网络连接情况等网络设备运行信息。(3)安防设备：设备自身策略的安全事件、配置信息、及运行信息、操作信息。
　　
　　1．3数据分析(1)对采集到的cPu利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理，根据处理结果决定是否形成新的上报事件。(2)对网络设备日志信息进行分析处理，提取出需要的事件信息。(3)形成外设接人事件、用户登录事件、危险操作事件、状态异常事件等上传事件。
　　
　　1．4服务代理(1)远程调阅采集信息、上传事件等数据信息，支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息。(2)对被监测系统内的资产进行远程管理，包括资产信息的添加、删除、修改、查看等。(3)参数配置的远程管理，包括系统参数、通信参数及事件处理参数。(4)通过代理方式实现对服务器、工作站等设备基线核查、设备主动断网命令的调用。(5)通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看。
　　
　　1．5通信功能(1)采用自定义TCP协议与服务器、工作站等设备进行通信，实现对服务器、工作站等设备的信息采集与命令控制。(2)
　　
　　采用sNMP、SNMP TR廿v3版本与交换机进行通信，并支持通过日志协议采集交换机信息。(3)支持通过GB／T 31992协议采集安全防护设备信息。(4)实时事件产生即发送一条，重复次数为缺省值1；归并事件以分钟级为统计周期，每天首次产生则立即发送一条，后定时发送有变化的事件。
　　
　　2系统管理网络安全监测装置具备本地管理功能，本地管理采用图形界面对网络安全监测装置进行本地化的安全管理。装置划分管理员、操作员、审计员不同角色，并为不同角色分配不同权限，不同角色可以通过本地管理工具对网络安全监测装置进行管理。
　　
　　(1)管理员权限。对网络安全监测装置进行时钟管理、时区管理、进程管理(重启、关机)、用户操作管理(增删用户、重置密码、设置权限)。
　　
　　(2)审计员权限。可以根据选择的类型、级别、时间段查看登陆、操作和维护等日志信息。
　　
　　(3)操作员权限。采集信息、上传信息的本地查看，支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看。对监视对象数量、在离线状态统计展示，支持从设备类型、事件等级等维度对采集信息、上传信息进行统计展示。
　　
　　实现对服务器、工作站等设备的基线核查、主动断网、监控对象的参数设置等。支持参数配置，包括系统参数、通信参数及事件处理参数；支持参数配置导出功能及同产品的参数配置备份导入功能，即达到同产品的参数配置的互换性。
　　
　　3现场实施(1)前期准备。在网络安全监测装置现场部署实施之前，需要与变电站、监控系统厂商就安装环境、屏柜位置、接入设备、口地址分配、施工方案、工作票等进行确认。对现场的服务器、工作站、网络设备、安全防护设备进行详细调研，包括型号、版本、通信协议等，确定能否满足安全事件采集要求，或能否进行软件升级、安装探针软件以达到要求。
　　
　　(2)安装配置。设备安装及布线：完成网络安全监测装置的设备上架及网络布线。监测对象升级：对需要升级的接入设备进行软件升级、安装探针软件。参数配置：根据方案配置网络安全监测装置的参数，如IP地址参数、N11P对时、上传参数、事件处理阈值。资产录入：将监测对象的资产信息录入网络安全监测装置。
　　
　　(3)通信调试。监测对象：完成站内服务器、工作站、网络设备、安全防护设备的通信接入调试。装置对时：完成网络安全监测装置的B码对时或N-IP对时功能调试。管理平台：完成与调度主站网络安全管理平台的通信调试。
　　
　　(4)测试验证。事件上传：根据服务器、工作站、网络设备、安全防护设备不同的监测内容，验证网络安全事件的采集与上传是否正确。远程调阅：验证主站网络安全管理平台能否远程对网络安全监测装置的监测对象资产信息进行查看配置；能否远程对网络安全监测装置的网络安全事件进行调阅。