1.1监测对象采集方式 (1)服务器及工作站在服务器、工作站上部署网络安全监测代理程序,将采集的网络安全信息发送至网络安全监测装置,对服务器及工作站的用户登录、操作信息、运行状态、移动存储设备接人、网络外联等事件信息进行监视。
(2)网络设备网络设备的采集方式可有以下三种:通过SNMP协议主动从交换机获取所需信息;通过SNMP TRAP协议被动接收交换机事件信息;通过日志协议(syslog)采集交换机信息,对用户登录、操作信息、配置变更、流量信息、网口状态、MAC地址绑定关系等信息进行监视。
(3)安全防护设备通过装置自身日志协议将数据传至监测装置,对用户登录、配置变更、运行状态、安全事件等信息进行监视。
1.2监测装置型式网络安全监测装置I型监测对象包括调度主站主机、数据库、内网交换机及安防设备等。网络安全监测装置Ⅱ型监测变电站站控层及发电厂涉网生产控制大区的主机设备、网络设备和安全防护设备。
《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》(国家电网调[2017]1084号)文件明确指出:“在变电站、并网电厂电力监控系统的安全Ⅱ区(或I区)部署Ⅱ型网络安全监测装置,实现对网络安全事件的监视与管理。”
主机类资产若与网络安全监测装置进行通信,需要在主机上安装探针软件(Agent),用来监测并上传主机的USB、端口、外部网络连接等信息。目前探针程序已兼容Windows、Linux、Unix版本。
使用工具将探针软件安装包上传到主机电脑,输人命令执行探针安装脚本。以南京南瑞继保电气有限公司生产的PCS一9895BH型装置为例说明,探针程序安装成功后运行./Pcs一9895D UI GW release.sh,输入用户名及密码登录主界面针对一些常用的参数进行配置。
2.3交换机探针配置现场中若交换机型号或程序版本老旧,不支持接入网络安全监测装置时,需对程序进行升级或更换满足要求的交换机。现场通常有多台交换机需要接入网络安全监测装置,可以考虑将第一台交换机配置好,并完成信号测试后,将其配置文件略加修改,传输到其他同型号同版本交换机中,提高工作效率。以南京南瑞继保电气有限公司生产的PCS一9882AD交换机为例说明,设置好调试笔记本本地IP地址,利用IE浏览器登录交换机默认IP地址192.169.0.82,输入用户名及密码.
厂站如果只有安全I区,则只需在安全I区部署一台网络安全监测装置;若有安全I区、Ⅱ区,且两个区通过防火墙相连,则在安全Ⅱ区部署一台网络安全监测装置即可;若有安全I区、Ⅱ区,且两个区通过单向隔离装置相连接,则需在安全I区、II区各部署一台网络安全监测装置;若有安全I区、Ⅱ区,且两个区相互独立没有连接,则需在安全I区、Ⅱ区各部署一台网络安全监测装置。
以某火力发电厂电力监控系统网络安全监测装置部署实施方案为例,其部署拓扑图如图5所示,接入业务包括计算机监控系统(NCS 5台SCADA主机)、远动装置、电量计费采集装置、同步向量测量装置(PMU)、故障录波器及网络交换机。网络安全监测装置为南京南瑞继保电气有限公司生产的PCS一9895BII型装置。
由于纵向加密认证装置已经由调度主站的网络安全管理系统进行了监测,故网络安全监测装置不需要对纵向加密认证装置进行安全事件的采集与监测。
部署在I区的网络安全监测装置通过以太网口连接到电厂内网交换机上,实现对厂站内远动装置、NCS系统SCADA服务器及内网交换机的安全信息采集;对于PMU工作站利用PMU交换机通过以太网口与网络安全监测装置相连,实现安全事件的采集。部署在Ⅱ区的网络安全监测装置通过以太网口连接到电厂内电量计费服务器及通过以太网口连接到故障录波器交换机上,实现对其安全信息的采集工作。
另外火力发电厂还可根据本厂电力监控系统结构确定是否选用本地扩展功能。
留言列表