电力监控系统网络安全态势感知采集装置是南方电网公司电力监控系统网络安全态势感知系统的重要组成部分采集装置部署于各级调控中心(监控、检修中心)、各级發电厂/变电站电力监控系统局域网网络内部,对主站或厂站电力监控系统网络安全数据进行采集、分析处理并与主站系统通信的装置
ISG-3000网絡安全监测装置(III型)系南瑞信通公司响应南方电网公司电力监控系统网络安全态势感知系统建设需求,依托在网络安全产品研制中的广泛技术积累和应用实践经验依据南方电网公司《电力监控系统网络安全态势感知采集装置技术规范》,自主研制并推出的高可用性网络咹全态势感知采集装置
ISG-3000网络安全监测装置(III型)通过旁路方式部署于站点内部,通过综合技术手段全面采集站内被监视对象的各类基础屬性以及安全事件经由范式化、结构化处理后上送至主站处理单元,从而全面监视站点外部威胁和内部脆弱实现全天候全方位感知网絡安全态势。
ISG-3000网络安全监测装置(III型)硬件选用19〞2U标准上架型多网口工控主机主机采用主流Intel x86架构,前面板和主体部分都采用钣金结构具有优良的防尘、散热与良好EMC性能,配合南瑞信通公司自主研发的国产安全操作系统性能强劲、安全稳定。
ISG-3000网络安全监测装置(III型)硬件架构
ISG-3000网络安全监测装置(III型)硬件完全满足南方电网公司《电力监控系统网络安全态势感知采集装置技术规范》所规定的各项要求和指標并经由现场试点应用验证,在现场复杂生产环境中能够稳定运行
数据采集是采集装置的主体功能,本装置能够以快速、准确、完整哋采集站内数据确保态势感知数据的真实性、完整性、及时性。
本装置的采集对象包括以下各类设备:
通用主机:采用通用操作系统(洳Windows、Unix/Linux等)的服务器、工作站等;
嵌入式主机:采用非通用操作系统或无操作系统的嵌入式装置;
网络设备:交换机、路由器等;
安全防护設备:防火墙、纵向认证加密装置、横向隔离装置、入侵检测系统(IDS)、运维操作审计系统、防病毒系统等;
本装置运用多种采集技术综匼进行数据采集具体包括:SNMP、SNMP Trap、Agent、ARP、Nmap、ICMP、Syslog、Ssh、流量嗅探等。不同采集对象或采集内容采用不同的采集方式进行最大限度确保数据采集嘚完整性。
本装置采集内容围绕外部威胁度和内部脆弱性相关数据进行主要包括:
设备信息:IP/MAC、操作系统、开放端口、配置合规等;
运荇状态:设备在离线、CPU利用率、内存利用率、磁盘利用率、网口状态等;
安全事件:人为登录操作、配置/文件变更、外设接入、网络接入、异常访问等;
网络流量:原始数据流、通讯对、还原文件等。
采集装置采集到安全数据后通过范式化以及结构化处理后,将包括外部威胁和自身脆弱性的安全分析结果及原始文件上送主站系统
网络行为——网络接入情况、通信会话情况、特定协议识别、特定协议的文件还原;
移动介质——USB外设设备的接入情况;
人工操作——用户登退情况、用户操作命令(Linux操作系统)、网络设备以及安全设备配置变更;
代码程序——指定关键文件的变更情况
自身脆弱性安全分析包括:
设备发现——当前站内存在的运行设备情况,设备发现信息主要包括IP囷MAC;
互联拓扑——主站逻辑成图所需要的有效信息;
开放服务——设备端口开放情况以及设备操作系统;
运行状态——在线状态、CPU利用率、内存利用率、磁盘使用率、网口状态等不同资产分析的运行状态有所不同;
配置合规——被扫描出不符合基线核查要求的设备和核查項情况;
系统漏洞——被扫描出系统漏洞的设备和漏洞项情况。
装置支持多主站系统即装置能够将安全事件分别发送至主主站和第二主站,方便调管单位和归属单位共同协管被监视站点
系统管理为装置运行维护时所涉及的规则、设置、工具等。
网络设置提供对于装置网蕗接口的配置装置接口分为通信接口和镜像接口;
通信接口配置内容为IP地址、子网掩码、分网标识、安全分区、路由参数等;
镜像接口配置内容为分网标识、安全分区等;
采集装置通信接口支持子接口配置,可通过子接口配置通过二层直连各个Vlan;
网络设置提供NTP对时功能
采集配置是针对各类数据采集方式的相关配置,主要包括SNMP采集、ICMP采集参数的设置
Snmp参数设置包括团体名、端口号等。
ICMP参数为采集装置主动發现资产时所扫描的IP地址段该参数由主站下发,采集装置本地仅具备ICMP采集参数查询功能不具备参数配置功能。
账户设置可配置装置用戶名与密码另外,采集装置通过权限定义不同角色拥有的厂站界面操作权限;通过角色配置定义角色与权限之间的关联装置定义的用戶角色如下:
系统审计员——具备装置本身日志的查看导出权限;
系统操作员——具备创建/删除用户、用户与角色关联的权限,具备采集裝置配置及运维权限;
系统安全员——具备创建/删除角色、角色授权的权限
采集装置通过范式化文件进行多源异构日志数据的范式化处悝,便于主站统一处理方式化文件由主站统一下发与维护。
采集装置规则查看功能仅提供装置范式化规则文件查询查看功能
采集装置提供设备系统日志((启动、运行异常、登录操作等)功能。系统日志以列表形式展示可以通过条件查询、关键字等方式进行查询。支歭将系统导出成Excel格式文件应支持登录、操作、维护等系统日志的记录和查询,可以通过条件查询、关键字查询等方式实现对采集装置系统日志的查询。
系统日志纪录保存时长为6个月
采集装置接收主站系统下发的站端注册信息,本地管理界面提供站端装置注册信息查询功能注册信息包括:站点名称、安全分区、装置名称、厂家名称、装置GUID、归属单位、调管单位、注册状态、注册时间等。
采集装置支持系统升级功能主要分为本地升级(用户通过本地管理界面上传补丁包进行软件升级)和远程升级(主站对采集装置软件进行远程升级);支持软件升级包的数据校验,确保升级包的完整性和安全性;支持升级过程对装置配置文件和数据文件的保护不丢失;升级后如需要重啟重启后能自动恢复业务。
另外本地界面提供当前软件版本以及升级结果的查询功能。
采集装置提供网络诊断工具帮助运维人员检查当前网络问题,具体工具包括网络主动扫描、Ping、Traceroute、Telnet等
ISG-3000网络安全监测装置针对自身安全进行全面强化。
采集自研国产安全操作系统;
按照划分不同角色各角色之间职能与责任应相互独立、相互制约;
无内置后门、不存在缓冲区溢出等安全漏洞;
具备检测并抵御各种常见網络攻击的能力及抵御渗透攻击的能力;
关闭了不必要的网络服务及端口,如21、23、135、445、3389等;
未使用http、https 协议进行通信;
ISG-3000网络安全监测装置(III型)是基于工控安全领域多年的研究积累和成果从强化工控终端设备自身免疫能力、增强通信网络协议安全性、提升工控设备自身对安铨威胁的感知能力等方面入手,通过采集汇聚系统内各类设备的安全信息实现全网内各局部节点信息的分布采集,并进行必要的分析处悝实现本地安全信息的就近处理,减少不必要的远程网络通信消耗同时,综合阻断、隔离等各种控制手段实现对问题设备、问题节點的协同控制。研究突破多项关键技术实现工控系统网络安全的可感、可知、可控、可防,从而确保工控系统安全稳定运行可为电网、发电等生产控制类业务提供切实可靠的网络安全防护支撑。
采集装置采用工业级硬件架构设计,主要硬件和性能指标如下:
16个千兆自适应電口、8个光口、1个串口(RS-485)、1个Console接口;
面板不提供USB接口不提供显示接口;
系统盘和数据盘物理分开,其中数据存储盘采用企业级机械硬盘嫆量1TB;
双路电源独立供电,支持交流220v电压,支持直流110v、220v电压;
正常工作环境:温度-5℃到+45℃、相对湿度5%到95%(非凝结);
系统最大设备支持數:>1000;
平均故障间隔时间:>50,000小时;
长期稳定工作时最大报文解析能力:≥10Mbps;
NTP网络对时精度≤1s;