常规火电厂网络安全监测装置部署方案.docVIP

常规火电厂网络安全监测装置 典型实施方案 国网重庆市电力公司 2018年3月26日 目 录 TOC \o 1-3 \h \z \u 一、概述 1 二、技术方案 1 （一）监测采集范围 1 （二）数据采集方式 1 1、主机设备 2 2、网络设备 2 3、安防设备 2 （三）典型部署拓扑图 2 （四）适应性改造需求 3 三、实施方案 4 （一）职责分工 4 （二）工期安排 4 （三）各阶段工作内容 4 1、进厂前调研及准备工作 4 2、进厂实施 5 （1）设备安装 5 （2）线路连接 5 （4）接入调试 6 （四）风险规避措施 7 （五）注意事项 7 四、存在问题及解决方式 7 附件1 采集信息内容及方式 10 附件2 各子系统资产接入清单 13 附件3 职责分工安排表 15 附件4 工期安排表 16 附件5 设备信息调研表 18 附件6 安全事件采集及上传验收测试方法 21 一、概述 近年来国际上网络安全事件频发，相继发生了乌克兰大面积停电事件、美国东部互联网服务瘫痪、勒索病毒全球爆发等网络安全事件。电力作为重要基础设施领域，已被不少国家视为“网络战”首选攻击目标，电力监控系统的网络安全形势异常严峻。 《电力监控系统安全防护总体方案》（国家能源局国能安全〔2015〕36号）附件1中3.13条规定：“生产控制大区应当逐步推广内网安全监视功能，实时监测电力监控系统的计算机、网络及安全设备运行状态，及时发现非法外联、外部入侵等安全事件并告警。” 2017年，《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》（国家电网调〔2017〕1084号）文件明确指出：“在变电站、并网电厂电力监控系统的安全Ⅱ区（或Ⅰ区）部署网络安全监测装置，实现对网络安全事件的监视与管理。”通过网络安全监测装置（以下简称“监测装置”）采集电厂涉网部分主机设备、网络设备、通用及专用安防设备的告警信息，实时监测电厂内部涉网主机的外设接入、网络设备接入、人员登录等安全事件。 二、技术方案 （一）监测采集范围 根据《电力监控系统安全防护规定》（发改委2014年14号令）第十四条规定“电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系统安全防护的技术监督。”电力调度主站采集火电厂网络安全监测信息范围为涉网部分的电力监控系统，覆盖主机设备、网络设备、通用及专用安防设备。根据能源局36号文附件4要求，涉网部分包含“A1：与调度中心有关的电厂监控系统”（简称“调度相关系统”）、“B：调度中心监控系统的厂站侧设备”（简称“调度厂站设备”）两部分。火电厂调度相关系统包含：火电厂厂级信息监控系统、烟气监测系统等涉网系统。火电厂调度厂站设备包含：向量测量装置PMU、远程调功终端、电能量采集装置、调度计划终端、故障录波系统装置、保信子站系统等涉网设备。 （二）数据采集方式 数据采集实现对调度相关系统和调度厂站设备中的主机设备、网络设备、安防设备的安全信息采集内容及方式，详见附件1。 1、主机设备 （1）采集内容 服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息。 （2）采集方式 在服务器、工作站上部署网络安全监测代理程序（Agent），将采集的网络安全信息发送至监测装置。监测装置作为服务端监听主机设备的连接请求。 2、网络设备 （1）采集内容 用户登录、操作信息、配置变更、流量信息、网口状态等信息。 （2）采集方式 1）通过SNMP协议主动从交换机获取所需信息； 2）通过SNMP/TRAP协议被动接收交换机事件信息； 3）通过日志协议（syslog）采集交换机信息。 3、安防设备 （1）采集内容 用户登录、配置变更、运行状态、安全事件等信息。 （2）采集方式 通过装置自身日志协议（syslog）将数据传至监测装置。 （三）典型部署拓扑图 常规火电厂接入的设备数量与类型众多，I区并非每台主机或交换机都能通过I/II区间防火墙与II区的网络可达，有的火电厂I、II区设备安装位置分散，施工布线工作量大。故建议在I、II区各部署1台监测装置，实现火电厂I、II区的网络安全信息采集。对于如调功终端、调度计划、烟气终端等孤网设备（只涉调度数据网，不涉站控层）可通过扩展网卡的方式与监测装置直接连接，从而采集其安全事件，如不支持扩展网卡，则可通过调度数据网交换机实现与监测装置互通，采集其安全事件。各类子系统资产接入清单间详见附件2。 另外，为实现电厂运维人员对本地设备的实时安全监控，在厂内部署工作站，对厂内监测装置采集信息进行统一展示。 根据《电力