火电厂电力监控系统网络安全监测装置典型实施方案.docxVIP

火电厂电力监控系统网络安全监测装置典型实施方案 目录 TOC \o 1-3 \h \z \u 一、概述 2 二、技术方案 3 1．监测采集范围： 3 2.数据采集方式： 4 3.部署拓扑图： 7 三、实施方案 10 1.工程开展前期准备工作 10 2.现场实施 11 四、存在的问题及解决方法 14 附录A监测装置数据采集及上送验收测试方法 16 附录B实施方案工期安排表 19 火电厂网络安全监测解决方案 一、概述 1.《电力监控系统安全防护总体方案》（国家能源局国能安全〔2015〕36号）附件1中3.13条规定：“生产控制大区应当逐步推广内网安全监视功能，实时监测电力监控系统的计算机、网络及安全设备运行状态，及时发现非法外联、外部入侵等安全事件并告警。” 2.《国家发改委 国家能源局关于推进电力安全生产领域改革发展的实施意见》（发改能源规〔2017〕1986号）第三十七条指出：“加强网络安全建设。组织实施网络安全重大专项工程，加快网络安全实时监测手段建设。” 3.2017年公司修订了《常规电源并网调度协议（水电、火电、燃气）》、《风电场并网调度协议》、《光伏电站并网调度协议》合同范本，明确了并网电厂落实电力监控系统网络安全实时监测手段相关条款：“13.4 乙方应按照国家相关要求，落实电力监控系统网络安全实时监测手段建设，在本地实现对生产控制大区服务器、工作站、网络设备及安防设备网络安全事件的实时采集、监视、告警、审计和核查功能，并将相关信息接入甲方网络安全管理平台。” 4.《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》（国家电网调〔2017〕1084号）文件明确指出：“在变电站、并网电厂电力监控系统的安全Ⅱ区（或Ⅰ区）部署Ⅱ型网络安全监测装置，实现对网络安全事件的监视与管理。” 5.厂站端的安全监视（Ⅱ型网络安全监测装置）在不影响业务系统的情况下，重点监视火电厂涉网部分主机设备、网络设备、通用及专用安防设备的各类行为以及安全事件，能够实时监测火电厂内部涉网主机的外设接入、网络设备接入、人员登录等安全事件，具体包括: 人员操作：用户登录及操作命令； 设备接入：外部设备接入服务器或者网络的行为； 网络访问：不符合安防设备策略的网络访问； 其他严重违背安全原则的事件。 二、技术方案 1．监测采集范围： 根据《电力监控系统安全防护规定》（发改委2014年14号令）第十四条规定“电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系统安全防护的技术监督。” 电力调度机构采集火电厂网络安全监测信息范围为涉网部分的火电厂电力监控系统，覆盖主机设备、网络设备、通用及专用安防设备。包括： 火电厂计算机监控系统（NCS） AVC、AGC监控系统 同步向量监测（PMU） 电能量采集装置 保信系统 故障录波装置 2.数据采集方式： 根据国网下发文件要求，本方案实现对服务器、工作站、网络设备、安全防护设备、数据库的安全信息采集。 （1）、服务器、工作站： 通讯要求： 支持采用自定义TCP协议与服务器、工作站等设备进行通信，实现对服务器、工作站等设备的信息采集与命令控制。 采集内容： 服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息。 采集方式： 在服务器、工作站上部署网络安全监测代理程序（Agent），将采集的网络安全信息发送至监测装置。监测装置作为服务端监听主机设备的连接请求。 服务器、工作站采集信息表（表1）： 序号 采集信息 信息产生方式 备注及说明 1 登录成功 触发 2 退出登陆 触发 3 登录失败 触发 4 操作命令 触发 5 操作回显 触发 6 USB设备插入 触发 7 USB设备拔出 触发 8 串口占用 触发 9 串口释放 触发 10 并口占用 触发 11 并口释放 触发 12 光驱挂载 触发 13 光驱卸载 触发 14 网络外联事件 触发 被监测设备需阻断外联行为 15 存在光驱设备 周期 默认60分钟,可配置 16 开放非法端口 触发 17 网口up 触发 18 网口down 触发 19 关键文件变更 触发 20 用户权限变更 触发 （2）、网络设备： 采集内容 用户登录、操作信息、配置变更、流量信息、网口状态、MAC地址绑定关系等信息。 采集方式 1）通过SNMP协议主动从交换机获取所需信息； 2）通过SNMP TRAP协议被动接收交换机事件信息； 3）通过日志协议（syslog）采集交换机信息。 网络设备采集信息表（表2）： 序号 采集信息 信息产生方式 备注及说明 1 配置变更 触发 SNMP TRAP，当交换机配置有变更时产生 2 网口状态 周期 SNMP轮询（默