1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 电子工程/通信技术
  5. 监控

附件4:沙湾、安谷电站监理监控系统网络安全监测装置建设方案.docx

附件4:沙湾、安谷电站监理监控系统网络安全监测装置建设方案.docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    PAGE

    PAGE11

    沙湾、安谷电站电力监控系统

    网络安全监测装置建设方案

    批准:

    审核:

    校核:

    编写:何国珍

    四川圣达水电开发有限公司

    二〇一八年七月

    沙湾、安谷电站电力监控系统

    网络安全监测装置建设方案

    项目背景

    根据国家电网公司《关于加快推进电力监控系统网络安全管理平台建设的通知》(国家电网调【2017】1084号,附件1),国网四川电力调度控制中心2018年1月16日下发的《关于加快并网电厂电力监控系统网络安全监测装置建设的通知》(见附件2)的要求,四川193座并网电厂(集控)须于2018年年底前完成安全监测装置的建设部署。

    项目建设的必要性:

    1、《中华人民共和国网络安全法》明确规定,作为国家关键信息基础设施的电力监控系统,必须具备网络安全监测预警技术手段。

    2、需要建立网络安全事件“事中发现处置、事后审计分析”的技术支撑手段,实现网络安全的动态管控,始终维持安防体系的强健性,阻断各种形式的网络攻击行为。

    3、网络攻击技术发展迅速,必须在网络接触发生之时、攻击条件建立之前,发现风险位置并进行隔离阻断,防止形成事实的危害。因此,网络安全监测关口必须前移到主机设备。

    方案依据

    1、国家2017年6月1日起执行的主席令53号《中华人民共和国网络安全法》。

    2、国家发改委2014年9月1日发布的14号令《电力监控系统安全防护规定》。

    3、国家能源局2015年2月4日发布的36号文《电力监控系统安全防护方案和技术评估规范》。

    4、国家电网公司调度控制中心2017年12月27日发布的1084号文《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》。

    建设方案

    (一)、装置部署方案

    由于电厂内系统较多,且多数系统无网络连接,在沙湾、安谷电站安全II区部署一台Ⅱ型网络安全监测装置以满足发电厂涉网区域内各类设备的接入。

    在安全II区部署一台Ⅱ型网络安全监测装置,对于安全II区而言,装置需监测各类服务器、工作站、保信子站、故障录波及电量采集网关机等涉网设备,装置需跨接不同网络内组网交换机,同时连接II区调度数据网交换机,通过调度数据网非实时VPN连接上级管理平台。网络安全监测装置通过防火墙采集安全I区的各类服务器、工作、网络设备、安防设备,最终实现对安全I、II区安全状态的在线实时监视。

    电厂涉网部分部署拓扑如下:

    电厂涉网部分部署架构图

    (二)、项目费用预算

    通过与四川省电力调控中心及相关公司的咨询、沟通,每站需各配置一套网络安全监测装置,费用约33万/站,具体费用组成如表:

    单位:万元人民币

    序号

    名称

    型号及规格

    单位

    数量

    单价

    总价

    网络安全监测装置

    1

    网络安全监测装置

    1

    10.00

    10.00

    2

    网络安全探针

    安全I、II区每台服务器、工作站配一套

    1

    8.00

    8.00

    3

    省调、地调接入服务

    接入省调、地调主站系统

    1

    10.00

    10.00

    4

    通讯线

    以太网线、对时线

    1

    0.50

    0.50

    5

    防火墙

    H3CSecPathF100-C-G2部署在安全I、II区之间的逻辑隔离

    1

    2.50

    2.50

    6

    安全II区站控层交换机

    H3C

    1

    1.00

    1.00

    7

    柜体

    1

    1.00

    1.00

    合价

    33万元

    (三)、装置主要功能

    数据采集

    1.1采集对象

    采集对象包括发电厂的主机设备、网络设备、网络分析仪和安全防护设备。

    1.2采集内容

    主机、网络、安全防护设备的重要运行信息及安全告警信息以及网络分析仪的分析数据。

    主机设备采集信息

    包括主机设备操作系统层面所有的用户登录、操作信息、外设设备(键盘、鼠标以及所有移动存储设备)接入信息及网络外联等安全事件信息。

    网络设备采集信息

    包括交换机相关的配置变更、流量信息、网口状态等安全事件信息。

    安全防护设备采集信息

    a)横向隔离装置采集信息:包括厂站横向隔离装置的运行状态、安全事件及配置变更等信息;

    b)防火墙采集信息:包括厂站防火墙的运行状态、安全事件、策略变更及设备异常等信息。

    采集实现方式

    a)主机设备可由主机操作系统直接报给厂站安全监测装置或通过部署Agent的方式进行采集;

    b)网络设备可通过Snmp和SnmpTrap协议方式进行采集;

    c)安防设备可通过Syslog方式提供;

    d)网络分析仪的数据通过MMS报文提供给厂站安全监测装置。

    安全分析与告警

    安全分析

    以小时为单位,重复次数累加的告警应能定时(15分钟,可配置)归并;

    对主机关键文件变更、用户权限变更、危险操作,对网络设备流量超过阈值,配置变更等事件进行安全性分析。

    2.1安全告警

    您可能关注的文档

    最近下载

    文档评论(0)

    oujiangyi + 关注
    实名认证
    内容提供者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >