Ⅱ型网络安全监测装置介绍

网络安全监测装置基础知识培训湖北鑫英泰系统技术股份有限公司1背景介绍23网络安全管理系统总体设计网络安全监测装置及部署方案背景介绍1•近年来，相继发生乌克兰大面积停电（2015年）、美国东部互联网服务瘫痪（2016年）、全球爆发勒索病毒（2017年）等事件；•电力系统已成为国际网络战的重要攻击目标，电力监控系统安全防护承受巨大压力，需要建立网络安全管理的技术手段。1.威胁日益突出•《网络安全法》要求采取监测、记录网络运行状态和网络安全事件的技术措施；•等级保护制度对第三方审计有明确的要求，目前缺乏支持网络设备、安全设备、操作系统、应用程序等多层面联合审计的技术支撑手段；•公司高度重视网络安全工作，将网络安全视为大电网安全的重要组成部分，明确要求建立电力监控系统网络安全事件快速反应机制和预防预控机制。2.要求日益严格网络安全管理面临的新形势网络接触攻击准备实施打击因此，网络攻击的防御必须及早开展，事前完成安全风险的预防预控，事中需要在接触之时发现，破坏之前消灭。43.网络攻击技术发展迅速网络安全管理面临的新形势接触手段隐秘综合打击危害大攻击平台建立迅速外部网络访问外部设备接入内部登录系统执行破坏性操作植入并传播病毒干扰系统正常运行窃取涉密信息安装程序运行程序获取权限电网调度控制系统1118套调度数据网节点52865个截至2016年底，电力监控系统网络空间覆盖：配电自动化系统112套专用负荷控制系统9套用电信息采集系统（含负荷控制）27套发电厂监控系统9200套变电站监控系统36456套庞大网络空间的有效管理需要依靠有效的技术手段，实现网络风险的预知、预防和预控，实现外部网络威胁和内部网络不安全行为的实时管控。4.任务艰巨网络安全管理面临的新形势对比项通用安全监测技术电力监控系统专用安全监测技术监测对象WEB等通用网络服务的数据报文调度机构、变电站、电厂等各类电力监控系统中的设备监测手段网络流量及报文内容分析基于被监测对象自身感知的设备级监测监测内容利用已知漏洞的攻击行为外部网络访问、外部设备接入、用户登录、人员操作等事件典型设备IDS、防火墙等网络安全监测装置通用的安全监测产品一般基于网络流量和报文分析技术，主要对互联网通用服务和协议进行监测、分析，对于网络空间隔离、设备和用户相对确定、网络服务私有可控、正常情况下无人操作的电力监控系统而言，不是最佳选择。迫切需要研发适合电力监控系统、面向设备事件的网络安全监测技术建立新一代管理系统必要性-通用网络安全监测技术不是最佳选择7外部攻击行为防火墙反向隔离装置网络设备服务器工作站操作系统数据库内部不安全行为纵向加密认证装置采集对象监测事件应用功能现状仅覆盖网络边界上的防护设备仅能对跨边界的网络安全事件进行监视告需求采集来自可信模块的审计告警信息。覆盖系统内部的服务器、工作站和网络设备。全面监测外部网络访问、外部设备接入、用户登录、人员操作等事件。实现网络安全监视告警、分析定位、追踪处置、审计溯源、风险核查和协同管控。纵向加密认证装置正向隔离装置可信、采集模块建立新一代管理平台必要性1、新修订发布的《并网调度协议》合同范本新增13.4条“乙方应按照国家相关要求，落实电力监控系统网络安全实时监测手段建设，在本地实现对生产控制大区服务器、工作站、网络设备及安防设备网络安全事件的实时采集、监视、告警、审计、和核查功能，并将相关信息接入甲方网络安全管理平台。电厂侧实现相关监测功能具有明确依据：2、《国家发改委国家能源局关于推进电力安全生产领域改革发展的实施意见》第37条“加强网络安全建设。组织实施网络安全重大专项工程，加快网络安全实时监测手段建设。”3、《电力监控系统安全防护总体方案》（国能安全【2015】36号）附件1，第3.13条等有相关要求。4、国家电网调【2017】1084号文中明确指出：在变电站、并网电厂电力监控系统的安全Ⅱ区（或Ⅰ区）部署网络安全监测装置，实现对网络安全事件的监视与管理。政策依据1背景介绍23网络安全管理系统总体设计网络安全监测装置及部署方案网络安全管理系统总体设计2原则业务目标功能目标网络安全管理平台是电力监控系统网络安全闭环管理的专用技术支撑手段，是发现并反制网络有害行为的重要工具。同时也满足《网络安全法》及等级保护相关标准规范的技术要求。外部侵入有效阻断外力干扰有效隔离内部介入有效遏制安全风险有效管控支持安全策略和安全保护措施的闭环管理支持网络安全事件的全方位监视和控制支持网络安全态势的只能分析设计原则及目标继承优势创新发展先进实用•巩固现有静态布防的安全策略和防护手段，通过闭环管理手段进一步强化。•监视技术和分析手段更丰富，同时具备必要的响应处置手段•面向设备基于事件的监视技术，分布式的网络安全管理体系各类网络安全事件，总是从接触、控制的第一台设备开始发展、蔓延。做好网络监管，必须将监测关口从网络边界前移到服务器、工作站、交换机等具体设备，从每一台设备的网络访问、设备接入、人员登录、设备操作、未知程序运行五类可疑事件入手，及早发现并处置网络攻击、病毒感染等各类安全事件。技术路线面向设备、基于事件的网络安全监测与管理网络安全管理平台统一管控网络安全管理技术的三层逻辑结构按照设备自身感知、监测装置分布采集、管理平台统一管控的原则，构建网络安全管理的感知、采集、管控三层逻辑结构。监管平台监测装置监测对象实现网络安全在线实时监视、告警、分析、审计、核查等功能的集成。实现对调控机构、厂站、配电、负控等监控系统相关设备网络安全数据的采集，以及与管理平台的通信和交互。实现服务器、工作站、交换机、纵向加密、正/反向隔离等设备自身可信计算和网络安全数据的感知及上报，并具体执行安全核查。自身感知分布采集网络安全监测装置（安全网关机）网络安全监测装置（安全网关机）...网络设备可信、采集模块服务器工作站数据库防火墙、IDS纵向加密认证、正/反向隔离技术路线•通过设备自身网络安全事件的感知，能够直接、高效的发现安全事件，是较为适合电力监控系统安全监管需求的技术路线。面向设备的网络安全事件自身感知技术•部署的网络安全监测装置实现对本区域相关设备网络安全数据的采集、处理，同时把处理的结果通过通信手段送到调度机构部署的网络安全监管平台。基于网络安全监测装置的采集与通信技术•实现网络安全监视、告警、分析、审计、核查等应用功能在调控机构的分布式部署和协同应用。基于管理平台分级部署、协同管控的应用体系关键技术1背景介绍23网络安全管理系统总体设计网络安全监测装置及部署方案网络安全监测装置及部署方案3Ⅱ型网络安全监测装置采用RJ45接口；具备8个10M/100M/1000M自适应以太网电口（支持网口扩展）；双路交、直流电源独立供电；256G硬盘容量；4核CPU、8G内存两个USB2.0接口，1个B码对时接口。IPSMD-2300S实物图Ⅱ型网络安全监测装置介绍能源局36号文中针对站控层业务类型明确划分，如图所示：时钟系统、监控主机、五防系统、继电保护管理模块、控制区通信网关、非控制区通信网关站控层业务类别电厂类型涉网业务系统--能源局36号火电厂、水电厂AGC、AVC、监控系统、梯级调度监控系统、网控系统、相量测量装置PMU、自动控制装置、继电保护、故障录波、梯级水库调度自动化系统、水情自动测报系统、水库调度自动化系统、电能量采集装置、电力市场报价终端核电站AVC、相量测量装置PMU、网控系统、继电保护、自动控制装置、故障录波、电能量采集装置风电场相量测量装置PMU、继电保护、故障录波、电能量采集装置、风功率预测系统光伏电站无功电压控制、发电功率控制、升压站监控系统、相量测量装置PMU、继电保护、故障录波、电能量采集装置、光伏功率预测系统燃机电厂AVC、升压站监控系统、相量测量装置PMU、AGC、变电站综合自动化系统、继电保护、故障录波、电能量采集装置涉网业务系统当发电厂I、Ⅱ区网络可达时，Ⅱ型网络安全监测装置部署在II区，如图所示：电厂部署方案当发电厂I、Ⅱ区网络可达时，Ⅱ型网络安全监测装置部署在II区，如图所示：电厂部署方案当发电厂I、II区网络完全断开，则I、II区各部署一台Ⅱ型网络安全监测装置，如图所示：电厂部署方案当发电厂I、II区网络完全断开，则I、II区各部署一台Ⅱ型网络安全监测装置，如图所示：电厂部署方案当发电厂无Ⅱ区时，则Ⅱ型网络安全监测装置直接部署于安全I区。当发电厂网络存在A、B双网，Ⅱ型网络安全监测装置需要同时与A、B双网互联。电厂部署方案根据调研反馈清单请装置厂家、综自厂商（设备供应商）配合到现场对可接入资产的范围、适应性改造难易程度进行确认，并及时调整装置接入方案。实施部署阶段，Ⅱ型网络安全监测装置部署及被监测对象适应性改造工作同步开展、有序验证是否接入成功，针对发现的问题及时整改。部署前期准备主机设备网络设备安防设备组织开展前期调研工作，下发调研清单了解电厂内各业务系统、监控对象具体情况收集电厂网络拓扑图部署前期准备采集对象涉及品牌主机设备（AGC、AVC、水电厂监控系统、梯级调度监控系统、网控系统、继电保护（服务器）、故障录波（服务器）、梯级水库调度自动化系统、水情自动测报系统、水库自动化调度系统）1.麒麟、凝思等国产操作系统2.Linux（RedHat、Ubuntu、CentOS、Debian等主流linux操作系统）3.Windows（server2003、server2008、WinXP、Win7、Win8）4.HP-UX网络设备1.华为、华三、中兴2.国电南自、国电南瑞、长园深瑞、北京四方横向隔离装置南瑞信通、科东、珠海鸿瑞防火墙、IDS绿盟、启明星辰、天融信、网御、东软、迪普数据采集功能-数据采集对象服务工作器站网络设备横向隔离防火墙入侵检测防病毒数据采集功能-采集内容•用户登录•操作信息•移动存储设备接入•网络外联•串口/光驱•…•用户登录•网口up/down•配置变更•流量信息•非法MAC•…•用户登录•CPU/内存状态•安全事件•配置/策略变更•…TCPSYSLOGSNMPTRAPSYSLOGⅡ型网络安全监测装置，监测对象包括发电厂涉网生产控制大区内主机设备、内网交换机、通用和专用安防设备，通信方式如下：SNMP服务器，工作站交换机安防设备通信方式Ⅱ型网络安全监测装置DL/T634.5.104TCP链接请求TCP链接成功厂站认证请求报文主站认证应答报文厂站认证确认报文数据传输通信流程网络安全监测装置数据网关机25网络安全监测装置对采集到的信息进行分析处理后，形成告警，上报到上级调度机构，其通信结构和通信流程如下：主站网络安全管理平台安全分析与告警功能Ⅱ型网络安全监测装置变电站Ⅱ型网络安全监测装置DL/T634.5.104数据网关机发电厂通信结构设备类型上传分类详细信息装置自身上传事件1）装置行为监视事件上传登录成功退出登录装置USB设备拔出本地管理界面登录成功事件上传本地管理界面退出登录事件上传配置变更事件上传2）装置自身安全事件上传USB设备（非无线网卡类）插入事件上传USB设备（无线网卡类）插入事件上传外联事件上传系统登录失败超过阈值事件上传危险操作事件上传开放非法端口事件上传网口up事件上传网口down事件上传CPU利用率超过阈值事件上传内存使用率超过阈值事件上传磁盘空间使用率超过阈值事件上传本地管理界面登录失败被锁定事件上传装置异常告警事件上传对时异常告警事件上传验签错误事件上传数据采集功能-告警上传设备类型上传分类详细信息主机上传事件1）主机行为监视事件上传登录成功事件上传退出登录事件上传USB设备拔出串口释放事件上传并口释放光驱卸载事件上传设备上线事件上传2）主机安全事件上传USB设备（非无线网卡类）插入串口占用并口占用光驱挂载事件外联事件上传登录失败超过阈值事件上传关键文件变更事件上传用户权限变更事件上传开放非法端口事件上传网口up事件上传网口down事件上传危险操作事件上传数据采集功能-告警上传设备类型上传分类详细信息交换机上传事件交换机告警上传配置变更上传网口up事件上传网口down事件上传网口流量超过阈值交换