南京正规南瑞网络安全监测 安全检查和实时告警

(一)自主可控主机操作系统安全监测技术
南瑞信通是系统内一得到国调网安处认可的操作系统研究团队。我们针对大量存量厂站操作系统类型版本多、难以进行系统升级的情况,自主研制了操作系统安全监测工具,支持RedHat5、 RedHat6、Centos6、Centos5、Solaris 10、HP-UNIX B11、Windows7、 WindowsXP、Windows2003、Windows2008和WindowsVista等,是目前一能同时自主完成平台、装置和监控系统主机agent部署的厂家。
南京正规南瑞网络安全监测
该方案中,监测装置优先使用华东接入网与华东网调通信,优先使用省级接入网与江苏省调通信。在此方式下,监测装置的地址及主备状态配置应为(同一分组即为主备关系,权限用于区分主备,每组仅有一个IP地址,不需要区分权限,默认为0):
华东网调平台地址1,分组号1,权限0;
江苏省调平台地址2,分组号2,权限0;
华东备调平台地址3,分组号3,权限0;
江苏备调平台地址4,分组号4,权限0。
对于220kV及以下统调电厂应采用主主模式,同步上送江苏省调、江苏备调;监测装置同时使用一、二平面上送江苏省调、江苏备调,一平面主送省调、二平面主送备调,如下图所示:


在此方式下,监测装置的地址及主备状态配置应为:
江苏省调一平面地址1,分组号1,权限0;
江苏省调二平面地址2,分组号1,权限1;
江苏备调一平面地址3,分组号2,权限1;
江苏备调二平面地址4,分组号2,权限0。
对于220kV及以下变电站、非统调电厂(苏州地区以外),应采用主备模式,一般建议优先使用二平面网络上送至地调平台;
在此方式下,监测装置的地址及主备状态配置应为:
xx地调一平面地址1,分组号1,权限1;
xx地调二平面地址2,分组号1,权限0。
苏州地区的220kV及以下变电站、非统调电厂应采用主主模式往苏州地调、苏州备调上送,一平面主送地调、二平面主送备调。


在此方式下,监测装置的地址及主备状态配置应为:
苏州地调一平面地址1,分组号1,权限0;
苏州地调二平面地址2,分组号1,权限1;
苏州备调一平面地址3,分组号2,权限1;
苏州备调二平面地址4,分组号2,权限0。
南京正规南瑞网络安全监测
现场调研
网络安全监测装置厂家应提前完成现场调研,填写调研表,根据部署方式等相关规定确定监测装置部署物理位置,网络位置,电源情况,与主站平台通信计划等;调研监控系统型号,版本,计划接入的设备数量、方式等;调研站控层交换机数量,电源,是否支持SNMP,接入监测装置计划等;调研防火墙,隔离装置型号,是否支持接入监测装置。
申请证书
厂站监测装置调试人员将装置生成的证书请求带到调度主站,由主站进行证书签发;
数字证书禁止采用外网的方式进行传输;
设备接入申请
检修公司及电厂按照调度主站的要求完成设备接入申请单填写(可参照《附件2:网络安全监测装置接入申请单》),并提交调度机构审批;省调及各地调公司可根据各自常规流程进行申请及审批;
检修单申请
通过OMS系统进行调度自动化系统及设备检修工作票申请;
??
南京正规南瑞网络安全监测
告警治理
调试人员应在主机Agent部署前,提前整理并录入白名单,白名单可形成知识库,在接入过程中逐渐完善。
网络外联白名单——主机Agent部署时,应提前整理并录入网络外联白名单,白名单应包括该主机需要进行网络交互的所有网络地址(段),不允许加全网段、A、B类地址,限制添加C类地址,地址应尽可能细化。
关键服务端口白名单——主机Agent部署时,应提前整理并录入关键服务端口白名单,原则上只开放变电站监控系统需要的端口及服务。
对于部分无法消除的告警,如交换机MAC地址未绑定,调试人员可酌情在网络安全监测装置中配置白名单。
告警模拟上送
厂站进行如下告警模拟,主站运维人员观察告警接收情况(多通道),时间误差应小于30 秒:
①监控后台机中进行USB 插拔、网络外联事件、登录失败告警事件测试。
②防火墙进行不符合安全策略事件、修改策略测试。
③交换机进行登录失败、配置更改、修改用户名密码测试。
设备加固
调试人员需对新增的网络安全监测装置和交换机进行加固,包括修改监测装置前台登录密码、后台登录密码,交换机后台登录密码,关闭交换机不用的端口,配置三权分立用户和口令等。
南京正规南瑞网络安全监测
安防设备提供信息


序号
安防设备类型(IDS、防火墙、防病毒、隔离装置、日志审计)
日志格式能否满足国调要求或提供日志解析插件
厂商名称
是否启用
所在安全区




















网络设备提供信息
序号
内网交换机名称
IP地址
所在区域(1、2)
设备厂商
固件版本
型号
是否支持固件升级
支持SNMP协议版本
连接设备涉网业务类型
备注
南京正规南瑞网络安全监测