火电厂电力监控系统网络安全监测装置典型实施方案（宁夏）

《火电厂电力监控系统网络安全监测装置典型实施方案（宁夏）》由会员分享，可在线阅读，更多相关《火电厂电力监控系统网络安全监测装置典型实施方案（宁夏）（28页珍藏版）》请在装配图网上搜索。

1、火电厂电力监控系统网络安全监测装置典型实施方案国网宁夏电力有限公司2018年3月9日目录一、 建设背景3二、 建设目标5三、 技术方案6（一）设备选型6（二）火电厂电力监控系统现状6（三）部署方案10四、 工程实施14（一）工程开展前准备工作14（二）接入调试17（三）工期安排17五、 保障措施17附录A 网络安全监测装置采集信息内容及方式19附录B 监测装置数据采集及上送验收测试方法23附录C实施方案工期安排表26一、 建设背景如今网络攻击手段和安全威胁日新月异，层出不穷，各种高危漏洞不断暴漏，恶意攻击数量快速增加，令国家和企业防不胜防。面临如此严峻的网络安全形势，国家、行业主管部门及国家电

2、网公司也下发了一系列法律、法规和通知，来督促企业完善自身的电力监控系统网络安全建设。（一）中华人民共和国网络安全法施行，要求“采取监测、记录网络运行状态、网络安全事件的技术措施”，并对电力等关键信息基础设施提出要求“应当建立健全本行业、本领域的网络安全监测预警和信息通报制度”。（二）电力监控系统安全防护总体方案（国家能源局国能安全201536号）附件1中3.13条规定：“生产控制大区应当逐步推广内网安全监视功能，实时监测电力监控系统的计算机、网络及安全设备运行状态，及时发现非法外联、外部入侵等安全事件并告警。”（三）国家发改委 国家能源局关于推进电力安全生产领域改革发展的实施意见（发改能源规2

3、0171986号）第三十七条指出：“加强网络安全建设。组织实施网络安全重大专项工程，加快网络安全实时监测手段建设。”（四）2017年国家电网公司修订了常规电源并网调度协议（水电、火电、燃气）、风电场并网调度协议、光伏电站并网调度协议合同范本，明确了并网电厂落实电力监控系统网络安全实时监测手段相关条款：“13.4 乙方应按照国家相关要求，落实电力监控系统网络安全实时监测手段建设，在本地实现对生产控制大区服务器、工作站、网络设备及安防设备网络安全事件的实时采集、监视、告警、审计和核查功能，并将相关信息接入甲方网络安全管理平台。”（五）国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知（

4、国家电网调20171084号）文件明确指出：“在变电站、并网电厂电力监控系统的安全区（或区）部署型网络安全监测装置，实现对网络安全事件的监视与管理。” 目前各火电厂已经按照电力监控系统安全防护总体方案（国家能源局国能安全201536号）的要求进行了电力监控系统安全防护建设，重点强化了边界防护，同时加强了内部的物理、网络、主机、应用和数据安全，加强了安全管理制度、机构、人员、系统建设、系统运维的管理，提高了系统整体安全防护能力，但仍存在着监测广度不足、监测深度不够以及监测技术有待提升等问题。为更好地完善电力监控系统安全防护体系，满足电力监控系统网络安全管理平台建设的要求，各火电厂应部署网络安全监

5、测装置。二、 建设目标按照“监测对象自身感知、 网络安全监测装置分布采集、 网络安全管理平台统一管控”的原则，应在火电厂电力监控系统部署网络安全监测装置，对能源局36号文发电厂监控系统安全防护方案中“A1：与调度中心有关的电厂监控系统”、“A2：电厂内部监控系统”、“B：调度中心监控系统的场站侧设备”的数据进行采集、处理，同时把处理的结果通过通信手段送到调度机构部署的网络安全管理平台。厂站内监测对象应采用自身感知技术，产生所需网络安全事件并提供给网络安全监测装置，同时接受网络安全监测装置对其的命令控制。通过以上方法，构建较为完整的电力监控系统网络安全监管体系，全面监测、分析和审计设备接入、网络

6、访问、用户登录、人员操作等各种事件，及时发现和治理电力监控系统的网络安全风险，快速处置恶意攻击、病毒感染等网络安全事件，实现“外部侵入有效阻断、外力干扰有效隔离、内部介入有效遏制、安全风险有效管控”的电力监控系统安全防护目标，保障电力监控系统和电网安全稳定运行。三、 技术方案 （一）设备选型 网络安全监测装置部署于电力监控系统局域网网络中，用以对监测对象的网络安全信息采集，为网络安全管理平台上传事件并提供服务代理功能。根据性能差异分为型网络安全监测装置和型网络安全监测装置两种。型网络安全监测装置采用高性能处理器，可接入500个监测对象，主要用于主站侧。型网络安全监测装置采用中等性能处理器，可接

7、入100个监测对象，主要用于厂站侧。根据现有火电厂电力监控系统的规模，应使用型网络安全监测装置。 （二）火电厂电力监控系统现状 火电厂电力监控系统和设备包括： A1.与调度中心有关的电厂监控系统； A2.电厂内部监控系统； B.调度中心监控系统的厂站侧设备。如表1所示。表1：火电厂电力监控系统及设备清单序号业务系统及设备控制区非控制区管理信息大区备注1火电机组分散控制系统DCSDCSA22火电机组辅机控制系统辅机PLC/DCSA23火电厂厂级信息监控系统监控功能优化功能管理功能A24调速系统和自动发电控制功能AGC调速、自动发电控制A15励磁系统和自动电压控制功能AVC励磁、自动电压控制A16

8、网控系统网控系统A17相量测量装置PMUPMUB8五防系统五防系统A29继电保护继电保护装置及管理终端B10安全稳定控制装置安稳装置B11故障录波故障录波装置B12电能量采集装置电能量采集B、A113电力市场报价终端电力市场报价B14保护信息管理子站保护信息子站B15和谐调度系统/烟气子站和谐调度B16两个细则厂网互动沟通平台两个细则厂网互动沟通平台B17管理信息系统MISMISA218报价辅助决策系统报价辅助决策A219检修管理系统检修管理A220火灾报警系统火灾报警A2火电厂网络拓扑图如图1所示。图1 火电厂电力监控系统网络结构图 按照网络安全监测装置技术规范要求，火电厂电力监控系统接入监

9、测装置采集范围的设备如表2所示：表2：火电厂网络安全监测装置接入设备序号系统名称设备名称安全分区是否接入网络安全监测装置1网控系统NCS服务器控制区应接入2工作站控制区应接入3交换机控制区应接入4数据库控制区应接入5火电机组分散控制系统DCS服务器控制区应接入（宜）6工作站控制区应接入（宜）7交换机控制区应接入（宜）8数据库控制区应接入（宜）9调速系统和自动发电控制功能AGCAGC服务器控制区应接入10励磁系统和自动电压控制功能AVCAVC服务器控制区应接入11继电保护装置继电保护装置控制区暂不接入12安全稳定控制装置安稳装置控制区暂不接入13相量测量装置PMUPMU装置控制区暂不接入14五防

10、系统电气五防工作站控制区应接入15电能量采集装置电能量采集装置非控制区暂不接入16故障录波故障录波器非控制区应接入17保护信息管理子站故障信息子站非控制区应接入18交换机非控制区应接入19和谐调度系统/烟气子站和谐调度/烟气子站服务器非控制区应接入20两个细则厂网互动沟通平台两个细则服务器非控制区应接入21电力市场报价终端电力市场报价终端非控制区应接入22火电厂厂级信息监控系统接口机控制区应接入（宜）23服务器非控制区应接入24交换机非控制区应接入25数据库非控制区应接入26管理信息系统MISMIS服务器管理信息大区否27调度管理系统OMS终端管理信息大区否28安全防护设备隔离装置生产控制大区

11、/管理信息大区应接入29防火墙控制区/非控制区应接入30入侵检测装置控制区/非控制区应接入31安全审计服务器控制区/非控制区应接入 （三）部署方案根据火电厂安全分区和网络连接实际情况，将监测装置部署方案分为如下两种：1.方案一：安全区部署1台监测装置火电厂安全区与安全区独立组网，并且安全区网络通过防火墙可达安全区的，在安全区部署1台监测装置，对火电厂安全区、区的网络安全信息进行采集，通过调度数据网非实时VPN上送网络安全管理平台。部署连接如图2所示，其中红色部分为新增设备，清单如表3所示。图2 火电厂网络安全监测装置部署方案一表3：火电厂部署监测装置新增设备清单一设备名称数量部署区域备注型网络

12、安全监测装置1安全区实现对安全、区网络安全信息的采集交换机根据实际情况确定安全区当现有交换机端口不足时需新增交换机若干套安全、区通过升级固件版本以满足接入条件若干套安全、区不满足接入条件且无法升级的进行更换网络安全监测代理程序（Agent）若干套安全、区每台需采集网络安全信息的主机设备，均需要部署一套安防设备若干套安全、区通过升级固件版本以满足接入条件若干套安全、区不满足接入条件且无法升级的进行更换2.方案二：安全区、安全区各部署1台监测装置火电厂安全区网络到安全区网络不可达或经过隔离装置连接时，方案一无法完整采集安全区信息，在安全、区各部署1台监测装置，对火电厂安全区、区的网络安全信息进行采

13、集，通过调度数据网实时、非实时VPN上送网络安全管理平台。如图3所示，其中红色部分为新增设备，清单如表4所示。图3 火电厂网络安全监测装置部署方案二表4：火电厂部署监测装置新增设备清单二设备名称数量部署区域备注型网络安全监测装置2安全、区实现对安全、区网络安全信息的采集交换机根据实际情况确定安全、区当现有交换机端口不足时需新增交换机若干套安全、区通过升级固件版本以满足接入条件若干套安全、区不满足接入条件且无法升级的进行更换网络安全监测代理程序（Agent）若干套安全、区每台需采集网络安全信息的主机设备，均需要部署一套安防设备若干套安全、区通过升级固件版本以满足接入条件若干套安全、区不满足接入条

14、件且无法升级的进行更换3.本地扩展功能（可选）火电厂可根据需要在本地新增服务器和人机工作站。服务器承担数据库存储兼本地监视功能，用来存储监测装置采集到监视对象的运行信息、操作信息及告警信息，实现安全监视、安全告警、安全分析以及安全审计功能。人机工作站用来展示本地网络安全信息，用于本地监视，如图4所示。设备清单如表5所示。图4 火电厂网络安全监测装置本地扩展功能方案表5：火电厂本地扩展功能设备清单设备名称数量部署区域备注服务器1安全区数据库服务器兼做本地监视服务器，用于本地监视数据存储及分析审计人机工作站1安全区展示本地网络安全信息交换机1安全区用于本地监视功能组网安全操作系统2人机工作站及服务

15、器内数据库1安全区本地监视服务器平台软件1安全区本地监视服务器实现网络安全事件的集中监视、告警、分析、审计、核查功能 火电厂可根据本厂电力监控系统网络结构及功能需求确定部署方案和是否选用本地扩展功能。四、 工程实施 （一）工程开展前准备工作1.火电厂应收集本厂需接入的主机设备、网络设备、安防设备的信息，填写表3至表5。 表3 主机设备信息收集表序号监控系统名称系统厂商所在安全区主机名称IP地址操作系统备注操作系统名称版本号是否加固表4 网络设备信息收集表序号所属系统所在安全区设备名称设备厂商管理IP地址设备型号固件版本备注表5 安防设备信息收集表序号设备类型所属系统所在安全区设备名称设备厂商设

16、备型号固件版本备注2.明确采集并上送调度机构的网络安全监测信息内容,应覆盖主机设备、网络设备、通用及专用安防设备。 (1)主机设备 a.采集内容服务器、工作站及数据库的用户登录、操作信息、运行状态、移动存储设备接入、网络外联、SQL语句执行状态等事件信息,详见附表A.1、附表A.2。 b.采集方式在服务器、工作站上部署网络安全监测代理程序（Agent），将采集的网络安全信息发送至监测装置。监测装置作为服务端监听主机设备的连接请求。 (2)网络设备 a.采集内容用户登录、操作信息、配置变更、流量信息、网口状态等信息，详见附表A.3。b.采集方式l 通过SNMP协议主动从交换机获取所需信息；l 通

17、过SNMP TRAP协议被动接收交换机事件信息；l 通过日志协议（syslog）采集交换机信息。(3)安防设备a.采集内容用户登录、配置变更、运行状态、安全事件等信息，详见附表A.4、附表A.5、附表A.6。b.采集方式通过装置自身日志协议（syslog）将数据传至监测装置。 3.通过对现场信息进行收集后，火电厂应组织各相关专业、监测装置厂商、各业务系统厂商召开技术联络会，并确定以下信息： (1)确认网络安全监测装置安装地点，提前分配好机柜空间及电源。网络安全监测装置宜安装在保护室、电子间或信息机房内，可单独组屏，也可安装在其它自动化设备机柜内。新增机柜应采用与其安装场所适应的型式、尺寸、颜色

18、以及一致的标识样式； (2)确定现场不满足接入条件设备的适应性改造方案，包括：a.主机设备的网络安全监测代理程序（Agent），宜由监控系统厂家进行提供及安装。监控系统厂商不能提供采集程序的由监测装置厂家提供并安装，由相关监控系统厂家进行配合；b.不满足接入条件的网络及安防设备应进行相关版本升级，无法升级的设备应予更换；(3)确定网络安全监测装置和接入设备网口是否充足，网口数量不满足的应进行扩展或增加交换机；(4)规划和配置网络安全监测装置各接口IP地址。采集接口的地址由各业务系统分配，连接至调度端的地址由相应调控机构分配；(5)确定各有关设备厂商现场调试人员和工期安排。 （二）接入调试1.完

19、成对监测装置的上架及上电功能验证工作；2.完成对监测装置配置及线缆连接；3.完成与调度机构网络安全管理平台调试； 4.完成相关主机的agent部署，网络设备、安防设备的配置，不具备接入条件设备的固件升级；5.完成监测装置与主机设备、网络设备及安防设备的接入测试；6.模拟各类安全事件进行告警触发测试，验证各采集功能运行正常。各系统设备接入验收测试方法见附录B。 （三）工期安排详见附录C。五、 保障措施1.施工过程中,各火电厂应当落实安全生产责任,安排专门人员进行现场安全管理，确保安全措施可靠落实和安全生产工作有序开展。2.工作前应制定并实施相应安全生产及网络安全应急预案。3.工作中严格管控外来工

20、作人员行为，严禁连接外网，防止发生网络安全告警信息和违规外联。4.工作中如需对运行设备进行重启，应提前申请所需检修票，在保证业务正常运行的前提下进行操作。5.工程结束后，各火电厂应制定网络安全监测装置相关运维管理制度，规范运维人员工作流程和行为，保障网络安全监测装置可靠、稳定运行。 附录A 网络安全监测装置采集信息内容及方式附表A.1 主机设备采集信息表序号采集信息信息产生方式备注及说明1登录成功触发2退出登录触发3登录失败触发4操作命令触发5操作回显触发6USB设备插入触发7USB设备拔出触发8串口占用触发9串口释放触发10并口占用触发11并口释放触发12光驱挂载触发13光驱卸载触发14网络

21、外联事件触发被监测设备需阻断外联行为15存在光驱设备周期默认60分钟,可配置16开放非法端口触发17网口up触发18网口down触发19关键文件变更触发20用户权限变更触发附表A.2 数据库设备采集信息表序号采集信息信息产生方式备注及说明1数据库CPU利用率周期默认1分钟2数据库内存利用率周期默认1分钟3数据库磁盘信息-数据文件周期默认1分钟4数据库磁盘信息-归档文件周期默认1分钟5数据库磁盘信息-备份文件周期默认1分钟6数据库表空间使用情况周期默认6小时7数据库连接使用情况周期默认5分钟8数据库状态周期默认1分钟9数据库运行时长周期默认20分钟10数据库操作记录触发仅作为监视项，可进行历史查

22、询11数据库用户信息变更触发仅作为监视项，可进行历史查询12数据库用户登录失败触发当发生连续多次登录失败时，提炼形成重要告警13锁表-SQL语句长时间未提交触发当发生SQL语句长时间未提交时，由数据库作为重要告警发出14数据库计划任务执行失败触发当检测到数据库执行计划任务失败时，作为重要告警发出15锁表-SQL语句执行时间异常触发当检测到SQL语句执行时间异常时，作为重要告警发出16锁表-数据库脏页面情况周期默认20分钟附表A.3 网络设备采集信息表序号采集信息信息产生方式备注及说明1配置变更触发SNMP TRAP，当交换机配置有变更时产生2网口状态周期SNMP轮询（默认5秒钟,可配置），交换

23、机应能够提供所有网口的up/down状态3网口up触发SNMP TRAP，当交换机网口有设备接入时产生4网口down触发SNMP TRAP，当交换机网口有设备拔出时产生5网口流量超过阈值触发SNMP TRAP各网口流量阈值为80%，流量超限应通过TRAP主动上报。交换机应支持RMON协议告警组和事件组。6登录成功触发SNMP TRAP，当有用户成功登录交换机时产生7退出登录触发SNMP TRAP，当有用户退出登录交换机时产生8登录失败触发SNMP TRAP，当有用户登录交换机失败时产生9修改用户密码触发SNMP TRAP，当有用户成功修改交换机登录密码时产生10用户操作信息触发SNMP TRA

24、P，当有登录的用户对交换机进行任何操作时，需要产生命令行形式的操作信息。对于web登录的用户操作，交换机需要自行转换成命令行形式的操作信息11MAC地址绑定关系周期SNMP轮询（默认60分钟,可配置），交换机应能够提供所有网口的MAC地址绑定关系。交换机应绑定MAC地址，并关闭自动学习功能。附表A.4 防火墙采集信息表序号采集信息信息产生方式备注1用户登录成功触发2用户退出触发3用户登录失败触发4修改策略触发5CPU利用率周期默认1分钟6内存利用率周期默认1分钟7电源故障触发8风扇故障触发9温度异常触发10网口状态异常触发11网口状态恢复触发12不符合安全策略的访问触发13攻击告警触发附表A.

25、5 IDS采集信息表序号采集信息信息产生方式备注1攻击告警触发附表A.6 横向隔离装置采集信息表序号采集信息信息产生方式备注1系统登录触发2修改配置触发3CPU利用率周期默认1分钟4内存利用率周期默认1分钟5不符合安全策略的访问触发附录B 监测装置数据采集及上送验收测试方法附表B.1监测装置对自身数据采集测试方法用例标识测试内容测试方法现场验收结果001登陆成功登陆监测装置，通过管理平台能够查看登陆信息；通过未通过002退出登陆退出监测装置，通过管理平台能够查看退出信息；通过未通过003登陆失败输入错误登陆信息，通过管理平台能够查看登陆失败事件；通过未通过004操作命令登陆装置，执行命令，新增

26、文件夹，通过管理平台能够查看新增文件夹事件记录通过未通过005操作回显登陆装置，执行命令，ls；通过管理平台能够查看操作记录通过未通过*006USB设备插入插入USB设备到装置，通过管理平台能够查看到USB插入事件记录通过未通过*007USB设备拔出拔出USB设备，通过管理平台能够查看到USB拔出事件记录通过未通过*008网络外联事件使用笔记本电脑远程连接装置，该笔记本电脑IP不在变电站网段中，通过管理平台能够查看到网络外联事件记录通过未通过009装置硬件故障模拟装置故障，装置断电，通过管理平台能够查看到设备离线事件记录通过未通过010装置电源故障装置单电源运行，通过管理平台能够查看到设备单电

27、源故障事件记录通过未通过附表B.2监测装置对主机设备数据采集测试方法用例标识测试内容测试方法现场验收结果011登录成功使用SSH 管理工具登陆主机，通过管理平台能够查看登陆信息通过未通过012退出登陆退出SSH登陆，通过管理平台能够查看退出信息通过未通过013登陆失败输入错误登陆信息，通过管理平台能够查看登陆失败事件通过未通过014操作命令使用SSH 管理工具登陆主机，执行命令，新增文件夹，通过管理平台能够查看新增文件夹事件记录通过未通过015操作回显使用SSH 管理工具登陆主机，执行命令，ls；通过管理平台能够查看操作记录通过未通过*016USB设备插入插入USB设备到主机，通过管理平台能够

28、查看到USB插入事件记录通过未通过*017USB设备拔出拔出USB设备，通过管理平台能够查看到USB拔出事件记录通过未通过*018网络外联事件使用笔记本电脑SSH远程连接主机，该笔记本电脑IP不在变电站网段中，通过管理平台能够查看到网络外联事件记录通过未通过附表B.3监测装置对网络设备数据采集测试方法用例标识测试内容测试方法现场验收结果019登录成功登陆交换机，通过管理平台能够查看登陆信息通过未通过020退出登陆退出登陆，通过管理平台能够查看退出信息通过未通过021登陆失败输入错误登陆信息，通过管理平台能够查看登陆失败事件通过未通过*022网口up交换机网口接入设备，通过管理平台能够查看网口u

29、p信息记录通过未通过*023网口down交换机网口网线拔出，通过管理平台能够查看网口down信息记录通过未通过024配置变更修改交换机配置，通过管理平台能够查看交换机配置变更事件记录通过未通过025修改用户密码修改交换机用户名密码，通过管理平台能够查看交换机用户名密码变更事件记录通过未通过026用户操作信息登录交换机，输入命令进行操作，通过管理平台能够查看交换机用户操作信息。通过未通过027MAC绑定关系修改MAC绑定关系，通过管理平台能够查看交换机网口MAV绑定关系通过未通过附表B.4监测装置对防火墙数据采集测试方法用例标识测试内容测试方法现场验收结果028登录成功登陆防火墙，通过管理平台能

30、够查看登陆信息通过未通过029退出登陆退出登陆，通过管理平台能够查看退出信息通过未通过030登陆失败输入错误登陆信息，通过管理平台能够查看登陆失败事件通过未通过031修改策略修改防火墙策略，通过管理平台能够查看修改策略事件记录通过未通过032电源故障防火墙单电源运行，通过管理平台能够查看电源故障事件记录通过未通过*033不符合安全策略的访问使用防火墙策略IP范围外的电脑进行访问业务；通过管理平台能够查看不符合安全策略访问记录通过未通过*034攻击告警主机发送命令： ping -l length（length略高于防火墙设定值）到防火墙，通过管理平台能够查看攻击告警记录通过未通过附表B.5监测装

31、置对隔离装置数据采集测试方法用例标识测试内容测试方法现场验收结果035系统登录管理工具登录正向/反向隔离装置，通过管理平台能够查看登陆信息。通过未通过036修改配置管理工具修改正向/反向隔离装置配置，通过管理平台能够查看修改配置信息记录通过未通过*037不符合安全策略的访问管理工具限定正/反向隔离装置外网端口6666，使用7777端口的发包工具向隔离发包，通过管理平台能够查看到隔离不符合安全策略的访问事件记录。通过未通过附表B.6监测装置对IDS数据采集测试方法用例标识测试内容测试方法现场验收结果038*攻击告警模拟流量特征库中攻击行为到入侵监测系统，通过管理平台能够查看入侵保护事件告警记录通过未通过注：人机界面指监测装置本地图形化管理界面；管理平台指调度机构网络安全管理平台。附录C实施方案工期安排表附表C.1实施方案工期安排表序号工程地点工作内容工程周期/工作日涉及组织机构计划实施人数/人计划实施日期1XX火电厂XX实地勘察应用系统正常运行的条件和现场机房、电源、机柜等相关环境并申请IP地址1监测装置厂商 12监测装置部署1监测装置厂商 13安防设备接入监测装置1-2监测装置厂商 、火电业务厂商 14配合电厂火电业务厂商将涉网业务系统设备接入监测装置5监测装置厂商 、火电业务厂商 15本地采集告警功能测试，与上级级联功能测试1-2监测装置厂商 、火电业务厂商 1