南瑞电力监控系统网络安全管理系统介绍ppt课件.ppt

南瑞电力监控系统网络安全管理系统介绍,南瑞信通2018年1月,汇报提纲,概述,1,网络安全管理系统,2,系统建设,3,近年来，相继发生乌克兰大面积停电（2015年）、美国东部互联网服务瘫痪（2016年）、全球爆发勒索病毒（2017年）等事件；电力系统已成为国际网络战的重要攻击目标，电力监控系统安全防护承受巨大压力，需要建立网络安全管理的技术手段。,威胁日益突出,网络安全法设置专门章节对电力等关键信息基础设施的网络安全提出更高的要求：采取监测、记录网络运行状态和网络安全事件的技术措施；公司高度重视网络安全工作，将网络安全视为大电网安全的重要组成部分，明确要求建立电力监控系统网络安全事件快速反应机制和预防预控机制。,要求日益严格,网络安全面临严峻的挑战,3,由“安全分区、网络专用、横向隔离、纵向认证”的边界防护和自主可控的系统本体安全防护构成的防护体系 ，已在保障电网安全运行中发挥了重要作用。网络安全的检查和评估结果表明：网络边界安全防护和系统本体安全防护措施的落实对管理依存度较高，需要实时监视和闭环管控的技术手段支撑。,现有安全防护体系的闭环管理需要技术手段支撑,4,纵向加密认证装置,采集对象,监测事件,应用功能,现状,需求,现有内网安全监视平台的技术能力急需提升,5,工作进展,6,确立面向主机设备采集网络安全信息的思想，启动网络安全管理系统的研发工作。,完成平台技术方案的设计和关键技术验证，制定三个方案。,完成主机网络安全采集技术，网络安全监测装置、网络安全管理平台的设计、研发和联调。,天津市调、重庆市调和国调中心开展平台及装置应用验证。覆盖变电站、发电厂、调控机构三类监控系统。,项目启动2016年12月,方案设计2016年12月,技术研发2017年1月-4月,试点应用2017年6月-9月,扩大试点2017年10月-至今,装置监测2017年12月-至今,华东、江苏、北京等15个网省调扩大试点,国调统一组织开展网络安全监测装置（型）电科院检测,汇报提纲,概述,1,网络安全管理系统,2,系统建设,3,8,按照设备自身感知、监测装置分布采集、管理平台统一管控的原则，构建感知、采集、管控三层架构的网络安全管理系统技术体系。,实现网络安全实时监视告警、分析定位、追踪处置、审计溯源、风险核查和协同管控等功能的集成。,实现对调控机构、变电站、并网电厂等电力监控系统网络安全数据的采集，以及与网络管理平台的通信与交互。,实现服务器、工作站、交换机、纵向加密、正/反向隔离等设备自身网络安全事件的感知及上报，并具体执行安全核查。,统一管控,分布采集,自身感知,网络安全管理平台,服务器工作站,数据库,网络设备,防火墙、IDS,正反向隔离,纵向加密认证,网络安全监测装置,网络安全监测装置,系统架构,部署体系,9,构建基于网络安全管理平台分级部署，协同管控的网络安全管理体系，覆盖各级调控机构、发电厂和变电站，实现网络安全数据的分布采集、全面贯通，保障安全数据送达的范围与管理职责相匹配。同时，监测装置和管理平台提供网络安全服务，支撑网络安全服务按照标准接口形式实现分布处理、广域响应。,10,系统特点,南瑞信通依据国调对网络安全管理系统的要求，并结合自身的相关技术积累及工程项目经验，开展系统开发工作。一、规范性：系统功能及告警处理方式严格按照电力监控系统网络安全管理平台功能规范-基础平台、电力监控系统网络安全管理平台功能规范-应用以及电力监控系统网络安全监测装置技术规范进行开发，并正送交电科院进行功能测试。,二、安全性：采用自研的通过公安部三级认证的TMAC-3000安全加固软件对网络安全监测装置进行操作系统级别安全加固，满足网络安全法、14号令、36号文等国家法律、法规要求；,三、自主可控南瑞信通研制的网络安全管理系统包括漏洞扫描、基线核查等模块均自主研发，能够满足用户高级应用模块开发、软件集成等需求，并提高工程实施的自主性，降低用户投资成本。目前其它单位部分模块需外委第三方采购或开发，成本较高。,11,系统特点,四、适用性1）国调目前调控主站主要针对凝思、麒麟操作系统进行安全监测，变电站及电厂依靠监控系统厂商进行实现，针对此存在的监测主机无法全面覆盖的问题，依托自己的安全操作系统研发团队自研涵盖各类操作系统的安全监测工具。下表为我方能支持的采集项，其它厂商支持有限。2）考虑到存量变电站及电厂存在的无法通过部署安全监测工具实现对主机监测的问题，在网络安全监测装置进一步增加流量分析、拓扑调阅功能，实现对外来设备接入、远程登录、开启危险端口的安全监测。,11,实时数据,应用服务,历史数据,数据采集,安全核查,模型管理,平台管理,安全审计,安全分析,安全监视,五类安全应用,平台支撑模块,安全告警,安全告警,安全分析,安全监视,模型管理,平台管理,数据采集,架构设计,安全审计,安全核查,NS5000网络安全管理平台,12,网络安全管理平台主要通过网络安全监测装置对主站和厂站监控系统信息进行采集，并通过管理VPN与主站网络安全管理平台数据采集网关进行数据通信。,13,NS5000网络安全管理平台,安全告警,安全分析,安全监视,模型管理,平台管理,数据采集,架构设计,安全审计,安全核查,14,NS5000网络安全管理平台,安全告警,安全分析,安全监视,模型管理,平台管理,数据采集,架构设计,安全审计,安全核查,服务器,工作站,网络设备,纵向加密,横向隔离,防火墙,数据库,入侵检测,防病毒,15,NS5000网络安全管理平台,安全告警,安全分析,安全监视,模型管理,平台管理,数据采集,架构设计,安全审计,安全核查,平台管理提供管理平台自身及相关应用的配置管理功能，本功能用来维护系统的完整性和可用性，提高系统的运行效率。,16,NS5000网络安全管理平台,安全告警,安全分析,安全监视,模型管理,平台管理,数据采集,架构设计,安全审计,安全核查,模型管理模块从设备、区域、厂商三种维度来展示和管理平台相关模型。每个维度可以单独进行配置，这三个维度既相互独立，又密切相关。,17,NS5000网络安全管理平台,安全告警,安全分析,安全监视,模型管理,平台管理,数据采集,架构设计,安全审计,安全核查,功能：安全监视是实时监视主机、网络、安防等设备的操作事件和网络事件，识别攻击行为和不安全行为，实现对异常事件和行为进行告警和跟踪。实现： 将采集的网络安全数据通过采集消息总线发送给分析服务模块，分析服务模块处理收集到的数据，将必要的数据存入实时库，生成具体的监视、告警信息推送给人机，人机的监听模块获取相关信息后展示给用户，并根据用户的操作向分析服务模块发送请求，分析服务模块收到请求后再从实时库中提取相关数据，发送给人机进行数据展示。,运行设备监视,拓扑监视,登录监视,行为监视,外部设备接入监视,威胁监视,安全监视结构示意图,18,NS5000网络安全管理平台,安全告警,安全分析,安全监视,模型管理,平台管理,数据采集,架构设计,安全审计,安全核查,18,按照国调定义的安全告警级别及处置方式，将安全事件划分为紧急、重要、一般三个等级，并以文字、声音、动画、短信等方式对网络安全事件进行告警。,19,NS5000网络安全管理平台,安全告警,安全分析,安全监视,模型管理,平台管理,数据采集,架构设计,安全审计,安全核查,功能：安全分析是基于运行积累的各项统计数据，利用比较、关联和大数据等分析手段，对网络运行的状态、趋势进行分析。实现： 告警处理模块分析出告警信息后，通知数据分析模块，其接收到告警通知后查询历史数据库对告警数量、告警曲线等信息进行统计分析并将分析后结果写入历史数据库和实时数据库，人机界面通过查询历史库和实时库进行获取统计数据并进行展示。,指标分析,周期分析,多维分析,安全分析结构示意图,20,NS5000网络安全管理平台,安全告警,安全分析,安全监视,模型管理,平台管理,数据采集,架构设计,安全审计,安全核查,功能：基于历史记录数据，在事后对所有安全事件、操作行为进行关联、跟踪和追溯的分析，并作出相应安全评价，以发掘未被实时管理的安全漏洞与安全风险。实现：数据采集模块将采集的信息通过采集消息总线发送给数据处理模块，数据处理模块进行分析处理后存入历史库；数据分析服务通过服务总线注册并对外提供审计数据服务，人机界面通过服务总线发现数据服务并建立连接，数据分析服务通过查询历史数据库，分析统计人机界面请求审计信息，并反馈给界面进行展示。,登录操作审计,接入行为审计,安全事件审计,综合事件审计,21,NS5000网络安全管理平台,安全告警,安全分析,安全监视,模型管理,平台管理,数据采集,架构设计,安全审计,安全核查,21,功能：基于漏洞库和安全配置基线，对安全漏洞、弱口令、安全配置进行扫描和核查，实现网络安全的主动防御。安全风险评估实现：安全风险评估服务连接/区采集装置的探针程序，向对应安全区的设备进行安全风险评估。考虑到对电力监控系统的影响，平台提供基础风险评估及深度风险评估功能模块。安全配置核查实现：预先将核查脚本分发到主机上，由平台发起安全配置核查任务，由操作系统执行核查脚本，并将核查结果返回给安全配置核查服务程序。,安全风险评估,用户口令扫描,安全配置核查,22,NS5000网络安全管理平台,安全告警,安全分析,安全监视,模型管理,平台管理,数据采集,架构设计,安全审计,安全核查,22,23,23,网络安全监测装置,网络安全监测装置（安全网关机）是网络安全管理平台数据的来源方和命令的传递者。负责采集监测对象的安全信息，控制监测对象执行指定命令，向平台提供安全事件数据、支持相关服务调用。网络安全监测装置分为型和型。型网络安全监测装置主要实现对主站调度机构内部的主机设备、网络设备、安全设备进行监测；型网络安全监测装置主要实现对变电站站控层、发电厂涉网部分的主机设备、网络设备、安全设备进行监测。,通过多种通信方式采集服务器、工作站、网络设备、安全防护设备等管理对象的信息。,24,南瑞ISG-3000网络安全监测装置（型）,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,25,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,南瑞ISG-3000网络安全监测装置（型）,注：按照国调原则变电站及电厂内的调度数据网网络设备、纵向加密装置、数据库不纳入监测范围。,26,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,服务器,工作站,网络设备,横向隔离,防火墙,南瑞ISG-3000网络安全监测装置（型）,27,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,南瑞ISG-3000网络安全监测装置（型）,28,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,南瑞ISG-3000网络安全监测装置（型）,29,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,南瑞ISG-3000网络安全监测装置（型）,对采集到的事件数据进行分析处理，最终形成事件上报到网络安全管理平台。同时，以服务代理的形式提供服务，供网络安全管理平台调用。,网络安全管理平台,服务代理,本地,转发,网络安全监测装置,监测对象,服务代理,本地,转发,网络安全监测装置,监测对象,30,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,南瑞ISG-3000网络安全监测装置（型）,网络安全监测装置具备本地管理功能，本地管理采用图形界面对网络安全监测装置进行本地化的安全管理。,31,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,国调规范外扩展功能，正在开发或已开发完成,南瑞ISG-3000网络安全监测装置（型）,32,为弥补厂站主机Agent不易工程实施的问题，采用通过捕获交换机镜像口流量进行协议分析方式，对异常流量和行为进行实时监视与预警。,解析报文IP和MAC地址，匹配设备资产表，发现未知设备告警。,监测Syn Flood、Land Attack、UDP Flood Attack等安全攻击。,监测非法服务及端口开启，如启用勒索病毒445端口。,未知设备接入,网络攻击报文,开启非法服务,基于工控协议状态机、关键字段建立合规协议规则库，发现异常协议报文告警。,工控协议异常,通过监测远程登录协议，监测用户登录、退出等行为。,登录监测,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,南瑞ISG-3000网络安全监测装置（型）,33,网络安全管理平台,另外可考虑与防病毒软件同时部署的方式，实现对安全事件的采集。防病毒管理平台（服务端）部署于网络安全监测装置，防病毒客户端部署于主机设备。同时通过网络安全管理平台进行防病毒统一管理。,病毒管理,防病毒客户端,服务器/工作站,网络安全监测装置,病毒事件,病毒查杀策略病毒库,病毒事件,病毒查杀策略病毒库,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,南瑞ISG-3000网络安全监测装置（型）,34,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,南瑞ISG-3000网络安全监测装置（型）,35,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,为实现对变电站资产的远程管理和安全事件的快速定位，实现对变电站拓扑的自动发现并支持网络安全管理平台的远程拓扑调阅。,南瑞ISG-3000网络安全监测装置（型）,网络安全监测装置定位是电力监控系统逻辑上的一个功能模块，地调、220KV及以上变电站要求达到等级保护三级标准。按此原则，装置至少需要满足三级要求。通过自研的满足操作系统三级安全防护强度要求的TMAC-3000安全组件对监测装置进行安全加固。,36,采集与通信,流量分析,安全防护设计,事件处理与服务,本地管理,防病毒,拓扑调阅,南瑞ISG-3000网络安全监测装置（型）,汇报提纲,概述,1,网络安全管理系统,2,系统建设,3,实施计划要求,38,优先：对国外引进机组的火电厂、风电场、光伏电站和基于WINDOWS的电力监控系统，先行部署。存量：2018年开始，用5年的时间完成现有35kV及以上厂站的网络安全监测装置的部署工作。2018年底前至少完成15%存量厂站的建设。增量：新建变电站和并网电厂，网络安全监测装置与电力监控系统同步开展建设。,2018年底前,2022年底前,按照国调国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知（国家电网调20171084号）要求，2018年上半年完成省级以上调度机构平台建设， 2018年上半年完成省级以上调度机构平台建设。从2018年开始用5年的时间，完成公司经营区域内35kV及以上厂站的网络安全监测装置的部署工作。增量部分从设计环节入手，网络安全监测装置与电力监控系统同步开展建设。,39,调度端建设主要包括对操作系统、数据库进行适应性改造，部署网络安全监测装置、部署NS5000网络安全管理平台三个方面。,网络安全管理平台部署方案,网络安全管理平台所需设备清单,40,表1：国调典型设计配置要求，原服务器可以利旧使用。,网络安全管理平台建设作业标准化,41,NS5000网络安全管理平台在现场部署实施前，需要做好准备工作，包括现场调研、IP地址分配、实施方案制定、机柜位置确定、组网测试、工作票准备等。,厂站端建设主要包括对操作系统适应性改造，部署ISG-3000网络安全监测装置两个方面内容。在进站实施前，一定要详细调研清楚监控系统主机、交换机、防火墙、隔离装置等版本、型号。,网络安全监测装置部署拓扑,42,43,二、厂站网络安全监测装置主要技术参数:1U整层机箱；4核CPU，8GB内存；256GB硬盘容量；8个自适应网口， 1个B码对时接口；双路直流电源独立供电。,一、单个厂站部署规模：区和区间有防火墙的，只需在区部署1台网络安全监测装置；区和区间没有防火墙的，需在区和 区各部署1台网络安全监测装置。,厂站网络安全监测装置设备清单,建设标准化作业流程,44,厂站网络安全监测装置在现场部署实施前，需要做好准备工作，包括现场调研、接入测试、IP地址分配、实施方案制定、机柜位置确定、工作票准备等。,厂站现场调研要点,45,按照国调要求，变电站站控层、电厂涉网部分全部设备都应纳入网络安全监测范围。在进站实施前，需要对现场情况进行详细调研，包括网络拓扑、物理环境及主机、交换机、防火墙、隔离装置等版本、型号等。一、网络结构调研要点主要调研现场、区是否有防火墙进行相连，用于确定型网络安全监测部署区域。二、物理环境调研要点主要调研是否有足够的空间安装设备、调度数据网交换机与站控层交换机之间的距离（ 型网络安全监测装置需要同时接入站控层网络和调度数据网网络）以及是否有电源。三、主机设备调研要点主要为主机所属业务系统、厂商，操作系统类型、版本、位数、硬件架构及能否部署对应的Agent程序。四、站控层交换机调研要点主要为交换机型号、厂商、是否支持公有SNMP协议及支持协议版本（V2或V3版本），能否进行软件固件升级已完全满足国调的安全事件采集要求等。五、安防设备调研要点主要为安防设备型号、厂商。防火墙需调研能否软件进行升级以满足国调的安全事件采集要求，如不能需协调防火墙厂商提供对应型号的解析插件。,问题及建议措施,46,问题一：非监控系统主机设备Agent部署问题描述：目前国调原则上是由监控系统厂家开发主机Agent监测软件并部署，对于保信、五防、故录等目前未收到明确的消息如何部署。建议措施：建议由保信、五防、故录等厂家进行自主开发方式为第一选择方案；其次采用由型网络安全监测装置厂商负责开发方式。问题二：主机设备Agent部署困难问题描述：存量主机设备较为老旧，部分业务系统厂家无法提供对应的Agent监测程序。建议措施：可采用南瑞信通自主开发的主机Agent监测软件，另一方面也可通过南瑞信通网络安全监测装置（型）独有的流量分析功能实现对部分网络安全事件的采集。,问题及建议措施,47,问题三：交换机不支持SNMP协议问题描述：现场交换机不支持SNMP协议且相关固件难以升级，唯有通过更换交换机硬件设备才能满足需求。建议措施：目前国调尚未有明确的说法，建议先期接入能接入的设备。问题四：防火墙不支持标准格式规范的协议问题描述：防火墙发出的日志格式不符合规范要求，难以进行接入。建议措施：一方面协调防火墙能够升级成满足格式规范要求，如果实在不能则建议由防火墙厂家提供对应的协议解析插件。问题五：隔离装置不支持标准格式规范的协议问题描述：部分隔离装置厂家的装置不支持协议规范要求。建议措施：由隔离装置厂家进行升级以满足要求。,汇 报 完 毕！,