新能源电厂电力监控系统网络安全监测装置典型部署方案

新能源电厂网络安全监测装置典型部署方案一.建设背景XX二、网络安全监测装置.型号口型网络安全监测装置.接口规范(以科东为例)(I)采用RJ45接口；(2)具备8个10M/100M/1000M自适应以太网电口(支持网口扩展)；(3)两个交流220V/50HZ,电源插座；(4)两个电源开关；(5)两个出82.0接口。.物理特性尺寸：采用1U整层机箱；重量：10kg。.设备外观三、部署方案1接入范围新能源电厂设备接入范围为涉网业务系统的主机设备，包括远动装置（RTU\PMU、故障录波、保信子站、电能量采集装置、功率预测服务器等，网络设备（内网交换机）以及通用安防设备（防火墙、IDS）和专用的安全防护设备（正、反向隔离设备）的接入（由于目前网络安全监测装置没有针对日志审计系统制定采集规范，因此不在本次监控范围之内1远动装置、PMU终端装置通过调度数据网与调度端通讯，独立挂载于调度数据网交换机实时vlan端口上；电能量采集装置、故障录波装置通过调度数据网与调度端通讯，独立挂载于调度数据网交换机非实时vlan端口上。针对主机设备、网络设备、通用及专用安防设备的具体监视项详见附录1。O2技术方案1）简易型部署方案：图1简易型电厂部署拓扑图在电厂的安全I、口区各部署一台口型网络安全监测装置，一端连接到电厂各个涉网业务系统交换机，另一端连接至调度数据网交换机（如果告警信息需要同时上送至省调及地调主站侧，装置可同时分两路进行数据转发），负责采集电厂涉网业务系统的服务器、工作站、网络设备（内网交换机）和安全防护设备的安全事件，对于告警信息进行本地存储以外，同时将告警信息转发至调度端主站侧的数据网关机，最终汇总到主站侧网络安全管理平台。经过调研反馈，目前现场不存在AB双网，如果电厂内存在A、B网，则n型网络安全监测装置分别接入A、B网交换机，实现对监视对象的采集。如果需要将非法外联隐患较大的风机监控系统（非涉网部分）纳入监视范围则需要口型网络安全监测装置接入风机监控系统的交换机实现对风机监控系统的后台监控主机等监视。2）标准型监控部署方案一：安全-IX.介二十安全-IX.介二十7一一南度数据向一一、一八呻?!内网交触11•II;I!图2标准一型电厂部署拓扑图在简易型监控部署方案基础上，为了实现场站端就地监视功能,落实场站作为安全防护主体责任人的要求，可以通过增加在口区部署一台人机工作站，口型网络安全监测装置客户端软件部署在人机工作站上，实现本地监视和本地管理功能。3）标准型监控部署方案二：安全区安全：区卫B%VP上」纵向加盟认证装安全区安全：区卫B%VP上」纵向加盟认证装2K纵臼机空认证装置姒向加空认沽54曾IDS工一嬴wwirIDS工一嬴wwir”!内网交涣机i涉网业务系统内网交炭机电能看乘 功率使薰PM 返动机,、 集系统 版务笈在标准塞监丘部者力荣一基础上，为子细化入地监视和本地官理功能，可以增加两台服务器，一台作为数据库服务器，另外一台作为本地监视服务器，用来存储口型网络安全监测装置采集到的监视对象的运行信息、操作信息及告警信息，并部署数据库和对应程序模块实现安全监视、安全告警、安全分析以及安全审计功能，进一步细化并更加全面的落实场站安全防护主体工作。3适应性改造41.改造方案说明：新能源电厂部署网络安全监测装置的同时需要协调对应的电厂业务厂商，对监视的服务器、工作站、网络设备（非调度数据网交换机）进行适应性改造，实现对其自身感知的安全事件进行采集。装置类被监测对象操作系统多为经过裁剪的Linux操作系统，很多协议及端口受到限制，不便于agent监测程序的开发，因此改造的优先程度为先改造局域网型被监测对象，后改造装置类被监测对象，可以为装置类的agent监测程序的开发留出更多时间，同时也可以考虑将装置类的被监测对象替换为非装置类，便于部署agent监测程序。）主机的改造：新能源电厂方面需要将监视的业务的服务器、工作站的操作系统通过部署agent的方式进行改造,agent可由场站业务厂商提供，也可使用第三方厂商提供的agent,如果采用第三方厂商提供的agent,先由场站业务厂商做集成测试，完成测试后再到现场进行部署。目前部分第三方厂商针对主流的linux系列、windows系列、UNIX系列的agent已经完成研发。详细信息参见附录1、附录2、附录3内容。2）交换机的改造：交换机需要满足SNMPV2或V3协议，如果不满足，则需要进行版本升级或彻底更换。对于满足SNMPV2或V3协议的交换机但不能完全满足采集规范时，需要由场站业务厂商进行私有mib的开发。目前装置支持对于国产主流型号的交换机进行数据采集。工控交换机目前部分厂商支持改造接入条件。详细信息参见附录4、附录5、附录6、附录7内容。如果口型网络安全监测装置具备流量分析功能时，若内网核心交换机镜像口被IDS占用,则可新增一台交换机串接，并将新增交换机镜像出2路镜像口，分别接入ids和n型网络安全监测装置；若无IDS占用核心交换机镜像口，则n型网络安全监测装置需要接入内网核心交换机的镜像口。3）安防设备的改造：安防设备发送的报文日志格式需要要满足按照《GB/T31992-2015电力系统通用告警格式》规范要求，否则需要安防设备厂商提供日志格式转换的动态库。详细信息参见附录8、附录9内容。3.4装置功能本地监视功能1、本地数据采集:(1)应支持对服务器、工作站、网络设备、安全防护设备等监测对象进行数据采集;(2)应支持采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息；(3)应支持采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息;(4)应支持采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息；(5)应支持触发性事件信息的采集和周期性上送的状态类信息的采集。2、数据分析处理:(1)应支持以分钟级统计周期，对重复出现的事件进行归并处理;(2)应支持根据参数配置，对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理，根据处理结果决定是否形成新的上报事件。(3)应支持对网络设备日志信息进行分析处理，提取出需要的事件信息(如用户添加事件)；(4)可以形成外设接入事件、用户登录事件、危险操作事件、状态异常事件等上传事件。具体内容请参见附录10o3、安全分析：使用综合分析手段，通过对设备安全监视与安全告警数据进行不同维度的分析与挖掘，提供多视角、多层次的分析结果。4、监视告警：(I)应遵循《GB/T31992-2015电力系统通用告警格式》，提供实时告警、历史告警功能。(2)应针对监测装置的告警情况，采用告警提示窗、告警悬浮、告警轮播等多种方式实时展示告警情况;(3)告警范围包括：安全事件类、运行异常类、设备故障类、人员操作类告警。(4)应提供6个月内的安全告警信息的记录、查询等功能。包括设备信息、安全告警发生次数、发生时间、告警内容、是否解决、解决方法等信息。支持按所属区域、安全区、电设备类型等属性进行告警筛选，支持按告警级别、确认状态、发生时间等属性对告警进行搜索的功能，支持告警内容的全文检索，支持按关键字段对告警记录进行排序。5、参数管理:网络安全监测装置参数配置项应至少包括系统参数、通信参数及事件处理参数，支持参数配置导出功能及同产品的参数配置备份导入功能，即达到同产品的参数配置的互换性。6、图形化展现:应提供本地图形化界面，对监视对象进行监视管理，满足如下要(1)应支持采集信息、上传信息的本地查看，应支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看;(2)应具备自诊断功能，至少包括进程异常、通信异常、硬件异常、CPU占用率、过高、存储空间剩余容量过低、内存占用率过高等，检测到异常时应提示(3)应具备用户管理功能，基于三权分立原则划分管理员、操作员、审计员等，不同角色，并为不同角色分配不同权限；应满足不同角色的权限相互制约要求，应不存在拥有所有权限的超级管理员角色；(4)应具备资产管理功能，包括资产信息的添加、删除、修改、查看等，资产信息应包括：设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等；(5)应支持采集信息、上传信息的本地查看，应支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看；(6)应支持对监视对象数量、在离线状态的统计展示，应支持从设备类型、事件等级等维度对采集信息、 上传信息进行统计展示；(7)应具备日志功能，日志类型至少包括登录日志、操作日志、维护日志等；(8)日志内容应包括日志级别、日志时间、日志类型、日志内容等信息，日志应具备可读性；342通信功能支持与监测对象通信，包括服务器、工作站、网络设备、安全防护设备。支持与管理平台通信，包括事件上传通信和服务代理通信。1、服务代理:网络安全监测装置以服务代理的形式，提供服务给网络安全管理平台调用，服务代理应满足如下要求:(1)应支持远程调阅采集信息、 上传事件等数据信息，应支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息;(2)应支持对被监测系统内的资产进行远程管理，包括资产信息的添加、删除、修改、查看等；(3)应支持参数配置的远程管理，包括系统参数、通信参数及事件处理参数；(4)应支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用；(5)应支持通过代理方式实现对服务器、工作站等设备主动断网命令的调用；(6)应支持通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看；(7)应支持通过网络安全管理平台对网络安全监测装置进行远程程序升级。四.工程实施4.1实施前准备1、为口型网络安全监测装置申请并分配IP地址,包括新能源电厂内各系统（包括A、B网地址）以及调度数据网IP地址；2、组织开展前期调研工作，下发调研清单了解新能源电厂内各业务系统、监控对象具体操作系统版本以及与各电厂业务厂商详细确定agent监控程序开发完成时间，同时制定完整的厂家联系人登记表,方便项目实施过程的沟通，具体调研内容详见以下分项调研表：（1）主机设备:序号场站名称涉网（站控）业务类型（站控）业务主机名称IP地址所在安全区安全一、二区网络是否可达（是否使用防火墙、隔离设备进行防护）操作系统场站业务厂商名称填表人姓名、联系电话（必填）型号发行版本号表1主机设备信息调研表（2）安防设备:序号安防设备类型所在安全区日志格式是否满足国调要求或可提供日志解析插件厂商名称是否启用备注表2安防发行设备信息调研表（3）网络设备：序号连接设备涉网（站控）业务类型内网交换机名称IP地址所在安全区设备厂商固件版本型号是否支持固件升级支持SNMP协议版本支持镜像口数量备注表3网络设备信息调研表3、与各场站业务厂商及安全防护设备厂商确定好入厂实施时间,（在入厂前应保证主机、网络、安防设备具备接入条件）；4、分配机柜空间及电源。口型网络安全监测装置为1U整层机箱,支持双路交、直流电源独立供电；4.2现场实施1、完成对n型网络安全监测装置的上电功能验证并完成上架工作；2、完成对n型网络安全监测装置IP地址分配并接入内网及调度数据网；3、添加纵向策略，保证与上级网络安全管理平台正常通信。4、各场站业务厂商完成相关主机的agent部署及交换机的固件升级;5、安全防护设备厂商将syslog地址配置为II型网络安全监测装置的地址；6、配合各场站业务厂商及安防设备厂商对口型网络安全监测装

置同主机设备、交换机、防火墙及隔离装置的接入测试;7、在确保测试环境安全的前提下，模拟各类安全事件进行告警触发测试，验证验证各采集功能运行正常。具体验收测试用例详见附件7。4.3工期安排序号工程地点工作内容工程周期（工作日）涉及组织机构计划实施人数/人计划实施日期1X场站设备发货、到货10场站业务J商、第二方供货单位12实地勘察应用系统正常运行的条件和现场机房、电源、机柜等相关环境并申请IP地1装置1家工程项目组人员13n型网络安全监测装置部署1装置J家，程项目组14安防设备接入监测装置1-2装置J家工程项目组、场站业务）商15配合场站业务J商将涉网业务系统设备接入监测装置5装置J家工程项目组、场站业务1商16本地采集告警功能测试，与上级级联功能测试 4.41-2常见案例装置J家，程项目组、场站业务）商 1案例一：监控对象分散且距离较远案例描述：目前对于被监控对象位置分散且部署距离较远（机房不在同一区域情况）如何进行接入。建议措施:建议将口型网络安全监测装置同核心交换机部署在同一机房，其它分散被监控对象由场站通过重新布线的方式实现远距离被监控对象的接入。案例二：交换机环网部署接入方案案例描述：目前电厂核心交换机存在环网部署的情况，是否需要同时接入两台核心交换机。建议措施：电厂交换机环网部署能够实现核心交换机冗余互备功能，即在一台交换机出现故障的情况下另外一台交换机可以正常使用确保业务不受影响，因此需要分别接入两台核心交换机。案例三：同一安全区内各个业务系统之间存在防火墙案例描述：目前电厂两个独立组网的业务系统之间如果需要进行数据交互，较多使用防火墙进行逻辑隔离，其中防火墙是否需要纳入监控范围，如何进行监控。建议措施：针对电厂同一安全区内各个独立组网的业务系统之间使用的防火墙需要作为安防设备纳入到监控范围之内，可以通过使用网线将防火墙和装置进行连接，从而进行监控，前提也需要保证防火墙传输日志的格式满足国调日至规范。案例四：装置网口数量无法满足现场接入数量案例描述：目前部分电厂存在A、B双网以及需要同时将告警信息上送至省调、地调平台或网调、省调平台，另外如果考虑接入调度数据网一、二平面的情况，装置自身的八个网口已大多被使用，电厂内部实际业务系统或装置类业务如需要通过网线同n型网络安全监测装置进行直联传输告警信息，网口数量不足如何解决。建议措施：口型网络安全监测装置存在八个千兆网口，并且支持网口扩展，可以通过装置网口外接交换机的方式进行扩展。针对电厂各个业务系统存在独立使用交换机进行组网的情况，进行网口扩展的交换机可以通过配置多个vlan满足不同网段的业务系统交换机接入工作。案例五:如何保证II型装置接入不会对安全一区实时业务造成影响案例描述：目前由于安全一区对实时性要求比较高，II型网络安全监测装置将采集到的告警信息上送至调度端主站侧过程中会不会过多占用调度数据网带宽(2M)，从而对安全一区实时业务造成影响。建议措施：口型网络安全监测装置经过多次测试用例进行测试以及实际部署过程中的监测，在对采集到的告警信息上送至调度端主站侧过程中，上送流量约为10k级，不会对调度数据网带宽进行过多占用。附录附录2南瑞信通agent支持操作系统附录附录1科东公司agent支持操作系统操作系统类型操作系统版本北京科东支持情况相关说明凝思4.2支持程序稳定版本：v2.0.46.0凝思正在开发预计完成时间：2018/2/288.0凝思止在开发预计完成时间：2018/2/14麒麟3.0支持程序稳定版本：0.9.0-1.ky3.0(即3.0.3)3.2支持程序稳定版本：0.9.0-l.ky3.2(即3.0.3)windowsserver2000支持止在进行过检测试server2003支持止在进行过检测试server2008支持止在进行过检测试server2012支持止在进行过检测试XP支持止在进行过检测试7支持止在进行过检测试RedHat5.x支持止在进行过检测试6.x支持止在进行过检测试7.x支持止在进行过检测试CentOS6.4支持止在进行过检测试7.3支持止在进行过检测试

Debian6支持止在进行过检测试7支持止在进行过检测试8支持止在进行过检测试9支持止在进行过检测试Ubuntu8.04支持止在进行过检测试10.04支持止在进行过检测试12.04支持止在进行过检测试14.04支持止在进行过检测试注：科东公司agent程序支持32/64位操作系统。

操作系统类型操作系统版本南瑞信通支持情况相关说明windowsserver2000支持止在进行过检测试server2003支持已在部分现场应用，止在进行过检测试server2008支持已在部分现场应用，止在进行过检测试XP支持已在部分现场应用，止在进行过检测试7支持已在部分现场应用，止在进行过检测试RedHat5.x支持已在部分现场应用，正在进行过检测试6.x支持已在部分现场应用，正在进行过检测试7.x支持止在进行过检测试CentOS6.4支持已在部分现场应用，正在进行过检测试7.3支持止在进行过检测试Debian6支持止在进行过检测试

7支持止在进行过检测试8支持止在进行过检测试9支持止在进行过检测试Ubuntu8.04支持止在进行过检测试10.04支持止在进行过检测试12.04支持止在进行过检测试14.04支持止在进行过检测试IIPUnixHi支持止在进行过检测试Solaris7待开发预计四月完成开发8待开发预计四月完成开发9待开发预计四月完成开发10支持已在部分现场应用，正在进行过检测试11支持止在进行过检测试11.2支持止在进行过检测试AIX5.3待开发预计四月完成开发6待开发预计四月完成开发7.1待开发预计四月完成开发7.2待开发预计四月完成开发注：南瑞信通agent程序支持32/64位操作系统。附录附录3各综自厂商agent支持操作系统操作系统类型操作系统版本南瑞继保支持情况相关说明Redllat5・x支持程序稳定版本：vl.006.x支持程序稳定版本：vl.00CentOS6.4支持程序稳定版本：vl.00操作系统类型操作系统版本长园深瑞支持情况相关说明Solaris11.2支持部分不支持的采集项：串口设备接入/释放CentOS7.3支持程序稳定版本：v1.0操作系统类型琛作系凯版不北京四方支持情况相关说明Redllat5.x支持程序稳定版本：vl.06.x支持部分监测不支持的采集项：服务代理、操作回显、操作命令7.x支持部分监测不支持的采集项：服务代理、操作回显、操作命令

操作系统类型操作系统版本许继电气支持情况相关说明凝思6已完全支持程序稳定版本：vl.0RedHat6.x已完成支持程序稳定版本：v1.0Debian7已完全支持程序稳定版本：v1.0操作系统类型操作系统版本积成电子支持情况相关说明RedHat5.x已完全支持程序稳定版本：vl.0操作系统类型操作系新版不珠海鸿瑞支持情况相关说明麒麟3.0已全部支持程序稳定版本：nmAgent-qi1in-l.023.2已全部支持程序稳定版本：nmAgent-qi1in-1.02windowsserver2000支持大部分监测不支持的采集项：本机Console操作回显、本机Console操作输入程序稳定版本：

NM3000AgentService-l.05server2003支持大部分监测不支持的采集项：本机Console操作回显、本机Console操作输入程序稳定版本：NM3000AgentService-1.05server2008支持大部分监测不支持的采集项：本机Console操作回显、本机Console操作输入程序稳定版本：NM3000AgentService_1.05XP支持大部分监测不支持的采集项：本机Console操作回显、本机Console操作输入程序稳定版本：NM3000AgentService-l.057支持大部分监测不支持的采集项：本机Console操作回显、本机Console操作输入程序稳定版本：NM3000AgentService-1.05RedHat5.x支持大部分监测程序稳定版本：

nmAgent-rt-1.026.x支持大部分监测程序稳定版本：nmAgent-rt-1.027.x支持大部分监测程序稳定版本：nmAgent-rt「02CentOS6.4支持大部分监测程序稳定版本：nnv\gent-l.07.3支持大部分监测程序稳定版本：nniAgent-l.0Debian6支持大部分监测程序稳定版本：nmAgent-l.07支持大部分监测nmAgent-1.08支持大部分监测程序稳定版本：nmAgent-1.09支持大部分监测程序稳定版本：nnv\gent-l.0Ubuntu8.04支持大部分监测程序稳定版本：nmAgent-L010.04支持大部分监测程序稳定版本：nmAgent-1.012.04支持大部分监测程序稳定版本：nmAgent-1.014.04支持大部分监测程序稳定版本：nmAgent-1.0附录附录4科东公司支持国产交换机的厂商型号交换机品牌交换机型号固件版本支持情况相关说明华三H3c(S3600)基本支持H3cS3600V2Version5.20,Release2111P02基本支持H3c(S5500)基本支持H3CLS-5560-30C-EIVersion7.1.045,Release1121基本支持LS-5560-32C-HIVersion7.1.045,Release7116P01基本支持H3CS5800-60C-PWRVersion5.20,Release1808P12)基本支持H3c(S7502)基本支持I13CS7506EVersion7.1.045,Release7184基本支持H3c(S10504)基本支持H3c(S10506)基本支持H3c(S10508)基本支持中兴ZTE5908基本支持华为HUAWEI(S5000)基本支持HUAWEIS5720Version5.160(S5720V200R008C00SPC500)基本支持HUAWEIS5700Version5.150(S5700V200R005C00SPC500)基本支持HUAWEIS7700Version5.130(S7700基本支持

HUAWEIS7700V200R003C00SPC500）Version5.160（S7700基本支持HUAWEIS7700V200R003C00SPC500）Version5.160（S7700基本支持V200R006C00SPC500附录5科东公司支持综自厂商交换机的型号交换机品牌交换机型号固件版本支持情况相关说明北乐四方CSC-187ZAVersion2.37完全支持南自PSW-618D/E/G1.0.0完全支持积成电子S2026B01.00-V01.00.07完全支持南瑞继保PCS9882AD/BD/ED基本支持国电南瑞EPS7100VI.01完全支持许继ZYJ-500（在运行）VerA.01完全支持ZYJ-700（针对信息采集软件升级）完全支持ZYJ-800（针对信息采集软件升级）基本支持长园深瑞PRS-7961B-2GX-2M-24Thwversion1.05swversion2.55（升级后新版本）完全支持PRS-7961B-2GX-2M-24Thwversion1.11swversion3.61（升级后新版本）完全支持PRS-7961B-2GX-2M-24T-QhwversionL01swversion1.10（升完全支持

级后新版本）PRS-7961B-4GX-8M-16T-Qhwversion1.01swversion1.10（升级后新版本）完全支持附录附录6南瑞信通支持国产交换机的厂商型号附录附录6南瑞信通支持国产交换机的厂商型号交换机品牌交换机型号固件版本支持情况相关说明华三II3CS3600基本支持H3cH3cS3600V2_28TPVersion5.20,Release2111P02基本支持H3CII3CS3600V252TP基本支持H3CS5120基本支持II3CS5500基本支持H3CS580060CPWRVersion5.20,Release1808P12)基本支持H3CS5800S基本支持H3CS7502E基本支持H3CS7506E-SVersion7.1.045,Release7184基本支持中兴ZTE5908基本支持ZTE3200基本支持华为HUAWEI5300基本支持HUAWEIS5328CHUAWEIS5720Version5.160(S5720V200R008C00SPC500)基本支持HUAWEIS5700Version5.150(S5700V200R005C00SPC500)基本支持HUAWEIS6502基本支持HUAWEIS7700Version5.130(S7700基本支持附录附录7南瑞信通支持综自厂商交换机的型号HUAWEIS10500V200R003C00SPC500)华为catalyst3560基本支持catalyst3560G24TS基本支持catalyst4500L3基本支持catalyst4503基本支持catalyst4507基本支持catalyst7613基本支持交换机品牌交换机型号固件版本支持情况相关说明北京四方CSC-187ZAVersion2.37完全支持南自PSW-618D/E/G1.0.0完全支持积成电子S2026B01.00-V01.00.07完全支持南瑞继保PCS9882AD/BD/ED基本支持国电南瑞EPS7100VI.01完全支持许继ZYJ-500（在运行）VerA.01完全支持ZYJ-700（针对信息采集软件升级）完全支持ZYJ-800（针对信息采集软件升级）基本支持长园深瑞PRS-7961B-2GX-2M-24Thwversion1.05swversion2.55（升级后新版本）完全支持PRS-7961B-2GX-2M-24Thwversion1.11swversion3.61（升级后新版本）完全支持PRS-7961B-2GX-2M-24T-Qhwversion1.01swversion1.10（升级后新版本）完全支持PRS-7961B-4GX-8M-16T-QhwversionL01完全支持swversionL10（升级后新版本）附录附录8科东公司支持安防设备清单附录附录8科东公司支持安防设备清单设备类型设备J商设备型号动态库名称防火墙迪普FW1000libdipuFWFW1000VIlog.so东方电子DFE41001ib_dongfang_FW_FW4100_3660_1og•so绿盟FW.600Alib1vmeng_FWFW600Avllog.so网御星云Secgate_F31ib_wangyu_FW_FW3438_v1_1og.so网御神州G71ib_wangshen_FW_G7_52180_|og.so华三H3C_SECPATHF1OO-Elib_hua3_FWF1001_v1log.so山石网科SGD_6000lib_shanshi_FW_6100_45R2_log.so乐软FW52001ib_dongruan_FW_5200_vIlog,so天融信NGFW4000-UFlib_tianrongxin_FW_NGFW4000"vl_log.so启明星晨USG-FW-610ClibqimingFWUSG610Cvllog.so华三H3c1ib_H3C_FW_20161220_v1_1og.so入侵监测绿盟科技NTPS_200A1ib_lvmeng_TDS_TDS_563_log.so东软NetEye_IDS_2100libdongruanIDS_2100vllog.so华三H3C1ib_H3C_IDS_20161213_v1_1og.so防病四瑞星杀毒2009网络版1ib_ruixing_av_NET2009_2009_1og.so正向1%离南瑞SysKeeper2000无科东StoneWa11-2000无附录附录9南瑞信通支持安防设备清单纵向加密兴唐SJW07-A无卫士通SJW77无南瑞NetKeeper2000无科东PSTunnel-2000无反向隔离南瑞SysKeeper2000无科东StoneWal1-2000无设备类型设备J商设备型号动态库名称防火墙迪普FW1000dipuAgentDLL东方电子E41003660dfjhAgentDLL绿盟FW_600AVIIvmengFWAgentDLL网御星云Fw3438lenovowyAgentDLL网御神州G752180wyszAgentDLL山七1网科FW610045R2hiHstoneAgentDLL东软FW5200dongruanAgentDLL天融信NGFW4000-UFtrxAgentDLL启明星辰qmxcFWAgentDLL华三H3cH3cAgentDLL入侵监测绿盟科技NIPS.200AIvmeng」DS_DLL东软NetEye_IDS_2100dongruan_lDS_DLL华三H3CH3C_TDS_DLL防病四瑞星杀毒2009网络版ruixing_av_DLL正向隔离南瑞SysKeeper2000无科东StoneWal1-2000无珠海鸿瑞HRwall-85M-II无纵向加密兴唐SJW07-A无

卫士三SJW77无南瑞NetKeeper2000无科东PSTunnel-2000无反向隔离南瑞SysKeeper2000无科东StoneWal1-2000无附录附录10上传事件信息汇总设备类型上传分类详细信息装置自身上传事件1）装置行为监视事件上传登录成功退出登录装置LSB设备拔出本地管理界面登录成功事件上传本地管理界面退出登录事件上传配置变更事件上传2）装置自身安全事件上传USB设备（非无线网卡类）插入事件上传USB设备（无线网卡类）插入事件上传外联事件上传系统登录失败超过阈值事件上传危险操作事件上传开放非法端口事件上传网口up事件上传网口down事件上传CPU利用率超过阈值事件上传内存使用率超过阈值事件上传磁盘空间使用率超过阈值事件上传本地管理界面登录失败被锁定事件上传装置异常告警事件上传

对时异常告警事件上传验签错误事件上传登录成功事件上传退出登录事件上传主机上传事件1）主机行为监视事件上传USB设备拔出串口释放事件上传并口释放光驱卸载事件上传设备上线事件上传2）主机安全事件上传USB设备（非无线网卡类）插入串口占用井口占用光驱挂载事件外联事件上传登录失败超过阈值事件上传关键文件变更事件上传用户权限变更事件上传开放非法端口事件上传网口up事件上传网口down事件上传危险操作事件上传防火墙设备1）防火墙设备行登录成功事件上传

上传事件为监视事件上传退出登录事件上传录失败事件上传上线事件上传修改策略事件上传不符合安全策略访问事件上传2）防火墙设备安攻击告警事件上传*全事件上传离线事件上传CPU利用率超过阈值事件上传内存使用率超过阈值事件上传1）正向隔离装置行为监视事件上隔离装置上线事件上传传不符合安全策略访问2）正向隔离装置隔离装置离线隔离设备上传事件安全事件上传CPU利用率超过阈值内存使用率超过阈值3）反向隔离装置行为监视事件上隔离装置上线事件上传传4）反向隔离装置不符合安全策略访问安全事件上传隔离装置离线CPU利用率超过阈值内存使用率超过阈值附录附录11验收测试用例以下测试用例中涉及到的专用产品名称，具体解释如下:.监测装置：电力监控系统II型网络安全监测装置.人机界面：监测装置本地图形化管理UI界面.管理平台：上级调度（新一代）网络安全管理平台装置自身数据采集用例标识测试内容测试方法现场验收结果001登陆成功登陆监测装置，通过管埋平台能够查看登陆信息；口通过口未通过002退出登陆退出监测装置，通过管理平台能够查看退出信息；口通过口未通过003登陆失败输入错误登陆信息，通过管埋平台能够查看登陆失败事件；口通过□未通过004操作命令登陆装置，执行命令，新增文件夹，通过管理平台能够查看新增文件夹事件记录口通过口未通过005操作回显登陆装置，执行命令，1s；通过管理平台能够查看操作记录口通过口未通过*006USB设备插入插入USB设备到装置，通过管埋平台能够查看到USB插入事件记录口通过口未通过*007USB设备拔出拔出USB设备，通过管理平台能够查看到USB拔出事件记录口通过口未通过

*008网络外联事件使用笔记本电脑远程连接装置，该笔记本电脑IP不在父电站网段中，通过管理平台能够查看到网络外联事件记录口通过□未通过009装置硬件故障模拟装置故障，装置断电，通过管理平台能够查看到设备离线事件记录□通过口未通过010装置电源故障装置单电源运行，通过管理平台能够查看到设备单电源故障事件记录□通过□未通过主机数据采集（适月目于站内监控系统主机/操作员站、工程师站、综合应用服务器、通信i网关机等主机设备）用例标识测试内容测试方法现场验收结果011登录成功使用SSH管理工具登陆主机，通过管理平台能够查看登陆信息□通过□未通过012退出登陆退出SSH登陆通过管理平台能够查看退出信息口通过□未通过013登陆失败输入错误登陆信息，通过管理平台能够查看登陆失败事件□通过□未通过014操作命令使用SSH管理工具登陆主机，执行命令，新增文件夹，通过管理平台能够查看新增文件夹事件记录□通过□未通过015操作回显使用SSH管理工具登陆主机，执行命令，1s；通过管理平台能够查看操□通过□未通过

作记录*016USB设备插入插入USB设备到主机，通过管理平台能够查看到USB插入事件记录口通过口未通过*017USB设备拔出拔出USB设备，通过管理平台能够查看到USB拔出事件记录口通过口未通过*018网络外联事件使用笔记本电脑SSH远程连接主机，该笔记本电脑IP不在变电站网段中，通过管理平台能够蛰看到网络外联口通过口未通过网络设备数据采集用例标识测试内容测试方法现场验收结果019登录成功登陆交换机，通过管理平台能够查看登陆信息口通过口未通过020退出登陆退出登陆，通过管理平台能够查看退出信息口通过口未通过021登陆失败输入错误登陆信息，通过管理平台能够查看登陆失败事件口通过口未通过*022网口up交换机网口接入设备，通过管理平台能够查看网口up信息记录口通过口未通过*023网口down交换机网口网线拔出，通过管理平台能够查看网口down信息记录口通过口未通过024配置变更修改交换机配置，通过管理平台能够口通过

蛰看交换机配置变更事件记录口未通过025修改用户密码修改交换机用户名密码，通过管埋平台能够查看交换机用户名密码变更事件记录口通过口未通过026用户操作信息登录交换机，输入命令进行操作，通过管理平台能够查看交换机用户操作信息。口通过口未通过027MAC绑定关系修改MAC绑定关系,通过管埋平台能够查看交换机网口MAV绑定关系口通过口未通过防火墙设备数据采集用例标识测试内容测试方法现场验收结果028登录成功登陆防火墙，通过管埋平台能够查看登陆信息口通过口未通过029退出登陆退出登陆，通过管埋平台能够查看退出信息口通过口未通过030登陆失败输入错误登陆信息，通过管理平台能够查看登陆失败事件口通过口未通过031修改策略修改防火墙策略，通过管埋平台能够查看修改策略事件记录口通过口未通过032电源故障防火墙单电源运行，通过管埋平台能够查看电源故障事件记录口通过口未通过*033不符合安全策使用防火墙策略IP范围外的电脑进口通过

略的访问行访问业务；通过管理平台能够查看不符合安全策略访问记录□未通过*034攻击告警主机发送命令：ping-1length（length略高于防火墙设定值）到防火墙，通口通过□未通过隔离设备数据采集用例标识测试内容测试方法现场验收结果035系统登录管理工具登录正向/反向隔离装置，通过管理平台能够查看登陆信息。口通过口未通过036修改配置管理工具修改止向/反向隔离装置配置，通过管理平台能够查看修改配置信息记录口通过口未通过*037不符合安全策略的访问管理，具限