2022 ISG-3000网络安全监测装置用户手册

ISG-3000ISG-3000网络安全监测装置(II型)用户手册V0.3NARIISG-3000（II用户手册（V0.3）南京南瑞信息通信科技有限公司20188注意：本材料的相关权利归南京南瑞信息通信科技有限公司所有。手册的任何部分未经本公司许可，不得转印、影印或复印。ISG-3000（II）用户手册Version0.32018-08-06南京南瑞信息通信科技有限公司Allrightsreserved本资料将定期更新，如预获取最新信息，请访问微信公众号“南瑞信息安全”您的意见和建议请发送至：\hxuxiangshuai@8，210003电话（TEL）技术支持) 传真（FAX）录一、产简介 6置观 7线明 7口明 !未定义书签。件格 9能标 9二、典部方案 10电部署 10厂网分置署 11三、客端装登陆 12户运环境 12色权限 12系管员 12运用户 13日审员 13户登陆 14四、监装配置 15户陆 15络理 15数理 16产理 17添/改产 18删资产 18资导、出 19信理 20NTP对参配置 20通参配置 20书理 22方法：签发 !未定义书签。名配置 24置视 24置身全置 25程运配置,如下 25程业配置,如下 26五、件看 27警视 27集视 28六、品质 29附录型境施过程例 33一、 环境扑 33二、 实施署程 332.133电查 33用维户录户端 34卡置 35由置 37产理 38集视看 39置视置 40程运配置,如下 412.10.2序务置,令如下 41置身agent配置 40通管配置 42证管理 44方法：户生成 !未定义书签。方法： !未定义书签。平级测试 424.10平联调 !未定义书签。版本修改历史序号说明版本修订人发布日期01新建基础文档0.1李牧野2018/04/2802增加配置内容0.2马乔羽2018/07/2803增加配置内容0.3徐项帅2018/08/06一、产品简介设网络安全监测装置负责采集网络设备（如数据网交换机、工控交换机等、主机设备（\（装置分布采集分析管控NS5000网络安全管理平台装置分布采集分析管控平台统一管控平台统一管控ISG3000网络安全监测装置 ISG3000网络安全监测装置 设备自身感知网络设备设备自身感知

通用安全设备 专用安全设备图1-1ISG-3000I型装置外观1-2ISG-3000网络安全监测装置（II型）正面图1-3ISG-3000网络安全监测装置（II型）背面图ISG-3000（IINARI接口说明监测装置按照国网公司“四统一、四规范”原则设计，各项接口指标满足国网公司产品技术要求。图1-4监测装置后面板接口224，5，7110V~220V安装电源人员应具备强电操作资格，请勿违规操作。图1-5监测装置后面板电源接线示意BBBNTPIPNTP图1-6监测装置后面板网口示意8LAN1-LAN8et-ehLAN（eth）（1122.3.4/27A/BNTP装置附件中包含1根1.5米长的接地线缆，请按照现场施工规范将装置外壳接地。该接口在正常配置时不需要使用。装置附件中包含1根RS232串行接口。USB该接口用于USBkey设备的身份认证。该接口用于输出告警信号。需要加装告警指示灯或蜂鸣器，上述设备请另行购买。硬件规格⚫ 340mm*440mm*44.5mm1U4CPU，8GB256GB81B/性能指标RedHat5RedHat6Centos6Centos5Solaris10HP-UNIXB11Windows7、WindowsXP、Windows2003、Windows2008WindowsVistaagent；≥10000/s；200；≤0.6s2.5s；10000IRIG-B1msSNTP100ms；，241s；（MTBF）≥30000h；18000pps。二、典型部署方案变电站部署安全I安全I区管纵向加密认证装置纵向加密认证装置调度数据网交换机Ⅱ型网络安全监测装置（ISG-3000）调度数据网交换机正向隔离装置通信网关机服务器工作站通信网关机服务器工作站反向隔离装置防病毒软件入侵检测装置防病毒软件入侵检测装置防火墙全监测装置3000）Ⅱ型网络安（ISG-调度数据网实时VPN调度数据网实时VPN调度数据网非实时VPN图2-1变电站站控层拓扑图I/II即、II，III、III/II、BAB部署方案一I/IIII12AII1BIIIIIII部署方案二IIIIIIIAIBI1IIIIAIIBII1II对于故障告警、装置对时和失电告警，请根据现场情况选择性配置。风功率预测 电能量采风功率预测 电能量采Ⅱ型网络监测装置 集终端务器B发电计划 正向隔离装管理子系统电厂涉网部分装置部署由于电厂内系统较多，且多数系统无网络连接，宜部署多台网络安全监测装置以满足发电厂涉网区域内各类设备的接入。INCSNCSABPMUIVPNIIII调度数据网非实时VPN第一平面接入网第二平面接入网第一平面接入网第二平面接入网安全区I 安全区II反向隔离装置防火墙母线测控有功功率控制系统线路测控无功电压控制系统入侵检测系统PMU数据通信网关机B数据通信网关机A安全区II安全区I实时交换机安全区II安全区I实时交换机安全区II纵向加密认证装置安全区I纵向加密认证装置安全区II纵向加密认证装置安全区I纵向加密认证装置路由器二非实时VPN实时VPN非实时VPN实时VPN路由器一电能量采集终端服务器A图2-2电厂涉网部分部署架构图三、客户端安装与登陆客户端运行环境（有JAAWINOWS2JAVALinux、UnixWindows装JD1.（JVAWindows本行 即可成安角色与权限配置软件采用三权分立的设计思想，设立了系统管理员、运维用户、日志审计员和普通用户共4类角色。系统管理员：创建、修改、删除运维用户和普通用户2类用户；增加客户端登录白名单IP；日志审计员运维用户普通用户：仅有查看装置配置及运行状态的权利。sysadm（、opadm（logadm（）3类角色的账号。创建、修改、删除运维用户和普通用户2类用户，修改密码操作，解锁运维用户。图3-1系统管理员用户管理界面3图3-2运维用户管理界面日志审计查看日志信息，可根据时间、关键字、日志类型、日志级别、用户类型、组件类型进行筛选。日志审计用户管理

图3-3日志审计界面新增、删除日志审计员，以及修改密码操作。图3-4审计用户角色管理客户端登陆：3/24eth8UkeyPIN3IP4.7图3-5登录界面四、监测装置配置用户登陆打开配置软件，选择运维用户角色登陆，该用户界面展示安全监视，安全审计和装置管理3大功能模块。装置的调试配置主要在装置管理菜单栏下完成。图4-1监测装置客户端主界面网络管理图4-2网络配置界面4-IPA/BNTP4-3网卡参数配置eth1AIP；eth2BIP；eth3eth4图4-4路由配置界面路由参数中，应配置明细路由，禁止默认路由。参数管理图4-5参数管理界面“网口流量阈值”设置为0时,表示不做限制。资产管理监测装置要采集的设备对象，应符合国家电网公司《电力监控系统网络安全监测装置技术规范》要求，不符合规范要求的信息将无法被监测装置采集并上报平台。图4-6资产管理主界面1、交换机交换机信息采用被动和主动两种方式：SNMPTRAPSNMPV2/V3MIBTRAPSNMPV2C/V32、安防设备防火墙、网络安全隔离装置、纵向加密装置和入侵防御/检测装置采用标准SYSLOG协议，日志内容格式应符合《电力监控系统网络安全监测装置技术规范》。3、主机服务器和工作站部署agent代理程序，通过私有规范进行信息采集。/点击“新增/修改”按钮，添加或修改一条资产信息。图4-7资产添加配置界面MAC2范》要求的采集方式；正则表达式南京南瑞为被监管对象定制的输出信息转化格式。应将监测装置本身作为资产配置，以方便主站平台远程修改装置白名单。选择待删除的资产，点击“删除”按钮删除资产信息。图4-8删除资产配置界面/`点击“导入/导出”按钮，恢复和备份资产信息。图4-9资产导入和导出界面图4-9资产导入和导出界面导出文件为二进制数据，只用于备份配置，内容不可读。案例：以添加一个交换机资产作为范例，设备类型选择交换机、设备名称写该设备承担的作（AAABB没BAMACMAC（0000000003、BMACSNMP4-10图4-10新增资产界面通信管理NTP图4-11通信管理配置NTP如果监测装置和对时设备网络不可达，则需要在监测装置启用空余网口，连接对时设备网络，并配置对应IP。IPIPIPNTP/BIPNTP端口号：访问对时设备服务端口，默认123。NTP对时周期：对时轮询间隔，默认30秒。对时模式：点对点和广播两种模式，默认点对点模式。2时，监测装置自身选择1个链路上报告警信息，另1个链路只建立链接不上报告警信息；当上1agentTCPTCP8800SYSLOGUDP514SNMPTRAPSNMPTRAPUDP162代理服务端口TCPTCP8801端口。案例：

图4-11通信参数配置项1I/IIIP3880015（ID00IIP58800ID1IIIP5、8800ID1IPIPIDIP2。证书管理图4-12证书管理主界面图4-13证书导入界面图4-14生成证书请求界面输入证书信息，点击下一步及证书请求文件保存位置。图4-15证书请求属性信息输入界面（.cerPINp12P124-16P12图4-16证书导入界面以平台ip.cer命名导入装置：如0.cer，导入后可修改名称图4-17导入平台证书界面客户端白名单配置系统管理员sysadm（IP添加或修改白名单：点击新增按钮，输入IP地址，添加IP白名单。图4-18白名单配置界面装置监视点击安全监视→装置监视，进入页面。该界面可以配置上报告警信息，监测装置主机名称。图4-19装置监视界面装置名称与资产中设备名称保持一致，如果站内是AB双网，这里的装置IP默认写A网IP装置自身安全配置装置自身白名单和非法外联配置是在后台完成配置。登录监测装置后台，配置文件目录如图4-20所示。图4-20装置自身安全配置界面viagent.conf图4-21程序运行配置注释：server_ipip(aa，bbserver_portaa，bbhost_ip：本机ip(a表示a网，b表示bIPIPABecho_cmd_watchlist：各类日志文件、操作指令和回显文件存放的目录如果是2018年8月2日前监测装置，请完成升级。升级后不需要单独配置IP，使用默认IP即可，在添加自身资产时，IP需要和默认IP保持一致。viparam.conf图4-22程序业务配置注释：interval_listen_port：非法外联和非法端口检测周期，单位秒interval_cdrom_query：是否存在光驱告警检测周期，单位秒ip_list_whiteipip0listen_port_white：非法端口的白名单，不在列表中即为非法端口critical_file_list：关键文件列表，列表中的目录或文件为监控文件，若出现增删改，则告警五、事件管理告警监视点击安全监视→告警监视，进入页面图5-1告警监视界面采集监视点击安全监视→采集监视，进入页面。图5-2采集监视界面六、产品资质图6-1NARIISG-3000电力监控系统网络安全监测装置软件软著图6-2NARI工控协议解析与安全监测软件软著图6-3NARITMAC-3000内核安全增强软件软著图6-4NARITMAC-3000内核安全增强软件销售许可证图6-5基于有限状态机动态可扩展的电力通信协议异常检测方法专利图6-6基于FPGA的电力通信协议报文解析卡专利附录1典型环境实施部署过程案例一、环境拓扑附图1-1实施站点网络拓扑如附图1-1，我们得知站内I/II区之间通过防火墙相连，故在II区部署一台监测装置。附表1-1实施站点IP地址信息设备名称站控层A网IP站控层B网IP地调第一IP地调第二IP省调数据网IP监测装置5050000监控主机1站控层交换机地调安管平台一平面IP：0地调安管平台二平面IP：0省调安管平台一平面IP：0二、实施部署过程eth8SSH登录isg3000sagentagentIPIP附图2-1监测装置主要进程检查装置有无损坏、装置上架接电、连接B码对时线或NTP对时网线及装置接线附表2-1监测装置连线监测装置网卡对端设备LAN1接站控层A网汇聚交换机LAN2接站控层B网汇聚交换机LAN3接地调调度数据网I平面非实时交换机LAN4接地调调度数据网II平面非实时交换机LAN5接省调调度数据网非实时交换机登录客户端11.2233.3/2eth8IG300.jar打开客户端界面。将Ukey插入装置，选择用户角色，输入用户名、密码、PIN码进行登录。附图2-2客户端登录界面2-15IP2-3AIP2-4BIP附图2-5配置地调数据网I平面非实时IP附图2-6配置地调数据网II平面非实时IP附图2-7配置省调调数据网非实时IP32-8I2-9I附图2-10配置省调调平台路由资产管理要将监测装置自身作为资产加入。201882IP。附图2-11增加监测装置资产附图2-12增加监控主机资产附图2-13增加站控层交换机资产采集监视查看正确。附图2-14采集信息查看上报告警装置名称配置情况下默认写AIP201882IP附图2-15上报告警设备名称配置装置自身agentSSH登录至装置后台。配置文件目录：注意：使用升级包是八月二号之前的，升级完成后需要手动修改agent.conf中IP配置AIP82（含IPIPIPIPviagent.conf附图2-16agent运行配置注释：server_ipip(aa，bb