新能源电厂电力监控系统网络安全监测装置典型部署方案

新能源电厂网络安全监测装置典型部署方案一.建设背景

XX

二、网络安全监测装置

1.型号

口型网络安全监测装置

2.接口规范(以科东为例)

(1 )采用RJ45接口；

(2 )具备8个10M/100M/1000M自适应以太网电口(支持网口扩展)；

(3 )两个交流220V/50HZ ,电源插座；

(4 )两个电源开关；

(5)两个出82.0接口。

3.物理特性

尺寸：采用1U整层机箱；

重量：10kg。

4.设备外观

三、部署方案

3.1接入范围

新能源电厂设备接入范围为涉网业务系统的主机设备，包括远动装置（RT∪ ∖PMU、故障录波、保信子站、电能量采集装置、功率预测服务器等，网络设备（内网交换机）以及通用安防设备（防火墙、IDS ）和专用的安全防护设备（正、反向隔离设备）的接入（由于目前网络安全监测装置没有针对日志审计系统制定采集规范，因此不在本次监控范围之内1

远动装置、PMU终端装置通过调度数据网与调度端通讯，独立挂载于调度数据网交换机实时vlan端口上；电能量采集装置、故障录波装置通过调度数据网与调度端通讯，独立挂载于调度数据网交换机非实时vlan端口上。

针对主机设备、网络设备、通用及专用安防设备的具体监视项详见附录10o

3.2技术方案

1）简易型部署方案:

图1简易型电厂部署拓扑图

在电厂的安全I、口区各部署一台口型网络安全监测装置，一端

连接到电厂各个涉网业务系统交换机，另一端连接至调度数据网交换机（如果告警信息需要同时上送至省调及地调主站侧，装置可同时分两路进行数据转发），负责采集电厂涉网业务系统的服务器、工作站、网络设备（内网交换机）和安全防护设备的安全事件，对于告警信息进行本地存储以外，同时将告警信息转发至调度端主站侧的数据网关机，最终汇总到主站侧网络安全管理平台。经过调研反馈，目前现场不存在AB双网，如果电厂内存在A、B网，则∏型网络安全监测装置分别接入A、B网交换机，实现对监视对象的采集。如果需要将非法外联隐患较大的风机监控系统（非涉网部分）纳入监视范围则需要口型网络安全监测装置接入风机监控系统的交换机实现对风机监控系统的后台监控主机等监视。

2）标准型监控部署方案一：

,

安全-IX ! .企二士

一7一一南度数据向一一、一^■

耀向从厘片・姒向加密认皿装・

-φ ?!

内网交触11

• I

I;

I!

图2标准一型电厂部署拓扑图

在简易型监控部署方案基础上，为了实现场站端就地监视功能,

落实场站作为安全防护主体责任人的要求，可以通过增加在口区部署

一台人机工作站，口型网络安全监测装置客户端软件部署在人机工作

站上，实现本地监视和本地管理功能。

3）标准型监控部署方案二:

在标准型监控部署方案一基础上，为了细化本地监视和本地管理

功能，可以增加两台服务器，一台作为数据库服务器，另外一台作为 本地监视服务器，用来存储口型网络安全监测装置采集到的监视对象 的运行信息、操作信息及告警信息，并部署数据库和对应程序模块实 现安全监视、安全告警、安全分析以及安全审计功能，进一步细化并 更加全面的落实场站安全防护主体工作。

3.3 适应性改造 3.4 1.改造方案说明:

新能源电厂部署网络安全监测装置的同时需要协调对应的电厂 业务厂商，对监视的服务器、工作站、网络设备（非调度数据网交换 机）进行适应性改造，实现对其自身感知的安全事件进行采集。

装置类被监测对象操作系统多为经过裁剪的Linux 操作系统，很

多协议及端口受到限制，不便于agent 监测程序的开发，因此改造的 优先程度为先改造局域网型被监测对象，后改造装置类被监测对象, 可以为装置类的 agent 监测程序的开发留出更多时间，同时也可以考 虑将装置类的被监测对象替换为非装置类，便于部署agent 监测程序。

1 ）主机的改造：新能源电厂方面需要将监视的业务的服务器、

安全区

安全：区

买B⅞VP 上」

姒向加空认沽54曾

Q

防水塔

电能看乘 集系统

⅛≡≡

功率使薰 版务笈

IDS

工一嬴wwιr τ

⅛ !

内网交涣机I

纵臼机空认证装置

纵向加盟认证装2K

地割交换机

内网交炭机

返动机

（RΠJ ）

PM U

涉网 业务系统

工作站的操作系统通过部署agent的方式进行改造,agent可由场站业务厂商提供，也可使用第三方厂商提供的agent ,如果采用第三方厂商提供的agent ,先由场站业务厂商做集成测试，完成测试后再到现场进行部署。目前部分第三方厂商针对主流的linux系列、windows 系列、UNIX系列的agent已经完成研发。详细信息参见附录1、附录

2、附录3内容。

2 ）交换机的改造：交换机需要满足SNMP V2或V3协议，如果不

满足，则需要进行版本升级或彻底更换。对于满足SNMP V2或V3协

议的交换机但不能完全满足采集规范时，需要由场站业务厂商进行私

有mib的开发。目前装置支持对于国产主流型号的交换机进行数据采

集。工控交换机目前部分厂商支持改造接入条件。详细信息参见附录

4、附录

5、附录

6、附录7内容。

如果口型网络安全监测装置具备流量分析功能时，若内网核心交

换机镜像口被IDS占用,则可新增一台交换机串接，并将新增交换机镜像出2路镜像口，分别接入IDS和∏型网络安全监测装置；若无

IDS占用核心交换机镜像口，则∏型网络安全监测装置需要接入内网核心交换机的镜像口。

3）安防设备的改造：安防设备发送的报文日志格式需要要满足

按照《GB/T 31992-2015电力系统通用告警格式》规范要求，否则需

要安防设备厂商提供日志格式转换的动态库。详细信息参见附录8、