国家电网有限公司自主可控新一代变电站二次系统中国电力科学研究院 网络安全监测应用检测技术方案
1范围
本检测技术方案适用于自主可控新一代变电站二次系统网络安全监测应用的检测.
2检测依据标准
下列文件对本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
《自主可控新一代变电站二次系统技术规范站控系统系列规范3-综合应用主机(试行)》
《自主可控新一代变电站二次系统技术规范站控系统系列规范4-数据通信网关机(试行)》
《自主可控新一代变电站二次系统技术规范通用类系列规范6-二次设备安全防护(试行)》
3检测说明
3.1检测环境要求
除另有规定外,试验应在正常试验大气条件下进行.
正常试验大气环境条件:
a)环境温度:15℃~35℃:b)相对湿度:45%~75%:c)大气压力:86kPa~106kPa.
3.2检测系统环境
示
中国电力科学 图1检测拓扑结构图
4网络安全监测应用检测
4.1综合应用主机网络安全监测应用检测
4.1.1数据采集
检测项目 *数据采集 编号 1用主机(试行) 自主可控新一代变电站二次系统技术规范站控系统系列规范3-综合应检测依据 自主可控新一代变电站二次系统技术规范通用类系列规范6-二次设备安全防护(试行)数据采集应满足如下要求: a)支持对服务器、工作站、网络设备、安全防护设备等监测对象进行数据采集:b) 支持采集服务器、工作站的用户登录、操作信息、运行状态、c)支持采集网络设备的用户登录、操作信息、配置变更信息、流 移动存储设备接入、异常网络访问等事件信息:量信息、网口状态信息等事件信息:检测要求 d) 支持采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息:e) 支持触发性事件信息的采集和周期性上送的状态类信息的采 集;f) 支持对资产参数配置以外的监测对象进行数据采集:g) 支持通过GB/T31992协议等其他方式兼容无法按照本规范采集方式进行改造的监测对象:h) 具体采集信息见Q/GDW11914-2018附录B.2,采集信息格式详 见附录F.备注
4.1.2数据存储与访问
检测项目 数据存储与访问 编号 2自主可控新一代变电站二次系统技术规范站控系统系列规范3-综合应用主机(试行)检测依据 自主可控新一代变电站二次系统技术规范通用类系列规范6-二次设备安全防护(试行)数据存储与访问应满足如下要求: a)网络安全监测应用数据应存储于系统安全隔离环境内部署的数据库或文件系统中:b)应支持采集信息的本地存储,保存至少630万条:检测要求 d)应支持上传事件信息的本地存储,保存至少630万条; c)存储的采集信息类型参照Q/GDW11914-2018附录B.2的要求;f)应支持日志数据的本地存储,本地日志审计记录条数至少10000条:
g)应支持以下历史数据查询方式:1)按开始时间、结束时间进行查询:2)按设备类型进行查询: 3)按事件类型、子类型进行查询.备注
4.1.3数据分析处理
检测项目 *数据分析处理 编号 3自主可控新一代变电站二次系统技术规范站控系统系列规范3-综合应 用主机(试行)检测依据 自主可控新一代变电站二次系统技术规范通用类系列规范6-二次设备安全防护(试行)数据处理应满足如下要求:b)支持根据参数配置,对采集到的CPU利用率、内存使用率、网 a)支持以分钟级统计周期,对重复出现的事件进行归并处理:口流量、用户登录失败、磁盘空间使用率等信息进行分析处理,根据处理结果决定是否形成新的上报事件.具体参数见表1:表1数据处理涉及的参数参数 说明CPU利用率上限闽值 CPU利用率超过该阅值,形成上报事件内存使用率上限阅值 内存使用率超过该阅值,形成上报事件检测要求 网口流量上限阀值 交换机网口流量超过该闽值,形成上报连续登录失败次数 连续登录失败次数超过该闽值,形成上 事件报事件磁盘空间使用率上限阅 磁盘空间使用率超过该阅值,形成上报支持对网络设备日志信息进行分析处理,提取出需要的事件信 值 事件息(如用户添加事件):能形成外设接入事件、用户登录事件、危险操作事件、状态异常事件、异常网络访问事件等上传事件.具体上传事件见Q/GDT11914-2018附录C.备注
