PCS-9895B 厂站安全监测装置的简要介绍 V1.00(2018-01-13)1. 产品综述:PCS-9895B 厂站安全监测装置(以下简称为装置)是南瑞继保公司 PCS-989X 系列网络安全产品的一个具体型号,主要对标国家电网 135 号文、1084 号文技术规范,用于国家电网范围内的变电站、国家电网范围的涉网的所有火电厂、核电厂、新能源光伏风电站等场景的监控系统网络安全监测部署。PCS-9895B 厂站安全监测装置实现对电力二次系统主机设备、网络设备和安全防护设备运行状况的实时监视,对安全事件进行集中展现、实时告警和量化分析,并将站端信息通过调度数据网向内网安全监管平台主站上传,为电力二次系统安全审计评估提供可靠的信息来源和有效的分析手段。2. 产品部署的典型示意图PCS-9895B 厂站安全监测装置的典型部署环境分为如下三种情况:(1) 现场有安全Ⅰ区和安全Ⅱ区,且安全Ⅰ区和安全Ⅱ区通过防火墙相连,这种情况下装置部署在安全Ⅱ区,共计一台装置。(2) 现场有安全Ⅰ区和安全Ⅱ区,且安全Ⅰ区和安全Ⅱ区相互独立,这种情况下装置部署在安全Ⅰ区和安全Ⅱ区分别部署一台,共计两台装置。(3) 现场只有安全Ⅰ区,这种情况下装置部署在安全Ⅰ区,共计一台装置。 产品的主要功能(1) 数据采集数据采集支持以下功能:1) 支持对服务器、工作站、网络设备、安全防护设备、数据库等监测对象进行数据采集;2) 支持采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息;3) 支持采集数据库的操作信息、运行状态等事件信息;4) 支持采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息;5) 支持采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息;6) 支持触发性事件信息的采集和周期性上送的状态类信息的采集;(2) 数据处理数据处理支持以下功能:1) 支持以分钟级统计周期,对重复出现的事件进行归并处理;2) 支持根据参数配置,对采集到的 CPU 利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理,根据处理结果决定是否形成新的上报事件。3) 应支持对网络设备日志信息进行分析处理,提取出需要的事件信息(如用户添加事件);4) 能形成外设接入事件、用户登录事件、危险操作事件、状态异常事件等上传事件。(3) 主子站通信1) 具备将告警信息上传至上级内网安全监管平台的功能2) 支持远程调阅采集信息、上传事件等数据信息,应支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息;3) 支持对被监测系统内的资产进行远程管理,包括资产信息的添加、删除、修改、查看等;4) 支持参数配置的远程管理,包括系统参数、通信参数及事件处理参数;5) 支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用;6) 支持通过代理方式实现对服务器、工作站等设备主动断网命令的调用;7) 支持通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看;8) 支持通过网络安全管理平台对网络安全监测装置进行远程程序升级。(4) 安全分析支持对主机关键文件变更、用户权限变更、危险操作,对网络设备流量超过阈值,配置变更等事件进行安全性分析(5) 日志方式支持操作日志、维护日志及运行日志的存储和查询(6) 对时方式1) 支持 B 码对时2) 支持 SNTP 对时3) 支持守时(7) 自检方式当装置检测到守护进程异常时会装置闭锁,CPU 和内存在越限后会自动告警(8) 人机界面提供本地图形化界面对装置进行管理,支持以下功能:1) 具备自诊断功能,至少包括进程异常、通信异常、硬件异常、CPU 占用率过高、存储空间剩余容量过低、内存占用率过高等,检测到异常时应提示告警,诊断结果应记录日志;2) 具备用户管理功能,基于三权分立原则划分管理员、操作员、审计员等不同角色,并为不同角色分配不同权限;应满足不同角色的权限相互制约要求,应不存在拥有所有权限的超级管理员角色;3) 具备资产管理功能,包括资产信息的添加、删除、修改、查看等,资产信息应包括:设备名称、设备 IP、MAC 地址、设备类型、设备厂家、序列号、系统版本等;4) 支持采集信息、上传信息的本地查看,应支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看;5) 支持对监视对象数量、在离线状态的统计展示,应支持从设备类型、事件等级等维度对采集信息、上传信息进行统计展示;6) 具备日志功能,日志类型至少包括登录日志、操作日志、维护日志等;7) 日志内容包括日志级别、日志时间、日志类型、日志内容等信息,日志应具备可读性;8) 支持通过本地实现对服务器、工作站等设备的基线核查功能的调用。 |