首页 解决方案 典型案例 行业新闻 资质荣誉 产品中心 关于我们
您所在位置 > 首页 > 最新资讯
最新资讯 / News
最新资讯
2019年10月 国网信息通信产业集团有限公司2019年第六批集中采购项目

国网信息通信产业集团有限公司2019年第集中采购项目

项目背景:

配电自动化系统网络安全监控平台作为配电主站安全防护的重要组成部分,主要实现对主机、操作系统、网络设备、安全设备日志数据的采集、分析、统计、报表,及资产管理等功能,实现对配电自动化系统异常网络流量的及时发现,主要对部署在横、纵向边界的电力专用和通用安全设备运行情况和异常访问情况进行实时监视,对内部关键设备和系统的安全运行情况进行监视。平台功能包括漏洞自动修复、数据采集、事件分析、实时监测、风险告警、态势感知等。

 

解决方案

配电自动化系统网络安全监测预警平台是智能电网安全防护的重要组成部分,主要实现对主机、操作系统、网络设备、安全设备日志数据的采集、分析、统计、报表,及资产管理等功能,实现对配电自动化系统异常网络流量的及时发现,主要对部署在横、纵向边界的电力专用和通用安全设备运行情况和异常访问情况进行实时监视,对内部关键设备和系统的安全运行情况进行监视。

在河北保定配电自动化系统部署网络安全监测预警平台(以下简称平台),平台主要由两部分组成:配电网络流量采集探针和配网安全监控平台。其中配电网络流量采集探针使用旁路的方式分布式部署在每个配电子网当中,监听交换机镜像端口的流量,对流量进行深度分析,检测出里面的攻击或异常等行为。配网安全监测平台负责收集来自主机、数据库、网络设备、安全设备发送上来的告警信息,以及网络流量采集探针数据,并进行统计分析、关联分析、态势感知,将整个网络的安全态势进行可视化展示。

 

项目内容:

完成对自动化主站系统网络平台安全功能改造优化自动化主站系统网络平台使主站系统安全功能更完善,能及时监控各安全功能的异常情况。针对各服务达到以下要求:

1.漏洞修复

集成第三方的漏洞扫描设备,获取设备的漏洞情况,针对地收集并下发漏洞补丁包,接收到补丁后,依据管理模块发下的策略进行漏洞补丁安装;管理模块提供人机操作界面,管理终端代理的执行策略,实现服务器漏洞修复及情况跟踪。

2.数据采集

对安全设备(纵向、横向、防火墙、配电安全接入网关等)、网络设备(交换机、路由器等)、服务器工作站、数据库等系统和设备的日志、状态、服务、外设、连接等进行实时采集、分析和存储。

对配电网络的工控网络流量的采集、分析和存储。

通过技术手段实现数据采集模块用于日志、报警信息等的采集,数据采集模块可支持分布式部署;网络安全监控平台可以集中对数据采集模块进行统一管理,能够对数据的解析策略进行统一下发。

实时或按设定的时间将指定的数据信息传送到网络安全监控平台;在将数据信息送往网络安全监控平台的时候,可以制定传送策略,仅传送符合条件的数据。

在向网络安全监控平台发送数据的时候支持传输加密与数据压缩。

3.事件分析

3.1事件监控

通过技术手段实现事件查看功能,通过事件列表可以近实时了解当前配电自动化系统网络的实时活动,以及事件分布情况,安全审计人员可以按需实时审计日志,了解特定日志的详细信息和相关的配电网络资产等属性,日志可依据策略实时更新和展示。

3.2事件统计

进行事件统计把可以对关心的事件进行如配电设备IP地址、事件类型等维度进行统计,分析趋势,对一段时间内的安全事件进行时间切片统计,并描绘趋势曲线。事件以可视化的饼图、柱图、堆积图等方式展现。

对历史日志按照不同的策略进行统计,按照不同的时间周期,如小时/日/周/月/季度/年等进行各种字段和属性日志的统计,并将统计结果以图表的方式进行展现,为不同角色的用户展现所需的不同内容。系统支持双维度或多维度统计。

3.3事件查询

通过技术手段为用户提供了一套灵活方便的交互式事件调查工具,通过事件调查工具可以对日志中的重要或全部信息进行查询搜索。

用户不仅可以对固定的日志范化字段进行收缩,也可以通过关键字进行全文检索,将传统基于范化的日志分析和基于全文索引的日志搜索技术完美的结合起来,为配电网络安全分析提供强大的分析工具。

用户可通过交互式查询对比,逐渐收敛事件范围,通过用时间、关键字和复杂流程拼接及迭代嵌套等,发现关联事件和异常事件。

3.4事件关联分析

梳理事件关联分析场景,如认证登录、授权行为、违规行为、系统变更、攻击入侵、敏感操作和设备故障等,通过这些场景关闭与启动,实时发现网络攻击和违规行为。通过关联分析灵活定制关联规则。

关联分析采用可视化编辑方式,通过对不同字段的与、或、非等运算符及组合构建复杂关联分析规则,并可与资产属性进行关联,系统支持多事件源的关联分析,并可引用规则,多规则嵌套等方式,满足日志审计的安全场景的分析需求。平台将发现的安全事件以告警和事件的方式通知用户,使用户及时了解关联分析的结果。

4.实时监测

对网络流量、日志等数据进行查询、导出;

对安全事件的溯源分析和取证;

对配电协议等进行深度报文解析,支持细粒度的字段查询;

实现操作指令回溯;

对普通TCP/IP流量的采集分析,例如:基于HTTP的网页访问与上传下载、基于FTP的上传下载、收发邮件正文与附件、基于SMB共享的文件传送等。

对设备状态进行监测,例如:CPU、内存、硬盘、网络流量、关键程序等。

5.安全画像

通过技术手段实现设备安全画像,包括对主机设备、网络设备、数据库、安全设备、终端设备的资产信息、运行状态、网络安全状态的综合展现。

1)主机设备画像:主机设备画像对本级主机设备的运行状态、告警信息、网络安全状态、操作信息、外接设备使用情况以及设备异常的实时画像。主机的运行状态包括在线状态、未关闭的TCP连接数、网络端口监听状态;告警信息包括告警数量统计和监测;网络安全状态包括主机的操作系统漏洞、服务端口等统计;操作信息包括登录用户数;外设设备使用情况包括USB接入数量、串口使用情况以及光驱使用情况;设备异常包括电源模块状态信息。

2)网络设备画像:网络设备画像是对网络设备的运行状态、安全状态、告警信息以及设备异常的实时监视。网络设备的运行状态包括在线状态以及运行时长;网络安全状态包括网络设备系统漏洞、服务端口等统计和监测;告警信息包括告警数量统计和监测。

3)数据库画像:数据库设备画像是对数据库设备的运行状态、安全状态、告警信息以及设备异常的实时监视。数据库的运行状态监视包括数据库运行时长、数据库运行状态、数据库剩余连接数、数据库当前已使用连接数、数据库存储空间使用情况;网络安全状态包括数据库设备系统漏洞、服务端口等统计和监测;告警信息监视包括告警数量监视;运行异常监视包括数据库锁表状态。

4)安全设备画像:安全设备监视是对隔离设备、防火墙设备、入侵检测系统以及防病毒系统的实时画像。对隔离设备可实时监测设备在线状态、传输状态、系统漏洞、服务端口以及告警数;对防火墙设备可实时监视在线状态、网口状态、电源模块状态、风扇状态、系统漏洞、服务端口以及告警数;对入侵检测系统和防病毒系统可实时监视设备在线状态以及告警数。

6.风险告警

6.1告警查看

梳理告警信息为用户提供告警列表,用户可以查看所有产生的告警信息及其明细。提供6个月内的安全告警信息的记录、查询等。包括设备信息、安全告警发生次数、发生时间、告警内容、解决方法等信息。按所属区域、设备类型等属性进行告警筛选,按告警级别、确认状态、发生时间等属性对告警进行搜索,告警内容的全文检索,按关键字段对告警记录进行排序。

6.2告警统计

对日志进行收集与分析,提供告警统计,可以按告警IP分布、告警等级、告警趋势等维度进行统计展示。

6.3告警响应

配置策略实现系统定期任务,自动发起告警通知,使用多种方式对告警进行通知和响应,如短信、邮件等,并可触发执行自定义的响应方式,如重启应用程序、系统等,控制网络和安全设备进行相应动作等。

支持并不限于对如下配电自动化系统安全事件的监测与预警:

安防违规告警:监测安全分区违规、横向隔离旁路、纵向加密明通等二次安防机制失效等问题。

违规外联告警:监测USB存储、笔记本、无线设备、连接外网、跨区直连等违规外联行为,可阻断USB存储、无线设备等的异常接入行为。

脆弱口令告警:监测系统登录、WEB页面登录、FTP登录、MySQL服务器等是否使用脆弱口令。

恶意代码告警:监测并阻断报文传输中或主机运行时的病毒、恶意链接、高危木马端口访问等。可监测和阻断勒索病毒、未知病毒等恶意代码。

网络攻击告警:监测基于各种协议的拒绝服务攻击(DDOS)、常见的网络攻击等。

旁路控制告警:监测入侵者对厂站或调控系统发送非法控制命令,进行异常组态等问题。

违反授权告警:监测非授权修改厂站或调控系统配置、程序、敏感数据等操作,监测非可信连接等操作。

准入监测告警:监测未授权设备接入、报文窃听、IP地址欺骗等,防止入侵者伪装合法身份进入电力系统。

篡改报文告警:监测对报文的拦截、篡改、重放、畸形报文构造等操作,这些操作可能拦截或篡改网络传输中的控制命令、参数设置、交易报价等敏感数据。

设备状态告警:监测设备CPU、硬盘、内存、网络、关键程序、上下线等设备状态异常。

7安全态势感知

7.1统计呈现

为用户提供了一个从总体上把握整体安全情况的界面。通过概览,用户可以快速看到当前整理安全状况。在每个独立的窗口中看到网络中不同维度的实时安全信息,例如事件总量趋势,设备IP分布,设备类型分布,事件类型分布,事件严重程度分布,最近24小时告警,等等。具备根据系统整体安全运行数据,宏观展示全网安全运行情况。使用各类综合指标来展示本级平台的运行情况,包括平台的分时告警统计、按设备类型及告警级别的告警统计、资产分布情况统计及平台密通率统计等指标。通过这种方式,管理者可以方便地进行全网的安全态势监控。

7.2仪表板呈现

配置系统内置的仪表板,如:日志源事件分析仪表板,Windows事件分析仪表板,网络设备分析仪表板,防火墙事件概览分析仪表板,WEB事件概览分析仪表板,FTP服务器日志分析等,同时还可以根据需要进行自定义仪表板。

通过仪表板,不同角色和不同用户可快速获取到各自所关注的安全信息,满足各自管理需求。

7.3事件溯源

进行事件溯源以安全威胁事件为对象,从威胁事件关联到其所涉及的操作及告警的整体情况,进一步细化到具体的各条安全事件和告警,还原威胁发生的全过程。

事件溯源是对外部网络访问、内部行为监视、外接设备监视的历史记录审计,可查询通过网络访问到配电自动化系统的安全事件、内部本地登录等安全事件、外设接入的安全事件的历史记录。

7.4态势可视化展示

梳理可视化内容,包括对现场控制系统网络拓扑结构的展示、对部署的网络节点资源的实时监控、对报警信息的分类统计和对现场网络系统健康值的计算。通过采用多元化的图表形式将节点的系统资源信息和各种报警日志信息分类别的统计后展示给管理员,系统管理员可以通过可视化的统计信息清楚的知道系统目前的运行状态。各种综合分析手段,通过对设备安全监视与安全告警数据进行不同维度的分析与挖掘,提供多视角、多层次的分析结果,展示整体安全运行情况,提供运行分析和安全报表服务。包括不限于:

监测范围拓扑展示和关联查询;

关键指标的统计、展示、趋势分析和实时更新;

最新安全事件的滚动展示。

8.安全审计

安全审计是基于历史记录数据,在事后对采集到的所有行为、事件进行关联、跟踪和追溯的分析,做出相应安全评价。

8.1主机行为审计

主机行为审计根据6个月内的主机登录操作信息的记录、查询等功能。包括主机登录系统用户名、登录时间、退出时间、操作命令、操作时间等信息,支持对相关操作行为关联审计及操作路径的回溯。

8.2设备行为审计

对各类设备的操作行为进行审计:

1)网络设备登录行为审计:针对6个月内的网络设备登录信息的记录、查询等功能,登录信息包括登录用户名、登录时间、退出时间、操作命令、操作时间等;

2)数据库操作行为审计:针对6个月内的数据库配置信息更改、用户权限变更等信息的记录、查询等功能,操作信息包括操作时间、操作内容等;

3)安全设备登录行为审计:针对6个月内的安全设备登录信息的记录、查询等功能,登录信息包括登录用户名、登录时间、退出时间、操作内容、操作时间等。

8.3接入审计

通过技术手段审计外设接入、网络接入相关行为,针对不同的外设接入类型提供分类审计功能,能够追踪网络接入的详细信息。包括:

1) 外设接入审计:提供6个月内的外设设备接入信息的记录、查询等功能,接入信息包括设备类型、接入时间、拔出时间等;

2)网络接入审计:提供6个月内的网络交换机设备接入信息的记录、查询等功能,接入信息包括设备IP、接入时间、断开时间等。

8.4设备离线审计

针对6个月内的设备离线情况的记录、查询等功能,审计各类设备的离线情况,包括设备离线开始时间、离线时长等信息。

9.培训服务

培训计划包括但不限于以下内容:

1)系统维护培训:主要对象为所有项目单位的运行维护人员,使其掌握系统安装、操作、维护、故障排除等。

2)系统管理员培训:主要对象为项目单位的系统管理人员、软件维护人员。

用户使用培训:用户现场。

系统维护培训:培训地点由项目单位指定,投标方负责培训人员的所有费用。

系统管理员培训:培训地点由项目单位指定,投标方负责培训人员的所有费用。

培训时间:培训时间由项目单位指定。

培训人数:在后期由项目单位根据具体情况确定。

 

 

客户收益:

国网信息通信产业集团有限公司2019年第集中采购项目建立后,购进新的网络设备,布置配电自动化系统网络安全监控平台完善监控平台的各项功能,保证各项功能正常运作。努力完善功能。在整个项目期间和用户的沟通交流中,用户深刻体验到金钻芯公司针对自动化系统网络安全监控平台功能完善表现出来的专业技术水平,得到了用户的一致好评。

版权所有:北京金钻芯科技有限公司 2007-2027 保留一切权利 网站制作海大科技