型号:PSSEM-2000S,Ⅱ型网络安全监测装置。
硬件平台
Øpower pc处理器;
Ø主频1.2GHz,cpu 4核;
Ø内存8GB;
ØFLASH 1GB。
操作系统
Ø代码可控的经过裁减内核的Linux 操作系统。
Ø采用双路交流电源独立供电,任一回路电源中断不造成装置故障或重启;
ØDC:110V或220V(-20%~+15%);
Ø直流电源电压纹波系数小于5%;
Ø支持采集信息的本地存储,保存至少半年的采集信息;
Ø支持上传事件信息的本地存储,保存至少一年的上传事件信息;
Ø本地日志审计记录条数≥10000条。
Ø采用RJ45接口;
Ø具备不少于8个10M/100M/1000M自适应以太网电口(支持网口扩展);
Ø两个交流220V/50HZ,电源插座;
Ø两个电源开关;
Ø四个USB2.0接口。
Ø电源
a)采用双路直流电源独立供电,任一回路电源中断不造成装置故障或重启;
b)直流电源电压:可支持110V或220V,允许偏差-20%~+15%;
c)直流电源电压纹波系数小于5%;
d)直流电源中断100ms,装置工作正常,性能指标不下降;
e)电源模块失电信号有硬接点输出。
Ø环境规范
a)运行温度:-20℃ ~ +60℃(-25℃~+70℃贮藏运输);
b)操作湿度:不大于85%。
Ø大气压力:
a)70kPa~106kPa。
4.6几何及物理特性
Ø尺寸:采用1U整层机箱;
Ø重量:10kg。
具体性能试验和指标见表1。
表 1 电磁兼容试验
序号 | 试验名称 | 引用标准 | 等级要求 |
1 | 静电放电抗扰度 | GB/T 17626.2 | IV级 |
2 | 射频电磁场辐射抗扰度 | GB/T 17626.3 | III级 |
3 | 电快速瞬变脉冲群抗扰度 | GB/T 17626.4 | IV级 |
4 | 浪涌(冲击)抗扰度 | GB/T 17626.5 | IV级 |
5 | 射频场感应的传导骚扰抗扰度 | GB/T 17626.6 | III级 |
6 | 工频磁场抗扰度 | GB/T 17626.8 | V级 |
7 | 脉冲磁场抗扰度 | GB/T 17626.9 | V级 |
8 | 阻尼振荡磁场抗扰度 | GB/T 17626.10 | IV级 |
9 | 电压暂降、短时中断和电压变化的抗扰度 | GB/T 17626.11 GB/T 17626.29 | 短时中断 |
10 | 振荡波抗扰度 | GB/T 17626.12 | III/IV级 |
注1:电压暂将、短时中断和电压变化的抗扰度要求短时中断时间不小于100ms。 注2:振荡波抗扰度差模试验电压值为共模试验值的1/2。 |
在变电站站控层或并网电厂电力监控系统的安全Ⅱ区部署网络安全监测装置,采集变电站站控层和发电厂涉网区域的服务器、工作站、网络设备和安全防护设备的安全事件,并转发至调度端网络安全管理平台的数据网关机。同时,支持网络安全事件的本地监视和管理。
Ø当变电站站控层或发电厂涉网区域存在Ⅰ、Ⅱ区,并且网络可达时,网络安全监测装置部署在Ⅱ区,如图4-8-1。
图4-8-1 厂站端拓扑图
Ø当变电站站控层或发电厂涉网区域Ⅰ、Ⅱ区网络完全断开,则Ⅰ、Ⅱ区各部署一台网络安全监测装置,如图4-8-2。
图4-8-2 厂站端拓扑图
Ø当变电站站控层或发电厂涉网区域无Ⅱ区时,则网络安全监测装置直接部署于Ⅰ区,如4-8-3;
Ø当变电站站控层或发电厂涉网区域网络存在A、B双网,网络安全监测装置需要同时与A、B双网互联。
图4-8-3 厂站端拓扑图
4.9 基本功能
数据采集满足如下功能:
1.支持对变电站站控层或发电厂涉网生产控制大区内的服务器、工作站、网络设备(交换机)、安全防护设备等监测对象进行数据采集;
2.支持采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息;
3.支持采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息;
4.支持采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息;
5.支持触发性事件信息的采集和周期性上送的状态类信息的采集;
6.Ⅱ型网络安全监测装置支持的具体采集信息见附录A.1。
数据处理应满足如下要求:
1.支持以分钟级统计周期,对重复出现的事件进行归并处理;
2.支持根据参数配置,对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理,根据处理结果决定是否形成新的上报事件。
网络安全监测装置以服务代理的形式提供服务给网络安全管理平台调用,服务代理满足如下功能:
1.支持远程调阅采集信息、上传事件等数据信息,支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息;
2.支持对被监测系统内的资产进行远程管理,包括资产信息的添加、删除、修改、查看等;
3.支持参数配置的远程管理,包括系统参数、通信参数及事件处理参数;
4.支持通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看;
5.支持通过网络安全管理平台对网络安全监测装置进行远程程序升级。
Ø与服务器、工作站设备通信
支持采用自定义TCP协议与服务器、工作站等设备进行通信,实现对服务器、工作站等设备的信息采集与命令控制。报文格式包括报文头、报文体和报文尾三部分。
Ø与网络设备通信
1.支持通过SNMP协议主动从交换机获取所需信息;
2.支持通过SNMP TRAP协议被动接收交换机事件信息;
3.采用SNMP、SNMP TRAP V3版本与交换机进行通信;
4.支持通过日志协议采集交换机信息。
Ø与安全防护设备通信
网络安全监测装置与安全防护设备通信应支持通过GB/T31992协议采集安全防护设备信息。
Ø事件上传通信
采用DL/T634.5104通信协议;网络安全管理平台作为服务端,网络安全监测装置作为客户端;采用自定义的报文类型;TCP连接建立后,首先进行基于调度数字证书的双向身份认证,认证通过后才能进行事件上传;只与网络安全管理平台建立一条TCP连接;
Ø服务代理通信
采用基于TCP的自定义通信协议;网络安全监测装置作为服务端,网络安全管理平台作为客户端;支持多个TCP连接,至少支持4个;对未配置的网络安全管理平台IP地址发来的TCP连接请求拒绝响应;
1.具备自诊断功能,至少包括进程异常、通信异常、硬件异常、CPU占用率过高、存储空间剩余容量过低、内存占用率过高等,检测到异常时应提示告警,诊断结果应记录日志;
2.具备用户管理功能,基于三权分立原则为不同角色分配不同权限;满足不同角色的权限相互制约要求,不存在拥有所有权限的超级管理员角色;
3.具备资产管理功能,包括资产信息的添加、删除、修改、查看等,资产信息包括:设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等;
4.支持采集信息、上传信息的本地查看,支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看;
5.支持对监视对象数量、在离线状态的统计展示,支持从设备类型、事件等级等维度对采集信息、上传信息进行统计展示;
6.具备日志功能,日志类型至少包括登录日志、操作日志、维护日志等;
7.日志内容包括日志级别、日志时间、日志类型、日志内容等信息,日志具备可读性;
4.10 部署位置以及和网络安全管理平台的关系
按照“分布采集、统一管控”原则,Ⅱ型网络安全监测装置部署于电力监控系统发电厂涉网生产控制大区或变电站站控层,用以对监测对象的网络安全信息进行采集,为网络安全管理平台上传事件并提供服务代理功能。