南瑞电力监控系统网络安全管理系统介绍ppt课件.ppt

《南瑞电力监控系统网络安全管理系统介绍ppt课件.ppt》由会员分享，可在线阅读，更多相关《南瑞电力监控系统网络安全管理系统介绍ppt课件.ppt（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、南瑞电力监控系统网络安全管理系统介绍南瑞信通2018年1月汇报提纲概述1网络安全管理系统2系统建设3 近年来，相继发生乌克兰大面积停电（2015年）、美国东部互联网服务瘫痪（2016年）、全球爆发勒索病毒（2017年）等事件； 电力系统已成为国际网络战的重要攻击目标，电力监控系统安全防护承受巨大压力，需要建立网络安全管理的技术手段。威胁日益突出 网络安全法设置专门章节对电力等关键信息基础设施的网络安全提出更高的要求：采取监测、记录网络运行状态和网络安全事件的技术措施； 公司高度重视网络安全工作，将网络安全视为大电网安全的重要组成部分，明确要求建立电力监控系统网络安全事件快速反应机制和预防预控机

2、制。要求日益严格网络安全面临严峻的挑战3由“安全分区、网络专用、横向隔离、纵向认证”的边界防护和自主可控的系统本体安全防护构成的防护体系 ，已在保障电网安全运行中发挥了重要作用。网络安全的检查和评估结果表明：网络边界安全防护和系统本体安全防护措施的落实对管理依存度较高，需要实时监视和闭环管控的技术手段支撑。管理信息大区专用电网调度控制系统厂站监控系统1.安全分区2.网络专用3.横向隔离4.纵向认证网络边界安全防护原则：系统本体安全防护原则：自主可控现有安全防护体系的闭环管理需要技术手段支撑4全面监测外部网络访问、外部设备接入、用户登录、人员操作等事件实现网络安全监视告警、分析定位、追踪处置、审

3、计溯源、风险核查和协同管控全面覆盖监控系统内部的服务器、工作站和网络设备仅覆盖网络边界上的防护设备仅能对跨边界的网络安全事件进行监视告纵向加密认证装置外部攻击行为纵向加密认证装置网络设备服务器工作站操作系统数据库内部不安全行为现状需求现有内网安全监视平台的技术能力急需提升5纵向加密认证装置网络设备服务器工作站操作系统数据库内部不安全行为工作进展6确立面向主机设备采集网络安全信息的思想，启动网络安全管理系统的研发工作。完成平台技术方案的设计和关键技术验证，制定三个方案。完成主机网络安全采集技术，网络安全监测装置、网络安全管理平台的设计、研发和联调。天津市调、重庆市调和国调中心开展平台及装置应用验

4、证。覆盖变电站、发电厂、调控机构三类监控系统。项目启动2016年12月方案设计2016年12月技术研发2017年1月-4月试点应用2017年6月-9月扩大试点2017年10月-至今装置监测2017年12月-至今华东、江苏、北京等15个网省调扩大试点国调统一组织开展网络安全监测装置（型型）电科院检测汇报提纲概述1网络安全管理系统2系统建设38按照设备自身感知、监测装置分布采集、管理平台统一管控的原则，构建感知、采集、管控三层架构的网络安全管理系统技术体系。管理平台监测装置监测对象实现网络安全实时监视告警、分析定位、追踪处置、审计溯源、风险核查和协同管控等功能的集成。实现对调控机构、变电站、并网电

5、厂等电力监控系统网络安全数据的采集，以及与网络管理平台的通信与交互。实现服务器、工作站、交换机、纵向加密、正/反向隔离等设备自身网络安全事件的感知及上报，并具体执行安全核查。网络安全管理平台服务器工作站数据库网络设备防火墙、IDS正反向隔离纵向加密认证网络安全监测装置网络安全监测装置系统架构部署体系9构建基于网络安全管理平台分级部署，协同管控的网络安全管理体系，覆盖各级调控机构、发电厂和变电站，实现网络安全数据的分布采集、全面贯通，保障安全数据送达的范围与管理职责相匹配。同时，监测装置和管理平台提供网络安全服务，支撑网络安全服务按照标准接口形式实现分布处理、广域响应。10系统特点南瑞信通依据国

6、调对网络安全管理系统的要求，并结合自身的相关技术积累及工程项目经验，开展系统开发工作。一、规范性：系统功能及告警处理方式严格按照电力监控系统网络安全管理平台功能规范-基础平台、电力监控系统网络安全管理平台功能规范-应用以及电力监控系统网络安全监测装置技术规范进行开发，并正送交电科院进行功能测试。二、安全性：采用自研的通过公安部三级认证的TMAC-3000安全加固软件对网络安全监测装置进行操作系统级别安全加固，满足网络安全法、14号令、36号文等国家法律、法规要求；三、自主可控南瑞信通研制的网络安全管理系统包括漏洞扫描、基线核查等模块均自主研发，能够满足用户高级应用模块开发、软件集成等需求，并提

7、高工程实施的自主性，降低用户投资成本。目前其它单位部分模块需外委第三方采购或开发，成本较高。11系统特点四、适用性1）国调目前调控主站主要针对凝思、麒麟操作系统进行安全监测，变电站及电厂依靠监控系统厂商进行实现，针对此存在的监测主机无法全面覆盖的问题，依托自己的安全操作系统研发团队自研涵盖各类操作系统的安全监测工具。下表为我方能支持的采集项，其它厂商支持有限。2）考虑到存量变电站及电厂存在的无法通过部署安全监测工具实现对主机监测的问题，在网络安全监测装置进一步增加流量分析、拓扑调阅功能，实现对外来设备接入、远程登录、开启危险端口的安全监测。类型版本支持功能项目LinuxRedHat6系列版本S

8、SH/x11/本地登录，操作回显、链路阻断、网卡禁用、运维账号添加修改、配置信息、告警信息、基线核查CentOS6系列版本RedHat5系列版本CentOS5系列版本WindowsWindows Server 2003/2008用户登陆、USB拔插、关键服务和端口监控、违规外链、进程开启和停止监控、新增用户监控、端口阻断Windows vista/XP/7UNIXSolaris 10支持CPU信息、内存、硬盘、网卡信息、TCP连接等信息上报；支持非法外联告警上报；支持网卡阻断功能HP UNIXDebian 3.0UbuntuIBM UNIX11实时数据应用服务历史数据数据采集安全核查模型管理平

9、台管理安全审计安全分析安全监视五类安全应用平台支撑模块安全告警安全告警安全分析安全监视模型管理平台管理数据采集架构设计安全审计安全核查NS5000网络安全管理平台12网络安全监测装置.网络设备通用安全设备网络安全管理平台网络安全监测装置数据采集网关专用安全设备服务器&工作站操作系统&数据库服务器&工作站网络设备专用安全设备通用安全设备网络安全监测装置服务器&工作站网络设备专用安全设备通用安全设备采集模块采集模块采集模块网络安全管理平台主要通过网络安全监测装置对主站和厂站监控系统信息进行采集，并通过管理VPN与主站网络安全管理平台数据采集网关进行数据通信。13NS5000网络安全管理平台安全告警

10、安全分析安全监视模型管理平台管理数据采集架构设计安全审计安全核查14NS5000网络安全管理平台采集对象涉及品牌服务器、工作站 麒麟、凝思、Linux、windows、HP-UX网络设备 华为、华三、中兴等纵向加密装置 南瑞信通、科东、卫士通、56所、兴唐横向隔离装置 南瑞信通、科东、珠海鸿瑞等防火墙 绿盟、启明星辰、天融信、网御、东软、迪普入侵检测系统 绿盟、启明星辰、天融信、网御、东软、迪普防病毒系统 瑞星、赛门铁克数据库 达梦、金仓安全告警安全分析安全监视模型管理平台管理数据采集架构设计安全审计安全核查服务器工作站网络设备纵向加密横向隔离防火墙数据库入侵检测防病毒安全事件类病毒爆发类攻击

11、事件类权限变更及越权操作类非法网络访问类非法设备接入类操作类登录信息类用户操作信息类运行信息类网络连接关系类设备运行状态类安全运行指标类硬件运行异常类15NS5000网络安全管理平台安全告警安全分析安全监视模型管理平台管理数据采集架构设计安全审计安全核查平台管理人员管理参数管理日志管理业务管理运维管理知识库管理核查项管理平台管理提供管理平台自身及相关应用的配置管理功能，本功能用来维护系统的完整性和可用性，提高系统的运行效率。16NS5000网络安全管理平台安全告警安全分析安全监视模型管理平台管理数据采集架构设计安全审计安全核查模型管理模块从设备、区域、厂商三种维度来展示和管理平台相关模型。每个

12、维度可以单独进行配置，这三个维度既相互独立，又密切相关。设备管理 支持对设备的添加、编辑、复制、删除、导出、筛选等功能，从而实现对设备的统一管理。区域管理 支持对区域的添加、编辑、删除、导出、排序等功能，从而实现了对整个平台所有区域的管理。厂商管理 支持对厂商的添加、编辑、删除、导出等功能，从而实现了设备与厂商的关联。17NS5000网络安全管理平台安全告警安全分析安全监视模型管理平台管理数据采集架构设计安全审计安全核查功能：安全监视是实时监视主机、网络、安防等设备的操作事件和网络事件，识别攻击行为和不安全行为，实现对异常事件和行为进行告警和跟踪。实现： 将采集的网络安全数据通过采集消息总线发

13、送给分析服务模块，分析服务模块处理收集到的数据，将必要的数据存入实时库，生成具体的监视、告警信息推送给人机，人机的监听模块获取相关信息后展示给用户，并根据用户的操作向分析服务模块发送请求，分析服务模块收到请求后再从实时库中提取相关数据，发送给人机进行数据展示。运行设备监视拓扑监视登录监视行为监视外部设备接入监视威胁监视安全监视结构示意图18NS5000网络安全管理平台安全告警安全分析安全监视模型管理平台管理数据采集架构设计安全审计安全核查18级别定义风险程度举例处理原则紧急告警指对电力监控系统安全具有重大影响的安全事件，需要立即处理。已构成安全威胁非法外联；网络入侵；病毒攻击；加密装置离线1小

14、时等。逐级上报，直至国调重要告警指对电力监控系统安全具有较大影响的安全事件，需要在规定时间内进行处理。具有一定安全风险主机执行危险操作；不符合安全策略的访问；U盘外设接入等。上报上级调控机构一般告警指对电力监控系统安全具有一定影响的安全事件，对于多次发生的需要在规定时间内进行处理。不构成事实安全威胁登录主机失败；纵向设备隧道建立错误；CPU利用率超出阈值等。本地处理按照国调定义的安全告警级别及处置方式，将安全事件划分为紧急、重要、一般三个等级，并以文字、声音、动画、短信等方式对网络安全事件进行告警。19NS5000网络安全管理平台安全告警安全分析安全监视模型管理平台管理数据采集架构设计安全审计

15、安全核查功能：安全分析是基于运行积累的各项统计数据，利用比较、关联和大数据等分析手段，对网络运行的状态、趋势进行分析。实现： 告警处理模块分析出告警信息后，通知数据分析模块，其接收到告警通知后查询历史数据库对告警数量、告警曲线等信息进行统计分析并将分析后结果写入历史数据库和实时数据库，人机界面通过查询历史库和实时库进行获取统计数据并进行展示。指标分析周期分析多维分析安全分析结构示意图20NS5000网络安全管理平台安全告警安全分析安全监视模型管理平台管理数据采集架构设计安全审计安全核查功能：基于历史记录数据，在事后对所有安全事件、操作行为进行关联、跟踪和追溯的分析，并作出相应安全评价，以发掘未

16、被实时管理的安全漏洞与安全风险。实现：数据采集模块将采集的信息通过采集消息总线发送给数据处理模块，数据处理模块进行分析处理后存入历史库；数据分析服务通过服务总线注册并对外提供审计数据服务，人机界面通过服务总线发现数据服务并建立连接，数据分析服务通过查询历史数据库，分析统计人机界面请求审计信息，并反馈给界面进行展示。登录操作审计接入行为审计安全事件审计综合事件审计21NS5000网络安全管理平台安全告警安全分析安全监视模型管理平台管理数据采集架构设计安全审计安全核查21功能：基于漏洞库和安全配置基线，对安全漏洞、弱口令、安全配置进行扫描和核查，实现网络安全的主动防御。安全风险评估实现：安全风险评

17、估服务连接/区采集装置的探针程序，向对应安全区的设备进行安全风险评估。考虑到对电力监控系统的影响，平台提供基础风险评估及深度风险评估功能模块。安全配置核查实现：预先将核查脚本分发到主机上，由平台发起安全配置核查任务，由操作系统执行核查脚本，并将核查结果返回给安全配置核查服务程序。安全风险评估用户口令扫描安全配置核查22NS5000网络安全管理平台安全告警安全分析安全监视模型管理平台管理数据采集架构设计安全审计安全核查222323网络安全监测装置网络安全监测装置（安全网关机）是网络安全管理平台数据的来源方和命令的传递者。负责采集监测对象的安全信息，控制监测对象执行指定命令，向平台提供安全事件数据

18、、支持相关服务调用。网络安全监测装置分为型和型。型网络安全监测装置主要实现对主站调度机构内部的主机设备、网络设备、安全设备进行监测；型网络安全监测装置主要实现对变电站站控层、发电厂涉网部分的主机设备、网络设备、安全设备进行监测。服务器工作站数据库网络设备防火墙、IDS正反向隔离纵向加密认证通过多种通信方式采集服务器、工作站、网络设备、安全防护设备等管理对象的信息。24南瑞ISG-3000网络安全监测装置（型）采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅25采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅采集对象涉及品牌服务器、工作站Linux、windo

19、ws、HP-UX网络设备 华为、华三、中兴、东土、监控系统厂家交换机等横向隔离装置 南瑞信通、科东、珠海鸿瑞等防火墙 绿盟、启明星辰、天融信、网御、东软、迪普等南瑞ISG-3000网络安全监测装置（型）注：按照国调原则变电站及电厂内的调度数据网网络设备、纵向加密装置、数据库不纳入监测范围。26采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅服务器工作站网络设备横向隔离防火墙安全事件类病毒爆发类攻击事件类权限变更及越权操作类非法网络访问类非法设备接入类操作类登录信息类用户操作信息类运行信息类网络连接关系类设备运行状态类安全运行指标类硬件运行异常类南瑞ISG-3000网络安全监测

20、装置（型）27编号设备类型监测内容级别上传调度机构模式采集方式1服务器、工作站等设备登录成功一般（4）实时通过主机网络安全监测程序Agent实现2退出登录一般（4）实时3操作命令一般（4）本地展示不上传4操作回显一般（4）本地展示不上传5USB设备（非无线网卡类）插入重要（2）实时6USB设备（无线网卡）插入紧急（1）实时7USB设备拔出一般（4）实时8串口占用重要（2）实时9串口释放一般（4）实时10并口占用重要（2）实时11并口释放一般（4）实时12光驱挂载重要（2）实时13光驱卸载一般（4）实时14网络外联事件紧急（1）归并15登录失败超过阈值重要（2）实时16关键文件变更重要（2）实时

21、17用户权限变更重要（2）实时18危险操作重要（2）实时19设备上线一般（4）实时20设备离线重要（2）实时21存在光驱告警重要（2）实时22开放非法端口重要（2）实时采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅南瑞ISG-3000网络安全监测装置（型）28编号设备类型监测内容级别上传模式采集方式1网络设备配置变更一般（4）实时编号2、3、3、4、5、6、12为公有mib，只要交换机支持SNMP V2、V3协议，均能采集到，编号1、7、8、9、10、11需通过电力监控系统网络安全监测装置技术规范定义的日志格式进行采集，如果交换机不支持上述规范，可考虑通过syslog解析，

22、但需相关厂商提供对应的Mib库。2网口UP重要（2）实时3网口DOWN重要（2）实时4网口流量超过阈值重要（2）归并5交换机上线一般（4）实时6交换机离线重要（2）实时7登录成功一般（4）实时8退出登录一般（4）实时9登录失败一般（4）实时10修改用户密码一般（4）实时11用户操作信息一般（4）实时12端口未绑定MAC地址重要（2）实时1隔离装置不符合安全策略访问重要（2）归并Syslog方式2隔离装置上线一般（4）实时3隔离装置离线重要（2）实时4CPU利用率超过阈值重要（2）归并5内存使用率超过阈值重要（2）归并采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅南瑞ISG-

23、3000网络安全监测装置（型）29编号设备类型监测内容级别上传模式采集方式1防火墙登录成功一般（4）实时Syslog方式2退出登录一般（4）实时3登录失败一般（4）实时4修改策略一般（4）实时5不符合安全策略访问重要（2）归并后上传6攻击告警紧急（1）归并后上传7防火墙上线一般（4）实时8防火墙离线重要（2）实时9CPU利用率超过阈值重要（2）归并后上传10内存使用率超过阈值重要（2）归并后上传采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅南瑞ISG-3000网络安全监测装置（型）对采集到的事件数据进行分析处理，最终形成事件上报到网络安全管理平台。同时，以服务代理的形式提供

24、服务，供网络安全管理平台调用。网络安全管理平台服务代理本地转发网络安全监测装置监测对象服务代理本地转发网络安全监测装置监测对象30采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅南瑞ISG-3000网络安全监测装置（型）网络安全监测装置具备本地管理功能，本地管理采用图形界面对网络安全监测装置进行本地化的安全管理。31用户管理资产管理运行管理病毒管理日志审计基线核查拓扑展现告警分析资产管理合规检查统计分析审计分析病毒分析流量分析漏洞扫描数据库文件应用展示分析处理持久层采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅国调规范外扩展功能，正在开发或已开发完成南瑞I

25、SG-3000网络安全监测装置（型）32规则库未知设备接入用户登录监测工控协议异常开启非法服务网络攻击报文为弥补厂站主机Agent不易工程实施的问题，采用通过捕获交换机镜像口流量进行协议分析方式，对异常流量和行为进行实时监视与预警。l解析报文IP和MAC地址，匹配设备资产表，发现未知设备告警。l监测Syn Flood、Land Attack、UDP Flood Attack等安全攻击。l监测非法服务及端口开启，如启用勒索病毒445端口。未知设备接入网络攻击报文开启非法服务l基于工控协议状态机、关键字段建立合规协议规则库，发现异常协议报文告警。工控协议异常l通过监测远程登录协议，监测用户登录、退

26、出等行为。登录监测采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅南瑞ISG-3000网络安全监测装置（型）33网络安全管理平台另外可考虑与防病毒软件同时部署的方式，实现对安全事件的采集。防病毒管理平台（服务端）部署于网络安全监测装置，防病毒客户端部署于主机设备。同时通过网络安全管理平台进行防病毒统一管理。病毒管理防病毒客户端服务器/工作站网络安全监测装置病毒事件病毒查杀策略病毒库病毒事件病毒查杀策略病毒库采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅南瑞ISG-3000网络安全监测装置（型）编号操作系统CPU架构支持的操作系统版本1Solarisspar

27、cV6、V8、V92x86V103AIXPower pc rs6000V7.3、V5.1、V5.2、V6.14HP-UXPA-RISC(HP) B.11.005LINUXX86内核2.4、2.6、Centos5.x、Centos6.x、Centos7.0、Redhat5.x 、Redhat6.x 、Redhat7.0、红旗server3 、红旗server4、凝思磐石 4.2 64位、麒麟3.2.2、中标麒麟v6、中标麒麟（兆芯）、银河麒麟 （X86）4.0、Suse企业版11SPx、Suse企业版12 、中标普华isoft client v3.0 、 Ubuntu 4、红旗inWise v8

28、.0 32/64位 、一铭桌面系统4.0、 一铭服务器系统1.0 、新支点CGS Linux v4、中科方德（兆芯）、 Oracle Linux 7.3 6MIPS（含龙芯）麒麟3.2 7中标麒麟V7.08申威-09版9AARCH（飞腾-10版）银河麒麟34采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅南瑞ISG-3000网络安全监测装置（型）35采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅为实现对变电站资产的远程管理和安全事件的快速定位，实现对变电站拓扑的自动发现并支持网络安全管理平台的远程拓扑调阅。南瑞ISG-3000网络安全监测装置（型）网络安全

29、监测装置定位是电力监控系统逻辑上的一个功能模块，地调、220KV及以上变电站要求达到等级保护三级标准。按此原则，装置至少需要满足三级要求。通过自研的满足操作系统三级安全防护强度要求的TMAC-3000安全组件对监测装置进行安全加固。36采集与通信流量分析安全防护设计事件处理与服务本地管理防病毒拓扑调阅南瑞ISG-3000网络安全监测装置（型）汇报提纲概述1网络安全管理系统2系统建设3实施计划要求38优先：对国外引进机组的火电厂、风电场、光伏电站和基于WINDOWS的电力监控系统，先行部署。存量：2018年开始，用5年的时间完成现有35kV及以上厂站的网络安全监测装置的部署工作。2018年底前至

30、少完成15%存量厂站的建设。增量：新建变电站和并网电厂，网络安全监测装置与电力监控系统同步开展建设。2018年底前2022年底前按照国调国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知（国家电网调20171084号）要求，2018年上半年完成省级以上调度机构平台建设， 2018年上半年完成省级以上调度机构平台建设。从2018年开始用5年的时间，完成公司经营区域内35kV及以上厂站的网络安全监测装置的部署工作。增量部分从设计环节入手，网络安全监测装置与电力监控系统同步开展建设。39调度端建设主要包括对操作系统、数据库进行适应性改造，部署网络安全监测装置、部署NS5000网络安全管理

31、平台三个方面。网络安全管理平台部署方案网络安全管理平台所需设备清单40设备大类设备名称网络安全管理平台（国（分）、省调、部分地调）县调服务器平台服务器4数据网关服务器2服务网关服务器1工作站1网络安全监测装置型33表1：国调典型设计配置要求，原服务器可以利旧使用。网络安全管理平台建设作业标准化41NS5000网络安全管理平台在现场部署实施前，需要做好准备工作，包括现场调研、IP地址分配、实施方案制定、机柜位置确定、组网测试、工作票准备等。职责方准备工作调控机构1、确定设备、分配IP；2、添加防火墙、纵向加密装置策略；3、分配机柜、空间、电源；4、准备好工作票。南瑞信通1、制定实施方案；2、安装

32、操作系统及数据库；3、按照分配的地址完成相关设备配置；4、预装及配置各软件；5、按建设单位的拓扑，进行组网测试，确保各设备功能正常。实施团队1、完成现场调研，包括操作系统、数据库、交换机类型及版本；2、操作系统厂商、数据库厂商准备好相关升级部署程序；3、交换机厂商准备好现场交换机配置方法。厂站端建设主要包括对操作系统适应性改造，部署ISG-3000网络安全监测装置两个方面内容。在进站实施前，一定要详细调研清楚监控系统主机、交换机、防火墙、隔离装置等版本、型号。网络安全监测装置部署拓扑4243二、厂站网络安全监测装置主要技术参数: 1U整层机箱； 4核CPU，8GB内存； 256GB硬盘容量；

33、8个自适应网口， 1个B码对时接口； 双路直流电源独立供电。一、单个厂站部署规模： 区和区间有防火墙的，只需在区部署1台网络安全监测装置； 区和区间没有防火墙的，需在区和 区各部署1台网络安全监测装置。厂站网络安全监测装置设备清单建设标准化作业流程44厂站网络安全监测装置在现场部署实施前，需要做好准备工作，包括现场调研、接入测试、IP地址分配、实施方案制定、机柜位置确定、工作票准备等。职责方准备工作调控机构1、确定设备、分配IP，包括A、B网地址以及与主站网络安全管理平台通信的数据网地址；2、预添加纵向策略，保证与主站安全管理平台的通信正常；3、分配机柜、空间及电源；4、准备好工作票。南瑞信通

34、1、制定现场实施方案；确定需到场配合的监控系统厂商人员；2、按分配的IP地址完成网络安全监测装置的配置；3、完成与厂站监控系统厂商的接入测试。厂站监控系统厂商1、厂站监控系统厂商完成现场监控系统调研，包括监控主机、交换机等；2、进行相关程序部署并与南瑞信通实施团队完成接入测试。厂站现场调研要点45按照国调要求，变电站站控层、电厂涉网部分全部设备都应纳入网络安全监测范围。在进站实施前，需要对现场情况进行详细调研，包括网络拓扑、物理环境及主机、交换机、防火墙、隔离装置等版本、型号等。一、网络结构调研要点主要调研现场、区是否有防火墙进行相连，用于确定型网络安全监测部署区域。二、物理环境调研要点主要调

35、研是否有足够的空间安装设备、调度数据网交换机与站控层交换机之间的距离（ 型网络安全监测装置需要同时接入站控层网络和调度数据网网络）以及是否有电源。三、主机设备调研要点主要为主机所属业务系统、厂商，操作系统类型、版本、位数、硬件架构及能否部署对应的Agent程序。四、站控层交换机调研要点主要为交换机型号、厂商、是否支持公有SNMP协议及支持协议版本（V2或V3版本），能否进行软件固件升级已完全满足国调的安全事件采集要求等。五、安防设备调研要点主要为安防设备型号、厂商。防火墙需调研能否软件进行升级以满足国调的安全事件采集要求，如不能需协调防火墙厂商提供对应型号的解析插件。问题及建议措施46问题一：

36、非监控系统主机设备Agent部署问题描述：目前国调原则上是由监控系统厂家开发主机Agent监测软件并部署，对于保信、五防、故录等目前未收到明确的消息如何部署。建议措施：建议由保信、五防、故录等厂家进行自主开发方式为第一选择方案；其次采用由型网络安全监测装置厂商负责开发方式。问题二：主机设备Agent部署困难问题描述：存量主机设备较为老旧，部分业务系统厂家无法提供对应的Agent监测程序。建议措施：可采用南瑞信通自主开发的主机Agent监测软件，另一方面也可通过南瑞信通网络安全监测装置（型）独有的流量分析功能实现对部分网络安全事件的采集。问题及建议措施47问题三：交换机不支持SNMP协议问题描述：现场交换机不支持SNMP协议且相关固件难以升级，唯有通过更换交换机硬件设备才能满足需求。建议措施：目前国调尚未有明确的说法，建议先期接入能接入的设备。问题四：防火墙不支持标准格式规范的协议问题描述：防火墙发出的日志格式不符合规范要求，难以进行接入。建议措施：一方面协调防火墙能够升级成满足格式规范要求，如果实在不能则建议由防火墙厂家提供对应的协议解析插件。问题五：隔离装置不支持标准格式规范的协议问题描述：部分隔离装置厂家的装置不支持协议规范要求。建议措施：由隔离装置厂家进行升级以满足要求。