<form id="j1z55"><th id="j1z55"></th></form>

      <span id="j1z55"><span id="j1z55"><track id="j1z55"></track></span></span>

      <form id="j1z55"></form>
        <em id="j1z55"></em>
        首頁 解決方案 典型案例 行業新聞 資質榮譽 產品中心 關于我們
        您所在位置 > 首頁 > 最新資訊
        最新資訊 / News
        最新資訊
        2019年10月 國網信息通信產業集團有限公司2019年第六批集中采購項目

        項目背景:

        配電自動化系統網絡安全監控平臺作為配電主站安全防護的重要組成部分,主要實現對主機、操作系統、網絡設備、安全設備日志數據的采集、分析、統計、報表,及資產管理等功能,實現對配電自動化系統異常網絡流量的及時發現,主要對部署在橫、縱向邊界的電力專用和通用安全設備運行情況和異常訪問情況進行實時監視,對內部關鍵設備和系統的安全運行情況進行監視。平臺功能包括漏洞自動修復、數據采集、事件分析、實時監測、風險告警、態勢感知等。

         

        解決方案

        配電自動化系統網絡安全監測預警平臺是智能電網安全防護的重要組成部分,主要實現對主機、操作系統、網絡設備、安全設備日志數據的采集、分析、統計、報表,及資產管理等功能,實現對配電自動化系統異常網絡流量的及時發現,主要對部署在橫、縱向邊界的電力專用和通用安全設備運行情況和異常訪問情況進行實時監視,對內部關鍵設備和系統的安全運行情況進行監視。

        在河北保定配電自動化系統部署網絡安全監測預警平臺(以下簡稱平臺),平臺主要由兩部分組成:配電網絡流量采集探針和配網安全監控平臺。其中配電網絡流量采集探針使用旁路的方式分布式部署在每個配電子網當中,監聽交換機鏡像端口的流量,對流量進行深度分析,檢測出里面的攻擊或異常等行為。配網安全監測平臺負責收集來自主機、數據庫、網絡設備、安全設備發送上來的告警信息,以及網絡流量采集探針數據,并進行統計分析、關聯分析、態勢感知,將整個網絡的安全態勢進行可視化展示。

         

        項目內容:

        完成對自動化主站系統網絡平臺安全功能的改造,優化自動化主站系統網絡平臺,使主站系統安全功能更完善,能及時監控各安全功能的異常情況。針對各服務達到以下要求:

        1.漏洞修復

        集成第三方的漏洞掃描設備,獲取設備的漏洞情況,針對地收集并下發漏洞補丁包,接收到補丁后,依據管理模塊發下的策略進行漏洞補丁安裝;管理模塊提供人機操作界面,管理終端代理的執行策略,實現服務器漏洞修復及情況跟蹤。

        2.數據采集

        對安全設備(縱向、橫向、防火墻、配電安全接入網關等)、網絡設備(交換機、路由器等)、服務器工作站、數據庫等系統和設備的日志、狀態、服務、外設、連接等進行實時采集、分析和存儲。

        對配電網絡的工控網絡流量的采集、分析和存儲。

        通過技術手段實現數據采集模塊用于日志、報警信息等的采集,數據采集模塊可支持分布式部署;網絡安全監控平臺可以集中對數據采集模塊進行統一管理,能夠對數據的解析策略進行統一下發。

        實時或按設定的時間將指定的數據信息傳送到網絡安全監控平臺;在將數據信息送往網絡安全監控平臺的時候,可以制定傳送策略,僅傳送符合條件的數據。

        在向網絡安全監控平臺發送數據的時候支持傳輸加密與數據壓縮。

        3.事件分析

        3.1事件監控

        通過技術手段實現事件查看功能,通過事件列表可以近實時了解當前配電自動化系統網絡的實時活動,以及事件分布情況,安全審計人員可以按需實時審計日志,了解特定日志的詳細信息和相關的配電網絡資產等屬性,日志可依據策略實時更新和展示。

        3.2事件統計

        進行事件統計把可以對關心的事件進行如配電設備IP地址、事件類型等維度進行統計,分析趨勢,對一段時間內的安全事件進行時間切片統計,并描繪趨勢曲線。事件以可視化的餅圖、柱圖、堆積圖等方式展現。

        對歷史日志按照不同的策略進行統計,按照不同的時間周期,如小時/日/周/月/季度/年等進行各種字段和屬性日志的統計,并將統計結果以圖表的方式進行展現,為不同角色的用戶展現所需的不同內容。系統支持雙維度或多維度統計。

        3.3事件查詢

        通過技術手段為用戶提供了一套靈活方便的交互式事件調查工具,通過事件調查工具可以對日志中的重要或全部信息進行查詢搜索。

        用戶不僅可以對固定的日志范化字段進行收縮,也可以通過關鍵字進行全文檢索,將傳統基于范化的日志分析和基于全文索引的日志搜索技術完美的結合起來,為配電網絡安全分析提供強大的分析工具。

        用戶可通過交互式查詢對比,逐漸收斂事件范圍,通過用時間、關鍵字和復雜流程拼接及迭代嵌套等,發現關聯事件和異常事件。

        3.4事件關聯分析

        梳理事件關聯分析場景,如認證登錄、授權行為、違規行為、系統變更、攻擊入侵、敏感操作和設備故障等,通過這些場景關閉與啟動,實時發現網絡攻擊和違規行為。通過關聯分析靈活定制關聯規則。

        關聯分析采用可視化編輯方式,通過對不同字段的與、或、非等運算符及組合構建復雜關聯分析規則,并可與資產屬性進行關聯,系統支持多事件源的關聯分析,并可引用規則,多規則嵌套等方式,滿足日志審計的安全場景的分析需求。平臺將發現的安全事件以告警和事件的方式通知用戶,使用戶及時了解關聯分析的結果。

        4.實時監測

        對網絡流量、日志等數據進行查詢、導出;

        對安全事件的溯源分析和取證;

        對配電協議等進行深度報文解析,支持細粒度的字段查詢;

        實現操作指令回溯;

        對普通TCP/IP流量的采集分析,例如:基于HTTP的網頁訪問與上傳下載、基于FTP的上傳下載、收發郵件正文與附件、基于SMB共享的文件傳送等。

        對設備狀態進行監測,例如:CPU、內存、硬盤、網絡流量、關鍵程序等。

        5.安全畫像

        通過技術手段實現設備安全畫像,包括對主機設備、網絡設備、數據庫、安全設備、終端設備的資產信息、運行狀態、網絡安全狀態的綜合展現。

        1)主機設備畫像:主機設備畫像對本級主機設備的運行狀態、告警信息、網絡安全狀態、操作信息、外接設備使用情況以及設備異常的實時畫像。主機的運行狀態包括在線狀態、未關閉的TCP連接數、網絡端口監聽狀態;告警信息包括告警數量統計和監測;網絡安全狀態包括主機的操作系統漏洞、服務端口等統計;操作信息包括登錄用戶數;外設設備使用情況包括USB接入數、串口使用情況以及光驅使用情況;設備異常包括電源模塊狀態信息。

        2)網絡設備畫像:網絡設備畫像是對網絡設備的運行狀態、安全狀態、告警信息以及設備異常的實時監視。網絡設備的運行狀態包括在線狀態以及運行時長;網絡安全狀態包括網絡設備系統漏洞、服務端口等統計和監測;告警信息包括告警數量統計和監測。

        3)數據庫畫像:數據庫設備畫像是對數據庫設備的運行狀態、安全狀態、告警信息以及設備異常的實時監視。數據庫的運行狀態監視包括數據庫運行時長、數據庫運行狀態、數據庫剩余連接數、數據庫當前已使用連接數、數據庫存儲空間使用情況;網絡安全狀態包括數據庫設備系統漏洞、服務端口等統計和監測;告警信息監視包括告警數量監視;運行異常監視包括數據庫鎖表狀態。

        4)安全設備畫像:安全設備監視是對隔離設備、防火墻設備、入侵檢測系統以及防病毒系統的實時畫像。對隔離設備可實時監測設備在線狀態、傳輸狀態、系統漏洞、服務端口以及告警數;對防火墻設備可實時監視在線狀態、網口狀態、電源模塊狀態、風扇狀態、系統漏洞、服務端口以及告警數;對入侵檢測系統和防病毒系統可實時監視設備在線狀態以及告警數。

        6.風險告警

        6.1告警查看

        梳理告警信息為用戶提供告警列表,用戶可以查看所有產生的告警信息及其明細。提供6個月內的安全告警信息的記錄、查詢等。包括設備信息、安全告警發生次數、發生時間、告警內容、解決方法等信息。按所屬區域、設備類型等屬性進行告警篩選,按告警級別、確認狀態、發生時間等屬性對告警進行搜索,告警內容的全文檢索,按關鍵字段對告警記錄進行排序。

        6.2告警統計

        對日志進行收集與分析,提供告警統計,可以按告警IP分布、告警等級、告警趨勢等維度進行統計展示。

        6.3告警響應

        配置策略實現系統定期任務,自動發起告警通知,使用多種方式對告警進行通知和響應,如短信、郵件等,并可觸發執行自定義的響應方式,如重啟應用程序、系統等,控制網絡和安全設備進行相應動作等。

        支持并不限于對如下配電自動化系統安全事件的監測與預警:

        安防違規告警:監測安全分區違規、橫向隔離旁路、縱向加密明通等二次安防機制失效等問題。

        違規外聯告警:監測USB存儲、筆記本、無線設備、連接外網、跨區直連等違規外聯行為,可阻斷USB存儲、無線設備等的異常接入行為。

        脆弱口令告警:監測系統登錄、WEB頁面登錄、FTP登錄、MySQL服務器等是否使用脆弱口令。

        惡意代碼告警:監測并阻斷報文傳輸中或主機運行時的病毒、惡意鏈接、高危木馬端口訪問等?杀O測和阻斷勒索病毒、未知病毒等惡意代碼。

        網絡攻擊告警:監測基于各種協議的拒絕服務攻擊(DDOS)、常見的網絡攻擊等。

        旁路控制告警:監測入侵者對廠站或調控系統發送非法控制命令,進行異常組態等問題。

        違反授權告警:監測非授權修改廠站或調控系統配置、程序、敏感數據等操作,監測非可信連接等操作。

        準入監測告警:監測未授權設備接入、報文竊聽、IP地址欺騙等,防止入侵者偽裝合法身份進入電力系統。

        篡改報文告警:監測對報文的攔截、篡改、重放、畸形報文構造等操作,這些操作可能攔截或篡改網絡傳輸中的控制命令、參數設置、交易報價等敏感數據。

        設備狀態告警:監測設備CPU、硬盤、內存、網絡、關鍵程序、上下線等設備狀態異常。

        7安全態勢感知

        7.1統計呈現

        為用戶提供了一個從總體上把握整體安全情況的界面。通過概覽,用戶可以快速看到當前整理安全狀況。在每個獨立的窗口中看到網絡中不同維度的實時安全信息,例如事件總量趨勢,設備IP分布,設備類型分布,事件類型分布,事件嚴重程度分布,最近24小時告警,等等。具備根據系統整體安全運行數據,宏觀展示全網安全運行情況。使用各類綜合指標來展示本級平臺的運行情況,包擴平臺的分時告警統計、按設備類型及告警級別的告警統計、資產分布情況統計及平臺密通率統計等指標。通過這種方式,管理者可以方便地進行全網的安全態勢監控。

        7.2儀表板呈現

        配置系統內置的儀表板,如:日志源事件分析儀表板,Windows事件分析儀表板,網絡設備分析儀表板,防火墻事件概覽分析儀表板,WEB事件概覽分析儀表板,FTP服務器日志分析等,同時還可以根據需要進行自定義儀表板。

        通過儀表板,不同角色和不同用戶可快速獲取到各自所關注的安全信息,滿足各自管理需求。

        7.3事件溯源

        進行事件溯源以安全威脅事件為對象,從威脅事件關聯到其所涉及的操作及告警的整體情況,進一步細化到具體的各條安全事件和告警,還原威脅發生的全過程。

        事件溯源是對外部網絡訪問、內部行為監視、外接設備監視的歷史記錄審計,可查詢通過網絡訪問到配電自動化系統的安全事件、內部本地登錄等安全事件、外設接入的安全事件的歷史記錄。

        7.4態勢可視化展示

        梳理可視化內容,包括對現場控制系統網絡拓撲結構的展示、對部署的網絡節點資源的實時監控、對報警信息的分類統計和對現場網絡系統健康值的計算。通過采用多元化的圖表形式將節點的系統資源信息和各種報警日志信息分類別的統計后展示給管理員,系統管理員可以通過可視化的統計信息清楚的知道系統目前的運行狀態。各種綜合分析手段,通過對設備安全監視與安全告警數據進行不同維度的分析與挖掘,提供多視角、多層次的分析結果,展示整體安全運行情況,提供運行分析和安全報表服務。包括不限于:

        監測范圍拓撲展示和關聯查詢;

        關鍵指標的統計、展示、趨勢分析和實時更新;

        最新安全事件的滾動展示。

        8.安全審計

        安全審計是基于歷史記錄數據,在事后對采集到的所有行為、事件進行關聯、跟蹤和追溯的分析,做出相應安全評價。

        8.1主機行為審計

        主機行為審計根據6個月內的主機登錄操作信息的記錄、查詢等功能。包括主機登錄系統用戶名、登錄時間、退出時間、操作命令、操作時間等信息,支持對相關操作行為關聯審計及操作路徑的回溯。

        8.2設備行為審計

        對各類設備的操作行為進行審計:

        1)網絡設備登錄行為審計:針對6個月內的網絡設備登錄信息的記錄、查詢等功能,登錄信息包括登錄用戶名、登錄時間、退出時間、操作命令、操作時間等;

        2)數據庫操作行為審計:針對6個月內的數據庫配置信息更改、用戶權限變更等信息的記錄、查詢等功能,操作信息包括操作時間、操作內容等;

        3)安全設備登錄行為審計:針對6個月內的安全設備登錄信息的記錄、查詢等功能,登錄信息包括登錄用戶名、登錄時間、退出時間、操作內容、操作時間等。

        8.3接入審計

        通過技術手段審計外設接入、網絡接入相關行為,針對不同的外設接入類型提供分類審計功能,能夠追蹤網絡接入的詳細信息。包括:

        1) 外設接入審計:提供6個月內的外設設備接入信息的記錄、查詢等功能,接入信息包括設備類型、接入時間、拔出時間等;

        2)網絡接入審計:提供6個月內的網絡交換機設備接入信息的記錄、查詢等功能,接入信息包括設備IP、接入時間、斷開時間等。

        8.4設備離線審計

        針對6個月內的設備離線情況的記錄、查詢等功能,審計各類設備的離線情況,包括設備離線開始時間、離線時長等信息。

        9.培訓服務

        培訓計劃包括但不限于以下內容:

        1)系統維護培訓:主要對象為所有項目單位的運行維護人員,使其掌握系統安裝、操作、維護、故障排除等。

        2)系統管理員培訓:主要對象為項目單位的系統管理人員、軟件維護人員。

        用戶使用培訓:用戶現場。

        系統維護培訓:培訓地點由項目單位指定,投標方負責培訓人員的所有費用。

        系統管理員培訓:培訓地點由項目單位指定,投標方負責培訓人員的所有費用。

        培訓時間:培訓時間由項目單位指定。

        培訓人數:在后期由項目單位根據具體情況確定。

         

         

        客戶收益:

        國網信息通信產業集團有限公司2019年第六批集中采購項目建立后,購進新的網絡設備,布置配電自動化系統網絡安全監控平臺,完善監控平臺的各項功能,保證各項功能正常運作。努力完善功能。在整個項目期間和用戶的溝通交流中,用戶深刻體驗到金鉆芯公司針對自動化系統網絡安全監控平臺功能完善表現出來的專業技術水平,得到了用戶的一致好評。

        版權所有:北京金鉆芯科技有限公司 2007-2027 保留一切權利 京ICP備19056231號-1    網站制作海大科技
        赢彩