【文章內(nèi)容簡介】 測異常業(yè)務(wù) 報文和異常控制行為； 3) 支持對通用協(xié)議的在線解析，對外來設(shè)備接入、遠程登錄、開啟危險端口等的安 全監(jiān)測。 . 防病毒具備防病毒管理功能，提供防病毒客戶端引擎，并能通過網(wǎng)絡(luò)安全管理平臺實現(xiàn)病 毒庫的遠程管理，進一步提高廠站端安全防護水平。 . 拓撲調(diào)閱具備廠站端拓撲調(diào)閱功能，在平臺及網(wǎng)絡(luò)安全監(jiān)測裝置（Ⅱ型）技術(shù)規(guī)范的基礎(chǔ)上 擴展開發(fā)了拓撲調(diào)閱功能，通過平臺端下發(fā)拓撲調(diào)閱命令，裝置能夠?qū)崟r上送所轄區(qū)域內(nèi)網(wǎng)絡(luò)拓撲信息，輔助用戶獲取廠站端資產(chǎn)及網(wǎng)絡(luò)連接情況，并快速定位及分析廠站網(wǎng) 絡(luò)安全事件。 . 安全防護采用自主知識產(chǎn)權(quán)的 TMAC3000 內(nèi)核安全增強技術(shù)，通過公安部三級檢測，防護強 度達到國家操作系統(tǒng)四級要求。 4. 監(jiān)測裝置原理說明及技術(shù)優(yōu)勢 南瑞 ISG3000 網(wǎng)絡(luò)安全監(jiān)測裝置是南瑞集團基于工控安全領(lǐng)域多年的研究積累和成 果，從強化工控終端設(shè)備自身免疫能力、增強通信網(wǎng)絡(luò)協(xié)議安全性、提升工控設(shè)備自身 對安全威脅的感知能力等方面入手，通過采集匯聚系統(tǒng)內(nèi)各類設(shè)備的安全信息，實現(xiàn)全 網(wǎng)內(nèi)各局部節(jié)點信息的分布采集，并進行必要的分析處理，實現(xiàn)本地安全信息的就近處 理，減少不必要的遠程網(wǎng)絡(luò)通信消耗，同時，綜合阻斷、隔離等各種控制手段，實現(xiàn)對 問題設(shè)備、問題節(jié)點的協(xié)同控制。研究突破多項關(guān)鍵技術(shù)，實現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)安全的可 感、可知、可控、可防，從而確保工控系統(tǒng)安全穩(wěn)定運行，可為電網(wǎng)、發(fā)電等生產(chǎn)控制 類業(yè)務(wù)提供切實可靠的網(wǎng)絡(luò)安全防護支撐。 . 主機 AGENT 監(jiān)測 對于大量存量廠站，主機設(shè)備品牌、類型繁雜，操作系統(tǒng)版本眾多，安裝主機 agent 監(jiān)測軟件具有很大的開發(fā)和實施難度。為此，我們自主研制了操作系統(tǒng)安全監(jiān)測工具， 支持 RedHat RedHatCentosCentosSolaris HPUNIX B1Windows WindowsXP、Windows200Windows2008 和 WindowsVista 等。 主機 agent 監(jiān)測軟件通過操作系統(tǒng)自身感知技術(shù)讀取主機硬件配置、系統(tǒng)運行狀態(tài)、 用戶登錄/退出、外網(wǎng)連接監(jiān)視、硬件異常監(jiān)視等信息，方式如下： 1) 通過系統(tǒng)日志捕獲操作系統(tǒng)內(nèi)核動態(tài)信息； 2) 調(diào)用系統(tǒng)提供的標準人機命令并讀取相關(guān)信息； 3) 采用輪詢方式，查詢系統(tǒng)關(guān)鍵資源使用狀態(tài)信息。 上述方式不改變操作系統(tǒng)源碼，保證了操作系統(tǒng)源碼的安全性和完整性。操作系統(tǒng)通過內(nèi)核層感知發(fā)生的所有事件，感知模塊通過操作系統(tǒng)標準接口（包括但不限于 sysfs、 procfs、hotplug 等接口技術(shù)），捕獲特定的安全事件如設(shè)備接入、用戶操作、重要目錄 變更、權(quán)限變更等信息，采用網(wǎng)絡(luò)安全監(jiān)測裝置規(guī)范中定義的主機采集通信協(xié)議轉(zhuǎn)發(fā)至 網(wǎng)絡(luò)安全監(jiān)測裝置。具體采集信息如下所示： 1) 操作信息：包括用戶的登錄、退出、登錄失敗和操作行為等信息； 2) 運行信息：包括外設(shè)設(shè)備使用情況、CPU 使用率、內(nèi)存使用率等信息； 3) 安全事件：包括文件權(quán)限變更、用戶權(quán)限變更、外設(shè)設(shè)備接入、用戶危險操作等 信息。 . 網(wǎng)絡(luò)設(shè)備監(jiān)測 網(wǎng)絡(luò)設(shè)備的安全事件感知功能，當前主要面向廠站站控層或涉網(wǎng)部分的交換機，依 托現(xiàn)有網(wǎng)絡(luò)設(shè)備普遍支持簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），在不改變現(xiàn)有固件的情況下實現(xiàn)對 于網(wǎng)絡(luò)設(shè)備安全事件的感知。 整體上來說，對于網(wǎng)絡(luò)設(shè)備主要通過設(shè)備的自身安防策略、配置信息及運行信息， 來實現(xiàn)事件感知：一方面對于設(shè)備自身的運行狀態(tài)信息，以 SNMP 形式周期性上傳相關(guān)信 息；另一方面，對于安全事件，如設(shè)備的配置變更或接入設(shè)備上線等信息，采用 SNMP trap 的形式以主動觸發(fā)的形式，在保證實時性和準確性的基礎(chǔ)上實現(xiàn)事件感知。 為了保證信息采集的安全性，均采用安全性較高的 SNMP v3 版，實現(xiàn)上述信息的采 集，形成相應(yīng)的安全事件，并上報至網(wǎng)絡(luò)安全監(jiān)測裝置。具體采集信息如下所示： 1) 操作信息：包括用戶、口令安全管理、用戶登錄信息、用戶操作等信息； 2) 運行信息：包括 CPU 利用率、內(nèi)存利用率、網(wǎng)口狀態(tài)等信息； 3) 安全事件：包括非法 MAC 接入、CPU 利用率超過閾值、內(nèi)存使用率超過閾值等信 息。 . 安防設(shè)備監(jiān)測 對于通用安全防護設(shè)備及電力專用安防設(shè)備，由設(shè)備實現(xiàn)對安全事件的自主感知， 通過設(shè)備的自身安防策略、配置信息及運行信息，來實現(xiàn)事件感知，形成相應(yīng)的安全事 件，并以 syslog 報文格式（或提供對應(yīng)的動態(tài)鏈接庫）主動上報至網(wǎng)絡(luò)安全監(jiān)測裝置。 具體采集信息如下所示： 1) 操作信息：包括用戶、口令安全管理、用戶登錄信息、用戶操作等信息； 2) 運行信息：包括 CPU 利用率、內(nèi)存利用率等信息； 3) 安全事件：包括不符合安全策略的訪問、攻擊告警、CPU 利用率超過閾值、內(nèi)存 使用率超過閾值等信息。 . 流量分析 通過對捕獲的鏡像流量按照通用協(xié)議和電力通信協(xié)議進行深度解析，可以分析出通 信數(shù)據(jù)中的異常流量，同時提取出通信協(xié)議中的各個字段，包括報文特征字段、控制指 令、通信雙方信息等。利用這些信息，可以進行一系列的檢測，包括：1) 對于常規(guī) 9 種 dos、ddos 攻擊（Syn Flood、Land Attack、UDP Flood Attack 等）進行實時監(jiān)測與預(yù)警； 2) 監(jiān)測通用協(xié)議中用戶登錄、退出、非法設(shè)備接入、非法外聯(lián)、開放非法端口等安 全事件； 3) 對報文格式、字段取值進行檢查，查看是否存在格式錯誤，字段取值越界等； 4) 根據(jù)報文中的一些檢驗信息，如 CRC 等，對報文完整性進行檢查，檢測報文是否 被篡改； 5) 根據(jù)通信的業(yè)務(wù)類型，識別通信雙方的資產(chǎn)類別，與已有資產(chǎn)信息進行比對，檢 查是否為合法通信流； 6) 依據(jù)相互通信的歷史數(shù)據(jù)，提取出通信關(guān)系，構(gòu)建資產(chǎn)關(guān)系拓撲圖； 7) 對信息交互進行安全審計，重點對連接的通斷，控制指令的下發(fā)、參數(shù)的設(shè)置等事件進行記錄審計。 . 技術(shù)特點 南瑞信通依據(jù)國調(diào)對網(wǎng)絡(luò)安全管理系統(tǒng)的要求，并結(jié)合自身安全防護技術(shù)研究積累 及工程項目經(jīng)驗，開展系統(tǒng)開發(fā)工作。 （一） 在提高網(wǎng)絡(luò)安全管理系統(tǒng)規(guī)范性方面 系統(tǒng)功能及告警處理方式嚴格按照《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺功能規(guī)范基礎(chǔ) 平臺》、《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺功能規(guī)范應(yīng)用》以及《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全 監(jiān)測裝置技術(shù)規(guī)范》，并有多項獨有功能。 （二） 在提高電力監(jiān)控系統(tǒng)安全監(jiān)測范圍方面 優(yōu)勢一：具備各類主機安全監(jiān)測工具，支撐用戶實現(xiàn)主機監(jiān)測接入要求。 針對大