2022ISG-3000网络安全监测装置用户手册.docx

NARI®南京福益恒科技有限公司ISG-3000网络安全监测装置（11型）用户手册（V0.3）南京南瑞信息通信科技有限公司2018年8月注意：本材料的相关权利归南京南瑞信息通信科技有限公司所有。手册的任何部分未经本公司许可，不得转印、影印或复印。南京福益恒科技有限公司ISG-3000网络安全监测装置（装型）用户手册Version0.32018-08-06南京南瑞信息通信科技有限公司Allrightsreserved本资料将定期更新，如预获取最新信息，请访问微信公众号“南瑞信息安全”您的意见和建议请发送至：xuxiangshuaisg（?pri.s南京南瑞信息通信科技有限公司江苏省南京市南瑞路8号，210003电话（TEL）:025-81082222（技术支持）传真(FAX):025-81082218目录一、产品简介61.1 装置外观7接线说明71.3网口说明错误!未定义书签。1.4硬件规格91. 5性能指标9二、典型部署方案102. 1变电站部署103. 2电厂涉网部分装置部署11三、客户端安装与登陆123.1 客户端运行环境123.2 角色与权限123. 2.1系统管理员123. 2.2运维用户133. 2.3日志审计员134. 3客户端登陆14四、监测装置配置154.1用户登陆154. 2网络管理154. 3参数管理165. 4资产管理174. 4.1添加/修改资产185. 4.2删除资产186. 4.3资产导入、导出194.5通信管理207. 5.1NTP对时参数配置208. 5.2通信参数配置204.6证书管理22方法二：自签发错误!未定义书签。4.7白名单配置244.8装置监视244.9装置自身安全配置254. 9.1程序运行配置,命令如下255. 9.2程序业务配置,命令如下26五、事件查看275.1 告警监视276. 2采集监视28六、产品资质29附录1典型环境实施部署过程案例33一、 环境拓扑33二、 实施部署过程332.1接线332.2上电检查332.3使用运维用户登录客户端342.4网卡配置352.5路由配置372.6资产管理382.7采集监视查看392.8装置监视配置402.8.1程序运行配置,命令如下412.10.2程序业务配置,命令如下412.9装置自身agent配置402.10通信管理配置422.11证书管理44方法一：客户端生成错误!未定义书签。方法二：错误!未定义书签。2.12平台级联测试424.10平台联调错误!未定义书签。版本修改历史序号说明版本修订人发布日期Ol新建基础文档0.1李牧野2018/04/2802增加配置内容0.2胡楠、王1®、马乔羽2018/07/2803增加配置内容0.3徐项帅2018/08/06一、产品简介电力监控系统网络安全管理系统包含网络安全管理平台和网络安全监测装置两部分，平台部署在国、分、省、地调主站侧，网络安全监测装置部署在变电站和发电厂。整个系统按照设备自身感知、监测装置分布采集、管理平台统一管控的原则，构建感知、采集、管控三层架构的网络安全监管系统技术体系。因此，网络安全监测装置是电力调度网络安全管理系统不可或缺的重要组成部分。网络安全监测装置负责采集网络设备（如数据网交换机、工控交换机等）、主机设备（服务器和工作站）、通用安全设备（如防火墙、入侵检测防御装置等）、专用安全设备（如网络安全隔离装置）和数据库等设备和程序的运行信息和安全事件，并将运行信息和安全事件归并成告警信息上报给主站平台，并执行主站平台下发的各类管控命令。平台统一管控NS5000网络安全管理平台ISG3000网络安全监测装置装置分布采集ISG3000设备自身感知图IT电力监控系统网络安全管理系统架构南京南瑞作为国内领先的电力监控系统安全防护厂商，首批研发出ISG-3000网络安全监测装置（II型），下文简称“监测装置”，并通过中国电科院认证测试。1.1装置外观图1-2南瑞ISG3000网络安全监测装置（H型）正面图7ri三*三td垃右咱Z三11图1-3南瑞ISG-3000网络安全监测装置（H型）背面图ISG-3000网络安全监测装置（II型）产品包括硬件和软件两部分。用户在使用本产品时，应先检查硬件产品是否具有NARI标志，外观是否有损坏现象，如有以上现象，请勿使用并及时与我公司取得联系，处理相关事宜。为保障产品稳定、可靠地运行，请勿私自打开网络安全监测装置机箱。1.2接口说明监测装置按照国网公司“四统一、四规范”原则设计，各项接口指标满足国网公司产品技术要求。外壳接地S失电告警，B夫电告警,擅图1-4监测装置后面板接口1）电源接口装置配件中包含2个电源凤凰端子和2根电源线，请按照如下要求连接：棕色正极接4,蓝色负极接5,绿黄色接地接7；失电告警请按照需求配置。装置电源支持交直流输入，电压宽幅为110V220Vo注意：安装电源人员应具备强电操作资格，请勿违规操作。图1-5监测装置后面板电源接线示意2）对时接口请按照客户需求和现场环境选择相应对时方式：选择B码对时，需连接B码对时接口和现场B码对时服务器；选择NTP对时，需选择一闲置网口连接对时服务器，并配置好网口IP地址和NTP参数；3）以太网接口图1-6监测装置后面板网口示意监测装置后面板共有8个以太网口（如上图所示），在配置客户端软件上LAN1-LAN8分别对应ethl-eth8o其中LAN8（eth8）口为配置管理口（地址11.22.33.44/24）,默认不做业务网口使用、其它7个网口可用于接入站控层A/B网、调度数据网双平面和NTP对时等。4）接地接口装置附件中包含1根1.5米长的接地线缆，请按照现场施工规范将装置外壳接地。5）串行接口该接口在正常配置时不需要使用。装置附件中包含1根RS232串行接口。6) USB接口该接口用于USBkey设备的身份认证。7)故障公用测控口该接口用于输出告警信号。需要加装告警指示灯或蜂鸣器，上述设备请另行购买。1. 3硬件规格 长宽高：340un*440m*44.5mm； IU整层机箱； 4核CPU,8GB内存； 256GB硬盘容量； 8个自适应网口，1个B码对时接口； 双路交/直流电源独立供电。1. 4性能指标 内置等保三级操作系统安全增强组件； 支持RedHat5、RedHat6、CentOS6、CentOS5、Solaris10、HP-UNlXB11、WindOWS7、WindOWsXP、WindOWS2003、Windows2008和WindOWSViSta等操作系统采集agent； 采集信息吞吐量2100OO条/s; 支持监测对象数量2200； 对上传事件信息的处理时间06s,对远程调阅的处理时间2.5s； 支持采集信息的本地存储，保存至少半年的采集信息； 支持上传事件信息的本地存储，保存至少一年的上传事件信息数据； 本地日志审计记录条数210000条； 通过IRIG-B同步，对时精度lms,通过SNTP同步，对时精度Wlooms； 在没有外部时钟源校正时，24小时守时误差应不超过1s； 平均故障间隔时间(MTBF)30000h; 流量分析功能对小包解析速率-18000pps0二、典型部署方案 .1变电站部署监测装置通常部署于变电站站控层，当站控层I/I1区有防火墙时（即1、II区连通），只需在II区部署-台；当I、II区不通时，I11区各部署一台。网络安全监测装置需同时接入站控层A、B网内，保证与A、B网内所有设备互联互通。部署方案一：当变电站站控层I/II区之间存在防火墙时，仅在II区部署1台监测装置。监测装置分配2个网口，1个网口与A网站控汇聚II区交换机连接，另1个网口与B网站控层汇聚II区交换机连接，并开放防火墙安全KII区之间的规则。选择-一个网口连接到II区数据网交换机，以用于与主站平台互联。部署方案二：当变电站站控层I区与H区之间不存在防火墙时，安全I区与Il区各部署1台监测装置。I区监测装置分别与A网站控汇聚I区交换机、B网站控汇聚安全I区交换机相连;选择1个网口连接到II区数据网交换机，以用于与主站平台互联。安全II区监测装置分别与A网站控汇聚II区交换机、B网站控汇聚安全II区交换机相连；选择1个网口连接到安全II区数据网交换机，以用于与主站平台互联。对于故障告警、装置对时和失电告警，请根据现场情况选择性配置。2. 2电厂涉网部分装置部署由于电厂内系统较多，且多数系统无网络连接，宜部署多台网络安全监测装置以满足发电厂涉网区域内各类设备的接入。对于电厂I区而言，涉网部分主要为NCS系统，装置需同时接入NCS系统内、水电监控系统、光伏电站监控系统、风电厂综合监控系统站控层A、B双网交换机，需单独连接PMU等其他涉网设备，同时，装置需要连接I区调度数据网交换机，通过调度数据网实时VPN连接上级管理平台。对于电厂II区而言，装置需监测各类服务器、工作站、保信子站、故障录波及电量采集网关机等涉网设备，装置需跨接不同网络内组网交换机，同时连接II区调度数据网交换机，通过调度数据网非实时VPN连接上级管理平台。图2-2电厂涉网部分部署架构图三、客户端安装与登陆2.1 客户端运行环境监测装置客户端配置软件（下文简称“配置软件”）有JAVA版本和WIMDOWS2个版本。JAVA版本具有跨平台特性，能够在LinuxUnixWindows等各类操作系统上运行。需安装JDK1.8（JAVA8）Windows版本执行咕sWPexe即可完成安装。3. 2角色与权限配置软件采用三权分立的设计思想，设立了系统管理员、运维用户、日志审计员和普通用户共4类角色。系统管理员：创建、修改、删除运维用户和普通用户2类用户；增加客户端登录白名单IP；日志审计员：审计装置运行日志；运维用户：完成监测装置所有配置；普通用户：仅有查看装置配置及运行状态的权利。装置出厂是默认有sysadm（系统管理员）、opadm（运维用户）和IOgadm（日志审计员）3类角色的账号。3.1 1系统管理员创建、修改、删除运维用户和普通用户2类用户，修改密码操作，解锁运维用户。图3-1系统管理员用户管理界面3. 2.2运维用户在运维用户下、配置软件有安全监视，安全审计和装置管理3个功能模块。展示了站内网络拓扑、最新告警、操作行为、安全事件、告警统计、通讯状态等信息，实时推送可弹窗提醒，同时语音播报，并进行装置各项参数配置操作。图3-2运维用户管理界面3.2.3日志审计员日志审计查看日志信息，可根据时间、关键字、日志类型、日志级别、用户类型、组件类型进行筛选。NARll三1i3,三二三三二三三二三H三三图3-3日志审计界面日志审计用户管理新增、删除日志审计员，以及修改密码操作。图3-