ISG-3000网络安全监测装置(II型)用户手册.pdf
- 文档编号:30838891
- 上传时间:2024-01-30
- 格式:PDF
- 页数:60
- 大小:3.49MB
ISG-3000网络安全监测装置(II型)用户手册.pdf
《ISG-3000网络安全监测装置(II型)用户手册.pdf》由会员分享,可在线阅读,更多相关《ISG-3000网络安全监测装置(II型)用户手册.pdf(60页珍藏版)》请在冰豆网上搜索。
ISG-3000网络安全监测装置(II型)用户手册V1.0NARIISG-3000网络安全监测装置(II型)用户手册(V1.0)南京南瑞信息通信科技有限公司2018年11月ISG-3000网络安全监测装置(II型)用户手册V1.0注意:
注意:
本材料的相关权利归南京南瑞信息通信科技有限公司所有。
手册的任何部分未经本公司许可,不得转印、影印或复印。
ISGISG-30003000网络安全监测装置网络安全监测装置(IIII型)型)用户手册用户手册VersionVersion11.0020201188-1111-0011南京南瑞南京南瑞信息信息通信通信科技有限公司科技有限公司AllrightsreservedAllrightsreserved本资料将定期更新,如预获取最新信息,请访问微信公众号“南瑞信息安全”南京南瑞信息通信科技有限南京南瑞信息通信科技有限公司公司江苏省南京市南瑞路8号,210003电话(TEL):
025-81082222(技术支持)传真(FAX):
025-81082218ISG-3000网络安全监测装置(II型)用户手册V1.0目录目录一、产品简介.61.1概述.61.2装置外观.71.2.1外观样式.71.2.2装置前面板介绍.71.2.3装置后面板介绍.81.3硬件规格.101.4主要特性.101.5性能指标.10二、典型部署方式.112.1变电站部署.112.2发电厂部署.12三、配置软件安装与登录.133.1配置软件运行环境.133.2配置软件登录.143.3角色与权限.143.2.1系统管理员.153.2.2运维用户.203.2.3日志审计员.20四、装置管理.244.1网络管理.244.2参数管理.264.3资产管理.274.3.1添加/修改资产.304.3.2删除资产.314.3.3资产导入/导出.314.3.4资产信息筛选.314.3.5MAC自动更新.324.4证书管理.334.4.1监测装置证书生成和导入.334.4.2平台证书导入.384.5通信管理.394.5.1NTP对时参数配置.404.5.2通信参数配置.404.6装置Agent配置.414.6.1程序运行配置.424.6.2程序业务配置.43五、安全监视.445.1安全概况.445.2告警监视.455.3行为监视.45ISG-3000网络安全监测装置(II型)用户手册V1.05.4采集监视.465.5装置监视.465.5.1装置调试.47六、安全分析.53七、安全核查.54八、产品资质.55ISG-3000网络安全监测装置(II型)用户手册V1.0版本修改历史序号序号说明说明版本版本修订人修订人发布日期发布日期01新建基础文档0.1李牧野2018/04/2802增加配置内容0.2胡楠、王建惺、马乔羽2018/07/2803增加配置内容0.3徐项帅2018/08/0604所有章节重新修订1.0周亚2018/11/01ISG-3000网络安全监测装置(II型)用户手册V1.0一、一、产品产品简介简介1.1.11概述概述电力监控系统网络安全管理系统包含网络安全管理平台和网络安全监测装置(以下简称“监测装置”)两部分,平台部署在国、分、省、地调主站侧,监测装置部署在变电站和发电厂。
整个系统按照设备自身感知、监测装置分布采集、管理平台统一管控的原则,构建感知、采集、管控三层架构的网络安全监管系统技术体系。
因此,监测装置是电力调度网络安全管理系统不可或缺的重要组成部分。
监测装置负责采集网络设备(如数据网交换机、工控交换机等)、主机设备(服务器和工作站)、安防设备(如防火墙、正、反向隔离装置等)以及监测装置自身的运行信息和安全事件,并将运行信息和安全事件实时或归并成告警信息上报给主站平台,并执行主站平台下发的各类管控命令。
分析管控监测告警核查管理设备自身感知通用安全设备专用安全设备网络设备装置分布采集平台统一管控服务器工作站数据库NS5000网络安全管理平台ISG3000网络安全监测装置ISG3000网络安全监测装置图1-1电力监控系统网络安全管理系统架构南京南瑞信息通信科技有限公司(以下简称“南瑞信通”)作为国内领先的电力监控系统安全防护厂商,首批研发出ISG-3000网络安全监测装置(II型),并通过中国电科院认证测试。
ISG-3000网络安全监测装置(II型)用户手册V1.01.1.22装置装置外观外观监测装置按照国网公司“四统一、四规范”原则设计,各项接口指标满足国网公司产品技术要求。
1.2.1外观样式监测装置产品包括硬件和软件两部分。
用户在使用本产品时,应先检查硬件产品是否具有NARI标志,外观是否有损坏现象,如有以上现象,请勿使用并及时与我公司取得联系,处理相关事宜。
为保障产品稳定、可靠地运行,请勿私自打开网络安全监测装置机箱。
1.2.2装置前面板介绍图1-2南瑞ISG-3000网络安全监测装置(II型)正面图图1-2南瑞ISG-3000网络安全监测装置(II型)正面图图1-3南瑞ISG-3000网络安全监测装置(II型)背面图图1-2监测装置前面板ISG-3000网络安全监测装置(II型)用户手册V1.01)运行运行灯灯:
装置正常运行情况下亮绿灯:
装置正常运行情况下亮绿灯2)电源电源1:
装置电源:
装置电源1接通接通后后亮绿灯亮绿灯3)电源电源2:
装置电源:
装置电源2接通后亮接通后亮绿灯绿灯4)告警告警灯灯:
装置自身出现异常:
装置自身出现异常时时亮红灯,正常情况下熄灭亮红灯,正常情况下熄灭5)对时异常:
对时(对时异常:
对时(B码对时或者码对时或者ntp对时)正常情况下不对时)正常情况下不熄灭熄灭,对时都不正常时对时都不正常时亮红灯亮红灯6)LINK灯灯:
网口接通后长:
网口接通后长亮绿灯亮绿灯7)ACT灯灯:
网口接通后网口接通后长长亮亮绿灯,有数据交互长闪绿灯绿灯,有数据交互长闪绿灯8)USBkey:
ukey插入接口插入接口1.2.3装置后面板介绍1)1)电源电源接口接口装置配件中包含2个电源凤凰端子和2根电源线,请按照如下要求连接:
棕色正极接棕色正极接44,蓝色负极接蓝色负极接55,绿黄色接地接绿黄色接地接77;失电告警请按照需求配置。
装置电源支持交直流输入,电压宽幅为110V220V。
注:
若注:
若现场现场电源为电源为-48V48V,请提前与我公司取得联系,我公司需更换电源模块。
请提前与我公司取得联系,我公司需更换电源模块。
安装电源人员应具备强电操作资格,请勿违规操作。
图1-3监测装置后面板ISG-3000网络安全监测装置(II型)用户手册V1.02)2)对时对时接口接口请按照客户需求和现场环境选择相应对时方式:
选择B码对时,注意B码对时接口有+、-之分,需连接B码对时接口和现场B码对时服务器,;选择NTP对时,需选择一闲置网口连接对时服务器,并配置好网口IP地址和NTP参数;3)3)以太网接口以太网接口监测装置后面板共有8个以太网口(如上图所示),在配置软件软件上eth1-eth8分别对应LAN1-LAN8。
其中LAN8(eth8)口为配置管理口(地址11.22.33.44,掩码255.255.255.0),默认不做业务网口使用、其它7个网口可用于接入站控层A/B网、调度数据网双平面和NTP对时等。
4)4)接地接地接口接口装置附件中包含1根1.5米长的接地线缆,请按照现场施工规范将装置外壳接地。
5)5)ConsoleConsole口口该接口在正常配置时不需要使用。
装置附件中包含1根RS232串行接口。
6)6)USBUSB接口接口该接口用于挂载USB设备。
7)7)自身故障告警自身故障告警口口该接口用于输出自身故障告警信号。
图1-4监测装置后面板电源接线示意图1-5监测装置后面板网口示意ISG-3000网络安全监测装置(II型)用户手册V1.01.1.33硬件规格硬件规格长宽高:
340mm*440mm*44.5mm;1U整层机箱;4核CPU,8GB内存;256GB硬盘容量;8个10M/100M/1000Mbps自适应网口,1个B码对时接口;双路交/直流电源独立供电。
1.41.4主要特性主要特性内置等保三级操作系统安全增强组件;支持RedHat5、RedHat6、Centos6、Centos5、Solaris10、HP-UNIXB11、Windows7、WindowsXP、Windows2003、Windows2008和WindowsVista等操作系统采集agent;支持以正则匹配的方式对不符合规范的安防设备、网络设备的信息采集;支持以动态库解析的方式对不符合规范的安防设备、网络设备的信息采集。
1.1.55性能指标性能指标采集信息吞吐量10000条/s;支持监测对象数量500;对上传事件信息的处理时间0.6s,对远程调阅的处理时间2.5s;支持采集信息的本地存储,保存至少半年的采集信息;支持上传事件信息的本地存储,保存至少一年的上传事件信息数据;本地日志审计记录条数10000条;通过IRIG-B同步,对时精度1ms,通过SNTP同步,对时精度100ms;在没有外部时钟源校正时,24小时守时误差应不超过1s;平均故障间隔时间(MTBF)30000h;流量分析功能对小包解析速率18000pps。
ISG-3000网络安全监测装置(II型)用户手册V1.0二、二、典型典型部署部署方式方式2.12.1变电站部署变电站部署安全I区工作站服务器入侵检测装置调度数据网实时VPN防病毒软件纵向加密认证装置型网络安全监测装置型网络安全监测装置(ISGISG-30003000)如如、区间无防火墙时需部署区间无防火墙时需部署安全区管理信息大区防火墙通信网关机调度数据网交换机工作站服务器入侵检测装置调度数据网非实时VPN防病毒软件纵向加密认证装置型网络安全监测装置型网络安全监测装置(ISGISG-30003000)通信网关机调度数据网交换机正向隔离装置反向隔离装置反向隔离装置图2-1变电站站控层拓扑图监测装置通常部署于变电站站控层监测装置通常部署于变电站站控层,当站控层I/II区有防火墙时(即I、II区连通),只需在II区部署一台;当I、II区不通时,I/II区各部署一台。
监测装置需同时接入站控层A、B网内。
部署方案一部署方案一:
当变电站站控层I/II区之间存在防火墙时,仅在II区部署1台监测装置。
监测装置分配2个网口,1个网口与A网站控汇聚II区交换机连接,另1个网口与B网站控层汇聚II区交换机连接,并开放防火墙安全I、II区之间的规则。
选择一个网口连接到II区数据网交换机,以用于与主站平台互联。
部署方案二部署方案二:
当变电站站控层I区与II区之间不存在防火墙时,安全I区与II区各部署1台监测装置。
I区监测装置分别与A网站控汇聚I区交换机、B网站控汇聚安全I区交换机相连;选择1个网口连接到I区数据网交换机,以用于与主站平台互联。
安全II区监测装置分别与A网站控汇聚II区交换机、B网站控汇聚安全II区交换机相连;选择1个网口连接到安全II区数据网交换机,以用于与主站平台互联。
对于故障告警、装置对时和失电告警,请根据现场情况选择性配置。
ISG-3000网络安全监测装置(II型)用户手册V1.02.22.2发电厂发电厂部署部署由于电厂内系统较多,且多数系统无网络连接,宜部署多台网络安全监测装置以满足发电厂涉网区域内各类设备的接入。
对于电厂I区而言,涉网部分主要为NCS系统,装置需同时接入NCS系统内、水电监控系统、光伏电站监控系统、风电厂综合监控系统站控层A、B双网交换机,需单独连接PMU等其他涉网设备,同时,装置需要连接I区调度数据网交换机,通过调度数据网实时VPN连接上级管理平台。
对于电厂II区而言,装置需监测各类服务器、工作站、保信子站、故障录波及电量采集网关机等涉网设备,装置需跨接不同网络内组网交换机,同时连接II区调度数据网交换机,通过调度数据网非实时VPN连接上级管理平台。
电厂涉网部分部署拓扑如下:
安全区安全区I安全区安全区I实时交换机实时交换机安全区安全区I纵向纵向加密认证装置加密认证装置安全区安全区II非实时交换机非实时交换机安全区安全区II纵向纵向加密认证装置加密认证装置实时实时VPN非实时非实时VPN路由器一路由器一路由器二路由器二数据通信数据通信网关机网关机A线路线路测控测控无功电压无功电压控制系统控制系统安全区安全区II有功功率有功功率控制系统控制系统风功率预测风功率预测PMU正向隔离装置正向隔离装置反向隔离装置反向隔离装置防火墙防火墙实时实时VPN非实时非实时VPN安全区安全区I实时交换机实时交换机安全区安全区I纵向纵向加密认证装置加密认证装置安全区安全区II非实时交换机非实时交换机安全区安全区II纵向纵向加密认证装置加密认证装置第一平面接入网第一平面接入网第二平面接入网第二平面接入网入侵检测系统入侵检测系统电能量采电能量采集终端服集终端服务器务器B发电计划发电计划管理子系统管理子系统数据通信数据通信网关机网关机B母线母线测控测控电能量采集终电能量采集终端服务器端服务器A型网络监测装置型网络监测装置型网络监测装置型网络监测装置图2-2电厂涉网部分部署架构图ISG-3000网络安全监测装置(II型)用户手册V1.0三、配置软件三、配置软件安装与安装与登录登录3.13.1配置软件配置软件运行环境运行环境监测装置配置软件(下文简称“配置软件”)有Linux和WINDOWS两个安装版本。
配置软件基于JAVA语言开发,JAVA具有跨平台特性,能够在Linux、Unix、Windows等各类操作系统上运行。
需预装JDK1.8(可通过命令java-version查看java版本)。
Windows安装:
执行开始安装配置软件。
Linux/Unix:
将配置软件压缩包isg3k.tar.gz拷贝到系统中,并赋予可执行权限,在压缩包所在目录下,执行tarxvfisg3k.tar.gz,进入到isg3k文件夹下,执行install.sh脚本,完成安装。
图3-1windows配置软件安装ISG-3000网络安全监测装置(II型)用户手册V1.03.3.22配置软件登录配置软件登录配置调试电脑网卡地址为:
11.22.33.43,掩码255.255.255.0,与监测装置eth8口连接,打开配置软件界面。
将用户Ukey插入装置前面板的USBKEY接口,选择相应角色,输入用户名、密码、PIN码进行登录。
注:
密码验证错误注:
密码验证错误33次,次,用户用户将会被锁定将会被锁定2020分钟。
分钟。
PINPIN码码验证错误验证错误55次次,UkeyUkey将会被将会被锁定,此时该锁定,此时该UkeyUkey失效,需登录系统管理员或日志审计员新建用户,失效,需登录系统管理员或日志审计员新建用户,重新初始化重新初始化失效的失效的UkeyUkey。
监测装置设置了配置软件白名单,首次登录请务必将调试电脑IP地址配置成11.22.33.43。
3.3.33角色与权限角色与权限配置软件采用三权分立的设计思想,设立了系统管理员系统管理员、运维用户运维用户、日志审计员日志审计员和普普通用户通用户共4类角色。
系统管理员系统管理员:
用户、登录白名单管理;日志审计员日志审计员:
审计装置运行日志;图3-2登录界面ISG-3000网络安全监测装置(II型)用户手册V1.0运维用户运维用户:
完成监测装置日常配置;普通用户普通用户:
仅有查看装置配置及运行状态的权利。
装置出厂默认设有sysadm(系统管理员)、opadm(运维用户)和logadm(日志审计员)3类角色的账号。
3.2.1系统管理员
(1)用户管理:
生成用户证书请求,新增、删除、解锁用户。
a.生成证书请求点击生成证书请求按钮,填写相关信息,插入新Ukey到装置,点击下一步,生成用户证书请求。
图3-3填写证书请求参数界面ISG-3000网络安全监测装置(II型)用户手册V1.0b.新增用户点击新增按钮,填写相关信息,导入用户证书,点击保存新增用户。
c.删除用户选择任意用户(不包括当前用户),点击删除按钮,删除用户。
图3-4新增用户界面图3-5删除用户界面ISG-3000网络安全监测装置(II型)用户手册V1.0d.解锁选择被锁定的用户,点击解锁按钮,解锁用户。
(2)白名单管理:
对登录配置软件白名单进行新增、修改、删除一系列操作。
a.新增点击新增按钮,填写有效的ip地址,新增ip白名单。
图3-7新增IP白名单图3-6解锁用户界面ISG-3000网络安全监测装置(II型)用户手册V1.0b.修改选择任意一条记录,点击修改按钮,修改ip白名单。
c.删除选择任意一条记录,点击删除按钮,删除ip白名单。
图3-8修改IP白名单图3-9删除IP白名单ISG-3000网络安全监测装置(II型)用户手册V1.0(3)同步时间:
将配置软件所在的工作站时间同步到监测装置点击时间左侧的时钟图标,同步时间到装置。
(4)软件升级:
升级监测装置程序。
点击软件升级图标,选择软件升级包进行装置软件升级。
图3-10同步时间界面图3-11软件升级界面ISG-3000网络安全监测装置(II型)用户手册V1.0(5)修改密码:
修改当前用户密码。
点击用户图标,修改当前用户密码。
3.2.2运维用户在运维用户下、配置软件有安全监视,安全分析,安全核查和装置管理4个功能模块。
展示了站内网络拓扑、最新告警、操作行为、安全事件、告警统计、通讯状态等信息,实时推送可弹窗提醒,同时语音播报,并进行装置各项参数配置操作详情请查看【章节四】、【章节五】、【章节六】、【章节七】。
3.2.3日志审计员
(1)日志审计a.日志筛选可根据时间、关键字、查询条数、日志类型、日志级别、用户类型、组件类型进行筛选查看。
图3-12修改用户密码图3-13日志审计界面ISG-3000网络安全监测装置(II型)用户手册V1.0b.日志排序分别点击日志级别、日志时间、用户类型、日志类型、组件类型菜单栏,可实现对该菜单栏参数的升降序排列。
c.导出日志点击导出按钮,可导出所有(10000条以内)日志信息。
(2)报表分析a.查看日报根据选择的日期查看日报信息b.导出报表点击导出按钮,可导出当前界面下的报表信息。
(3)用户管理:
生成用户证书请求,新增、删除、解锁用户。
a.生成证书请求点击生成证书请求按钮,填写相关信息,插入新Ukey到装置,点击下一步,生成用户证书请求。
图3-14日志报表图3-15填写证书请求参数界面ISG-3000网络安全监测装置(II型)用户手册V1.0b.新增用户点击新增按钮,填写相关信息,导入用户证书,点击保存新增用户。
图3-16新增用户界面ISG-3000网络安全监测装置(II型)用户手册V1.0c.删除用户选择任意用户(不包括当前用户),点击删除按钮,删除用户。
d.解锁选择被锁定的用户,点击解锁按钮,解锁用户。
图3-17删除用户界面图3-18解锁用户界面ISG-3000网络安全监测装置(II型)用户手册V1.0(4)修改密码点击用户图标,修改当前用户密码。
四、四、装置装置管理管理此章节只针对于运维用户。
4.4.11网络管理网络管理点击“装置管理网络管理”,进入网络配置页面。
该界面完成装置网卡参数和路由参数的配置。
图3-19修改用户密码ISG-3000网络安全监测装置(II型)用户手册V1.0网卡参数配置(见图4-2),根据站内IP地址规划,修改或新增网卡并配置IP,用于连接站控层A/B网交换机、调度数据网交换机或NTP对时等。
为统一配置规范,建议网卡参数采用如下配置策略(监测装置默认网口名称eth1,eth2,eth8,不是LAN1,LAN2,且eth8为配置口,不建议作为业务口使用):
(1)eth1配置站控层A网IP采集A网设备事件信息;
(2)eth2配置站控层B网IP采集B网设备事件信息;图4-2网卡参数配置图4-1网络配置界面ISG-3000网络安全监测装置(II型)用户手册V1.0(3)eth3配置调度数据网第一接入网/第一平面与平台建立通信;(4)eth4配置调度数据网第二接入网/第二平面与平台建立通信;路由参数中,应配置明细路由,禁止默认路由。
4.4.22参数管理参数管理点击“装置管理参数管理”,进入参数管理页面。
该配置主要完成告警事件触发条件配置,默认参数为监测装置规范要求和最优设定。
图4-3路由配置界面ISG-3000网络安全监测装置(II型)用户手册V1.0“网口流量阈值”设置为0时,表示不做限制。
4.4.33资产管理资产管理点击“装置管理资产管理”,进入页面。
该配置界面完成交换机、服务器与工作站、防火墙、隔离装置和监测装置等采集对象接入配置,Mac地址可自动获取,以实现设备信息采集。
监测装置要采集的设备对象,应符合国家电网公司电力监控系统网络安全监测装置技术规范要求,不符合规范要求的信息将无法被监测装置采集并上报平台。
图4-4参数配置界面ISG-3000网络安全监测装置(II型)用户手册V1.01、交换机交换机信息采用SNMP和SNMPTRAP两种方式:
(1)被动接收交换机SNMPTRAP日志信息;
(2)主动使用SNMP读取交换机信息。
交换机应按照电力监控系统网络安全监测装置技术规范要求,重新制定MIB库内容。
在现场调试时,请确认交换机应配置TRAP地址为监测装置地址,并保证监测装置内交换机资产的SNMPV2C/V3相关配置均无问题。
图4-5资产管理主界面图4-6交换机资产配置界面ISG-3000网络安全监测装置(II型)用户手册V1.02、安防设备防火墙、网络安全隔离装置、纵向加密装置和入侵防御/检测装置采用标准SYSLOG协议,日志内容格式应符合电力监控系统网络安全监测装置技术规范。
3、主机服务器和工作站部署agent代理程序,通过私有规范进行信息采集。
图4-7安防设备资产配置界面图4-8主机资产配置界面ISG-3000网络安全监测装置(II型)用户手册V1.0点击主机资产配置中的配置按钮,配置主机的危险操作信息。
说明:
服务器、工作站设备和监测装置可以配置危险操作。
4.3.1添加/修改资产点击“新增/修改”按钮,添加或修改一条资产信息。
图4-10资产添加配置界面图4-9危险操作界面ISG-3000网络安全监测装置(II型)用户手册V1.0设备名称、MAC地址、序列号、设备厂家和版本信息为标识性数据,装置不做合法性校验。
解析方
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISG 3000 网络安全 监测 装置 II 用户手册