电力监控系统网络安全监测装置(ISG-3000)技术白皮书V1.2-硬件型号 - 图文

南瑞 ISG-3000 网络安全监测装置技术白皮书

对于安全 II 区而言，装置需监测各类服务器、工作站、保信子站、故障录波及电量 采集网关机等涉网设备，装置需跨接不同网络内组网交换机，同时连接 II 区调度数据网 交换机，通过调度数据网非实时 VPN 连接上级管理平台。

电厂涉网部分部署拓扑如下：

第一平面接入网 第二平面接入网 路由器一 实时VPN 安全区I纵向 加密认证装置 安全区I 实时交换机 非实时VPN 安全区II纵向 加密认证装置 安全区II 非实时交换机 实时VPN 路由器二 非实时VPN 安全区I纵向 加密认证装置 安全区I 实时交换机 安全区II纵向 加密认证装置 安全区II 非实时交换机 数据通信 网关机数据通信 网关机PMU Ⅱ 型网络监测装置 入侵检测系统 电能量采集终 端服务器A 风功率预测 Ⅱ 型网络监测装置 电能量采 集终端服 务器B 发电计划 管理子系统 正向隔离装置 线路 测控 无功电压 控制系统 母线 测控 有功功率 控制系统 安全区I 防火墙 反向隔离装置 安全区II

图 5 电厂涉网部分部署架构图

5.2.2.2. 电厂局域网部署方式 电厂推荐部署简易型平台,实现发电厂网络安全事件快

速处置能力及响应效率，满足

电厂自身安全监视管理的要求。接入省级及以上调度数据网的电厂可在安全Ⅰ、Ⅱ区分 别部署Ⅰ型网络安全监测装置，在安全Ⅱ区部署一台服务器（服务器数量可以根据现场 情况进行增加）和一台工作站；接入省级以下调度数据网的电厂可在安全Ⅰ、Ⅱ区分别 部署Ⅰ型网络安全监测装置，在安全Ⅱ区部署一台工作站。

北京君誉科技有限公司 17610078837

文档下载junyu2016.com

第 21 页 共 26 页

南瑞 ISG-3000 网络安全监测装置技术白皮书

第一平面接入网 第二平面接入网 路由器一 实时VPN 安全区I纵向 加密认证装置 安全区I 实时交换机 非实时VPN 安全区II纵向 加密认证装置 安全区II 非实时交换机 实时VPN 路由器二 非实时VPN 安全区I纵向 加密认证装置 安全区I 实时交换机 安全区II纵向 加密认证装置 安全区II 非实时交换机 数据通信 网关机数据通信 网关机PMU Ⅰ 型网络监测装置 入侵检测系统 电能量采集终 端服务器A 风功率预测 Ⅰ 型网络监测装置 电能量采 集终端服 务器B 发电计划 管理子系统 正向隔离装置 线路 测控 无功电压 控制系统 母线 测控 有功功率 控制系统 安全区I 防火墙 SIS系统 反向隔离装置 服务器 工作站 NS5000网络安全管理平台 安全区II

图 6 电厂平台总体架构图

5.3. 流量分析接入

将 ISG-3000 网络安全监测装置连接交换机镜像口，捕获交换机镜像口网口流量进行 流量分析。流量分析部署方式描述如下：

1) 若厂站端有核心交换机，只需将核心交换机所有网口镜像至空闲网口作为镜像 口，连接 ISG-3000 网络安全监测装置；

2) 若厂站端无核心交换机，需将每台交换机所有网口镜像至当前交换机空闲口作为 镜像口，分别连接至 ISG-3000 网络安全监测装置不同网口；

3) 若厂站端交换机镜像口被占用，可使用网络分流器分出一份镜像数据发送至 ISG-3000 网络安全监测装置。 流量分析部署拓扑图如

下所示：

第 22 页 共 26 页

北京君誉科技有限公司 17610078837

文档下载junyu2016.com

南瑞 ISG-3000 网络安全监测装置技术白皮书

图 7 流量分析接入拓扑

5.4. 防病毒接入

可采用与防病毒软件同时部署的方式，实现对安全事件的采集。防病毒管理平台（服 务端）部署于网络安全监测装置，防病毒客户端部署于主机设备。同时通过网络安全管 理平台进行防病毒统一管理。防病毒接入方式如下所示：

第 23 页 共 26 页

北京君誉科技有限公司 17610078837

文档下载junyu2016.com

南瑞 ISG-3000 网络安全监测装置技术白皮书

图 8 防病毒接入方式

第 24 页 共 26 页

北京君誉科技有限公司 17610078837

文档下载junyu2016.com