电力监控系统网络安全 态势感知厂站装置
电力监控系统网络安全
态势感知厂站装置
技术规范书
1.1 本规范书的使用范围,仅限于XX有限公司(以下简称“XX电厂”)电力监控系统网络安全态势感知厂站装置的招标技术规范,它提出了该系统的功能设计、结构、性能、安装和试验等方面的技术要求。
1.2 本规范书提出的是最低限度的技术要求,并未对一切技术细节作出规定,也未充分引述有关标准和规范的条文,投标方应保证提供符合本规范和工业标准的优质产品。
1.3 如投标方没有以书面形式对本规范书的条文提出异议,那么招标方可以认为投标方提出的产品完全满足本规范书的要求。如有异议,不管是多么微小,都应在投标书中以“对规范书的意见和同规范书的差异”为标题的专门章节中加以详细描述。
1.4 在签订合同之后,招标方有权提出因规范标准和规程发生变化而产生的一些补充要求,具体项目由投标方、招标方双方共同商定。
1.5 本招标文件所使用的标准如与投标人所执行的标准发生矛盾时,按较高标准执行。
1.6 本设备技术规范书经投标方、招标方双方确认后作为订货合同的技术附件,与合同正文具有同等的法律效力。
1.7 投标方须在南方电网范围内省级及以上电力调度机构具有3个及以上220KV以上厂站态势感知厂站装置项目投运业绩,并提供投运项目的合同复印件以及联系人等资料,该投运项目业绩必须是投标人与最终用户签订的合同而不是其代理的制造商业绩。若投标方为设备代理商,投标方应提供设备制造商对于此项目的授权函以及承诺书:承诺由设备制造商直接提供技术服务、直接负责投标方在投标文件承诺的所有技术实现。
1.8设备制造商应为参与南方电网态势感知科技项目的厂家之一:南京南瑞信息通信科技有限公司、广州兆和电力技术有限公司以及广州市优普计算机有限公司。
1.9投标方具有实施投标项目的技术能力和质量保证以及售后服务能力,具有独立完成合同设备的设计、安装、调试、系统联调的能力。投标方须保证其合同产品能够接入电网态势感知系统主站并通过南方电网公司相关部门的验收。
1.10投标方应具有ISO9000系列质量管理体系或等同级别的质量保证体系认证证书、ISO14000系列环境管理体系或等同级别的环境管理体系认证证书。投标人须提供OHSAS18001职业健康安全管理体系认证。投标方具有四级以及以上信息系统集成及服务资质证书。投标方应提供制造商的态势感知厂站监测软件著作权登记证书。
1.11投标方具有良好的银行资信和商业信誉,没有处于被责令停业,财产被冻结、接管,破产状态,报价人在近三年(2015年至2017年度)内不曾在任何合同中违约,或被逐,或因报价人的原因而使任何合同被解除。
1.12在最近三年(2015年至2017年度)内没有骗取中标、严重违约,所服务项目发生重大及以上质量安全责任事故,投标方不存在尚未了结的重大诉讼案件, 未发生借取他人或向他人出借资质或业绩的情况。
所有合同设备包括卖方从他处获得的设备或附件都必须满足以下标准,且不限于下述标准。除本规范书中规定的特别标准外,所有合同设备包括卖方从他处获得的设备或附件,都必须满足最新版本的IEC标准,包括在投标时已生效的任何修改和补充,以及国际单位制。卖方也可提请采用满足其他标准的设备,供买方确认。
下述标准和规范仅规定了最低要求,只要卖方认为有必要且经买方认可,即可超越这些标准,采用更好、更经济的设计和材料,以便卖方的设备持续稳定地运行。
下列文件中的条款通过本规定的引用而成为本规定的条款。凡注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规定。凡未注明日期的引用文件,其最新版本适用于本规定。
IEC61000-4-2 静电放电抗扰度
IEC61000-4-3 辐射电磁场抗扰度
IEC61000-4-4 快速瞬变电脉冲抗扰度
IEC61000-4-5 冲击(浪涌)抗扰度
IEC61000-4-6 电磁场感应的传导骚扰的抗扰度
IEC61000-4-8 工频磁场的抗扰度
IEC61000-4-9 脉冲磁场的抗扰度
IEC61000-4-10 阻尼振荡磁场的抗扰度
IEC61000-4-11 电压暂降、电压短时中断和电压变化的抗扰度
IEC61000-4-12 振荡波的抗扰度
IEC61000-2-5 电磁场环境分类
GB/T 20272 信息安全技术操作系统安全技术要求
GB/T 20273 信息安全技术数据库管理系统安全技术要求
GB/T 22239信息系统安全等级基本要求
《电力监控系统安全防护规定》(国家发改委2014第14号令)
《电力监控系统安全防护总体方案和评估规范》(国能安全[2015]36号)
Q/CSG212001-2015中国南方电网电力监控系统安全防护管理办法
Q/CSG1204009-2015 中国南方电网电力监控系统安全防护技术规范
《电力监控系统网络安全态势感知厂站装置技术规范(试行)》(中国南方电网系 统运行部)
注:GB为中华人民共和国国家标准
DL为中华人民共和国电力行业标准
2.3环境条件
请电厂补充
电力监控系统网络安全态势感知厂站装置作为态势感知系统的重要组成部分,实现电力监控系统网络安全态势在厂站的数据采集以及厂站网络安全数据的分析功能。厂站安全监控终端与态势感知平台主站采用统一架构,以实现相关网络安全数据的采集以及在线辨识及告警功能。能够实现电力监控系统现有主机设备、网络安全、安全设备等的状态采集、配置信息采集、日志信息、流量数据的采集,并为上级网络安全分析提供数据支持,能够实现跨区互联识别、网络非法接入识别、移动介质非法接入识别、资产台账、安全管控、运行管控、安全运营、应急处置、接入管控等功能模块。
根据中国南方电网调网安[2018]3号文《关于加快推进电力监控系统网络安全态势感知系统建设工作的通知》的要求,XXX电厂将承担网络安全监测厂站安全监控终端的建设,在厂内部署网络安全监测厂站终端,对现有电力监控系统设备进行配置以实现网络安全数据的接入等工作,最终达到电力监控系统网络安全风险可发现、可控制、可溯源的目标。
卖方所提供厂站装置的所有设备应是全新的、标准的、完整的、技术上是先进的,性能上是成熟的。完全符合中国南方电网系统运行部《电力监控系统网络安全态势感知厂站装置技术规范(试行)》要求。
XXX电厂业务系统已按南网最新要求进行了安全分区,主要分为生产控制大区(I区和II区)和信息管理大区(III区),态势感知装置只部署在生产控制大区(I区和II区)
项目目标
通过在XXX电厂安全I区和Ⅲ区分别部署一套电力监控系统网络安全监测终端实现对发电厂内与涉网系统相关的各电力监控系统网络安全的数据采集、范式化处理、数据建模和关联分析。及时发现如非法跨区互联、网络非法接入、非法移动介质接入等各类网络安全风险以及非法访问事件,实现对厂站电力监控系统全方位、全天候的网络安全监测,实现厂站电力监控系统网络安全的闭环管理。全面提高公司电力监控系统网络安全防护的整体水平,达到电力监控系统网络安全风险可发现、可控制、可溯源的目的。
项目的具体目标包括:
1) 在控制区(安全区I)部署厂站安全监控终端,实现生产控制大区的网络安全数据采集以及风险在线识别。
2) 对生产控制大区的主机设备、网络设备以及安全设备进行配置修改以达到数据采集以及接入的目的,数据采集方式包括Agent、SNMP、SNMP trap、syslog以及流量镜像等方式。
3) 修改I区加密装置,Ⅱ区纵向防火墙、I/II区横向防火墙、I、II区互联交换机的安全策略、路由配置、NAT等配置,实现站内及主子站之间系统数据的互联互通。
- 改造内容
结合现场已有网络设备,本次改造内容主要有1、新增态势感知厂站装置1台;2、新增态势感知厂站装置系统软件1套(含操作系统软件、核心功能软件、客户端软件、数据接口软件、辅助功能软件等所有配套软件)3、安装附件1套(含通信网线等附件);新增的态势感知厂站装置部署在继保电子间/通信机房(与二次安防设备同一房间),通过态势感知厂站装置的网络通信口(或光口)分别连接至厂内二次安防、加密装置、横墙、纵墙、实时交换机、非实时交换机、站控层交换机等设备,改造后如下图所示。
图 2 系统总体部署架构示意图
图3厂站装置部署架构
卖方按本规范书规定的工作范围提供一套态势感知厂站装置及配套设备(1台装置)。卖方的工作范围将包括下列内容,但不仅仅限于此内容:
- 整套态势感知及配套设备(包括电缆及其附件)的设计、制造、工厂试验、包装、运输、到现场的安装指导、现场验收、调试的技术服务。
- 提供所有的设计、制造、安装及维护方面的说明书。
- 提供型式试验和常规试验数据,以便确认供货设备能否满足所有的性能指标要求。
- 提供图纸、制造和质量保证过程的一览表及招标书规定的其它资料。
- 在更换所用的准则、标准、规程或修改设备技术数据时,卖方有责任接受买方的选择。
- 承担与买方设计、施工及用户单位的配合指导和负责整个供货设备的系统联调。
- 对买方人员的培训和保证期内的维修服务。
- 提供合同设备间的连接线或电缆及与其它系统之间的通信接口电缆。
- 所有现场接线和电缆敷设,发生的费用应包含在合同价格中。
- 提供设备安装的屏柜。
- 提供设备的供电电源。
- 态势感知厂站装置与买方现有系统的接口见附表1:
买方应协调上述控制系统的厂商进行通讯接口,厂站装置侧的通讯软件和硬件由卖方提供。所应发生的第三方接口费用应包含在合同价格中。
- 买方不对厂站装置设专用的接地网,其接地接于电厂主接地网,主接地网的接地电阻不大于0.5欧。卖方所供设备安装在无屏蔽的机房内。
实现电力监控系统现有主机设备、网络安全、安全设备等的状态采集、配置信息采集、日志信息的采集,并为上级网络安全分析提供数据支持。
采集对象应包括通用主机、工控设备、网络设备、安全防护设备。
采集方式应包括SNMP、SNMP Trap、Agent、ARP、网络主动扫描、ICMP、Syslog、流量嗅探等数据采集方式。
采集数据内容应包括:
1) 通用主机服务器、工作站的采集数据包括状态类、日志类;
2) 工控装置的采集数据包括状态类、日志类;
3) 网络设备的采集数据包括状态类、日志类、流量类;
4) 安全设备采集数据包括状态类、日志类。
装置支持资产信息的自动扫描及匹配,并通过主站子站联通,实现统一维护,具体包括:
1)支持网络扫描功能,支持基于全协议栈扫描方式、流量镜像方式等,自动发现全站在线的IP资产。
2)支持全站多源在线IP资产信息的比对、去重和拼接,实现厂站资产信息的建模。
3)支持与态势感知主站系统联动,实现厂站资产的主动上送、合法注册和实时同步,实现厂站资产的主站统一维护。
支持自动生成全站逻辑拓扑连接关系表,逻辑拓扑连接关系表包含:序号、调度分区、IP子网、VLAN号、设备名称、IP地址、设备全局唯一标识(GUID)。支持逻辑拓扑连接关系表动态全量上送主站。支持逻辑拓扑连接关系表的本地查询,提供按IP、设备名称进行检索。支持逻辑拓扑连接关系数据的本地导出,格式支持excel。
支持事件告警信息上送,包括:告警级别、告警时间、厂站装置唯一标识、告警设备类型、告警内容等信息。告警内容包括:开始日期时间、告警设备唯一标识、告警设备类型、告警类型、告警子类型、重复次数、内容描述等内容。支持事件告警生成后实时主动上送主站,事件告警类型包含安全事件类、人员操作类、设备故障类和运行异常类。支持事件告警类型信息与设备相关联。
支持原始日志信息的上送,包括未匹配范式化规则的原始日志。
装置支持系统升级功能,分为本地升级(用户通过本地管理界面上传补丁包进行软件升级)和远程升级(主站对厂站装置软件进行远程升级)。支持如下功能:
1) 支持软件升级包的数据校验,确保升级包的完整性和安全性;
2) 支持升级过程对装置配置文件和数据文件的保护不丢失;
3) 升级后如需要重启,重启后能自动恢复业务。
系统日志(登录、操作、维护日志)以列表形式展示厂站装置的操作日志,可以通过条件查询、关键字查询等方式,实现对厂站装置操作日志的查询:
1) 支持按照时间顺序排序展示当天的设备日志,可以查看每条日志的详情;
2) 条件查询包括:用户账户、用户类型、开始时间和结束时间;
3) 列表字段包括:用户账户、用户类型、操作类型、操作时间、操作内容等;
4) 设备日志历史数据保留6个月;
5) 时间范围查询时,时间跨度不超过3个月;
6) 支持导出Excel格式文件。
厂站装置应提供网络诊断工具,包括网络主动扫描、ping、traceroute。
- 硬件规格
- 采用工业级硬件架构设计;
- CPU:主频≥1.5GHZ,核心数量≥2;
- 内存:容量≥16GB;
- 通信接口要求:
-
-
- ≥16个10M/100M/1000M 自适应以太网电口;
- ≥8个光口;
- 1个串口(RS-485);
- 1个Console接口。
-
-
- 工作环境:设备能在温度为-5℃到+45℃、相对湿度5%到95%(非凝结)的环境中正常工作。
- 机箱尺寸:采用2U整层机箱。
- 电源输入:
- 采用双路电源独立供电,任一回路电源中断不造成装置故障或重启;
- 支持直流电源电压:220V、110V;或交流电源电压:220V,允许偏差 -20%~+15%。
- 其它:面板不提供USB接口,不提供显示接口。
- 性能指标
- 系统最大设备支持数:>100;
- 平均故障间隔时间:>50,000小时;
- 长期稳定工作时最大报文解析能力:≥10Mbps。
- 按照三权分立原则,划分不同角色,各角色之间职能与责任应相互独立、相互制约;
- 不得内置后门、不存在缓冲区溢出等安全漏洞;
- 应具备检测并抵御各种常见网络攻击的能力及抵御渗透攻击的能力;
- 应关闭通用的网络服务及端口;
- 应不使用http、https 协议进行通信;
- 应采用基于调度数字证书系统的认证技术保障厂站装置与主站通信的安全性。
1)本附件规定了合同设备的供货范围。投标方保证提供设备为全新的、先进的、成熟的、完整的和安全可靠的,且设备的技术经济性能符合附件一的要求。
2)投标 方提供详细供货清单,清单中依次说明型号、数量、产地、生产厂家等内容。对于属于整套设备运行和施工所必需的部件,即使本合同附件未列出或数量不足,投标方仍需在执行合同时免费补足。
3)设备投运后一年内出现产品质量问题,投标方在接到招标方通知后24小时内到达现场,如属投标方责任,则投标方应免费修理或更换。
1)投标方应至少提供以下主要设备,具体见下表:
序号 |
设备名称 |
型号规格/功能说明 |
单位 |
数量 |
产地/厂家 |
备注 |
||||
一 |
硬件设备 |
|||||||||
1 |
电力监控系统网络安全态势感知厂站装置 |
工业级硬件架构,CPU主频≥1.5GHZ,核心数量≥2; 内存容量≥16GB,通信接口≥16个10M/100M/1000M 自适应以太网电口,磁盘容量不低于1TB);双电源110/220V DC、220VAC自适应带失电告警; 自定义可编程指示灯 |
台 |
1 |
|
安装在现有机柜上 |
||||
2 |
安装附件 |
足量网线以及安装附件 |
批 |
1 |
国产 |
|
||||
二 |
电力监控系统网络安全态势感知厂站装置系统软件 |
|||||||||
1 |
态势感知系统软件 |
电力监控系统网络安全厂站监测装置操作系统软件、管理软件以及系统支持软件 |
套 |
1 |
|
|
||||
2 |
态势感知核心功能软件 |
电力监控系统网络安全厂站监测数据采集、处理以及报警模块软件 |
套 |
1 |
|
|||||
3 |
态势感知客户端软件 |
电力监控系统网络安全厂站监测代理客户端模块软件 |
套 |
1 |
|
|||||
4 |
态势感知数据接口软件 |
电力监控系统网络安全厂站监测通信模块软件 |
套 |
1 |
|
|||||
5 |
态势感知辅助软件 |
电力监控系统网络安全厂站监测系统网络诊断以及维护软件 |
套 |
1 |
|
|||||
投标方应按合同要求及时提供满足工程设计需要的有关图纸和技术资料。文件的交
接要有记录。投标方提供的图纸、资料应满足设计、施工、调试及运行的需要。工程技术图纸和设备技术文件具体要求如下:
在合同签定10 天内,卖方向买方提供下列技术文件2份以供确认。
(1)安装手册;
(2)设备材料清单、安装位置;
(3)布线连接端子板图;
(4)安装工艺说明及相关图纸;
(5)安装件名称、品种及配套说明;
(6)系统的组织图。
设备供货时提供下列资料:包括安装、运行、维护、修理说明书、部件清单资料、工厂试验报告、产品合格证等,且尽可能提供中文调试或维护手册。
序号 |
设备名称 |
发运地点 |
时间 |
1 |
态势感知厂站装置 |
|
|
2 |
其它 |
|
|
设备的最终交付时间以招标方通知为准。
说明:
1)本交货时间为暂定计划,如有重大调整,招标方将提前一个月书面通知投标方,具体交货时间招标方书面通知投标方,投标方应满足工程进度的要求。
2)序号要与供货范围分项清单序号一致。
3)技术协议签订后,投标方应在2周内,向招标方提供一个详尽的生产计划,包括设备设计、材料采购、设备制造、厂内测试以及运输等项的详情,以确定每部分工作及其进度,投标方自制生产计划进度表,并列出详细条
1)投标方应在合同生效后1个月内,向招标方提供与本合同设备有关的监造、检验、性能验收试验标准,有关标准应符合本技术文件的规定。
2)招标方根据需要,有权派遣其检验人员到投标方及其分包商的车间场所, 对合同设备的加工制造进行检验和监造。投标方在开始进行工厂试验前1周内,通知招标方日程安排。
3)若招标方不派代表参加上述试验, 投标方在接到招标方关于不派员到投标方和(或)其分包商工厂的通知后,或招标方未按时派遣人员参加的情况下,自行组织检验。
4)如有合同设备经检验和试验不符合询价文件的要求,买方可以拒收, 卖方更换被拒收的货物,或进行必要的改造使之符合询价文件的要求,招标方不承担上述的费用。
5) 招标方对货物运到招标方所在地以后进行检验、试验和拒收(如果必要时)的权利,不因该货物在原产地发运以前已经由招标方或其代表进行过监造和检验并已通过作为理由而受到限制。招标方人员参加工厂试验,包括会签任何试验结果,既不免除投标方按合同规定负的责任,也不能代替合同设备到达现场后招标方对其进行的检验。
1)投标方现场技术服务人员的目的是保证所提供的合同设备安全、正常投运。投标方要派出合格的、能独立解决问题的现场服务人员。投标方提供的包括服务人天数的现场服务表应能满足工程需要。
2)投标方服务人员的一切费用己包含在合同总价中,它包括诸如服务人员的工资及各种补助、交通费、通讯费、食宿费、医疗费、各种保险费、各种税费,等等。
3)现场服务人员的工作时间应与现场要求相一致,以满足现场安装、调试、和运行的要求。招标方不再因投标方现场服务人员的加班和节假日而另付费用。
4)未经招标方同意,投标投标方不得随意更换现场服务人员。同时,投标方须及时更换招标方认为不合格的投标方现场服务人员。
5)投标方现场服务人员应具有下列资质:
遵守中华人民共和国法律,遵守现场的各项规章和制度;有较强的责任感和事业心,按时到位。了解合同设备的设计,熟悉其结构,有相同或相近机组的现场工作经验,能够正确地进行现场指导;身体健康,适应现场工作的条件。
6)投标方现场服务人员的职责
负责全权处理现场出现的一切技术和商务问题。如现场发生质量问题,投标方现场人员要在招标方规定的时间内处理解决。如投标方委托招标方进行处理,投标方现场服务人员要出委托书并承担相应的经济责任。
7)招标方的义务
招标方要配合投标方现场服务人员的工作,并在生活、交通和通讯上提投标
方方便。
1)为使合同设备能正常安装、调试、运行、维护及检修,投标方有责任提供相
应的技术培训。培训内容应与工程进度相一致。
2)培训的时间、人数、地点等具体内容由买卖双方商定。
3)投标方为招标方培训人员提供设备、场地、资料等培训条件,并提供食宿和
交通方便。
投标方将负责设备的安装、测试,招标方应派专门人员现场督导,所有测试记录做为验收依据。
现场验收试验的时间和条件由招标方根据现场安装和调试的进度确定。招标方有责任配合投标方完成现场安装和调试的各项工作。投标方应负责培训买方技术人员,使招标方掌握系统维护的各项技能。
现场验收有在正常运行条件下进行,也有对事故条件的模拟。
在试验和调试期间所有损坏的供货范围内的设备,投标方应免费予以更换。对所有备品备件应加电投入运行,有故障的备品备件由投标方负责免费更换。
设备质量保证期为现场调试验收合格后一年或货到现场18个月,二者以先到为准。
态势感知厂站装置项目技术规范书说明,本技术规范包含3部分工作要求:
- 厂站装置设备以及设备本体安装调试,态势感知厂站装置优先放置在二次安防屏,若屏内没有位置可以考虑放置在其他屏内,但是要考虑好布线情况,最好是按照布线比较方便的方式进行安装,取电。装置需要两路电源。支持110/220DC,220AC。
- 二次安防配合工作,此部分需要二次安防厂家到现场配合,进行加密装置、横墙、纵墙、实时交换机、非实时交换机的路由和策略配置,二次安防部分的配置以及测试工作大概需要2-4天时间 ;
- 现场设备接入的施工部分,因为需要和各个系统通信,所以需要拉网线甚至光缆,接入信息见技术规范附录1,此表为常规接入设备范围表,具体可以根据现场实际情况做增减,卖方通常不因为此而发生费用(买方设备本身功能不具备条件除外)。
附表1:态势感知厂站装置接入其他设备范围表
1、通用主机设备配置接入:
为达到对500kVXX电厂进行通用主机设备数据采集,需要对厂内的主机设备配置SNMP、SYSLOG服务。包含后台监控主机、五防工作站、操作员站等厂站主机,部分主机如下表:
序号 |
业务系统 |
设备名称 |
所属机房 |
采集方式 |
|
后台监控系统 |
后台监控主机1 |
监控室 |
SNMP、SYSLOG |
|
后台监控主机2 |
监控室 |
SNMP、SYSLOG |
|
|
五防系统 |
五防工作站 |
监控室 |
SNMP、SYSLOG |
|
操作员站 |
操作员站1 |
监控室 |
SNMP、SYSLOG |
|
|
操作员站2 |
监控室 |
SNMP、SYSLOG |
2、网络设备配置接入:
为达到对500kVXX电厂网络设备进行数据采集,需要对厂内的交换机管理IP、SNMP、SNMP Trap 、SYSLOG、镜像进行配置采集,配置的交换机范围为:
序号 |
所属业务系统 |
交换机名称 |
所属机房 |
所属机柜 |
采集方式 |
|
远动业务 |
地面A网交换机 |
|
|
SNMP、SNMP Trap、syslog、管理地址、镜像 |
|
地面B网交换机 |
|
|
SNMP、SNMP Trap、syslog、管理地址、镜像 |
|
|
地下A网交换机 |
|
|
SNMP、SNMP Trap、syslog、管理地址 |
|
|
地下B网交换机 |
|
|
SNMP、SNMP Trap、syslog、管理地址 |
|
|
保护信息系统(保信子站) |
保护主干网交换机 |
|
|
SNMP、SNMP Trap、syslog、管理地址、镜像 |
|
保护子网交换机1 |
|
|
SNMP、SNMP Trap、syslog、管理地址 |
|
|
保护子网交换机2 |
|
|
SNMP、SNMP Trap、syslog、管理地址 |
|
|
保护子网交换机3 |
|
|
SNMP、SNMP Trap、syslog、管理地址 |
|
|
保护子网交换机n |
|
|
|
|
|
故障录波系统 |
故障录波主干网交换机 |
|
|
SNMP、SNMP Trap、syslog、管理地址、镜像 |
|
PMU |
交换机 |
|
|
SNMP、SNMP Trap、syslog、管理地址、镜像 |
|
安全稳定控制系统 |
交换机 |
|
|
SNMP、SNMP Trap、syslog、管理地址、镜像 |
|
调度数据网I/II区 |
Ⅰ、II区互联交换机1(实时非实时交换机1) |
|
|
SNMP、SNMP Trap、syslog、镜像、路由 |
|
Ⅰ、II区互联交换机2实时非实时交换机2 |
|
|
SNMP、SNMP Trap、syslog、镜像、路由 |
3、安全设备配置接入:
为达到对500kV XX电厂安全设备进行数据采集,需要对安全设备SYSLOG进行配置采集,并开通策略,设备范围:
序号 |
所属业务系统 |
交换机名称 |
所属机房 |
所属机柜 |
采集方式 |
|
二次安防设备 |
Ⅰ区加密装置1 |
继保室 |
调度数据网安防屏 |
Syslog、策略开通 |
|
Ⅰ区加密装置2 |
继保室 |
调度数据网安防屏 |
Syslog、策略开通 |
|
|
Ⅱ区纵向防火墙1 |
继保室 |
调度数据网安防屏 |
Syslog、策略开通 |
|
|
Ⅱ区纵向防火墙2 |
继保室 |
调度数据网安防屏 |
Syslog、策略开通 |
|
|
Ⅰ/Ⅱ区横向防火墙1 |
继保室 |
调度数据网安防屏 |
Syslog、策略开通、NAT |
|
|
Ⅰ/Ⅱ区横向防火墙2 |
继保室 |
调度数据网安防屏 |
Syslog、策略开通、NAT |
4、工控设备配置接入:
为达到对500kVXX电厂工控设备进行数据采集,不需要对工控设备进行配置变更,只需网络可达,通过Nmap扫描可以实现对工控设备的在线状态、端口开放状态信息进行采集,监视的工控设备范围为:
序号 |
所属业务系统 |
交换机名称 |
所属机房 |
所属机柜 |
采集方式 |
|
远动业务 |
保护装置 |
|
|
Nmap |
|
测控装置 |
|
|
Nmap |
|
|
通信装置 |
|
|
Nmap |
|
|
规约转化器 |
|
|
Nmap |
|
|
故障录波系统 |
故障录波装置 |
|
|
Nmap |
|
PMU |
同步相量采集单元 |
|
|
Nmap |
|
保护信息系统(保信子厂) |
保护信息管理装置 |
|
|
Nmap |
|
网络存储器 |
|
|
Nmap |
备注:此表为常规接入设备范围表,所属机房以及机柜由业主填写或现场调研时填写,具体可以根据现场实际情况做增减,卖方不因为此而发生费用(买方设备本身功能不具备条件除外)。