新能源集控中心網(wǎng)絡(luò)安全防護(hù)方案2023新能源集控中心網(wǎng)絡(luò)安全防護(hù)方案現(xiàn)代信息系統(tǒng)安全防護(hù)技術(shù)涉及多個(gè)方面，包括安全策略、加密技術(shù)、認(rèn)證技術(shù)、審計(jì)技術(shù)、網(wǎng)絡(luò)安全技術(shù)、安全管理技術(shù)等。首先，安全策略是確定信息系統(tǒng)安全級(jí)別的基礎(chǔ)，它要求系統(tǒng)開(kāi)發(fā)者和用戶遵守一定的安全規(guī)則，以保障信息系統(tǒng)的安全性。其次，加密技術(shù)是保護(hù)信息安全的重要手段，它可以有效地保護(hù)信息在傳輸過(guò)程中不被第三方獲取。認(rèn)證技術(shù)則可以確認(rèn)某一計(jì)算機(jī)用戶的身份，使得只有被授權(quán)的人才可以訪問(wèn)該信息系統(tǒng)。此外，審計(jì)技術(shù)則可以有效跟蹤信息安全運(yùn)行情況，記錄系統(tǒng)中的操作記錄，以便及時(shí)發(fā)現(xiàn)潛在的安全隱患。網(wǎng)絡(luò)安全技術(shù)則是防范網(wǎng)絡(luò)攻擊的重要手段，包括防火墻、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）等等。最后，安全管理技術(shù)則是將上述各種安全技術(shù)有機(jī)地結(jié)合起來(lái)，形成一個(gè)安全的系統(tǒng)，實(shí)現(xiàn)信息系統(tǒng)的安全防護(hù)。信息系統(tǒng)安全設(shè)計(jì)是一個(gè)系統(tǒng)工程，需要對(duì)系統(tǒng)的管理、技術(shù)和軟硬件系統(tǒng)各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)建。一個(gè)強(qiáng)有力的安全防護(hù)體系需要將組織與人員、技術(shù)與產(chǎn)品、流程與體系三者有機(jī)結(jié)合起來(lái)，才能提供多層次縱深化的防護(hù)體系，化被動(dòng)為主動(dòng)，實(shí)現(xiàn)積極防御的作用。（1）加強(qiáng)網(wǎng)絡(luò)安全策略管理，構(gòu)建網(wǎng)絡(luò)安全規(guī)范體系，定期審計(jì)網(wǎng)絡(luò)安全狀況，及時(shí)發(fā)現(xiàn)安全問(wèn)題，并對(duì)發(fā)現(xiàn)的安全問(wèn)題進(jìn)行及時(shí)處理；（2）建立網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，加強(qiáng)網(wǎng)絡(luò)安全管理，強(qiáng)化網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)，實(shí)施電力集控中心網(wǎng)絡(luò)安全措施；（3）加強(qiáng)網(wǎng)絡(luò)安全監(jiān)控，檢測(cè)網(wǎng)絡(luò)安全漏洞，及時(shí)發(fā)現(xiàn)安全問(wèn)題；（4）加強(qiáng)網(wǎng)絡(luò)安全教育和培訓(xùn)，提高電力集控中心網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的學(xué)習(xí)和技能的提高；（5）加強(qiáng)網(wǎng)絡(luò)安全研究，不斷開(kāi)發(fā)新的網(wǎng)絡(luò)安全技術(shù)，提高網(wǎng)絡(luò)安全水平；（6）加強(qiáng)網(wǎng)絡(luò)安全合規(guī)管理，制定嚴(yán)格的安全政策，確保網(wǎng)絡(luò)安全合規(guī)性；（7）加強(qiáng)網(wǎng)絡(luò)安全合作，在網(wǎng)絡(luò)安全方面與其他國(guó)家和地區(qū)開(kāi)展合作，共同抵御網(wǎng)絡(luò)安全威脅。新能源集控中心為了保障系統(tǒng)的安全防護(hù)，防范黑客及惡意代碼等對(duì)集控中心惡意破壞和攻擊，防止集控中心系統(tǒng)癱瘓和失控，以及由此導(dǎo)致的設(shè)備事故或安全事故，依據(jù)國(guó)家發(fā)改委[2014]14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》、國(guó)能安全[2015]36號(hào)文《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》、調(diào)自〔2017〕39號(hào)文《福建電網(wǎng)電廠（用戶）涉網(wǎng)電力監(jiān)控系統(tǒng)安全分區(qū)及邊界防護(hù)實(shí)施指導(dǎo)方案（試行）》及調(diào)網(wǎng)安〔2018〕10號(hào)《并網(wǎng)新能源場(chǎng)站電力監(jiān)控系統(tǒng)涉網(wǎng)安全防護(hù)補(bǔ)充方案》，提出以下安全防護(hù)方案及措施。電力系統(tǒng)安全防護(hù)原則電力系統(tǒng)信息網(wǎng)絡(luò)安全分區(qū)是指將電力系統(tǒng)信息網(wǎng)絡(luò)劃分成若干安全隔離的分區(qū)，以滿足不同信息安全需求的一種信息安全技術(shù)手段。它能夠有效的提高信息系統(tǒng)的安全性和可靠性，同時(shí)防止不同信息系統(tǒng)間的安全漏洞，防止黑客入侵系統(tǒng)，保護(hù)系統(tǒng)的安全性和可靠性。安全總體設(shè)計(jì)遵循以下基本原則：需求、風(fēng)險(xiǎn)、代價(jià)平衡性：網(wǎng)絡(luò)系統(tǒng)的絕對(duì)安全是難以達(dá)到的。通過(guò)對(duì)安全威脅的定性與定量分析，制定行之有效的安全策略，同時(shí)在安全性和投資之間尋求平衡。綜合性：運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法分析站點(diǎn)的安全問(wèn)題，制定工程上可行的具體安全措施，綜合應(yīng)用多種安全措施。一致性：安全措施與網(wǎng)站生命周期同步，安全體系結(jié)構(gòu)必須與安全需求保持一致。易操作性：安全措施易于使用，不能影響系統(tǒng)正常運(yùn)行。適應(yīng)性、靈活性：安全措施能夠適應(yīng)系統(tǒng)性能及安全需求的變化。多重保護(hù)：構(gòu)建一個(gè)具備多重保護(hù)能力的系統(tǒng)，當(dāng)安全系統(tǒng)某局部被破壞時(shí)，其它部分仍能夠有效提供安全服務(wù)。安全分區(qū)根據(jù)電力系統(tǒng)二次防護(hù)安全要求，結(jié)合項(xiàng)目實(shí)際狀況以及電力監(jiān)控系統(tǒng)安全防護(hù)的特點(diǎn)，各相關(guān)系統(tǒng)的重要程度和數(shù)據(jù)流程、目前狀況和安全要求，將整個(gè)中心系統(tǒng)分為三個(gè)安全區(qū)：安全Ⅰ區(qū)、安全Ⅱ區(qū)（Ⅰ、Ⅱ合稱生產(chǎn)控制大區(qū)）和安全Ⅲ區(qū)（管理信息大區(qū)）。1)生產(chǎn)控制大區(qū)安全Ⅰ區(qū)：實(shí)時(shí)控制區(qū)安全Ⅰ區(qū)是中心系統(tǒng)中最重要的部分，安全等級(jí)最高，是安全防護(hù)的重點(diǎn)與核心。場(chǎng)站集控中心：安全Ⅰ區(qū)部署前置采集服務(wù)器、監(jiān)控服務(wù)器、監(jiān)控工作站等，實(shí)現(xiàn)安全Ⅰ區(qū)的實(shí)時(shí)監(jiān)視和控制功能。風(fēng)電場(chǎng)：安全Ⅰ區(qū)部署遠(yuǎn)動(dòng)終端，采集風(fēng)力發(fā)電機(jī)組、升壓站、AGC、AVC等設(shè)備的數(shù)據(jù)。安全Ⅰ區(qū)的典型系統(tǒng)包括升壓站綜自系統(tǒng)、監(jiān)控系統(tǒng)、五防系統(tǒng)、繼電保護(hù)系統(tǒng)、AVC、AGC等。這類系統(tǒng)對(duì)數(shù)據(jù)通信的實(shí)時(shí)性要求為毫秒級(jí)或秒級(jí)。2)安全Ⅱ區(qū)：非控制生產(chǎn)區(qū)場(chǎng)站集控中心：在符合電力安全規(guī)定的情況下，不單獨(dú)設(shè)置安全Ⅱ區(qū)，風(fēng)電場(chǎng)安全Ⅱ區(qū)的數(shù)據(jù)匯集到安全Ⅰ區(qū)的遠(yuǎn)動(dòng)終端，經(jīng)其統(tǒng)一接入安全Ⅰ區(qū)的SCADA服務(wù)器。風(fēng)電場(chǎng)：安全Ⅱ區(qū)與安全Ⅰ區(qū)之間通過(guò)防火墻進(jìn)行邏輯隔離，安全Ⅱ區(qū)的典型系統(tǒng)包括電能量計(jì)量系統(tǒng)、功率預(yù)測(cè)系統(tǒng)、保護(hù)信息終端等，通過(guò)數(shù)據(jù)接口接入部署在安全Ⅰ區(qū)的遠(yuǎn)動(dòng)終端，統(tǒng)一上傳到場(chǎng)站集控中心。3)安全Ⅲ區(qū)：管理信息區(qū)數(shù)據(jù)中心：安全Ⅲ區(qū)部署超融合云平臺(tái)，支撐數(shù)據(jù)中心應(yīng)用，并實(shí)現(xiàn)數(shù)據(jù)上傳分公司和集團(tuán)。場(chǎng)站集控中心：安全Ⅲ區(qū)部署轉(zhuǎn)發(fā)服務(wù)器，實(shí)現(xiàn)數(shù)據(jù)上傳數(shù)據(jù)中心。風(fēng)電場(chǎng)：安全Ⅲ區(qū)典型系統(tǒng)有視頻監(jiān)控系統(tǒng)等。視頻監(jiān)控系統(tǒng)通過(guò)運(yùn)營(yíng)商專線接入數(shù)據(jù)中心。網(wǎng)絡(luò)專用電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務(wù)的專用數(shù)據(jù)網(wǎng)絡(luò)，應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用基不同通道、不同光波長(zhǎng)、不同纖芯等方式，在物理層面上實(shí)現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。企業(yè)內(nèi)部管理信息大區(qū)縱向互聯(lián)采用電力企業(yè)數(shù)據(jù)網(wǎng)或互聯(lián)網(wǎng),電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內(nèi)聯(lián)網(wǎng)。數(shù)據(jù)中心、場(chǎng)站集控中心與風(fēng)電場(chǎng)之間的數(shù)據(jù)通信線路，采用加密、單向認(rèn)證等技術(shù)保護(hù)關(guān)鍵場(chǎng)站及關(guān)鍵業(yè)務(wù)，在本項(xiàng)目中配置縱向加密及防火墻設(shè)備。所用網(wǎng)絡(luò)設(shè)備應(yīng)關(guān)閉或限定網(wǎng)絡(luò)服務(wù)、避免使用默認(rèn)路由、網(wǎng)絡(luò)邊界關(guān)閉OSPF路由功能、采用安全增強(qiáng)的SNMPv2及以上版本的網(wǎng)管協(xié)議、使用安全的管理方式、設(shè)置受信任的網(wǎng)絡(luò)地址范圍、記錄設(shè)備日志、設(shè)置高強(qiáng)度的密碼、開(kāi)啟訪問(wèn)控制列表、封閉空閑的網(wǎng)絡(luò)端口等。橫向邊界防護(hù)場(chǎng)站集控中心生產(chǎn)控制大區(qū)與管理信息大區(qū)邊界安全防護(hù)，部署正向安全隔離裝置。風(fēng)電場(chǎng)（安全I(xiàn)區(qū)）與非控制區(qū)（安全Ⅱ區(qū)）邊界安全防護(hù)，采用具有訪問(wèn)控制功能的網(wǎng)絡(luò)設(shè)備、安全可靠的硬件防火墻設(shè)備，實(shí)現(xiàn)邏輯隔離、報(bào)文過(guò)濾、訪問(wèn)控制等功能?？v向邊界防護(hù)在風(fēng)電場(chǎng)安全Ⅰ區(qū)遠(yuǎn)動(dòng)終端與場(chǎng)站集控中心生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)通過(guò)電力專線網(wǎng)絡(luò)搭建的通訊鏈路上，在兩側(cè)分別部署電力專用縱向加密裝置，采用認(rèn)證、加密、訪問(wèn)控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。綜合防護(hù)入侵檢測(cè)場(chǎng)站集控中心安全Ⅰ區(qū)各部署一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IDS），事業(yè)部已部署入侵檢測(cè)系統(tǒng)，可利舊。檢測(cè)發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)。敏感數(shù)據(jù)外發(fā)檢測(cè)能夠識(shí)別并檢測(cè)特定格式文件的外發(fā)，同時(shí)能夠檢測(cè)出文件中包含的敏感數(shù)據(jù)，進(jìn)行告警，保護(hù)企業(yè)敏感數(shù)據(jù)，防止敏感數(shù)據(jù)泄露造成的損失?？蛻舳斯魴z測(cè)增加了針對(duì)主流客戶端應(yīng)用程序的攻擊簽名規(guī)則，如Word、Excel、PDF、Firefox等，增強(qiáng)了客戶終端應(yīng)用程序的安全檢測(cè)能力。服務(wù)器非法外聯(lián)檢測(cè)通過(guò)服務(wù)器的自學(xué)習(xí)功能或手動(dòng)設(shè)置服務(wù)器正常外聯(lián)行為，建立合法連接，能夠檢測(cè)服務(wù)器異于該合法連接的非法外聯(lián)行為，及時(shí)產(chǎn)生告警信息通知網(wǎng)絡(luò)管理人員，從而檢測(cè)是否存在跳轉(zhuǎn)等攻擊行為。僵尸網(wǎng)絡(luò)檢測(cè)基于實(shí)時(shí)的信譽(yù)機(jī)制，結(jié)合企業(yè)級(jí)和全球信譽(yù)庫(kù)，可有效檢測(cè)惡意URL、僵尸網(wǎng)絡(luò)，保護(hù)用戶在訪問(wèn)被植入木馬等惡意代碼的網(wǎng)站地址時(shí)不受侵害，第一時(shí)間有效檢測(cè)Web威脅，并能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中可能出現(xiàn)的僵尸網(wǎng)絡(luò)主機(jī)和C&C連接。堡壘機(jī)為加強(qiáng)對(duì)運(yùn)維人員、第三方系統(tǒng)運(yùn)維人員以及設(shè)備廠商維護(hù)人員進(jìn)行有效的管理與監(jiān)控，利用各安全區(qū)間的訪問(wèn)控制、邊界防護(hù)策略建立單點(diǎn)登錄機(jī)制，僅通過(guò)堡壘機(jī)進(jìn)行運(yùn)維操作，為組織IT系統(tǒng)核心服務(wù)器的運(yùn)維操作提供強(qiáng)有力的監(jiān)控、審計(jì)手段，使其切實(shí)滿足內(nèi)控管理中的合規(guī)性要求。內(nèi)容審計(jì)提供深入的內(nèi)容審計(jì)功能，可對(duì)網(wǎng)頁(yè)頁(yè)面內(nèi)容、郵件、數(shù)據(jù)庫(kù)操作、論壇、即時(shí)通訊等提供完整的內(nèi)容檢測(cè)、信息還原功能；并可自定義關(guān)鍵字庫(kù)，進(jìn)行細(xì)粒度的審計(jì)追蹤。行為審計(jì)提供全面的網(wǎng)絡(luò)行為審計(jì)功能，根據(jù)設(shè)定的行為審計(jì)策略，對(duì)網(wǎng)站訪問(wèn)、郵件收發(fā)、數(shù)據(jù)庫(kù)訪問(wèn)、遠(yuǎn)程終端訪問(wèn)、文件上傳下載、即時(shí)通訊、論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等網(wǎng)絡(luò)應(yīng)用行為進(jìn)行監(jiān)測(cè)，對(duì)符合行為策略的事件實(shí)時(shí)告警并記錄。流量審計(jì)提供基于協(xié)議識(shí)別的流量分析功能，如：可識(shí)別使用80端口的P2P協(xié)議，避免基于80端口的HTTP協(xié)議流量統(tǒng)計(jì)錯(cuò)誤，更精確可靠；實(shí)時(shí)統(tǒng)計(jì)出當(dāng)前網(wǎng)絡(luò)中的各種報(bào)文流量，進(jìn)行綜合流量分析，提供詳細(xì)的流量報(bào)表；可以通過(guò)編輯自定義統(tǒng)計(jì)指定協(xié)議流量的IPTOPN，為流量管理策略的制定提供可靠支持。專用安全產(chǎn)品管理數(shù)據(jù)中心安全防護(hù)工作中涉及使用橫向單向安全隔離裝置、縱向加密認(rèn)證裝置、防火墻、入侵檢測(cè)系統(tǒng)等專用安全產(chǎn)品的，按照國(guó)家有關(guān)要求做好保密工作，禁止關(guān)鍵技術(shù)和設(shè)備的擴(kuò)散。備用與容災(zāi)集控中心定期對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)進(jìn)行備份，并實(shí)現(xiàn)歷史歸檔數(shù)據(jù)的異地保存。監(jiān)控系統(tǒng)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵部件應(yīng)當(dāng)進(jìn)行相應(yīng)的冗余配置。監(jiān)控系統(tǒng)應(yīng)當(dāng)采用冗余設(shè)計(jì)。其他防護(hù)措施禁止生產(chǎn)控制大區(qū)內(nèi)部的E-Mail服務(wù)，禁止控制區(qū)內(nèi)通用的WEB服務(wù)。允許非控制區(qū)內(nèi)部業(yè)務(wù)系統(tǒng)采用B/S結(jié)構(gòu)，但僅限于業(yè)務(wù)系統(tǒng)內(nèi)部使用。允許提供縱向安全WEB服務(wù)，可以采用經(jīng)過(guò)安全加固且支持HTTPS的安全WEB服務(wù)器和WEB瀏覽工作站。目前，事業(yè)部已部署一套堡壘機(jī)，本項(xiàng)目可利舊。網(wǎng)絡(luò)在線監(jiān)測(cè)平臺(tái)在場(chǎng)站集控中心安全Ⅰ區(qū)建設(shè)網(wǎng)絡(luò)在線監(jiān)測(cè)系統(tǒng)，對(duì)系統(tǒng)安全事件進(jìn)行全方位、多角度監(jiān)控，對(duì)非法入侵、異常數(shù)據(jù)、設(shè)備故障、風(fēng)險(xiǎn)告警等情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)，形成綜合審計(jì)報(bào)告、安全趨勢(shì)分析、大數(shù)據(jù)挖掘分析并進(jìn)行可視化展示。對(duì)支撐電力生產(chǎn)運(yùn)行的各個(gè)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行全方位監(jiān)控及分析，提供全面的統(tǒng)計(jì)分析和實(shí)時(shí)的警示告警，提高各個(gè)系統(tǒng)的運(yùn)行可靠性，降低自動(dòng)化運(yùn)行人員的工作強(qiáng)度，保證電網(wǎng)生產(chǎn)的安全可靠。主要功能包括：1）數(shù)據(jù)采集對(duì)服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備等監(jiān)測(cè)對(duì)象進(jìn)行數(shù)據(jù)采集；采集服務(wù)器、工作站的用戶登錄、操作信息、運(yùn)行狀態(tài)、移動(dòng)存儲(chǔ)設(shè)備接入、網(wǎng)絡(luò)外聯(lián)等事件信息；采集網(wǎng)絡(luò)設(shè)備的用戶登錄、操作信息、配置變更信、流量信息、網(wǎng)口狀態(tài)信息等事件信息；采集安全防護(hù)設(shè)備的用戶登錄、配置變更、運(yùn)行狀態(tài)、安全事件信息等事件信息；觸發(fā)性事件信息的采集和周期性上送的狀態(tài)類信息的采集。2）數(shù)據(jù)分析處理以分鐘級(jí)統(tǒng)計(jì)周期，對(duì)重復(fù)出現(xiàn)的事件進(jìn)行歸并處理；根據(jù)參數(shù)配置，對(duì)采集到的CPU利用率、內(nèi)存使用率、網(wǎng)口流量、用戶登錄失敗等信息進(jìn)行分析處理，根據(jù)處理結(jié)果決定是否形成新的上報(bào)事件。對(duì)網(wǎng)絡(luò)設(shè)備日志信息進(jìn)行分析處理，提取出需要的事件信息（如用戶添加事件）；能夠形成外設(shè)接入事件、用戶登錄事件、危險(xiǎn)操作事件、狀態(tài)異常事件等上傳事件。3）服務(wù)代理網(wǎng)絡(luò)在線監(jiān)測(cè)平臺(tái)以服務(wù)代理的形式提供服務(wù)給網(wǎng)絡(luò)安全管理平臺(tái)調(diào)用，服務(wù)代理具備如下功能：遠(yuǎn)程調(diào)閱采集信息、上傳事件等數(shù)據(jù)信息，根據(jù)時(shí)間段、設(shè)備類型、事件等級(jí)、事件記錄個(gè)數(shù)等綜合過(guò)濾條件遠(yuǎn)程調(diào)閱數(shù)據(jù)信息；對(duì)被監(jiān)測(cè)系統(tǒng)內(nèi)的資產(chǎn)進(jìn)行遠(yuǎn)程管理，包括資產(chǎn)信息的添加、刪除、修改、查看等；參數(shù)配置的遠(yuǎn)程管理，包括系統(tǒng)參數(shù)、通信參數(shù)及事件處理參數(shù)；通過(guò)代理方式實(shí)現(xiàn)對(duì)服務(wù)器、工作站等設(shè)備基線核查功能的調(diào)用；通過(guò)代理方式實(shí)現(xiàn)對(duì)服務(wù)器、工作站等設(shè)備主動(dòng)斷網(wǎng)命令的調(diào)用；通過(guò)代理方式實(shí)現(xiàn)對(duì)服務(wù)器、工作站等設(shè)備的關(guān)鍵文件清單、危險(xiǎn)操作定義值、周期性事件上報(bào)周期等參數(shù)的添加、刪除、修改、查看；通過(guò)網(wǎng)絡(luò)安全管理平臺(tái)對(duì)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置進(jìn)行遠(yuǎn)程程序升級(jí)。4）通信功能網(wǎng)絡(luò)在線監(jiān)測(cè)平臺(tái)采用自定義TCP協(xié)議與服務(wù)器、工作站等設(shè)備進(jìn)行通信，實(shí)現(xiàn)對(duì)服務(wù)器、工作站等設(shè)備的信息采集與命令控制。網(wǎng)絡(luò)在線監(jiān)測(cè)平臺(tái)支持通過(guò)GB/T31992協(xié)議采集安全防護(hù)設(shè)備信息。5）本地管理提供本地圖形化界面對(duì)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置進(jìn)行管理，具備如下功能：自診斷功能，包括進(jìn)程異常、通信異常、硬件異常、CPU占用率過(guò)高、存儲(chǔ)空間剩余容量過(guò)低、內(nèi)存占用率過(guò)高等，檢測(cè)到異常時(shí)提示告警，診斷結(jié)果記錄日志；用戶管理功能，基于三權(quán)分立原則劃分管理員、操作員、審計(jì)員、審核員四種角色，并為不同角色分配不同權(quán)限；滿足不同角色的權(quán)限相互制約要求，不存在擁有所有權(quán)限的超級(jí)管理員角色；資產(chǎn)管理功能，包括資產(chǎn)信息的添加、刪除、修改、查看等，資產(chǎn)信息包括：設(shè)備名稱、設(shè)備IP、MAC地址、設(shè)備類型、設(shè)備廠家、序列號(hào)、系統(tǒng)版本等；采集信息、上傳信息的本地查看，根據(jù)時(shí)間段、設(shè)備類型、事件等級(jí)、事件條數(shù)等綜合過(guò)濾條件進(jìn)行信息查看；對(duì)監(jiān)視對(duì)象數(shù)量、在離線狀態(tài)的統(tǒng)計(jì)展示，從設(shè)備類型、事件等級(jí)等維度對(duì)采集信息、上傳信息進(jìn)行統(tǒng)計(jì)展示；日志功能，日志類型包括登錄日志、操作日志、維護(hù)日志等；日志內(nèi)容包括日志級(jí)別、日志時(shí)間、日志類型、日志內(nèi)容等信息，日志具備可讀性；通過(guò)本地實(shí)現(xiàn)對(duì)服務(wù)器、工作站等設(shè)備的基線核查功能的調(diào)用。6）參數(shù)配置網(wǎng)絡(luò)在線監(jiān)測(cè)平臺(tái)參數(shù)配置項(xiàng)包括系統(tǒng)參數(shù)、通信參數(shù)及事件處理參數(shù)，支持參數(shù)配置導(dǎo)出功能及同產(chǎn)品的參數(shù)配置備份導(dǎo)入功能，即達(dá)到同產(chǎn)品的參數(shù)配置的互換性。系統(tǒng)參數(shù)包括：物理網(wǎng)卡參數(shù)、路由配置參數(shù)和NTP對(duì)時(shí)參數(shù)；通信參數(shù)包括：主機(jī)數(shù)據(jù)采集的服務(wù)端口、安全防護(hù)設(shè)備數(shù)據(jù)采集的服務(wù)端口、網(wǎng)絡(luò)設(shè)備SNMPTRAP端口、裝置服務(wù)代理端口、平臺(tái)IP地址、事件上傳端口、平臺(tái)權(quán)限等；事件處理參數(shù)包括：CPU利用率上限閾值、內(nèi)存使用率上限閾值、網(wǎng)口流量越限閾值、連續(xù)登錄失敗閾值、歸并事件歸并周期、磁盤空間使用率上限閾值、歷史事件上報(bào)分界時(shí)間參數(shù)。漏洞掃描漏洞掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。它和防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過(guò)對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)管理員能根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤設(shè)置，在黑客攻擊前進(jìn)行防范。如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，能有效避免黑客攻擊行為，做到防患于未然。定期的網(wǎng)絡(luò)安全自我檢測(cè)、評(píng)估配備漏洞掃描系統(tǒng)，網(wǎng)絡(luò)管理人員可以定期的進(jìn)行網(wǎng)絡(luò)安全檢測(cè)服務(wù)，安全檢測(cè)可幫助客戶最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，有效的利用已有系統(tǒng)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率。安裝新軟件、啟動(dòng)新服務(wù)后的檢查由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動(dòng)新服務(wù)都有可能使原來(lái)隱藏的漏洞暴露出來(lái)，因此進(jìn)行這些操作之后應(yīng)該重新掃描系統(tǒng)，才能使安全得到保障。網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)改造前后的安全規(guī)劃評(píng)估和成效檢驗(yàn)網(wǎng)絡(luò)建設(shè)者必須建立整體安全規(guī)劃，以統(tǒng)領(lǐng)全局，高屋建瓴。在可以容忍的風(fēng)險(xiǎn)級(jí)別和可以接受的成本之間，取得恰當(dāng)?shù)钠胶?，在多種多樣的安全產(chǎn)品和技術(shù)之間做出取舍。配備網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)可以讓您很方便的進(jìn)行安全規(guī)劃評(píng)估和成效檢驗(yàn)網(wǎng)絡(luò)承擔(dān)重要任務(wù)前的安全性測(cè)試網(wǎng)絡(luò)承擔(dān)重要任務(wù)前應(yīng)該多采取主動(dòng)防止出現(xiàn)事故的安全措施，從技術(shù)上和管理上加強(qiáng)對(duì)網(wǎng)絡(luò)安全和信息安全的重視，形成立體防護(hù)，由被動(dòng)修補(bǔ)變成主動(dòng)的防范，最終把出現(xiàn)事故的概率降到最低。配備網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)可以讓您很方便的進(jìn)行安全性測(cè)試。網(wǎng)絡(luò)安全事故后的分析調(diào)查網(wǎng)絡(luò)安全事故后可以通過(guò)網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)分析確定網(wǎng)絡(luò)被攻擊的漏洞所在，幫助彌補(bǔ)漏洞，盡可能多得提供資料方便調(diào)查攻擊的來(lái)源。重大網(wǎng)絡(luò)安全事件前的準(zhǔn)備重大網(wǎng)絡(luò)安全事件前網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)能夠幫助用戶及時(shí)的找出網(wǎng)絡(luò)中存在的隱患和漏洞，幫助用戶及時(shí)的彌補(bǔ)漏洞。目前，事業(yè)部已部署一套漏洞掃描系統(tǒng)，本項(xiàng)目可利舊。數(shù)據(jù)庫(kù)審計(jì)在數(shù)據(jù)中心的管理信息大區(qū)部署一套數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析。主要功能包括：多數(shù)據(jù)庫(kù)系統(tǒng)及運(yùn)行平臺(tái)支持?jǐn)?shù)據(jù)庫(kù)審計(jì)系統(tǒng)能夠?qū)Χ喾N操作系統(tǒng)平臺(tái)下各個(gè)品牌、各個(gè)版本的數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。系統(tǒng)能夠?qū)徲?jì)的數(shù)據(jù)庫(kù)系統(tǒng)包括：Oracle、SQLServer、DB2、Sybase、達(dá)夢(mèng)等。系統(tǒng)能夠?qū)徲?jì)的數(shù)據(jù)庫(kù)運(yùn)行平臺(tái)包括：Windows、Linux、Unix等。數(shù)據(jù)庫(kù)操作審計(jì)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)能夠深入細(xì)致的對(duì)數(shù)據(jù)庫(kù)的各種操作及其內(nèi)容進(jìn)行審計(jì)，包括用戶能夠通過(guò)各種方式訪問(wèn)數(shù)據(jù)庫(kù)的行為。系統(tǒng)審計(jì)的行為包括DDL、DML、DCL，以及其他操作等行為；審計(jì)的內(nèi)容可以細(xì)化到庫(kù)、表、記錄、用戶、存儲(chǔ)過(guò)程、函數(shù)、調(diào)用參數(shù)等。實(shí)時(shí)回放數(shù)據(jù)庫(kù)操作借助基于會(huì)話的行為分析技術(shù)，審計(jì)管理員可以對(duì)當(dāng)前網(wǎng)絡(luò)中所有訪問(wèn)者進(jìn)行基于時(shí)間的審查，了解每個(gè)訪問(wèn)者任意時(shí)間段內(nèi)先后進(jìn)行了什么操作，并支持訪問(wèn)過(guò)程回放。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)真正實(shí)現(xiàn)了對(duì)“誰(shuí)、什么時(shí)間段內(nèi)、對(duì)什么數(shù)據(jù)、進(jìn)行了哪些操作、結(jié)果如何”的全程審計(jì)。事件精準(zhǔn)定位通過(guò)關(guān)聯(lián)盡可能多的身份定位信息進(jìn)行定位以及做一定的準(zhǔn)入權(quán)限設(shè)置，其審計(jì)結(jié)果才具有可靠性，才能作為電子證據(jù)。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可以對(duì)IP、MAC、操作系統(tǒng)用戶名、使用的工具、應(yīng)用系統(tǒng)帳號(hào)等一系列進(jìn)行關(guān)聯(lián)分析，從而追蹤到具體人。事件關(guān)聯(lián)分析數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可對(duì)響應(yīng)事件進(jìn)行關(guān)聯(lián)，如根據(jù)IP關(guān)聯(lián)出某段時(shí)間內(nèi)該IP所觸發(fā)的告警數(shù)量等；根據(jù)一段時(shí)間內(nèi)的數(shù)據(jù)庫(kù)或應(yīng)用系統(tǒng)登錄失敗次數(shù)判斷出暴力破解密碼的可能性；根據(jù)帳號(hào)的多次登錄判斷賬號(hào)信息泄露或共享賬號(hào)的可能性；相似SQL語(yǔ)句執(zhí)行時(shí)間過(guò)長(zhǎng)從而判斷該語(yǔ)句設(shè)計(jì)的合理性等。根據(jù)事件關(guān)聯(lián)性分析，自動(dòng)涌現(xiàn)一批對(duì)客戶具有使用價(jià)值的信息，幫助客戶管理和維護(hù)好現(xiàn)有應(yīng)用。訪問(wèn)工具監(jiān)控?cái)?shù)據(jù)庫(kù)審計(jì)系統(tǒng)自動(dòng)掃描連接數(shù)據(jù)庫(kù)的訪問(wèn)工具。從訪問(wèn)數(shù)據(jù)庫(kù)的源頭進(jìn)行分析，應(yīng)用系統(tǒng)和客戶端工具根據(jù)不同的數(shù)據(jù)庫(kù)類型可通過(guò)ODBC、JDBC、直連等方式連接數(shù)據(jù)庫(kù)，直連工具如Winsql、Plsql及C/S架構(gòu)的客戶端工具等。如發(fā)現(xiàn)審計(jì)記錄中出現(xiàn)未知的數(shù)據(jù)庫(kù)連接工具或出現(xiàn)規(guī)定之外的連接工具，審計(jì)管理員可根據(jù)工具監(jiān)控記錄分析出使用過(guò)該工具的IP及關(guān)聯(lián)的操作記錄，進(jìn)而取證使用該工具的源頭及操作的合法性。黑白名單審計(jì)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可根據(jù)客戶意見(jiàn)及實(shí)際審計(jì)情況，將IP、操作語(yǔ)句、賬號(hào)等相關(guān)信息加入黑白名單。同時(shí)，在應(yīng)用系統(tǒng)中，因應(yīng)用系統(tǒng)對(duì)應(yīng)后臺(tái)的SQL語(yǔ)句固定，一旦發(fā)現(xiàn)其中含有危險(xiǎn)信息則可將對(duì)應(yīng)的SQL加入黑名單，而一旦應(yīng)用系統(tǒng)中某些語(yǔ)句疑似風(fēng)險(xiǎn)操作但實(shí)際并不產(chǎn)生危害則可加入白名單。統(tǒng)計(jì)分析數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)具備將審計(jì)日志進(jìn)行數(shù)據(jù)化分析并以個(gè)性化報(bào)表展示的能力，以便幫助安全管理人員更加便捷、深入的剖析數(shù)據(jù)庫(kù)運(yùn)行風(fēng)險(xiǎn)。例如：綜合報(bào)表、合規(guī)性報(bào)表、專項(xiàng)報(bào)表、自定義報(bào)表等。日志審計(jì)實(shí)現(xiàn)安全審計(jì)功能，安全審計(jì)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)重要日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集中收集、自動(dòng)分析，及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。日志采集系統(tǒng)能夠采集各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志，通過(guò)Syslog、SNMPTrap、FTP、OPSECLEA、NETBIOS、ODBC、WMI、Shell腳本、VIP、WebService等協(xié)議進(jìn)行采集。可靈活定制不支持的數(shù)據(jù)源采集，而無(wú)須改動(dòng)代碼。日志范式化與分類對(duì)于所有采集上來(lái)的日志，系統(tǒng)自動(dòng)進(jìn)行范式化處理，將各種廠商各種類型的日志格式轉(zhuǎn)換成系統(tǒng)一的格式。系統(tǒng)提供的范式化字段包括日志接收時(shí)間、日志產(chǎn)生時(shí)間、日志持續(xù)時(shí)間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名稱、摘要、等級(jí)、原始等級(jí)、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱、設(shè)備類型等。針對(duì)不支持的事件類型做范式化不需改動(dòng)編碼，通過(guò)修改配置文件即可完成。對(duì)日志設(shè)備類型、日志類型、日志級(jí)別等可進(jìn)行重定義。在范式化的時(shí)候能夠?qū)θ罩具M(jìn)行分類，分類按照安全事件的類型，并提供日志分類的類型清單。在進(jìn)行日志范式化的時(shí)候，系統(tǒng)對(duì)日志進(jìn)行了信息補(bǔ)齊，加入了日志類型字段，對(duì)日志進(jìn)行自動(dòng)分類，為后續(xù)日志審計(jì)提供了便利條件。與此同時(shí)，系統(tǒng)將原始日志都原封不同的保存了下來(lái)，以備調(diào)查取證之用。規(guī)則關(guān)聯(lián)分析系統(tǒng)具備事件關(guān)聯(lián)分析功能。關(guān)聯(lián)分析功能采用基于國(guó)際最前沿的流數(shù)據(jù)分析技術(shù)（SteamDataAnalysis），能夠支持多種關(guān)聯(lián)分析算法：?jiǎn)问录P(guān)聯(lián)、多事件關(guān)聯(lián)； 基于規(guī)則的關(guān)聯(lián)（包括邏輯關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)）；事件與事件關(guān)聯(lián)、事件與資產(chǎn)關(guān)聯(lián)。處理性能更高。通過(guò)關(guān)聯(lián)分析規(guī)則，系統(tǒng)能夠?qū)Ψ详P(guān)聯(lián)規(guī)則條件的日志產(chǎn)生告警。系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達(dá)式和統(tǒng)計(jì)條件的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。規(guī)則的邏輯表達(dá)式支持等于、不等于、大于、小于、不大于、不小于、位于……之間、屬于、包含、FollowBy等運(yùn)算符和關(guān)鍵字。規(guī)則支持統(tǒng)計(jì)計(jì)數(shù)功能，并可以指定在統(tǒng)計(jì)時(shí)的固定和變動(dòng)的事件屬性，可以關(guān)聯(lián)出達(dá)到一定統(tǒng)計(jì)規(guī)則的事件。規(guī)則支持外部引用，可以引用地址資源、端口資源、時(shí)間資源、過(guò)濾器、資產(chǎn)分類屬性。系統(tǒng)支持單事件關(guān)聯(lián)和多事件關(guān)聯(lián)。通過(guò)單事件關(guān)聯(lián)，系統(tǒng)可以對(duì)符合單一規(guī)則的事件流進(jìn)行規(guī)則匹配；通過(guò)多事件關(guān)聯(lián)，系統(tǒng)可以對(duì)符合多個(gè)規(guī)則（稱作組合規(guī)則）的事件流進(jìn)行復(fù)雜事件規(guī)則匹配。支持可視化的規(guī)則編輯器，可以定義基于邏輯表達(dá)式和統(tǒng)計(jì)條件的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。支持規(guī)則測(cè)試功能，規(guī)則測(cè)試類似事件查看器的條件匹配與過(guò)濾功能，期望看到規(guī)則設(shè)立的條件、觸發(fā)次數(shù)、及成功匹配的事件內(nèi)容。支持歷史關(guān)聯(lián)分析功能，在完成規(guī)則的編寫后，關(guān)聯(lián)分析規(guī)則能夠?qū)σ?guī)則產(chǎn)生之前的事件進(jìn)行分析，發(fā)現(xiàn)歷史事件中是否有符合關(guān)聯(lián)分析規(guī)則的內(nèi)容產(chǎn)生。支持規(guī)則事件字段重定義功能，在創(chuàng)建的規(guī)則成功作用于事件流以后，在事件信息不完整、不標(biāo)準(zhǔn)、不準(zhǔn)確等情況下，安全運(yùn)維人員依據(jù)事件產(chǎn)生的場(chǎng)景信息、上下文信息、邏輯推理等，主觀改變或擴(kuò)展事件數(shù)據(jù)的屬性值，對(duì)事件已存在的屬性值亦可重新定義。支持規(guī)則的導(dǎo)入和導(dǎo)出。操作者在定義規(guī)則時(shí)能夠應(yīng)用到一個(gè)指定安全事件的任何域或所有域。安全規(guī)則完全與安全事件設(shè)備廠商無(wú)關(guān)，即使更換設(shè)備也無(wú)需重寫規(guī)則。除了布爾邏輯運(yùn)算符外，關(guān)聯(lián)分析功能還要求提供其它不同的運(yùn)算符，比如指定安全事件發(fā)生的日期時(shí)間段、以指定的字串開(kāi)始、IP地址在指定網(wǎng)段中等等。規(guī)則可實(shí)時(shí)啟用和停止。支持長(zhǎng)時(shí)間關(guān)聯(lián)，能夠檢測(cè)到慢速攻擊。日志實(shí)時(shí)監(jiān)視系統(tǒng)提供了實(shí)時(shí)審計(jì)視圖，審計(jì)管理員可以根據(jù)內(nèi)置或者自定義的實(shí)時(shí)監(jiān)視策略，從日志的任意維度實(shí)時(shí)觀測(cè)安全事件的走向，并可以進(jìn)行事件調(diào)查、鉆取，并進(jìn)行事件行為分析和來(lái)源定位。審計(jì)員可以實(shí)時(shí)監(jiān)視防火墻、IDS、防病毒、網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用的高危安全事件；可以實(shí)時(shí)監(jiān)視各個(gè)部門、各個(gè)安全域、各個(gè)業(yè)務(wù)系統(tǒng)的重點(diǎn)安全事件；可以實(shí)時(shí)監(jiān)視全網(wǎng)的違規(guī)登錄事件、配置變更事件、針對(duì)關(guān)鍵服務(wù)器的入侵攻擊事件等等。實(shí)時(shí)顯示事件內(nèi)容包括：接收時(shí)間、事件類型、事件名稱、報(bào)警級(jí)別、來(lái)源IP、目的IP、設(shè)備類型、設(shè)備來(lái)源IP等，同時(shí)事件內(nèi)容可查看事件詳細(xì)信息和原始信息。對(duì)于實(shí)時(shí)監(jiān)視中的日志，用戶可以進(jìn)行追蹤調(diào)查，進(jìn)行源目標(biāo)IP地址定位，并可以以圖形化的方式展示日志之間的行為關(guān)系。日志統(tǒng)計(jì)分析系統(tǒng)提供了統(tǒng)計(jì)視圖，審計(jì)管理員可以根據(jù)內(nèi)置或者自定義的統(tǒng)計(jì)策略，從日志的多個(gè)維度實(shí)時(shí)進(jìn)行安全事件統(tǒng)計(jì)分析，并以柱圖、餅圖、堆積圖等形式進(jìn)行可視化的展示。審計(jì)員可以查看一段時(shí)間內(nèi)的主機(jī)流量排行、主機(jī)登錄失敗次數(shù)排行、活躍病毒排行、網(wǎng)絡(luò)設(shè)備故障排行、最多訪問(wèn)用戶排行，等等。統(tǒng)計(jì)功能分為實(shí)時(shí)統(tǒng)計(jì)與歷史統(tǒng)計(jì)兩種，實(shí)時(shí)統(tǒng)計(jì)圖會(huì)隨時(shí)間推移動(dòng)態(tài)更新，反映最新的統(tǒng)計(jì)結(jié)果。實(shí)時(shí)統(tǒng)計(jì)和歷史統(tǒng)計(jì)都可以根據(jù)統(tǒng)計(jì)結(jié)果直接鉆取符合條件的事件，統(tǒng)計(jì)結(jié)果支持導(dǎo)出。日志查詢系統(tǒng)提供日志的查詢功能，便于從海量數(shù)據(jù)中獲取有用的日志信息。用戶可自定義查詢策略，基于日志時(shí)間、名稱、地址、端口、類型等各種條件進(jìn)行組合查詢，并可導(dǎo)出查詢結(jié)果。系統(tǒng)還提供快速查詢和模糊查詢功能。日志存儲(chǔ)系統(tǒng)將收集來(lái)的日志統(tǒng)一安全存儲(chǔ)和備份。系統(tǒng)支持TB級(jí)的海量數(shù)據(jù)加密存儲(chǔ)，滿足合規(guī)與內(nèi)控條款的相關(guān)需求。系統(tǒng)支持?jǐn)?shù)據(jù)的自動(dòng)或手動(dòng)備份，通過(guò)數(shù)據(jù)備份與維護(hù)功能，用戶可以設(shè)定系統(tǒng)數(shù)據(jù)與事件數(shù)據(jù)的保存位置與周期，實(shí)現(xiàn)系統(tǒng)平臺(tái)數(shù)據(jù)的備份與維護(hù)工作。系統(tǒng)支持對(duì)其應(yīng)用程序、配置文件、生產(chǎn)數(shù)據(jù)進(jìn)行全部和部分的備份和恢復(fù)功能；對(duì)系統(tǒng)數(shù)據(jù)提供在線和離線的備份與恢復(fù)功能，并能保證恢復(fù)之后系統(tǒng)正常運(yùn)行。管理員可設(shè)置事件存儲(chǔ)空間告警閾值，方便對(duì)事件存儲(chǔ)空間進(jìn)行監(jiān)控與管理。目前，事業(yè)部已部署一套日志審計(jì)系統(tǒng)，本項(xiàng)目可利舊。工控系統(tǒng)安全審計(jì)場(chǎng)站集控中心安全Ⅰ區(qū)各部署一套工控安全審計(jì)系統(tǒng)，能夠?qū)ο到y(tǒng)運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，支持以儀表盤方式實(shí)時(shí)展示設(shè)備的CPU、內(nèi)存、磁盤使用情況；能夠根據(jù)用戶需要設(shè)置日志上限條數(shù)及磁盤告警值，并能夠自動(dòng)清理日志文件。工業(yè)協(xié)議深度解析支持100+工業(yè)協(xié)議的識(shí)別，支持OPC、Modbus、IEC60870-5-104、IEC61850MMS、SiemensS7等主流工控協(xié)議深度解析；支持1000多種協(xié)議寄存器、功能碼識(shí)別；支持OPCDA、XML-DA等操作，包括支持OPC的動(dòng)態(tài)端口、OPC只讀字段識(shí)別；支持ModbusTCP協(xié)議語(yǔ)法、Reset及連接跟蹤、協(xié)議白名單、點(diǎn)表等字段識(shí)別；支持Modbus、S7、OPC協(xié)議值域字段識(shí)別；支持SiemensS7協(xié)議讀寫操作、版本號(hào)、寄存器區(qū)、DB區(qū)區(qū)號(hào)、點(diǎn)類型、值范圍、傳輸層協(xié)議控制等字段識(shí)別；支持Ethernet/IP協(xié)議語(yǔ)法、丟包Reset，支持Ethernet/IP協(xié)議本身自定義的參數(shù)配置，支持CIP數(shù)據(jù)表、PCCC控制等字段識(shí)別；支持對(duì)Profinet協(xié)議傳輸功能碼及操作對(duì)象進(jìn)行控制；支持IEC104協(xié)議白名單、傳輸原因長(zhǎng)度、公共地址長(zhǎng)度、信息體地址長(zhǎng)度等的配置；支持DNP3協(xié)議白名單，包括版本號(hào)、源IP、目的IP、源IP掩碼、目的IP掩碼、源地址、目的地址、功能碼等字段識(shí)別。事件告警支持對(duì)工控協(xié)議報(bào)文不符合其規(guī)約規(guī)定的格式進(jìn)行檢測(cè)并告警；支持對(duì)工程師站組態(tài)變更、操控指令變更、PLC下裝、負(fù)載變更等關(guān)鍵事件告警；支持對(duì)告警事件一鍵加入白名單；支持關(guān)鍵服務(wù)中斷檢測(cè)，在設(shè)定的時(shí)間內(nèi)，單IP某服務(wù)的接收?qǐng)?bào)文為零時(shí)進(jìn)行告警；支持允許管理員自定義工控協(xié)議通信告警規(guī)則，對(duì)符合告警規(guī)則的通信行為進(jìn)行告警。協(xié)議通信記錄支持對(duì)所有網(wǎng)絡(luò)會(huì)話信息的記錄，并可通過(guò)規(guī)則設(shè)置進(jìn)行調(diào)整記錄信息；記錄主流工控協(xié)議的通信日志；對(duì)非工控協(xié)議能夠記錄網(wǎng)絡(luò)連接信息。正常通信行為建模支持管理員對(duì)建立的工控通信模型白名單進(jìn)行人工調(diào)校；支持對(duì)當(dāng)前通信行為與白名單進(jìn)行對(duì)比，對(duì)偏離白名單的行為進(jìn)行告警。異常流量監(jiān)測(cè)監(jiān)測(cè)設(shè)備的流入流出流量并設(shè)置基線值，超出基線值進(jìn)行報(bào)警；監(jiān)測(cè)并采集系統(tǒng)內(nèi)正常的網(wǎng)絡(luò)通信，并可手動(dòng)調(diào)校相關(guān)通信連接基線，對(duì)偏離基線的行為進(jìn)行檢測(cè)告警。事件分析統(tǒng)計(jì)圖形化顯示一定時(shí)間段監(jiān)控范圍內(nèi)的所有網(wǎng)絡(luò)連接，并對(duì)異常的網(wǎng)絡(luò)連接標(biāo)記顯示；提供網(wǎng)絡(luò)流量及報(bào)文數(shù)量的實(shí)時(shí)、歷史分時(shí)、歷史分天（可自定義范圍）等的統(tǒng)計(jì)情況；支持對(duì)各類告警事件進(jìn)行多維度的統(tǒng)計(jì)。統(tǒng)一管理通過(guò)IP認(rèn)證、IP+MAC綁定的可信主機(jī)才能訪問(wèn)目前設(shè)備系統(tǒng)；支持強(qiáng)制口令強(qiáng)度；支持分權(quán)分級(jí)管理；支持報(bào)表功能，用戶通過(guò)報(bào)表可查看事件、日志和審計(jì)的統(tǒng)計(jì)數(shù)據(jù)，支持報(bào)表下載；支持安全產(chǎn)品的自動(dòng)升級(jí)。防護(hù)等級(jí)嚴(yán)格參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》標(biāo)準(zhǔn)，集控中心控制區(qū)中