電力監(jiān)控系統(tǒng)網(wǎng)絡安全管理系統(tǒng)包含網(wǎng)絡安全管理平臺和網(wǎng)絡安全監(jiān)測裝置（以下簡稱“監(jiān)測裝置”）兩部分，平臺部署在國、分、省、地調(diào)主站側(cè)，監(jiān)測裝置部署在變電站和發(fā)電廠。整個系統(tǒng)按照設備自身感知、監(jiān)測裝置分布采集、管理平臺統(tǒng)一管控的原則，構(gòu)建感知、采集、管控三層架構(gòu)的網(wǎng)絡安全監(jiān)管系統(tǒng)技術(shù)體系。因此，監(jiān)測裝置是電力調(diào)度網(wǎng)絡安全管理系統(tǒng)不可或缺的重要組成部分。

監(jiān)測裝置負責采集網(wǎng)絡設備（如數(shù)據(jù)網(wǎng)交換機、工控交換機等）、主機設備（服務器和工作站）、安防設備（如防火墻、正、反向隔離裝置等）以及監(jiān)測裝置自身的運行信息和安全事件，并將運行信息和安全事件實時或歸并成告警信息上報給主站平臺，并執(zhí)行主站平臺下發(fā)的各類管控命令。

北京科東電力控制系統(tǒng)有限責任公司作為國家電力調(diào)度通信中心主持的《全國電力監(jiān)控系統(tǒng)安全防護方案》研究課題的參與單位，派出了多名工作人員參與電力監(jiān)控系統(tǒng)安全防護專家組工作，從事總體方案、技術(shù)方案、實施方案的編寫，并受國家電力調(diào)度通信中心委托開發(fā)電力系統(tǒng)專用網(wǎng)絡安全產(chǎn)品。

在國調(diào)中心的組織下，2016底開始開展《電力監(jiān)控系統(tǒng)網(wǎng)絡安全監(jiān)測裝置技術(shù)規(guī)范》的編制工作。網(wǎng)絡安全監(jiān)測裝置監(jiān)測對象包括調(diào)度主站、變電站站控層及發(fā)電廠涉網(wǎng)生產(chǎn)控制大區(qū)的主機設備、網(wǎng)絡設備和安全防護設備等，并根據(jù)實際業(yè)務需要研發(fā)Ⅰ、Ⅱ型網(wǎng)絡安全監(jiān)測裝置，分別服務于主站及廠站側(cè)。

科東PSSEM-2000S 網(wǎng)絡安全監(jiān)測裝置

網(wǎng)絡安全監(jiān)測裝置監(jiān)測對象包括調(diào)度主站、變電站站控層及發(fā)電廠涉網(wǎng)生產(chǎn)控制大區(qū)的主機設備、網(wǎng)絡設備和安全防護設備等，并根據(jù)實際業(yè)務需要研發(fā)Ⅰ、Ⅱ型網(wǎng)絡安全監(jiān)測裝置，分別服務于主站及廠站側(cè)。

性能指標

1.Ⅱ型網(wǎng)絡安全監(jiān)測裝置采集信息吞吐量≥1000條/s；

2.Ⅱ型網(wǎng)絡安全監(jiān)測裝置支持監(jiān)測對象數(shù)量≥100；

3.Ⅱ型網(wǎng)絡安全監(jiān)測裝置內(nèi)存≥4GB，存儲空間≥250GB；

4.對上傳事件信息的處理時間≤500ms；

5.對遠程調(diào)閱的處理時間≤500ms；

6.具備9個10M/100M/1000M自適應以太網(wǎng)電口（支持網(wǎng)口擴展），采用RJ45接口；

7.通過IRIG-B同步，對時精度≤1ms，通過SNTP同步，對時精度≤100ms；

8.在沒有外部時鐘源校正時，24小時守時誤差不超過1s；

9.平均故障間隔時間（MTBF）≥30000h。

部署方案

在變電站站控層或并網(wǎng)電廠電力監(jiān)控系統(tǒng)的安全Ⅱ區(qū)部署網(wǎng)絡安全監(jiān)測裝置，采集變電站站控層和發(fā)電廠涉網(wǎng)區(qū)域的服務器、工作站、網(wǎng)絡設備和安全防護設備的安全事件，并轉(zhuǎn)發(fā)至調(diào)度端網(wǎng)絡安全管理平臺的數(shù)據(jù)網(wǎng)關(guān)機。同時，支持網(wǎng)絡安全事件的本地監(jiān)視和管理。

當變電站站控層或發(fā)電廠涉網(wǎng)區(qū)域存在Ⅰ、Ⅱ區(qū)，并且網(wǎng)絡可達時，網(wǎng)絡安全監(jiān)測裝置部署在Ⅱ區(qū)；

當變電站站控層或發(fā)電廠涉網(wǎng)區(qū)域Ⅰ、Ⅱ區(qū)網(wǎng)絡完全斷開，則Ⅰ、Ⅱ區(qū)各部署一臺網(wǎng)絡安全監(jiān)測裝置；

當變電站站控層或發(fā)電廠涉網(wǎng)區(qū)域無Ⅱ區(qū)時，則網(wǎng)絡安全監(jiān)測裝置直接部署于Ⅰ區(qū)；

當變電站站控層或發(fā)電廠涉網(wǎng)區(qū)域網(wǎng)絡存在A、B雙網(wǎng)，網(wǎng)絡安全監(jiān)測裝置需要同時與A、B雙網(wǎng)互聯(lián)。

網(wǎng)絡安全監(jiān)測裝置部署方案

一、變電站部署

監(jiān)測裝置通常部署于變電站站控層，當站控層I/II區(qū)有防火墻時（即I、II區(qū)連通），只需在II區(qū)部署一臺；當I、II區(qū)不通時，I/II區(qū)各部署一臺。網(wǎng)絡安全監(jiān)測裝置需同時接入站控層A、B網(wǎng)內(nèi)，保證與A、B網(wǎng)內(nèi)所有設備互聯(lián)互通。

部署方案一：當變電站站控層I/II區(qū)之間存在防火墻時，僅在II區(qū)部署1臺監(jiān)測裝置。監(jiān)測裝置分配2個網(wǎng)口，1個網(wǎng)口與A網(wǎng)站控匯聚II區(qū)交換機連接，另1個網(wǎng)口與B網(wǎng)站控層匯聚II區(qū)交換機連接，并開放防火墻安全I、II區(qū)之間的規(guī)則。選擇一個網(wǎng)口連接到II區(qū)數(shù)據(jù)網(wǎng)交換機，以用于與主站平臺互聯(lián)。

部署方案二：當變電站站控層I區(qū)與II區(qū)之間不存在防火墻時，安全I區(qū)與II區(qū)各部署1臺監(jiān)測裝置。I區(qū)監(jiān)測裝置分別與A網(wǎng)站控匯聚I區(qū)交換機、B網(wǎng)站控匯聚安全I區(qū)交換機相連；選擇1個網(wǎng)口連接到I區(qū)數(shù)據(jù)網(wǎng)交換機，以用于與主站平臺互聯(lián)。安全II區(qū)監(jiān)測裝置分別與A網(wǎng)站控匯聚II區(qū)交換機、B網(wǎng)站控匯聚安全II區(qū)交換機相連；選擇1個網(wǎng)口連接到安全II區(qū)數(shù)據(jù)網(wǎng)交換機，以用于與主站平臺互聯(lián)。

對于故障告警、裝置對時和失電告警，請根據(jù)現(xiàn)場情況選擇性配置。

二、電廠涉網(wǎng)部分裝置部署

由于電廠內(nèi)系統(tǒng)較多，且多數(shù)系統(tǒng)無網(wǎng)絡連接，宜部署多臺網(wǎng)絡安全監(jiān)測裝置以滿足發(fā)電廠涉網(wǎng)區(qū)域內(nèi)各類設備的接入。

對于電廠I區(qū)而言，涉網(wǎng)部分主要為NCS系統(tǒng)，裝置需同時接入NCS系統(tǒng)內(nèi)、水電監(jiān)控系統(tǒng)、光伏電站監(jiān)控系統(tǒng)、風電廠綜合監(jiān)控系統(tǒng)站控層A、B雙網(wǎng)交換機，需單獨連接PMU等其他涉網(wǎng)設備，同時，裝置需要連接I區(qū)調(diào)度數(shù)據(jù)網(wǎng)交換機，通過調(diào)度數(shù)據(jù)網(wǎng)實時VPN連接上級管理平臺。

對于電廠II區(qū)而言，裝置需監(jiān)測各類服務器、工作站、保信子站、故障錄波及電量采集網(wǎng)關(guān)機等涉網(wǎng)設備，裝置需跨接不同網(wǎng)絡內(nèi)組網(wǎng)交換機，同時連接II區(qū)調(diào)度數(shù)據(jù)網(wǎng)交換機，通過調(diào)度數(shù)據(jù)網(wǎng)非實時VPN連接上級管理平臺。

電廠涉網(wǎng)部分部署拓撲如下：

我們致力于為電力物聯(lián)網(wǎng)、能源互聯(lián)網(wǎng)領(lǐng)域，提供二次安全防護產(chǎn)品和售后服務整體解決方案。

二次安防產(chǎn)品：網(wǎng)絡安全隔離、縱密、網(wǎng)安及其服務；

可控微機與周邊產(chǎn)品：可控計算機（工作站）、打印機 、麒麟信安操作系統(tǒng)

電力物聯(lián)網(wǎng)領(lǐng)域：在線監(jiān)測、信息安全互聯(lián)網(wǎng)安全領(lǐng)域：云計算、服務器、交換機、安防監(jiān)控