電力監控系統網絡安全管理系統包含網絡安全管理平臺和網絡安全監測裝置（以下簡稱“監測裝置”）兩部分，平臺部署在國、分、省、地調主站側，監測裝置部署在變電站和發電廠。整個系統按照設備自身感知、監測裝置分布采集、管理平臺統一管控的原則，構建感知、采集、管控三層架構的網絡安全監管系統技術體系。因此，監測裝置是電力調度網絡安全管理系統不可或缺的重要組成部分。

監測裝置負責采集網絡設備（如數據網交換機、工控交換機等）、主機設備（服務器和工作站）、安防設備（如防火墻、正、反向隔離裝置等）以及監測裝置自身的運行信息和安全事件，并將運行信息和安全事件實時或歸并成告警信息上報給主站平臺，并執行主站平臺下發的各類管控命令。

北京科東電力控制系統有限責任公司作為國家電力調度通信中心主持的《全國電力監控系統安全防護方案》研究課題的參與單位，派出了多名工作人員參與電力監控系統安全防護專家組工作，從事總體方案、技術方案、實施方案的編寫，并受國家電力調度通信中心委托開發電力系統專用網絡安全產品。

在國調中心的組織下，2016底開始開展《電力監控系統網絡安全監測裝置技術規范》的編制工作。網絡安全監測裝置監測對象包括調度主站、變電站站控層及發電廠涉網生產控制大區的主機設備、網絡設備和安全防護設備等，并根據實際業務需要研發Ⅰ、Ⅱ型網絡安全監測裝置，分別服務于主站及廠站側。

科東PSSEM-2000S 網絡安全監測裝置

網絡安全監測裝置監測對象包括調度主站、變電站站控層及發電廠涉網生產控制大區的主機設備、網絡設備和安全防護設備等，并根據實際業務需要研發Ⅰ、Ⅱ型網絡安全監測裝置，分別服務于主站及廠站側。

性能指標

1.Ⅱ型網絡安全監測裝置采集信息吞吐量≥1000條/s；

2.Ⅱ型網絡安全監測裝置支持監測對象數量≥100；

3.Ⅱ型網絡安全監測裝置內存≥4GB，存儲空間≥250GB；

4.對上傳事件信息的處理時間≤500ms；

5.對遠程調閱的處理時間≤500ms；

6.具備9個10M/100M/1000M自適應以太網電口（支持網口擴展），采用RJ45接口；

7.通過IRIG-B同步，對時精度≤1ms，通過SNTP同步，對時精度≤100ms；

8.在沒有外部時鐘源校正時，24小時守時誤差不超過1s；

9.平均故障間隔時間（MTBF）≥30000h。

部署方案

在變電站站控層或并網電廠電力監控系統的安全Ⅱ區部署網絡安全監測裝置，采集變電站站控層和發電廠涉網區域的服務器、工作站、網絡設備和安全防護設備的安全事件，并轉發至調度端網絡安全管理平臺的數據網關機。同時，支持網絡安全事件的本地監視和管理。

當變電站站控層或發電廠涉網區域存在Ⅰ、Ⅱ區，并且網絡可達時，網絡安全監測裝置部署在Ⅱ區；

當變電站站控層或發電廠涉網區域Ⅰ、Ⅱ區網絡完全斷開，則Ⅰ、Ⅱ區各部署一臺網絡安全監測裝置；

當變電站站控層或發電廠涉網區域無Ⅱ區時，則網絡安全監測裝置直接部署于Ⅰ區；

當變電站站控層或發電廠涉網區域網絡存在A、B雙網，網絡安全監測裝置需要同時與A、B雙網互聯。

網絡安全監測裝置部署方案

一、變電站部署

監測裝置通常部署于變電站站控層，當站控層I/II區有防火墻時（即I、II區連通），只需在II區部署一臺；當I、II區不通時，I/II區各部署一臺。網絡安全監測裝置需同時接入站控層A、B網內，保證與A、B網內所有設備互聯互通。

部署方案一：當變電站站控層I/II區之間存在防火墻時，僅在II區部署1臺監測裝置。監測裝置分配2個網口，1個網口與A網站控匯聚II區交換機連接，另1個網口與B網站控層匯聚II區交換機連接，并開放防火墻安全I、II區之間的規則。選擇一個網口連接到II區數據網交換機，以用于與主站平臺互聯。

部署方案二：當變電站站控層I區與II區之間不存在防火墻時，安全I區與II區各部署1臺監測裝置。I區監測裝置分別與A網站控匯聚I區交換機、B網站控匯聚安全I區交換機相連；選擇1個網口連接到I區數據網交換機，以用于與主站平臺互聯。安全II區監測裝置分別與A網站控匯聚II區交換機、B網站控匯聚安全II區交換機相連；選擇1個網口連接到安全II區數據網交換機，以用于與主站平臺互聯。

對于故障告警、裝置對時和失電告警，請根據現場情況選擇性配置。

二、電廠涉網部分裝置部署

由于電廠內系統較多，且多數系統無網絡連接，宜部署多臺網絡安全監測裝置以滿足發電廠涉網區域內各類設備的接入。

對于電廠I區而言，涉網部分主要為NCS系統，裝置需同時接入NCS系統內、水電監控系統、光伏電站監控系統、風電廠綜合監控系統站控層A、B雙網交換機，需單獨連接PMU等其他涉網設備，同時，裝置需要連接I區調度數據網交換機，通過調度數據網實時VPN連接上級管理平臺。

對于電廠II區而言，裝置需監測各類服務器、工作站、保信子站、故障錄波及電量采集網關機等涉網設備，裝置需跨接不同網絡內組網交換機，同時連接II區調度數據網交換機，通過調度數據網非實時VPN連接上級管理平臺。

電廠涉網部分部署拓撲如下：

我們致力于為電力物聯網、能源互聯網領域，提供二次安全防護產品和售后服務整體解決方案。

二次安防產品：網絡安全隔離、縱密、網安及其服務；

可控微機與周邊產品：可控計算機（工作站）、打印機 、麒麟信安操作系統

電力物聯網領域：在線監測、信息安全互聯網安全領域：云計算、服務器、交換機、安防監控