科东PSSEM-2000S网络安全监测装置

       　　电力监控系统网络安全管理系统包含网络安全管理平台和网络安全监测装置（以下简称“监测装置”）两部分，平台部署在国、分、省、地调主站侧，监测装置部署在变电站和发电厂。整个系统按照设备自身感知、监测装置分布采集、管理平台统一管控的原则，构建感知、采集、管控三层架构的网络安全监管系统技术体系。因此，监测装置是电力调度网络安全管理系统不可或缺的重要组成部分。

　　监测装置负责采集网络设备（如数据网交换机、工控交换机等）、主机设备（服务器和工作站）、安防设备（如防火墙、正、反向隔离装置等）以及监测装置自身的运行信息和安全事件，并将运行信息和安全事件实时或归并成告警信息上报给主站平台，并执行主站平台下发的各类管控命令。

　　北京科东电力控制系统有限责任公司作为国家电力调度通信中心主持的《全国电力监控系统安全防护方案》研究课题的参与单位，派出了多名工作人员参与电力监控系统安全防护专家组工作，从事总体方案、技术方案、实施方案的编写，并受国家电力调度通信中心委托开发电力系统专用网络安全产品。

　　在国调中心的组织下，2016底开始开展《电力监控系统网络安全监测装置技术规范》的编制工作。网络安全监测装置监测对象包括调度主站、变电站站控层及发电厂涉网生产控制大区的主机设备、网络设备和安全防护设备等，并根据实际业务需要研发Ⅰ、Ⅱ型网络安全监测装置，分别服务于主站及厂站侧。

　　科东PSSEM-2000S 网络安全监测装置

　　网络安全监测装置监测对象包括调度主站、变电站站控层及发电厂涉网生产控制大区的主机设备、网络设备和安全防护设备等，并根据实际业务需要研发Ⅰ、Ⅱ型网络安全监测装置，分别服务于主站及厂站侧。

　　性能指标

　　1.Ⅱ型网络安全监测装置采集信息吞吐量≥1000条/s；

　　2.Ⅱ型网络安全监测装置支持监测对象数量≥100；

　　3.Ⅱ型网络安全监测装置内存≥4GB，存储空间≥250GB；

　　4.对上传事件信息的处理时间≤500ms；

　　5.对远程调阅的处理时间≤500ms；

　　6.具备9个10M/100M/1000M自适应以太网电口（支持网口扩展），采用RJ45接口；

　　7.通过IRIG-B同步，对时精度≤1ms，通过SNTP同步，对时精度≤100ms；

　　8.在没有外部时钟源校正时，24小时守时误差不超过1s；

　　9.平均故障间隔时间（MTBF）≥30000h。

　　部署方案

　　在变电站站控层或并网电厂电力监控系统的安全Ⅱ区部署网络安全监测装置，采集变电站站控层和发电厂涉网区域的服务器、工作站、网络设备和安全防护设备的安全事件，并转发至调度端网络安全管理平台的数据网关机。同时，支持网络安全事件的本地监视和管理。

　　当变电站站控层或发电厂涉网区域存在Ⅰ、Ⅱ区，并且网络可达时，网络安全监测装置部署在Ⅱ区；

　　当变电站站控层或发电厂涉网区域Ⅰ、Ⅱ区网络完全断开，则Ⅰ、Ⅱ区各部署一台网络安全监测装置；

　　当变电站站控层或发电厂涉网区域无Ⅱ区时，则网络安全监测装置直接部署于Ⅰ区；

　　当变电站站控层或发电厂涉网区域网络存在A、B双网，网络安全监测装置需要同时与A、B双网互联。

　　网络安全监测装置部署方案

　　一、变电站部署

　　

　　监测装置通常部署于变电站站控层，当站控层I/II区有防火墙时（即I、II区连通），只需在II区部署一台；当I、II区不通时，I/II区各部署一台。网络安全监测装置需同时接入站控层A、B网内，保证与A、B网内所有设备互联互通。

　　部署方案一：当变电站站控层I/II区之间存在防火墙时，仅在II区部署1台监测装置。监测装置分配2个网口，1个网口与A网站控汇聚II区交换机连接，另1个网口与B网站控层汇聚II区交换机连接，并开放防火墙安全I、II区之间的规则。选择一个网口连接到II区数据网交换机，以用于与主站平台互联。

　　部署方案二：当变电站站控层I区与II区之间不存在防火墙时，安全I区与II区各部署1台监测装置。I区监测装置分别与A网站控汇聚I区交换机、B网站控汇聚安全I区交换机相连；选择1个网口连接到I区数据网交换机，以用于与主站平台互联。安全II区监测装置分别与A网站控汇聚II区交换机、B网站控汇聚安全II区交换机相连；选择1个网口连接到安全II区数据网交换机，以用于与主站平台互联。

　　对于故障告警、装置对时和失电告警，请根据现场情况选择性配置。

　　二、电厂涉网部分装置部署

　　由于电厂内系统较多，且多数系统无网络连接，宜部署多台网络安全监测装置以满足发电厂涉网区域内各类设备的接入。

　　对于电厂I区而言，涉网部分主要为NCS系统，装置需同时接入NCS系统内、水电监控系统、光伏电站监控系统、风电厂综合监控系统站控层A、B双网交换机，需单独连接PMU等其他涉网设备，同时，装置需要连接I区调度数据网交换机，通过调度数据网实时VPN连接上级管理平台。

　　对于电厂II区而言，装置需监测各类服务器、工作站、保信子站、故障录波及电量采集网关机等涉网设备，装置需跨接不同网络内组网交换机，同时连接II区调度数据网交换机，通过调度数据网非实时VPN连接上级管理平台。

　　电厂涉网部分部署拓扑如下：

　　

　　我们致力于为电力物联网、能源互联网领域，提供二次安全防护产品和售后服务整体解决方案。

　　二次安防产品：网络安全隔离、纵密、网安及其服务；

　　可控微机与周边产品：可控计算机（工作站）、打印机 、麒麟信安操作系统

　　电力物联网领域：在线监测、信息安全互联网安全领域：云计算、服务器、交换机、安防监控