1公司简介

1.1 科东公司

    北京科东电力控制系统有限责任公司（以下简称“科东公司”）成立于1995年11月，时由中国东北电力集团公司、电力工业部电力科学研究院（中国电力科学研究院前身）共同出资设立，注册资本15000万元，是北京市认定的高新技术企业和软件企业；2002年，并入中国电科院电网及仿真业务；国家鼓励创新，东北电网20%股份转让公司骨干，成为“混合所有制”企业；2010年，国资委规范国有企业员工持股和投资，成为中国电力科学研究院独资子公司；2012年，国家电网产业科研整合，划转至国网电力科学研究院；2013年，国家电网规范资本市场同业竞争，划转至国电南瑞科技股份有限公司。

1.1.1 技术力量

    公司现有员工总数为993人。科东公司93%的员工具有本科及以上学历，其中硕 士、博士234人；37%的员工获得各类专业技术资格，其中教授级高级工程师8人、中高级以上工程师176人，国家“千人计划”专家—南瑞集团电网仿真与可视化首席专家1名。国家电网专业规划专家多名，南瑞集团专家8名、资深专家1名。公司已形成了一支老中青相结合的、具有高技术水平和创新能力的人才队伍，成为电网自动化领域科研及工程建设的一支重要力量。

1.1.2 组织结构

    科东公司实行董事会领导下的总经理负责制，由总经理全面负责公司运营。公司下设调度自动化分公司、电网控制与仿真分公司、电力市场与营销自动化分公司、通信与安全分公司、调度信息分公司、配电技术分公司、研发技术中心、营销中心、综合管理部、生产管理部、安全质量部、财务资产部、人力资源部、沈阳办事处等，形成了覆盖电网和电厂大部分电气专业的具有从事科研开发和承担工程项目，进行质量检测的综合性企业。

1.1.3 为您提供的服务

    科东公司长期从事电力系统自动化领域的技术研究、产品开发、方案咨询和工程服务，业务覆盖电网自动化、用电自动化、电力仿真及电力市场等领域，致力于电网自动化技术在电力系统中的推广与应用，从事相关领域的基础理论研究、关键技术开发、工程实施与推广应用，技术研发能力及产品居国内领先水平。科东公司在调度自动化、电力市场、电力培训仿真、二次系统安全防护、用电信息采集、微网控制、多渠道缴费等技术领域拥有丰富的经验并拥有多项专利。公司业务范围涉及电力系统多个领域。在自动化控制的主要业务为电网调度自动化系统工程、调度员培训仿真、变电站培训仿真和电力市场、电量计量的研究开发与工程化、技术服务、技术咨询、技术培训及工程承包等。

    科东公司每年承担多项国家或国家电网公司科研项目，年工程实施项目上百个，具备较强的科研与工程承接、售后服务能力，是我国研究智能用电服务、电网自动化理论与实践研究的主要单位之一。在此基础上科东公司还积极拓展行业外市场及国际市场，完成了老挝电力调度项目建设，目前系统运行稳定，获得用户一致好评，为大力拓展海外市场奠定了基础。

2研发背景

   北京科东电力控制系统有限责任公司作为国家电力调度通信中心主持的《全国电力监控系统安全防护方案》研究课题的参与单位，派出了多名工作人员参与电力监控系统安全防护专家组工作，从事总体方案、技术方案、实施方案的编写，并受国家电力调度通信中心委托开发电力系统专用网络安全产品。

　　在国调中心的组织下，2016底开始开展《电力监控系统网络安全监测装置技术规范》的编制工作。网络安全监测装置监测对象包括调度主站、变电站站控层及发电厂涉网生产控制大区的主机设备、网络设备和安全防护设备等，并根据实际业务需要研发Ⅰ、Ⅱ型网络安全监测装置，分别服务于主站及厂站侧。

3规范性引用文件

GB/T 17626.2 电磁兼容 试验和测量技术 静电放电抗扰度实验；

GB/T 17626.4 电磁兼容 试验和测量技术 电快速瞬变脉冲群抗扰度实验；

GB/T 17626.5 电磁兼容 试验和测量技术 浪涌（冲击）抗扰度实验；

GB/T 17626.8 电磁兼容 试验和测量技术 工频磁场抗扰度实验；

GB/T 17626.10 电磁兼容 试验和测量技术 阻尼振荡磁场抗扰度实验；

GB/T 17626.11 电磁兼容 试验和测量技术 电压暂降、短时中断和电压变化的抗扰度实验；

GB/T 17626.12 电磁兼容 试验和测量技术 震荡波抗扰度实验；

GB/T 19520.12-2009 电子设备机械结构482.6mm(19in)系列机械结构尺寸第3-101部分：插箱及其插件；

DL/T 634.5104-2009 远动设备及系统 第5-104部分：传输规约采用标准传输协议子集的IEC60870-5-101网络访问。

4 网络安全监测装置

4.1型号

PSSEM-2000S,Ⅱ型网络安全监测装置。

4.2系统组成

硬件平台

power pc处理器；

主频1.2GHz，cpu 4核；

内存8GB；   

FLASH 1GB。

操作系统

代码可控的经过裁减内核的Linux 操作系统。

4.3内部硬件模块

采用双路交流电源独立供电，任一回路电源中断不造成装置故障或重启；

AC：220V/50HZ；

DC：110V或220V（－20%～＋15%）；

直流电源电压纹波系数小于5%；

支持采集信息的本地存储，保存至少半年的采集信息；

支持上传事件信息的本地存储，保存至少一年的上传事件信息；

本地日志审计记录条数≥10000条。

4.4接口规范

采用RJ45接口；

具备8个10M/100M/1000M自适应以太网电口（支持网口扩展）；

两个电源开关；

两个USB2.0接口。

4.5电气性能

电源

   a) 采用双路直流电源独立供电，任一回路电源中断不造成装置故障或重启；

   b) 直流电源电压：可支持110V或220V，允许偏差－20%～＋15%；

   c) 直流电源电压纹波系数小于5%；

   d) 直流电源中断100ms，装置工作正常，性能指标不下降；

   e) 电源模块失电信号有硬接点输出。

环境规范

   a) 运行温度：-20℃ ～ +60℃（－25℃～＋70℃贮藏运输）；

   b) 操作湿度：不大于85％。

大气压力：

   a) 70kPa～106kPa。

4.6几何及物理特性

尺寸：采用1U整层机箱；

重量：10kg。

Ⅱ型网络安全监测装置实物图如下：

图4-6-1

图4-6-2

   a) 电源指示灯亮：系统上电；

   b) 运行指示灯闪烁：设备正常运行；

   c) 硬盘指示灯闪烁：CPU读写FLASH；

   d) 状态指示灯：用户控制；

   e) 签名指示灯：用户控制；

   f) USB为USB接口；

   g) IRIG-B：时钟同步；

   h) 装置告警及备用口：输出告警信息；

   i) LAN1~LAN8为8个千兆网口。

4.7 电磁兼容

具体性能试验和指标见表1。

4.8部署方案

    在变电站站控层或并网电厂电力监控系统的安全Ⅱ区部署网络安全监测装置，采集变电站站控层和发电厂涉网区域的服务器、工作站、网络设备和安全防护设备的安全事件，并转发至调度端网络安全管理平台的数据网关机。同时，支持网络安全事件的本地监视和管理。

Ø 当变电站站控层或发电厂涉网区域存在Ⅰ、Ⅱ区，并且网络可达时，网络安 全监测装置部署在Ⅱ区，如图4-8-1。

图4-8-1 厂站端拓扑图

当变电站站控层或发电厂涉网区域Ⅰ、Ⅱ区网络完全断开，则Ⅰ、Ⅱ区各部署一台网络安全监测装置，如图4-8-2。

图4-8-2 厂站端拓扑图

当变电站站控层或发电厂涉网区域无Ⅱ区时，则网络安全监测装置直接部署于Ⅰ区，如4-8-3；

当变电站站控层或发电厂涉网区域网络存在A、B双网，网络安全监测装置需要同时与A、B双网互联。

图4-8-3 厂站端拓扑图

4.9 基本功能

4.9.1数据采集

数据采集满足如下功能：

   1. 支持对变电站站控层或发电厂涉网生产控制大区内的服务器、工作站、网络设备（交换机）、安全防护设备等监测对象进行数据采集；

   2. 支持采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息；

   3. 支持采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息；

   4. 支持采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息；

   5. 支持触发性事件信息的采集和周期性上送的状态类信息的采集；

   6. Ⅱ型网络安全监测装置支持的具体采集信息见附录A.1。

4.9.2数据分析处理

数据处理应满足如下要求：

   1. 支持以分钟级统计周期，对重复出现的事件进行归并处理；

   2. 支持根据参数配置，对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理，根据处理结果决定是否形成新的上报事件。

4.9.3服务代理

    网络安全监测装置以服务代理的形式提供服务给网络安全管理平台调用，服务代理满足如下功能：

   1. 支持远程调阅采集信息、上传事件等数据信息，应支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息；

   2. 支持对被监测系统内的资产进行远程管理，包括资产信息的添加、删除、修改、查看等；

   3. 支持参数配置的远程管理，包括系统参数、通信参数及事件处理参数；

   4. 支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用；

   5. 支持通过代理方式实现对服务器、工作站等设备主动断网命令的调用；

   6. 支持通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看；

   7. 支持通过网络安全管理平台对网络安全监测装置进行远程程序升级。

4.9.4通信功能

与服务器、工作站设备通信

　　支持采用自定义TCP协议与服务器、工作站等设备进行通信，实现对服务器、工作站等设备的信息采集与命令控制。报文格式包括报文头、报文体和报文尾三部分。

与网络设备通信

   1. 支持通过SNMP协议主动从交换机获取所需信息；

   2. 支持通过SNMP TRAP协议被动接收交换机事件信息；

   3. 采用SNMP、SNMP TRAP V3版本与交换机进行通信；

   4. 支持通过日志协议采集交换机信息。

与安全防护设备通信

　网络安全监测装置与安全防护设备通信应支持通过GB/T 31992协议采集安全防护设备信息。

事件上传通信

　采用DL/T634.5104通信协议；网络安全管理平台作为服务端，网络安全监测装置作为客户端；采用自定义的报文类型；TCP连接建立后，首先进行基于调度数字证书的双向身份认证，认证通过后才能进行事件上传；只与网络安全管理平台建立一条TCP连接；

服务代理通信

　采用基于TCP的自定义通信协议；网络安全监测装置作为服务端，网络安全管理平台作为客户端；支持多个TCP连接，至少支持4个；对未配置的网络安全管理平台IP地址发来的TCP连接请求拒绝响应；

4.9.5本地管理

   1. 具备自诊断功能，至少包括进程异常、通信异常、硬件异常、CPU占用率过高、存储空间剩余容量过低、内存占用率过高等，检测到异常时应提示告警，诊断结果应记录日志；

   2. 具备用户管理功能，基于三权分立原则为不同角色分配不同权限；满足不同角色的权限相互制约要求，不存在拥有所有权限的超级管理员角色；

   3. 具备资产管理功能，包括资产信息的添加、删除、修改、查看等，资产信息包括：设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等；

   4. 支持采集信息、上传信息的本地查看，支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看；

   5. 支持对监视对象数量、在离线状态的统计展示，支持从设备类型、事件等级等维度对采集信息、上传信息进行统计展示；

   6. 具备日志功能，日志类型至少包括登录日志、操作日志、维护日志等；

   7. 日志内容包括日志级别、日志时间、日志类型、日志内容等信息，日志具备可读性；

4.10 部署位置以及和网络安全管理平台的关系

    按照“分布采集、统一管控”原则，Ⅱ型网络安全监测装置部署于电力监控系统发电厂涉网生产控制大区或变电站站控层，用以对监测对象的网络安全信息进行采集，为网络安全管理平台上传事件并提供服务代理功能。

5性能指标

   1. Ⅱ型网络安全监测装置采集信息吞吐量≥1000条/s；

   2. Ⅱ型网络安全监测装置支持监测对象数量≥100；

   3. Ⅱ型网络安全监测装置内存≥4GB，存储空间≥250GB；

   4. 对上传事件信息的处理时间≤500ms；

   5. 对远程调阅的处理时间≤500ms；

   6. 具备8个10M/100M/1000M自适应以太网电口（支持网口扩展），采用RJ45接口；

   7. 通过IRIG-B同步，对时精度≤1ms，通过SNTP同步，对时精度≤100ms；

   8. 在没有外部时钟源校正时，24小时守时误差不超过1s；

   9. 平均故障间隔时间（MTBF）≥30000h。

附录A1

（资料性附录）

采集信息规范

A.1 Ⅱ型网络安全监测装置采集信息列表

表A.1 服务器、工作站设备采集信息表

表A.2 网络设备采集信息表

表A.3 安全防护设备：横向隔离装置采集信息表

表A.4 安全防护设备：防火墙采集信息表