网络安全监测

网络安全监测

-

2023年3月5日发(作者：干部在线)

--

--

第8章

专用技术条款

--

--

--

--

目录

8.1网络安全监测装置技术规范......................................................................................1

8.2网络安全监测装置主要设备配置..............................................................................9

8.3质量保证和试验........................................................................................................10

8.4设计联络、验收及服务............................................................................................12

8.5包装运输和储存........................................................................................................13

--

--

--

--

第8章专用技术条款

8.1网络安全监测装置技术规范

8.1.1术语和定义

8.1.1.1电力监控系统

用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能

设备，以及作为基础支撑的通信及数据网络等。

8.1.1.2网络安全管理平台

由安全核查、安全监视及告警、安全审计、安全分析等功能构成，能够对电力监控

系统的安全风险和安全事件进行实时的监视和在线的管理。

8.1.1.3网络安全监测装置

部署于电力监控系统局域网网络中，用以对监测对象的网络安全信息采集，为网络

安全管理平台上传事件并提供服务代理功能。根据性能差异分为Ⅰ型网络安全监测装置

和Ⅱ型网络安全监测装置两种。Ⅰ型网络安全监测装置采用高性能处理器，可接入500

个监测对象，主要用于主站侧。Ⅱ型网络安全监测装置采用中等性能处理器，可接入100

个监测对象，主要用于厂站侧。

8.1.2网络安全监视与管理体系

按照“监测对象自身感知、网络安全监测装置分布采集、网络安全管理平台统一管

控”的原则，构建电力监控系统网络安全监视与管理体系，实现网络空间安全的实时监

控和有效管理，如下图所示

图8.1-1网络安全监视与管理体系结构图

监测对象采用自身感知技术，产生所需网络安全事件并提供给网络安全监测装置，

--

--

同时接受网络安全监测装置对其的命令控制。

网络安全监测装置就地部署，实现对本地电力监控系统的设备上采集、处理，同时

把处理的结果通过通信手段送到调度机构部署的网络安全管理平台。

网络安全管理平台部署于调度主站，负责收集所管辖范围内所有网络安全监测装置

的上报事件信息，进行高级分析处理，同时调用网络安全监测装置提供的服务实现远程

的控制与管理。

8.1.3技术要求

8.1.3.1一般要求

网络安全监测装置应满足如下要求：

1）宜采用非X86低功耗工业级硬件架构设计；

2）在故障、重启的过程中不引起数据重发、误发、漏发；

3）有明显的接地标志；

4）有安全警示标识；

5）Ⅱ型网络安全监测装置应具备装置故障告警信号输出接点，装置运行灯灭时应

导通装置故障接点；

6）Ⅱ型网络安全监测装置应采用无风扇、无旋转部件硬件设计。

8.1.3.2环境条件

1）正常工作大气条件

环境温度和湿度见表8.1-1，大气压力：70kPa～106kPa。

表8.1-1工作场所环境温度及湿度分级

级别

环境温度湿度

使用场所

范围

℃

最大变化率

℃/h

相对湿度注

%

最大绝对湿度

g/m3

C0-5～+45205～9528室内

C1-25～+55205～10028遮蔽场所

C2-40～+70205～10028室外

CX特定与用户协商

注：装置内部既不应凝露，也不应结冰。

2）对周围环境要求条件

装置的使用地点应无爆炸危险，无腐蚀性气体及导电尘埃、无严重霉菌、无剧烈振

动源，不允许有超过所处应用场所正常运行范围内可能遇到的电磁场存在。有防御雨、

--

--

雪、风、沙、尘埃及防静电措施。

场地安全要求应符合《计算机场地安全要求》（GB/T9361）中B类的规定。

3）贮存、运输极限环境温度

装置的贮存、运输极限的环境温度-25℃～＋70℃，相对湿度不大于85％，不应出

现异常情况。温度恢复正常后装置的功能和性能应符合要求。

8.1.3.3电源要求

1）Ⅰ型装置的电源要求

➢采用双路交流电源独立供电，任一回路电源中断不造成装置故障或重启；

➢交流电源电压：220V，允许偏差-20%～+15%；

➢交流电源频率：50Hz，允许偏差±5%；

➢交流电源波形为正弦波，谐波含量小于5%。

2）Ⅱ型装置的电源要求

➢采用双路电源独立供电，同时支持双路直流电源和双路交流电源，任一回路电

源中断不造成装置故障或重启；

➢直流电源电压：可支持110V、220V，允许偏差-20%～+15%；

➢直流电源电压纹波系数小于5%；

➢直流电源中断100ms，装置工作正常，性能指标不下降；

➢交流电源电压：220V，允许偏差-20%～+15%；

➢交流电源频率：50Hz，允许偏差±5%；

➢交流电源波形为正弦波，谐波含量小于5%；

➢电源模块失电信号有硬接点输出。

8.1.3.4绝缘性能要求

1）绝缘电阻

在正常试验大气条件下绝缘电阻的要求见表8.1-2；

表8.1-2绝缘电阻的要求

额定绝缘电压U

1

绝缘电阻要求

U

1

≤60V≥5MΩ（用250V兆欧表）

U

1

＞60V≥5MΩ（用500V兆欧表）

注：与二次设备及外部回路直接连接的接口回路绝缘电阻采用U

1

＞60V的要求。

--

--

温度为+40℃±2℃，相对湿度为（93±3）%恒定湿热条件下绝缘电阻的要求见表

8.1-3。

表8.1-3湿热条件下绝缘电阻的要求

额定绝缘电压U

1

绝缘电阻要求

U

1

≤60V≥1MΩ（用250V兆欧表）

U

1

＞60V≥1MΩ（用500V兆欧表）

注：与二次设备及外部回路直接连接的接口回路绝缘电阻采用U

1

＞60V的要求。

2）介质强度的要求

介质强度的要求见表8.1-4。

表8.1-4介质强度的要求

额定绝缘电压U

1

试验电压有效值

U

1

≤60V

500V

60V＜U

1

≤125V1000V

125V＜U

1

≤250V

1500V

注：与二次设备及外部回路直接连接的接口回路试验电压采用125-250V的要求。

3）冲击电压

在正常试验大气条件下装置的电源输入回路、交流信号输入回路、信号输出触点等

各回路对地、以及回路之间，应能承受1.2/50μs的标准雷电波的短时冲击电压试验，当

额定绝缘电压大于60V时，开路试验电压为5kV；当额定绝缘电压不大于60V时，开

路试验电压为1kV。试验后装置应无绝缘损坏和器件损坏。

8.1.3.5电磁兼容要求

电磁兼容应满足GB/T17626标准，具体性能试验和要求见表8.1-5。

表8.1-5电磁兼容试验要求

序号试验名称引用标准等级要求

1静电放电抗扰度GB/T17626.2Ⅳ级

2射频电磁场辐射抗扰度GB/T17626.3Ⅲ级

3电快速瞬变脉冲群抗扰度GB/T17626.4Ⅳ级

4浪涌（冲击）抗扰度GB/T17626.5Ⅳ级

5射频场感应的传导骚扰抗扰度GB/T17626.6Ⅲ级

--

--

序号试验名称引用标准等级要求

6工频磁场抗扰度GB/T17626.8Ⅴ级

7脉冲磁场抗扰度GB/T17626.9Ⅴ级

8阻尼振荡磁场抗扰度GB/T17626.10Ⅳ级

9电压暂降、短时中断和电压变化的抗扰度

GB/T17626.11

GB/T17626.29

短时中断

10振荡波抗扰度GB/T17626.12Ⅲ/Ⅳ级

注1：电压暂将、短时中断和电压变化的抗扰度要求短时中断时间不小于100ms。

注2：振荡波抗扰度差模试验电压值为共模试验值的1/2。

8.1.3.6机械性能要求

机械振动性能应满足如下要求：

a）正弦稳态振动、冲击、自由跌落的参数等级见GB/T2423.10中规定；

b）装置防护性能：符合GB/T4208规定的IP20级要求；

c）箱体抗盐蚀能力：满足GB/T10125标准的中性盐雾试验96h试验周期无锈蚀。

8.1.4功能要求

8.1.4.1数据采集

数据采集应满足如下要求：

1）应支持对服务器、工作站、网络设备、安全防护设备、数据库等监测对象进行

数据采集；

2）应支持采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备

接入、网络外联等事件信息；

3）应支持采集数据库的操作信息、运行状态等事件信息；

4）应支持采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状

态信息等事件信息；

5）应支持采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等

事件信息；

6）应支持触发性事件信息的采集和周期性上送的状态类信息的采集；

7）网络安全监测装置支持的具体采集信息应满足电力系统的要求。

8.1.4.2数据分析处理

数据处理应满足如下要求：

1）应支持以分钟级统计周期，对重复出现的事件进行归并处理；

--

--

2）应支持根据参数配置，对采集到的CPU利用率、内存使用率、网口流量、用户

登录失败等信息进行分析处理，根据处理结果决定是否形成新的上报事件。具体参数见

表8.1-6；

3）应支持对网络设备日志信息进行分析处理，提取出需要的事件信息（如用户添

加事件）；

4）Ⅰ型网络安全监测装置应支持对网络设备、安全防护设备的采集信息做格式化

处理，形成符合网络安全管理平台消息总线的数据格式；

5）应能形成外设接入事件、用户登录事件、危险操作事件、状态异常事件等上传

事件。

表8.1-6数据处理涉及的参数

参数说明

CPU利用率上限阈值CPU利用率超过该阈值，形成上报事件

内存使用率上限阈值内存使用率超过该阈值，形成上报事件

网口流量上限阈值交换机网口流量超过该阈值，形成上报事件

连续登录失败次数连续登录失败次数超过该阈值，形成上报事件

8.1.5服务代理

网络安全监测装置以服务代理的形式提供服务给网络安全管理平台调用，服务代理

应满足如下要求：

1）应支持远程调阅采集信息、上传事件等数据信息，应支持根据时间段、设备类

型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息；

2）应支持对被监测系统内的资产进行远程管理，包括资产信息的添加、删除、修

改、查看等；

3）应支持参数配置的远程管理，包括系统参数、通信参数及事件处理参数；

4）应支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用；

5）应支持通过代理方式实现对服务器、工作站等设备主动断网命令的调用；

6）应支持通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作

定义值、周期性事件上报周期等参数的添加、删除、修改、查看；

7）应支持通过网络安全管理平台对网络安全监测装置进行远程程序升级。

8.1.6通信功能

8.1.6.1与监测对象通信

--

--

1）与服务器、工作站设备通信

网络安全监测装置与服务器、工作站设备通信应满足以下要求：

应支持采用自定义TCP协议与服务器、工作站等设备进行通信，实现对服务器、

工作站等设备的信息采集与命令控制。报文格式包括报文头、报文体和报文尾三部分，

具体报文格式及报文类型定义以电力系统的要求为准。

Ⅰ型网络安全监测装置还应支持通过消息总线功能接收服务器、工作站等设备事件

信息。

2）与数据库通信

网络安全监测装置与数据库通信应支持通过消息总线功能接收数据库设备事件信

息。

3）与网络设备通信

网络安全监测装置与网络设备通信应满足以下要求：

➢应支持通过SNMP协议主动从交换机获取所需信息；

➢应支持通过SNMPTRAP协议被动接收交换机事件信息；

➢应采用SNMP、SNMPTRAPV2c及以上版本与交换机进行通信；

➢应支持通过日志协议采集交换机信息。

4）与安全防护设备通信

网络安全监测装置与安全防护设备通信应支持通过GB/T31992协议采集安全防护

设备信息。

8.1.6.2与管理平台通信

1）事件上传通信

事件上传通信应满足如下要求：

应采用DL/T634.5104通信协议；网络安全管理平台作为服务端，网络安全监测装

置作为客户端；应采用自定义的报文类型；TCP连接建立后，应首先进行基于调度数字

证书的双向身份认证，认证通过后才能进行事件上传；应只与网络安全管理平台建立一

条TCP连接。

Ⅰ型网络安全监测装置还应支持通过消息总线与网络安全管理平台进行事件上传

通信。

2）服务代理通信

服务代理通信应满足如下要求：

--

--

应采用基于TCP的自定义通信协议；网络安全监测装置作为服务端，网络安全管

理平台作为客户端；应支持多个TCP连接，至少支持4个；对未配置的网络安全管理

平台IP地址发来的TCP连接请求应拒绝响应。

Ⅰ型网络安全监测装置还应支持通过消息总线与网络安全管理平台进行服务代理

通信。

8.1.7本地管理

应提供本地图形化界面对网络安全监测装置进行管理，满足如下要求：

1）应具备自诊断功能，至少包括进程异常、通信异常、硬件异常、CPU占用率过

高、存储空间剩余容量过低、内存占用率过高等，检测到异常时应提示告警，诊断结果

应记录日志；

2）应具备用户管理功能，基于三权分立原则划分管理员、操作员、审计员等不同

角色，并为不同角色分配不同权限；应满足不同角色的权限相互制约要求，应不存在拥

有所有权限的超级管理员角色；

3）应具备资产管理功能，包括资产信息的添加、删除、修改、查看等，资产信息

应包括：设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等；

4）应支持采集信息、上传信息的本地查看，应支持根据时间段、设备类型、事件

等级、事件条数等综合过滤条件进行信息查看；

5）应支持对监视对象数量、在离线状态的统计展示，应支持从设备类型、事件等

级等维度对采集信息、上传信息进行统计展示；

6）应具备日志功能，日志类型至少包括登录日志、操作日志、维护日志等；

7）日志内容应包括日志级别、日志时间、日志类型、日志内容等信息，日志应具

备可读性；

8）应支持通过本地实现对服务器、工作站等设备的基线核查功能的调用。

8.1.8时钟同步

时钟同步应满足如下要求：

1）应支持IRIG-B码或SNTP对时方式；

2）应具备授时功能。

8.1.9性能要求

装置性能应满足如下要求：

1）Ⅰ型网络安全监测装置采集信息吞吐量≥3000条/s；Ⅱ型网络安全监测装置采

--

--

集信息吞吐量≥600条/s；

2）Ⅰ型网络安全监测装置支持监测对象数量≥500；Ⅱ型网络安全监测装置支持监

测对象数量≥100；

3）Ⅰ型网络安全监测装置内存≥8GB，存储空间≥500GB；Ⅱ型网络安全监测装置

内存≥4GB，存储空间≥250GB；

4）对上传事件信息的处理时间≤1s；

5）对远程调阅的处理时间≤3s；

6）应具备不少于4个10M/100M/1000M自适应以太网电口（支持网口扩展），采用

RJ45接口；

7）应支持采集信息的本地存储，保存至少半年的采集信息；

8）应支持上传事件信息的本地存储，保存至少一年的上传事件信息；

9）本地日志审计记录条数≥10000条；

10）通过IRIG-B同步，对时精度≤1ms，通过SNTP同步，对时精度≤100ms；

11）在没有外部时钟源校正时，24小时守时误差应不超过1s；

12）平均故障间隔时间（MTBF）≥30000h。

8.1.10安全要求

网络安全监测装置自身应具备基本的安全性，应满足如下要求：

1）不得内置后门、不存在缓冲区溢出等安全漏洞；

2）应具备检测并抵御各种常见网络攻击的能力及抵御渗透攻击的能力；

3）应关闭通用的网络服务及端口；

4）应不使用http、https协议进行通信；

5）应采用基于调度数字证书的认证技术保障基线核查、命令控制、配置管理、软

件升级等服务代理功能的安全性。

8.2网络安全监测装置主要设备配置

序号名称单位型号、规格、性能参数数量

1网络安全监测屏满足电力系统的要求

1.1网络安全监测装置台

Ⅱ型

满足调度端接入要求

2

--

--

序号名称单位型号、规格、性能参数数量

1.2网络安全探针套≥15个点1

1.3本地管理单元套

服务器2台，显示器1台

配套键盘鼠标

1

1.4技术服务项

全站监控系统各设备的升级

等服务工作

1

1.5

屏体面

1

2其他

2.1电缆及网线套满足工程需求1

2.2其他附件及耗材套满足工程需求1

2.3现场安装及调试项1

8.3质量保证和试验

8.3.1质量保证

1）为投标设备所采购的新产品除应满足本规范书外，卖方还应提供产品的鉴定证

书、满足本规范技术要求的电力工业电力设备质检中心出具的产品型式试验质检报告。

2）卖方应保证制造过程中的所有工艺、材料等（包括卖方的外构件在内）均应符

合规范书的规定。若买方根据运行经验指定卖方提供某种外购零部件，卖方应积极配合。

3）卖方应遵守本规范书中各条款和工作项目的ISO9000-GB/T1900质量保证体系，

该质量保证体系经过国家认证和正常运转。

4）质保期内由于投标方的原因（设备是旧的、选材不当、设计错误、制造不良、

组装不好等），设备到现场在安装和运行过程中出现缺陷和损坏时，投标方应自费到现

场免费修理或更换。

8.3.2试验

8.3.2.1一般要求

1）试验应包括出厂试验和现场试验两部分。

2）出厂试验如买方认为有必要时，可派出有关人员参加。

3）卖方应指导安装单位进行设备安装，负责所有供货设备的现场调试（包括与各

监测对象、调度部门的设备通讯）、试验并参加试运行。

--

--

8.3.2.2出厂试验

（1）网络安全监测装置结构和外观检查

1）装置机箱应采取必要的防静电及防电磁辐射干扰的措施。机箱的不带电金属部

分应在电气上连成一体，并可靠接地。

2）机箱应满足发热元器件的通风散热要求。

（2）主要功能和技术要求试验

1）硬件系统自检。

2）硬件系统时钟校核。

3）通信及信息输出功能。

4）开关量输出回路检查。

5）数据采集系统的精度和线性度范围。

（3）绝缘电阻试验

（4）介质强度试验

（5）连续通电试验

1）在装置完成调试后进行。

2）只施加直流电源，必要时可施加其它激励量进行功能检测。

3）连续通电时间不少于100h（常温）。

4）在试验过程中，装置应工作正常，信号正确，无元器件损坏或其它异常情况。

（6）网络安全监测屏试验

1）结构、外观及表面涂覆检查。

2）电气间隙和爬电距离检查。

3）防触电措施检查。

4）电气性能试验。

5）母线、连接导线和绝缘导线检查。

6）温升检查

7）功率消耗检查。

8）绝缘性能试验。

9）机械性能试验

10）连续通电试验。

8.3.2.3现场试验

--

--

1）安装检查，核实内部接线、电源、各插件、操作箱以及装置参数。

2）系统的启动、操作检查。

3）绝缘检查。

4）上电检查。

5）采样精度检查。

6）定值校验。

7）相序检查。

对网络安全监测装置进行性能试验以核实是否达到所保证的性能指标。

8.4设计联络、验收及服务

8.4.1设计联络会

本合同设备可以不召开设计联络会。

虽然本合同设备不需召开设计联络会，但由任意一方提出的所有有关合同设备设计

的修正或变更都应经双方讨论并同意。一方接到任何需批复的文件或图纸后14天内，

应将书面的批复或意见书面反馈给提出问题的一方。

在本合同有效期内，卖方应及时回答买方提出的技术文件范围内的有关设计和技术

问题。同样，买方也应配合卖方工作。

8.4.2验收及质量保证期

8.4.2.1现场验收

现场验收试验的时间和条件由买方根据现场安装和调试的进度确定。卖方有责任指

导和配合买方完成现场安装和调试的各项工作，并应负责培训买方技术人员，使其掌握

系统维护的各项技能。

现场验收有在正常运行条件下进行，也有对事故条件的模拟。

在试验和调试期间所有损坏的供货范围内的设备，卖方应免费予以更换。对所有备

品备件应加电投入运行，有故障的备品备件由卖方负责免费更换。

8.4.2.2交接验收

网络安全监测装置必须符合有关国家标准以及订货合同的要求，且技术资料、文件

和备品备件齐全时方可验收。

当网络安全监测装置安装完毕后，应作投运前的交接试验，买方派人参加试验，所

试项目达到技术要求后才能投入试运行，在72小时试运行中若一切正常，买方签字接

--

--

收。

8.4.2.3质量保证期

1）初步验收在试运行72h以后进行。

2）质量保证期为在设备经过试运行，通过初步验收后一年。

3）最终验收在质量保证期到达后进行。

在质保期内，如提供的设备发生故障应免费更换。更换部分的质量保证期重新计算。

在设备投入运行5年内，如系统软件版本升级，应免费更换。

8.4.3卖方的现场服务

卖方应参加设备开箱检查，并派遣有能力、有实践经验并对网络安全监测装置有深

刻了解的人员到现场指导安装、负责调试和参加交接验收、试运行。

8.5包装运输和储存

8.5.1装置制造完成并通过试验后应及时包装，否则应得到切实的保护。

8.5.2所有部件经妥善包装或装箱后，在运输过程中尚应采取其它防护措施，以免散失

损坏或被盗。

8.5.3在包装箱外应标明买方的订货号、发货号。

8.5.4各种包装应等确保各零部件在运输过程中不致遭到损坏、丢失、变形、受潮和腐

蚀。

8.5.5包装箱上应有明显的包装储运图示标志（按GB191）。

8.5.6整体产品或分别运输的部件都要适合运输和装载的要求。

8.5.7随产品提供的技术资料应完整无缺，提供份额符合GB19.32的要求。