网络安全管理平台部署于调度主站，负责收集所管辖范围内所有网络安全监测装置的上报事件信息，进行高级分析处理，同时调用网络安全监测装置提供的服务实现远程的控制与管理。

  注1：电压暂将、短时中断和电压变化的抗扰度要求短时中断时间不小于100ms。

  a）正弦稳态振动、冲击、自由跌落的参数等级见GB/T 2423.10中规定；

  装置的使用地点应无爆炸危险，无腐蚀性气体及导电尘埃、无严重霉菌、无剧烈振动源，不允许有超过所处应用场所正常运行范围内可能遇到的电磁场存在。有防御雨、雪、风、沙、尘埃及防静电措施。

  场地安全要求应符合《计算机场地安全要求》（GB/T9361）中B类的规定。

  部署于电力监控系统局域网网络中，用以对监测对象的网络安全信息采集，为网络安全管理平台上传事件并提供服务代理功能。根据性能差异分为Ⅰ型网络安全监测装置和Ⅱ型网络安全监测装置两种。Ⅰ型网络安全监测装置采用高性能处理器，可接入500个监测对象，大多数都用在主站侧。Ⅱ型网络安全监测装置采用中等性能处理器，可接入100个监测对象，大多数都用在厂站侧。

  应支持采用自定义TCP协议和服务器、工作站等设备做通信，实现对服务器、工作站等设备的信息采集与命令控制。报文格式包括报文头、报文体和报文尾三部分，具体报文格式及报文类型定义以电力系统的要求为准。

  用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等。

  由安全核查、安全监视及告警、安全审计、安全分析等功能构成，能够对电力监控系统的安全风险和安全事件进行实时的监视和在线数据分析处理

  2）应支持根据参数配置，对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息做多元化的分析处理，根据处理结果决定是不是形成新的上报事件。具体参数见表8.1-6；

  3）应支持对网络设备日志信息做多元化的分析处理，提取出需要的事件信息（如用户添加事件）；

  装置的贮存、运输极限的环境和温度-25℃～＋70℃，相对湿度不大于85％，不应出现不正常的情况。温度回到正常状态后装置的功能和性能应符合要求。

  4）Ⅰ型网络安全监测装置应支持对网络设备、安全防护设备的采集信息做格式化处理，形成符合网络安全管理平台消息总线）应能形成外设接入事件、用户登录事件、危险操作事件、状态异常事件等上传事件。

  注：与二次设备及外部回路直接连接的接口回路绝缘电阻采用U1＞60V的要求。

  温度为40℃±2℃，相对湿度为（93±3）%恒定湿热条件下绝缘电阻的要求见表8.1-3。

  Ⅰ型网络安全监测装置还应支持通过消息总线功能接收服务器、工作站等设备事件信息。

  网络安全监测装置与数据库通信应支持通过消息总线功能接收数据库设备事件信息。

  c）箱体抗盐蚀能力：满足GB/T 10125标准的中性盐雾试验96h试验周期无锈蚀。

  1）应支持对服务器、工作站、网络设备、安全防护设备、数据库等监测对象进行数据采集；

  2）应支持采集服务器、工作站的用户登录、操作信息、运作时的状态、移动存储设备接入、网络外联等事件信息；

  按照“监测对象自身感知、网络安全监测装置分布采集、网络安全管理平台统一管控”的原则，构建电力监控系统网络安全监视与管理体系，实现互联网空间安全的实时监控和有效管理，如下图所示

  监测对象采用自身感知技术，产生所需网络安全事件并提供给网络安全监测装置，同时接受网络安全监测装置对其的命令控制。

  2）应支持对被监测系统内的资产进行远程管理，包括资产信息的添加、删除、修改、查看等；

  4）应支持通过代理方式实现对服务器、工作站等设备基线）应支持通过代理方式实现对服务器、工作站等设备主动断网命令的调用；

  6）应支持通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看；

  采用双路电源独立供电，同时支持双路直流电源和双路交流电源，任一回路电源中断不造成装置故障或重启；

  注：与二次设备及外部回路直接连接的接口回路绝缘电阻采用U1＞60V的要求。

  4）应支持采集信息、上传信息的本地查看，应支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看；

  5）应支持对监视对象数量、在离线状态的统计展示，应支持从设备类型、事件等级等维度对采集信息、上传信息进行统计展示；

  Ⅰ型网络安全监测装置还应支持通过消息总线与网络安全管理平台做服务代理通信。

  1）应具备自诊断功能，至少包括进程异常、通信异常、硬件异常、CPU占用率过高、存储空间剩余容量过低、内存占用率过高等，检测到异常时应提示告警，诊断结果应记录日志；

  网络安全监测装置与安全防护设备通信应支持通过GB/T 31992协议采集安全防护设备信息。

  应采用DL/T634.5104通信协议；网络安全管理平台作为服务端，网络安全监测装置作为客户端；应采用自定义的报文类型；TCP连接建立后，应首先进行基于调度数字证书的双向身份认证，认证通过后才能进行事件上传；应只与网络安全管理平台建立一条TCP连接。

  Ⅰ型网络安全监测装置还应支持通过消息总线与网络安全管理平台做事件上传通信。

  应采用基于TCP的自定义通信协议；网络安全监测装置作为服务端，网络安全管理平台作为客户端；应支持多个TCP连接，至少支持4个；对未配置的网络安全管理平台IP地址发来的TCP连接请求应拒绝响应。

  4）应支持采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息；

  5）应支持采集安全防护设备的用户登录、配置变更、运作时的状态、安全事件信息等事件信息；

  2）应具备用户管理功能，基于三权分立原则划分管理员、操作员、审计员等不一样的角色，并为不一样的角色分配不同权限；应满足多种角色的权限相互制约要求，应不存在拥有所有权限的超级管理员角色；

  3）应具备资产管理功能，包括资产信息的添加、删除、修改、查看等，资产信息应包括：设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等；

  注：与二次设备及外部回路直接连接的接口回路试验电压采用125-250V的要求。

  在正常试验大气条件下装置的电源输入回路、交流信号输入回路、信号输出触点等各回路对地、以及回路之间，应能承受1.2/50μs的标准雷电波的短时冲击电压试验，当额定绝缘电压大于60V时，开路试验电压为5kV；当额定绝缘电压不大于60V时，开路试验电压为1kV。试验后装置应无绝缘损坏和器件损坏。

  网络安全监测装置以服务代理的形式提供服务给网络安全管理平台调用，服务代理应满足如下要求：

  1）应支持远程调阅采集信息、上传事件等数据信息，应支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息；

  5）Ⅱ型网络安全监测装置应具备装置故障告警信号输出接点，装置运行灯灭时应导通装置故障接点；

  电磁兼容应满足GB/T 17626标准，具体性能测试和要求见表8.1-5。