调度专用网络设备安全设备规范书.docx
《调度专用网络设备安全设备规范书.docx》由会员分享,可在线阅读,更多相关《调度专用网络设备安全设备规范书.docx(20页珍藏版)》请在冰豆网上搜索。
调度专用网络设备安全设备规范书
八钢焦煤集团供电系统安全改造
艾维尔沟110kV变电站增容改造工程
调度专用数据网络设备
及二次系统安全防护
技术规范
新疆电力设计院
2011年12月
目录
1.总则
2.供货范围
3.工程概况
4.技术要求
5.技术服务
6.买方工作
7.工作安排
8.专用工具
9.质量保证和试验
10.包装、运输和储存
1总则
1.1本规范书是用于八钢焦煤集团供电系统安全改造艾维尔沟110kV变电站增容改造工程二次系统安全防护的设备订货技术规范书,它提出了本工程主要设备技术业务功能要求、供货要求、服务要求。
1.2卖方必须具有完善的质量保证体系,具有ISO9000系列质量认证合格证书,以及与安全相关的计算机信息系统集成资质。
1.3卖方提供的安全产品应获得国家公安部的销售许可证、国家保密局的涉密信息系统产品检测证书,同时获得设备原产商的授权。
相关安全产品应在国内省级及以上电力二次系统安全防护方面有成功运行经验。
卖方应随报价书一起,向买方提供本公司的资格文件、设备授权书、工程总结表和用户使用证明。
1.4本规范书提出的要求是最低限度的技术要求,并未对一切技术细节作出规定,也未充分引述有关标准和技术条文,卖方应提供符合本规范书和工业标准的优质产品。
1.5如果卖方没有以书面方式对本规范提出异义,则意味着卖方提供的设备(或系统)完全符合本规范书的要求。
如有异议,不管是多么微小,都应在报价书中以“对规范书的意见和同规范书的差异”为标题的专门章节中加以详细的叙述。
1.6本技术规范书应视为保证系统运行所需的最低要求,如有遗漏,卖方应予以补充,否则一旦中标将认为卖方认同遗漏部分并免费提供。
1.7买方保留解释修改本技术规范书的权力。
本技术规范书未尽事宜,由买方和卖方在合同技术谈判时协商确定。
1.8本规范书涉及电力调度系统安全防护体系,卖方应承诺对相关内容进行保密,如发生泄密将追究法律责任。
1.9本规范书所使用的标准和卖方所执行的标准不一致时,按较高标准执行。
1.10本规范书经买、卖双方确认后作为订货合同的技术附件,与合同正文具有同等效力。
2供货范围
艾维尔沟110kV变电站侧
序号
名称
配置描述
数量
1
正向物理隔离装置
含跨正向物理隔离装置安全传输软件1套
1套
2
电力专用纵向加密认证装置
Netkeeper-2000,4个以太网口,带高速VPN模块防火墙、客户端软件
2台
3
接入路由器
MSR3040主机V3(AC220)-VRP3国内版
RT-2FE(2端口10/100BaseT模块)
RT-MIM-2E1(2端口非通道化E1接口模块)
RT-4SAE(4端口同/异步串口模块)
4根CAB-V24DTE(同/异步串口(SA)V.24DTE电缆)
2根CAB-E1/2XBNC-75-3m(E1接口)电缆/2XBNC(75Ω)-3m
2台
4
接入交换机
3600-28P-E1快速智能三层交换机
2台
5
非屏蔽超五类电缆
CAT5E4对
配套
6
同轴电缆
2M,75Ω,8芯
配套
7
电源空开
配套
8
电源线
配套
9
专用网络机柜及附件
1套
吐鲁番地调侧
序号
名称
配置描述
数量
1
路由器
(华为3COMH3CMSR3040)
MSR3040主机V3(AC220)-VRP3国内版
RT-2FE(2端口10/100BaseT模块)
RT-MIM-2E1(2端口非通道化E1接口模块)
RT-4SAE(4端口同/异步串口模块)
4根CAB-V24DTE(同/异步串口(SA)V.24DTE电缆)
2根CAB-E1/2XBNC-75-3m(E1接口)电缆/2XBNC(75Ω)-3m
1台
2
科东MODEM板
MODEM板
1块
3
调制解调器
支持中心频率2880±200Hz
1台
4
线缆及附件
1套
备注:
附件由投标人根据自身产品开列,需要报价的必须报价,否则若实施时需此附件,则视为免费
3工程概况
二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对变电站二次系统发起的恶意破坏和攻击,以及其它非法操作,防止变电站二次系统瘫痪和失控,并由此导致的变电站一次系统事故。
本期变电站需要进行安全防护的系统主要包括:
监控系统、继电保护装置、安全自动装置、故障录波装置、电能量采集装置、实时调度管理系统等,各系统按照《全国电力二次系统安全防护总体方案》的要求,分别置于实时控制区、非控制生产区、生产管理区等安全分区中。
本期安全防护设备安装在主控制室,与应用系统在同一机房。
4技术要求
4.1设备使用环境条件
4.1.1海拔高度:
≤2000米。
4.1.2耐地震能力
地面水平加速度:
0.2g
地面垂直加速度:
0.15g
抗地震:
里式7级(美式9级)
4.1.3环境温度湿度
环境温度:
-5℃~40℃
相对湿度:
30%~80%
4.1.4抗电磁干扰:
140βμV/m
4.2应符合的标准
ISO---------国际标准化组织
IEC---------国际电工委员会
ITU-T-------国际电信联盟电信标准化部门
IETF--------Internet工程任务组
IEEE--------电气和电子工程师协会
GB----------中华人民共和国国家标准
DL----------中华人民共和国电力系统行业标准
4.3安全防护设备及软件的部署
在本工程二次系统安全防护方案中,综合部署防火墙、物理隔离等安全防护设备。
4.3.1防火墙:
防火墙产品部署在实时控制区与非控制生产区之间及生产管理区与外部网络之间,实现区域的逻辑隔离、报文过滤、访问控制等功能。
4.3.2物理隔离:
电力专用物理隔离装置作为非控制生产区与生产管理区的必备边界,要求具有最高的安全防护强度,是横向防护的要点。
本期在非控制生产区与生产管理区之间部署正向物理隔离装置,负责单向数据传递。
4.3.3纵向认证加密装置
纵向认证加密装置用于实时控制区与非控制生产区的广域网边界防护,实现本地包过滤功能以及广域网通信提供认证与加密功能,保证数据传输的机密性、完整性。
4.3.4网络三层交换机
在安全II区需布署一台交换机用于安全II区内设备的组网,同时该交换机连接到电力专用横向正向隔离装置的内网口。
4.3.5跨物理隔离装置安全传输软件
根据《全国电力二次系统安全防护总体方案》的技术要求,操作系统自带的FTP、RCP等远程文件传输服务禁止跨越电力系统专用横向单向隔离装置,但在实际工作应用中,跨隔离装置的安全区之间的文件传输是必不可缺少的功能。
因此,必须有一套专门实现符合电力二次系统安全防护有关要求,且能够穿透电力系统专用横向单向隔离装置的文件传输系统。
其功能和接口应仿标准FTP,且该软件可代替操作系统自带的FTP、RCP,并且该软件比操作系统自带的FTP、RCP更安全。
4.3.6电力专用横向正向隔离装置日志收集及上传软件
为了解设备本身运行工作状态是否正常等信息,一旦发现问题,应该对问题的内容及处理结果有所记录,因此需配置电力专用横向正向隔离装置日志收集及上传软件。
4.3.7电力专用横向正向隔离装置日志信息接入主站监视系统
目前调度主站端已经建设了一套网络安全产品集中监视管理系统,用于集中展现电力专用横向正向隔离装置的运行工况、配置信息、日志信息、报警信息等并加以综合利用,以便于系统维护,保证系统安全稳定运行。
本期卖方应负责将风电场信息接入主站。
4.4安全防护设备技术要求
4.4.1防火墙功能要求
1)卖方提供的防火墙必须为国产硬件防火墙,可安装于19英寸标准机柜,并在全国省级及以上电力二次系统有不少于两家的成功运行经验。
2)硬件系统应基于专用硬件平台和私有的安全操作系统平台,并具有自主知识产权,卖方应详细说明投标产品的软硬件体系结构,防火墙内置操作系统应是当前最新版本。
3)软硬件系统应具有高可靠性和稳定性,具备一定的扩展能力。
4)采用基于状态包检测的过滤技术,支持状态检测和智能动态过滤,支持链路层URL智能过滤。
5)支持Java、ActiveX、SQL注入攻击防范。
6)能抵御常见的各种攻击,如SynFlood、SynAttach、ICMPflood、Pingofdeath、Smurf、不明协议攻击、源IP攻击、IP碎片攻击、DoS/DDoS攻击、IP欺骗、IP碎片、端口扫描等。
7)支持网关、路由和透明等工作方式,可以适用于不同的网络环境。
8)具有IP与MAC地址的绑定及用户与IP/MAC的绑定功能。
9)支持透明应用代理功能。
10)支持双向的网络地址转换技术,包括动态转换和静态转换模式,可实现一对一、一对多、多对多的地址映射功能。
11)支持过滤规则的设定、一致性检查,具有方便的防火墙配置文件的导入与导出功能。
12)支持OSPF、RIP路由协议。
13)支持IPX、NETBIOS、VLAN协议。
14)支持本地认证,远端RADIUS认证、TACACS+认证,支持用户和组管理,实现基于用户的访问控制。
在用户端与防火墙之间认证信息的传输必须是加密的。
15)具有防火墙授权日志、行为日志、代理日志,日志可以缓存于本地,也支持标准的syslog日志管理服务器,并具有日志统计分析功能。
日志包括事件时间,事件信息,事件原因等,还可根据用户需求定制用户日志信息。
16)支持图形界面安全管理方式,友好、直观、方便、快捷并易于管理。
17)支持远程管理和维护,同时保证网络上传送的管理信息被加密,而不被内部或外部用户嗅探或攻击。
18)支持CONSOLE、TELNET、SSHV1.5、SSHV2、WEB等管理方式;
19)支持集中安全管理,支持SNMPv1、SNMPv2C、SNMPv3协议和syslog协议;可通过SNMP协议接受商品化的、网络综合监视系统对设备的在线监视管理。
20)支持系统网络升级。
技术指标:
1)DF-FW100或同类产品:
2)标准10/100M(RJ45)接口4个(可扩展为6个)
3)独立的管理接口
4)数据包吞吐量:
100MBps
5)并发连接数:
≥1,000,000
6)VPN隧道数:
2000
7)平均延时:
≤40μs
8)丢包率:
在吞吐量下的丢包率全部为0
9)MTBF(平均故障间隔时间):
≥40,000小时
4.4.2正向物理隔离装置功能要求
1)可安装于19英寸标准机柜,并在全国省级及以上电力二次系统有不少于两家的成功运行经验。
2)实现两个安全区之间的非网络方式的安全数据交换,并且保证隔离装置内外两个处理系统不同时连通;
3)跨隔离装置的数据传输使用安全数据传输软件SFTP;
4)支持表示层与应用层数据完全单向传输,即从非控制生产区到实时控制区的TCP应答禁止携带应用数据;
5)支持多种工作模式:
无IP地址透明工作方式(虚拟主机IP地址、隐藏MAC地址)、支持网络地址转换(NAT)、混杂工作模式,保证标准应用的透明接入;
6)基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
7)防止穿透性TCP联接;
8)具有可定制的应用层解析功能,支持应用层特殊标记识别;
9)提供完备的日志审计功能,如时间、IP、MAC、PORT等日志信息。
对通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的记录,以便事后审计。
10)具有报警功能,但发生非法入侵、装置异常、通信中断或丢失应用数据时,可通过串口或网络口输出报警信息;
11)安全、方便的维护管理方式:
基于证书的管理人员认证,图形化的管理界面。
方便地对装置进行设置,监视和控制运行;
12)提供数据传输软件和API函数接口,方便用户进行二次系统安全隔离的改造。
13)支持集中安全管理,具备标准的syslog日志输出;可接受商品化的、网络综合监视系统对设备的在线监视管理。
技术指标:
1)DF-NS310S或同类产品;
2)接口数:
4个百兆电口;
3)内存:
128M;
4)最大连接数≥2000;
5)传输能力(Mbps)≥40;
6)切换最短时间:
0.1毫秒;
7)最大动态规则数目:
256条;
8)具有国网公司的入网测试证明。
4.4.3网络三层交换机技术要求
1)交换能力:
大于9.6Mpps
2)线速转发:
支持二层、三层线速转发
3)支持vlan数量:
4K个符合IEEE802.1Q标准的VLAN
4)MAC地址表:
支持16K个MAC地址
5)支持端口汇聚、端口镜像
6)生成树协议:
支持STP/RSTP
7)网管协议:
支持SNMP、RMON
8)三层功能:
支持静态、RIP
9)QOS/ACL:
支持CAR(CommittedAccessRate)功能,流量限速的粒度为:
64Kbit/s;
支持L2(Layer2)~L4(Layer4)包过滤功能
支持对端口接收报文的速率和发送报文的速率进行限制
10)安全特性:
支持MAC地址与端口绑定
支持IEEE802.1X认证
支持防止DoS攻击功能
支持端口隔离
4.4.4电力专用纵向加密认证装置要求
选择南瑞厂家的电力专用纵向加密认证装置。
4.4.5跨物理隔离装置安全传输软件(IT-SFTP)要求
1)完成安全单向文件传输
*完成安全I、II区到安全III、IV区的正向文件传输
*保证目标文件的正确、完整,同源文件一致
2)较高的安全性
*符合全国电力二次系统安全防护总体方案的技术要求
*提供源地址、用户的身份认证功能。
*根据源地址、源文件、目标目录、文件类型、用户名等信息,制定文件传输安全规则。
根据规则,对文件传输的请求进行检查,允许或禁止文件的传输。
*文件传送的过程中,用户名、口令及文件内容均应采用相应的加密机制。
*严格限制安全区III、IV向安全区I、II的应答,防止III、IV区向安全区I、II传输不当的数据或文件。
*软件本身应具备较高的安全级别,进行相应的安全控制。
3)软件健壮、运行稳定
*提供7X24小时服务,能捕获和处理运行中的各种硬软件异常,并能把异常报告用户。
*软件经过长时间使用,适合各种应用环境,能够穿越目前所有经过国调中心认证的电力系统专用横向单向隔离装置实现文件传输。
4)提供多种用户接口
*提供与标准FTP的兼容的用户接口,原有的调用标准FTP的程序不做改动或尽可能少改动,仍可使用。
*在UNIX平台中,提供命令行方式,交互式传输文件(界面同标准FTP)。
*在WINDOWS平台中,提供图形界面,方便用户传输文件。
*提供API函数等方式,方便程序员在VB和VC等开发环境中,做二次开发。
5)跨平台文件传输
*能够实现UNIX到UNIX、WINDOWS,WINDOWS到UNIX、WINDOWS的文件传输。
6)提供并发服务
*为了提高工作效率,加快响应速度,软件应采用多进程和多线程的工作机制,可以同时接受多个用户的连接请求和处理多个文件传输的要求。
7)具备完善的日志及告警功能
*软件本身应有完善的日志记录,用作日后的安全审计使用;同时提供丰富的告警方式及信息,确保重要计划任务的执行情况能够得到及时的反馈和处理。
8)批处理安全文件传输命令支持
*可以安全的文件命令写到文件中,通过标准输入重定向,输入命令;批处理传输文件。
9)计划任务处理
*软件可以设置计划任务,实现自动定时进行文件传输。
10)支持安全区内部的安全文件传输
*该传输软件可以替代原有的I区和II区之间或者同一安全区内部的FTP的相应功能,增强系统的安全性。
11)第三方独立软件,方便维护
*为了减小以后系统及软件的维护量,避免每上一种物理隔离装置就要习惯和维护一种传输软件的情况发生,要求该传输软件对目前所有的电力系统专用横向单向隔离装置均适用。
4.4.6电力专用横向正向隔离装置日志收集及上传软件要求
电力专用横向正向隔离装置日志收集及上传软件要求能对以下日志信息进行收集分类并自动上传至主站接受端。
日志收集信息分类表
日志类别
内容
系统日志
1.装置启停
2.WatchDog切换
3.版本信息
4.系统CPU利用率
5.内存利用率
6.进程信息
7.系统登陆
8.系统配置
链路日志
1.新建链路会话消息
2.删除链路会话信息
3.链路会话信息
4.收到数据包统计信息
5.丢弃数据包统计信息
6.单向流量信息
安全日志
1.规则过滤的报文信息
2.IP攻击信息
3.TCP攻击信息
4.UDP攻击信息
5.ICMP攻击信息
应用日志
1.隔离装置模块的启停
2.隔离装置调试信息
3.模块运行信息
4.4.7电力专用横向正向隔离装置日志信息接入主站监视系统要求
目前调度主站端已经建设了一套网络安全产品集中监视管理系统,用于集中展现各网络安全产品运行工况、配置信息、日志信息、报警信息等并加以综合利用,以便于系统维护,保证系统安全稳定运行。
按照的相关要求,电站侧通过定义好隔离装置的日志标准,对隔离装置的日志信息进行收集,通过日志详细记录隔离装置的工作状态,最终达到便于调度中心管理人员清晰了解及管理下端的隔离装置,确保设备工作正常的目的。
4.4.8杀病毒软件要求
1)方案中涉及的安全产品(包括硬件,软件安全产品)应具有国家有关安全管理部门的认证和产品销售许可证;
2)产品的安全性好,执行效能高,并且对系统原有应用系统的影响程度最小;
3)产品具有良好的人机交互功能,要求采用中文界面,提供中文联机帮助系统;
4)厂商提供的杀毒软件不仅要能保护文件服务,同时也要对各种服务器、员工用PC、网关等所有计算机设备进行保护,而且能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截;
5)病毒查杀能力强,能够成功查杀网络中传播的各种病毒以及浏览网页时的有害脚本,并要求具有一定程度的未知病毒识别能力,一旦防病毒软件发现一个文件可能携带病毒,它应该有能力提供一种解决方法对该文件进行处理,以免系统或者文件受到未知病毒的破坏;
6)要求集成商从软件供应商的病毒信息搜集网络、病毒代码的更新周期和供应商对用户发现的新病毒的反应周期这三个方面来阐述防病毒软件对新病毒的反应能力的强弱;
7)具有完整的服务功能,提供快速、方便、灵活和简便的升级手段,要求既提供通过Internet从厂商的升级中心下载,同时也能从上一级病毒控制中心下载升级;
8)产品应能智能安装、远程识别、管理方便,易于操作,统计和报表功能强大,要求提供审计功能;
9)产品应能提供多种报警手段,能通过电子邮件、打印机、寻呼机、手机或网络消息,传送各种病毒警告给携带病毒用户和系统管理员,并能提供标准输出,供其它系统对其告警信息二次开发;
10)集成商应保证所提供的防病毒产品与电站目前所使用的应用软件不产生冲突;
4.4.9浪涌保护器技术要求
本期在网络安全防护等设备电源接口处加装独立的单相电源浪涌保护器。
浪涌保护器主要技术指标要求如下:
工作电压:
220V
最高工作电压:
不低于300V
保护模式:
具备横向保护和纵向保护
残压:
≤900V
响应时间:
≤30ns
状态指示:
具备声光指示和报警。
功能:
具有具有过热、过流自动断电功能。
4.4.10接入路由器技术要求
包转发容量≥200kpps
冗余电源(机框内置)1+1冗余
可配置机箱槽数≥4(支持热插拨)
内存容量≥256M
可支持接口类型:
快速以太网、E1电路端口
最大快速以太接入数量≥10
最大E1接口数量≥16
整机不间断工作时间不小于99.99%
时延≤100s
用户协议:
IP、ATM、FrameRelay
路由协议:
OSPF、BGPv4、BGP4Extension、RIPv2
路由器管理/安全协议:
SNMPV3,兼容SNMPV1、SNMPV2、RMONII、Syslog、命令行分级保护在线升级、在线打补丁。
服务质量:
支持流量分类和流量监管、CAR/LR、流量整形GTS、拥塞管理、拥塞避免WRED。
支持服务质量保证。
能够对不同关键业务的VPN实现带宽保护,保证预留带宽不被其他业务侵占。
网络安全:
支持用户认证、RADIUS认证/加密卡、防火墙(对接口/时间段/MAC地址的过滤)、高性能NAT。
标记交换:
支持LDP,LSPM,MPLSTE,MPLSFW,MPLS/BGPVPN,L2VPN,MPLS支持组播
组播:
支持PIM,IGMP
4.4.11电源要求
交流:
~220V10%,50Hz5%
4.4.12网络柜的要求
1)网络机柜外形尺寸为:
800*600*2260mm,内部为19英寸宽标准安装支架,安装高度42U。
每台机柜应提供30套安装设备的螺丝套件。
2)柜体所采用钢板的厚度不低于1.5mm,单体承重500Kg以上。
3)机柜前门为玻璃单开门,后门为钢体单开门。
前后门开度均为180度。
前后门采用内嵌式带把手锁。
两侧门体嵌入柜体,无散热孔。
4)机柜内结构应考虑电缆的走线和固定。
5)柜内应在装设照明装置,且与柜门联锁点亮。
柜内应留有2个5联排220V电源插排,插排上每个插座容量为220V、10A,插座标准为澳大利亚式(斜三眼)。
插排安装在机柜两侧,高度可调。
6)柜内应带安全接地铜排。
7)机柜顶部安装散热风扇,风扇工作电源为交流220V/50HZ,风扇总风量不小于200m3/h,风扇的运行有控制开关,风扇噪声不大于45dB。
8)柜体表面处理应考虑防静电、防腐蚀措施。
机柜颜色待定。
5技术服务
5.1项目管理
合同签定后,卖方应指定负责本工程的项目经理,负责协调卖方在工程全过程的各项工作,如工程进度、设计制造、图纸文件、制造确认、包装运输、现场安装、调试验收等。
5.2技术文件:
5.2.1卖方在订货前向买方提供一般性资料如:
鉴定证书、报价书、典型说明书、屏布置图、系统原理图和主要技术参数。
5.2.2在合同签定10天内,卖方向买方提供下列技术文件2份以供确认。
1)屏正面布置图、屏内设备布置图及图例说明。
2)屏的安装尺寸图。
包括屏的尺寸、基础螺栓的位置和尺寸等。
3)屏的端子排图
卖方在提供确认图纸时必须提供为审核该张图纸所需的资料。
买方有权要求卖方对其图纸中的任一装置任一部件作必要修改,而买方不需承担额外费用。
在收到买方最终认可图纸前,卖方所购买的材料或制造所发生的费用及其风险全由卖方单独承担。
生产的成品应符合合同的技术规范。
买方对图纸的确认并不能解除卖方对其图纸的完善性和准确性应承担的责任。
设计院在收到图纸后1周内返回确认意见,并根据需要召开设计联络会。
在收到确认意见或设计联络会后7天内,卖方应提供全部正式图纸的最终蓝图和所有图纸的ACAD电子版(AUTOCAD14.0版及以上)及其相关的支撑软件,资料提供8份(包括CAD14版的图纸软盘或光盘)【其中业主6份(随屏),设计单位2份(邮寄)】
5.2.
升级会员 