南方电网设备标准技术标书-二次系统安全防护设备20xx版

南方电网设备标准技术标书-二次系统安全防护设备20xx版内容摘要：

障时间 (MTBF)：＞ 60000 小时 (100%吞吐量 ) 纵向加密认证网关 中国南方电网有限责任公司 二次系统安全防护设备标准技术标书 第 8 页 / 共 23 页 电力专用纵向加密认证网关（装置）的选型应符合下列基本要求： 配置要求 500kV 变电站端、直调电厂端装置配置要求 （ 1）至少具备 2 个 10/100M 网络接口。 （ 2）具备双机热备接口。 （ 3）具备 1 个 RS232 配置接口 + 1 个 IC 卡读卡器接口，或者 USBKEY 接口。 （ 4）具备双电源。 （ 5）装置可安装于 19 英寸标准机柜。 220kV 以下站端、小型发电厂端装置配置要求： （ 1）至少具备 2 个 10/100M 网络接口。 （ 2）具备 1 个 RS232 配置接口 + 1 个 IC 卡读卡器接口，或者 USBKEY 接口。 （ 3）具备双电源。 （ 4）装置可安装于 19 英寸标准机柜。 安全性要求 （ 1）必须通过国家密码管理委员会办公室组织的安全性审查和技术鉴定。 （ 2）具备公安部销售许可证。 （ 3）采用专用服务器硬件和代码可控的安全操作系统。 （ 4）本身应能够一定程度防御常见的网络攻击，包括 ARP Attack、 Ping Attack、 Ping of Death Attack、 Smurf Attack、 Unreachable Host Attack、 Land Attack、 Teardrop Attack、 Syn Attack 等。 （ 5）支持设备密钥、工作参数的备份与恢复。 可靠性要求 （ 1）应通过有关部门组织的电磁兼容性检测。 （ 2）应支持双机热备功能，在任一设备出现故障时，自动切换。 （ 3）应具有自动旁路功能，在紧急故障状态下，可以旁路所有安全功能，作为透明桥接设备工作，必要时允许通过网线旁路。 在旁路状态下，设备应有明显的警告提示。 功能要求 （ 1）采用国家密码管理局批准的电力专用 密码算法对传输的数据进行保护，保证数中国南方电网有限责任公司 二次系统安全防护设备标准技术标书 第 9 页 / 共 23 页 据的真实性、机密性和完整性。 （ 2）加密认证装置或加密认证网关之间支持基于电力数字证书的双向认证。 （ 3）支持透明工作方式与网关工作方式，支持 NAT。 （ 4）具有基于 IP、传输协议、应用端口号的综合报文过滤与访问控制功能。 （ 5）加密认证网关支持对电力应用协议的特殊报文进行选择性加密保护。 （ 6）符合《 IP 加密认证装置技术规范》的技术要求，支持不同厂家设备的互联互通。 （ 7）装置必须能够识别、处理网络正常运行所需要的路由协议报文、及其他协议报文。 （ 8）装置必须能够识别、 过滤、转发 Trunk 协议的报文， 装置本地配置功能必须支持设置 VLanID。 （ 9）支持系统告警，支持完备的安全事件告警机制，当发生非法入侵、装置异常、通信中断或丢失应用数据时，可向第三方日志告警管理系统输出报警信息，日志格式遵循Syslog标准。 （ 10）必须支持所属调度管理机构的装置管理系统进行远程管理。 性能要求 厂站端装置的性能指标 （ 1）最大并发加密隧道数： ≥300 条 （ 2） 100M LAN 环境下，加密隧道建立延迟：＜ 1s （ 3）明文数据包吞吐量： ≥40Mbps （ 50 条安全策略， 1024 报文长度， 1 对端口双向流量） （ 4）密文数据包吞吐量： ≥20Mbps （ 10 条安全策略， 1024 报文长度， 1 对端口双向流量） （ 5）数据包转发延迟：＜ 2ms （ 50％密文数据包吞吐量） 硬件防火墙 生产控制大区的硬件防火墙选型应符合下列基本要求： 安全性要求 （ 1）具有自主知识产权的国产设备。 （ 2）具备公安部颁发的《计算机信息系统安全专用产口销售许可证》。 中国南方电网有限责任公司 二次系统安全防护设备标准技术标书 第 10 页 / 共 23 页 （ 3）具备中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》。 （ 4）支持 VPN 功能的，需要采用通过国家 密码管理局鉴定的密码算法，并提供国家密码管理局的技术鉴定证书。 （ 5）采用专用服务器硬件和安全操作系统。 功能要求 （ 1）可以基于网络地址、通讯协议、通讯端口，用户账号，信息传输方向、操作方式、网络通讯时间、网络服务等进行综合过滤与访问控制。 （ 2）支持动态网络地址转换（ NAT）。 （ 3）支持 IP 和 MAC 地址绑定。 （ 4）支持应用层协议的内容过滤：对 HTTP 过滤做到命令级包括 URL 和脚本（ Java Applet 和 ActiveX）两种类型的请求过滤、页面内容过滤；对 FTP 过滤功能的特性支持命令级控制，以及基于命令级控制实现的对目录和文件的访问控制；对 SMTP 过滤功能特性支持主题过滤、正文过滤、附带文件过滤、地址过滤、防止邮件炸弹、限制邮件大小、限制 Relay等功能。 （ 5）支持路由及交换两种工作模式；在交换模式下支持多 VLAN 之间代理路由功能，方便各区域中不同网段数据的转发。 （ 6）支持 的 Trunk 封装协议。 （ 7）提供网络信息自动收集功能，如共享资源信息、 IP/MAC 地址信息、开放端口信息等。 （ 8）提供基于 IP 地址及用户的最大流量控制功能，提供基于优 先级的宽带管理功能。 （ 9）具有一次性口令用户身份认证功能，并通过标准的 RADIUS 协议支持第三方的认证。 （ 10）具有安全的自身防护能力，可以实时防止多种网络攻击和扫描；当出现异常情况时可发出告警信息。 （ 11）防火墙上的配置信息、过滤规则可以方便的下载并保存在软盘或某 PC 机中，以供备份，需要时再上载或恢复。 （ 12）支持多机热备份功能，切换时间不能超过 1 秒。 （ 13）日志系统支持网络和本地两种存取方式，日志包括事件日志和访问日志。 日志中国南方电网有限责任公司 二次系统安全防护设备标准技术标书 第 11 页 / 共 23 页 应可方便导出。 （ 14）具有中文 GUI 界面，通过 GUI 能够完成全部防火 墙的集中配置、管理工作；对防火墙的管理可以划分多级访问权限，对不同的网管人员分配不同的管理权限，提供灵活的管理、监控机制。 （ 15）采用简化方案对横向互联防火墙和纵向互联防火墙进行合并的还需支持虚拟防火墙功能。 性能要求 百兆硬件防火墙 （ 1）三层网络吞吐率： ≥300Mbps（ 2 对端口双向流量） （ 2）最大并发连接数： ≥500000 （ 3）新建连接速率： ≥8000 连接 /秒 （ 4）平均无故障时间： ≥60000 小时 （ 5）电源接口：配置双电源。 试验 验收要求 1) 本项目仅进行现场验收（ SAT）。 2) SAT 验收测试大纲根据项目招标技术文件、投标技术应答书、合同技术协议书等技术文件的内容编写，由投标方编制，招标方审核批准。 3) 投标方应在验收测试前 2 周提供详细的 SAT 验收测试大纲，大纲应提供所有现场验收的细则，细则指定的实验项目以及达到的性能指标不得小于本招标文件要求。 招标方有权提出一些合理的特殊测试，并保留对大纲的修改权力。 大纲经双方确认生效以后，招标方人员对验收的认可签字并不解除投标方对合同的保证负责。 4) 投标方将负责对现场安装和测试进行指导，投标方的工程师将协助进行现场试验验收。 5) 在现场验收完成 后 20 天内，双方的代表将签署验收报告。 6) 验收计划由投标方准备，交给招标方审查同意。 7) 为有利于系统的安装、投运和测试，投标方应派出有经验的专家提供技术服务。 中国南方电网有限责任公司 二次系统安全防护设备标准技术标书 第 12 页 / 共 23 页 8) 在现场安装、投运及验收过程中，投标方应对损坏的设备负责。 9) 备品备件、文档资料均作为验收的一部分。 测试报告。