【文章內(nèi)容簡(jiǎn)介】 障時(shí)間 (MTBF)：＞ 60000 小時(shí) (100%吞吐量 ) 縱向加密認(rèn)證網(wǎng)關(guān) 中國(guó)南方電網(wǎng)有限責(zé)任公司 二次系統(tǒng)安全防護(hù)設(shè)備標(biāo)準(zhǔn)技術(shù)標(biāo)書 第 8 頁 / 共 23 頁 電力專用縱向加密認(rèn)證網(wǎng)關(guān)（裝置）的選型應(yīng)符合下列基本要求： 配置要求 500kV 變電站端、直調(diào)電廠端裝置配置要求 （ 1）至少具備 2 個(gè) 10/100M 網(wǎng)絡(luò)接口。 （ 2）具備雙機(jī)熱備接口。 （ 3）具備 1 個(gè) RS232 配置接口 + 1 個(gè) IC 卡讀卡器接口，或者 USBKEY 接口。 （ 4）具備雙電源。 （ 5）裝置可安裝于 19 英寸標(biāo)準(zhǔn)機(jī)柜。 220kV 以下站端、小型發(fā)電廠端裝置配置要求： （ 1）至少具備 2 個(gè) 10/100M 網(wǎng)絡(luò)接口。 （ 2）具備 1 個(gè) RS232 配置接口 + 1 個(gè) IC 卡讀卡器接口，或者 USBKEY 接口。 （ 3）具備雙電源。 （ 4）裝置可安裝于 19 英寸標(biāo)準(zhǔn)機(jī)柜。 安全性要求 （ 1）必須通過國(guó)家密碼管理委員會(huì)辦公室組織的安全性審查和技術(shù)鑒定。 （ 2）具備公安部銷售許可證。 （ 3）采用專用服務(wù)器硬件和代碼可控的安全操作系統(tǒng)。 （ 4）本身應(yīng)能夠一定程度防御常見的網(wǎng)絡(luò)攻擊，包括 ARP Attack、 Ping Attack、 Ping of Death Attack、 Smurf Attack、 Unreachable Host Attack、 Land Attack、 Teardrop Attack、 Syn Attack 等。 （ 5）支持設(shè)備密鑰、工作參數(shù)的備份與恢復(fù)。 可靠性要求 （ 1）應(yīng)通過有關(guān)部門組織的電磁兼容性檢測(cè)。 （ 2）應(yīng)支持雙機(jī)熱備功能，在任一設(shè)備出現(xiàn)故障時(shí)，自動(dòng)切換。 （ 3）應(yīng)具有自動(dòng)旁路功能，在緊急故障狀態(tài)下，可以旁路所有安全功能，作為透明橋接設(shè)備工作，必要時(shí)允許通過網(wǎng)線旁路。在旁路狀態(tài)下，設(shè)備應(yīng)有明顯的警告提示。 功能要求 （ 1）采用國(guó)家密碼管理局批準(zhǔn)的電力專用 密碼算法對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)，保證數(shù)中國(guó)南方電網(wǎng)有限責(zé)任公司 二次系統(tǒng)安全防護(hù)設(shè)備標(biāo)準(zhǔn)技術(shù)標(biāo)書 第 9 頁 / 共 23 頁 據(jù)的真實(shí)性、機(jī)密性和完整性。 （ 2）加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)之間支持基于電力數(shù)字證書的雙向認(rèn)證。 （ 3）支持透明工作方式與網(wǎng)關(guān)工作方式，支持 NAT。 （ 4）具有基于 IP、傳輸協(xié)議、應(yīng)用端口號(hào)的綜合報(bào)文過濾與訪問控制功能。 （ 5）加密認(rèn)證網(wǎng)關(guān)支持對(duì)電力應(yīng)用協(xié)議的特殊報(bào)文進(jìn)行選擇性加密保護(hù)。 （ 6）符合《 IP 加密認(rèn)證裝置技術(shù)規(guī)范》的技術(shù)要求，支持不同廠家設(shè)備的互聯(lián)互通。 （ 7）裝置必須能夠識(shí)別、處理網(wǎng)絡(luò)正常運(yùn)行所需要的路由協(xié)議報(bào)文、及其他協(xié)議報(bào)文。 （ 8）裝置必須能夠識(shí)別、 過濾、轉(zhuǎn)發(fā) Trunk 協(xié)議的報(bào)文， 裝置本地配置功能必須支持設(shè)置 VLanID。 （ 9）支持系統(tǒng)告警，支持完備的安全事件告警機(jī)制，當(dāng)發(fā)生非法入侵、裝置異常、通信中斷或丟失應(yīng)用數(shù)據(jù)時(shí)，可向第三方日志告警管理系統(tǒng)輸出報(bào)警信息，日志格式遵循Syslog標(biāo)準(zhǔn)。 （ 10）必須支持所屬調(diào)度管理機(jī)構(gòu)的裝置管理系統(tǒng)進(jìn)行遠(yuǎn)程管理。 性能要求 廠站端裝置的性能指標(biāo) （ 1）最大并發(fā)加密隧道數(shù)： ≥300 條 （ 2） 100M LAN 環(huán)境下，加密隧道建立延遲：＜ 1s （ 3）明文數(shù)據(jù)包吞吐量： ≥40Mbps （ 50 條安全策略， 1024 報(bào)文長(zhǎng)度， 1 對(duì)端口雙向流量） （ 4）密文數(shù)據(jù)包吞吐量： ≥20Mbps （ 10 條安全策略， 1024 報(bào)文長(zhǎng)度， 1 對(duì)端口雙向流量） （ 5）數(shù)據(jù)包轉(zhuǎn)發(fā)延遲：＜ 2ms （ 50％密文數(shù)據(jù)包吞吐量） 硬件防火墻 生產(chǎn)控制大區(qū)的硬件防火墻選型應(yīng)符合下列基本要求： 安全性要求 （ 1）具有自主知識(shí)產(chǎn)權(quán)的國(guó)產(chǎn)設(shè)備。 （ 2）具備公安部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)口銷售許可證》。 中國(guó)南方電網(wǎng)有限責(zé)任公司 二次系統(tǒng)安全防護(hù)設(shè)備標(biāo)準(zhǔn)技術(shù)標(biāo)書 第 10 頁 / 共 23 頁 （ 3）具備中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心頒發(fā)的《國(guó)家信息安全認(rèn)證產(chǎn)品型號(hào)證書》。 （ 4）支持 VPN 功能的，需要采用通過國(guó)家 密碼管理局鑒定的密碼算法，并提供國(guó)家密碼管理局的技術(shù)鑒定證書。 （ 5）采用專用服務(wù)器硬件和安全操作系統(tǒng)。 功能要求 （ 1）可以基于網(wǎng)絡(luò)地址、通訊協(xié)議、通訊端口，用戶賬號(hào)，信息傳輸方向、操作方式、網(wǎng)絡(luò)通訊時(shí)間、網(wǎng)絡(luò)服務(wù)等進(jìn)行綜合過濾與訪問控制。 （ 2）支持動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）。 （ 3）支持 IP 和 MAC 地址綁定。 （ 4）支持應(yīng)用層協(xié)議的內(nèi)容過濾：對(duì) HTTP 過濾做到命令級(jí)包括 URL 和腳本（ Java Applet 和 ActiveX）兩種類型的請(qǐng)求過濾、頁面內(nèi)容過濾；對(duì) FTP 過濾功能的特性支持命令級(jí)控制，以及基于命令級(jí)控制實(shí)現(xiàn)的對(duì)目錄和文件的訪問控制；對(duì) SMTP 過濾功能特性支持主題過濾、正文過濾、附帶文件過濾、地址過濾、防止郵件炸彈、限制郵件大小、限制 Relay等功能。 （ 5）支持路由及交換兩種工作模式；在交換模式下支持多 VLAN 之間代理路由功能，方便各區(qū)域中不同網(wǎng)段數(shù)據(jù)的轉(zhuǎn)發(fā)。 （ 6）支持 的 Trunk 封裝協(xié)議。 （ 7）提供網(wǎng)絡(luò)信息自動(dòng)收集功能，如共享資源信息、 IP/MAC 地址信息、開放端口信息等。 （ 8）提供基于 IP 地址及用戶的最大流量控制功能，提供基于優(yōu) 先級(jí)的寬帶管理功能。 （ 9）具有一次性口令用戶身份認(rèn)證功能，并通過標(biāo)準(zhǔn)的 RADIUS 協(xié)議支持第三方的認(rèn)證。 （ 10）具有安全的自身防護(hù)能力，可以實(shí)時(shí)防止多種網(wǎng)絡(luò)攻擊和掃描；當(dāng)出現(xiàn)異常情況時(shí)可發(fā)出告警信息。 （ 11）防火墻上的配置信息、過濾規(guī)則可以方便的下載并保存在軟盤或某 PC 機(jī)中，以供備份，需要時(shí)再上載或恢復(fù)。 （ 12）支持多機(jī)熱備份功能，切換時(shí)間不能超過 1 秒。 （ 13）日志系統(tǒng)支持網(wǎng)絡(luò)和本地兩種存取方式，日志包括事件日志和訪問日志。日志中國(guó)南方電網(wǎng)有限責(zé)任公司 二次系統(tǒng)安全防護(hù)設(shè)備標(biāo)準(zhǔn)技術(shù)標(biāo)書 第 11 頁 / 共 23 頁 應(yīng)可方便導(dǎo)出。 （ 14）具有中文 GUI 界面，通過 GUI 能夠完成全部防火 墻的集中配置、管理工作；對(duì)防火墻的管理可以劃分多級(jí)訪問權(quán)限，對(duì)不同的網(wǎng)管人員分配不同的管理權(quán)限，提供靈活的管理、監(jiān)控機(jī)制。 （ 15）采用簡(jiǎn)化方案對(duì)橫向互聯(lián)防火墻和縱向互聯(lián)防火墻進(jìn)行合并的還需支持虛擬防火墻功能。 性能要求 百兆硬件防火墻 （ 1）三層網(wǎng)絡(luò)吞吐率： ≥300Mbps（ 2 對(duì)端口雙向流量） （ 2）最大并發(fā)連接數(shù)： ≥500000 （ 3）新建連接速率： ≥8000 連接 /秒 （ 4）平均無故障時(shí)間： ≥60000 小時(shí) （ 5）電源接口：配置雙電源。 試驗(yàn) 驗(yàn)收要求 1) 本項(xiàng)目?jī)H進(jìn)行現(xiàn)場(chǎng)驗(yàn)收（ SAT）。 2) SAT 驗(yàn)收測(cè)試大綱根據(jù)項(xiàng)目招標(biāo)技術(shù)文件、投標(biāo)技術(shù)應(yīng)答書、合同技術(shù)協(xié)議書等技術(shù)文件的內(nèi)容編寫，由投標(biāo)方編制，招標(biāo)方審核批準(zhǔn)。 3) 投標(biāo)方應(yīng)在驗(yàn)收測(cè)試前 2 周提供詳細(xì)的 SAT 驗(yàn)收測(cè)試大綱，大綱應(yīng)提供所有現(xiàn)場(chǎng)驗(yàn)收的細(xì)則，細(xì)則指定的實(shí)驗(yàn)項(xiàng)目以及達(dá)到的性能指標(biāo)不得小于本招標(biāo)文件要求。招標(biāo)方有權(quán)提出一些合理的特殊測(cè)試，并保留對(duì)大綱的修改權(quán)力。大綱經(jīng)雙方確認(rèn)生效以后，招標(biāo)方人員對(duì)驗(yàn)收的認(rèn)可簽字并不解除投標(biāo)方對(duì)合同的保證負(fù)責(zé)。 4) 投標(biāo)方將負(fù)責(zé)對(duì)現(xiàn)場(chǎng)安裝和測(cè)試進(jìn)行指導(dǎo)，投標(biāo)方的工程師將協(xié)助進(jìn)行現(xiàn)場(chǎng)試驗(yàn)驗(yàn)收。 5) 在現(xiàn)場(chǎng)驗(yàn)收完成 后 20 天內(nèi)，雙方的代表將簽署驗(yàn)收?qǐng)?bào)告。 6) 驗(yàn)收計(jì)劃由投標(biāo)方準(zhǔn)備，交給招標(biāo)方審查同意。 7) 為有利于系統(tǒng)的安裝、投運(yùn)和測(cè)試，投標(biāo)方應(yīng)派出有經(jīng)驗(yàn)的專家提供技術(shù)服務(wù)。 中國(guó)南方電網(wǎng)有限責(zé)任公司 二次系統(tǒng)安全防護(hù)設(shè)備標(biāo)準(zhǔn)技術(shù)標(biāo)書 第 12 頁 / 共 23 頁 8) 在現(xiàn)場(chǎng)安裝、投運(yùn)及驗(yàn)收過程中，投標(biāo)方應(yīng)對(duì)損壞的設(shè)備負(fù)責(zé)。 9) 備品備件、文檔資料均作為驗(yàn)收的一部分。 測(cè)試報(bào)告