二次系统安全防护

二次系统安全防护防火墙）技术规范书广西电网公司2009年11月1.总则本技术规范书适用于公司电力二次系统安全防护所涉及到的防火墙设备的供货。它列出了该设备在广西电网二次系统安全防护中的功能设计、结构、性能、安装、检测和技术服务等方面要求。本技术规范书提出的是最基本的技术要求，并未对一切技术细节做出规定，也未充分引述有关标准和规范的条文，卖方应保证提供符合本技术规范书和工业标准的优质产品。本技术规范书所使用的标准如与卖方所执行的标准有偏差时，按高标准执行。卖方为本工程提供的设备应是按最新工艺制造的、全新的、符合国际、国内标准的，以确保系统的安全稳定运行。卖方所提供的设备应提供满足本技术规范书的最新型号的产品，并应对涉及专利、知识产权等法律条款承担义务，买方对此不承担任何责任。第三方产品的技术、性能参数、测试数据应由产品生产厂商直接提供和确认，并由卖方对设备各项性能负责。本技术规范书经买卖双方确认后作为定货合同的技术附件，与合同正文具有同等的法律效力。系统投入运行后，如果买方为了符合信息产业部新版或其它的相关技术体制和技术规范，需修改或增加系统的功能，卖方有义务提供性能的修改和增加，同时免费升级软件版本。根据本技术规范书，卖方应在投标应答书中对其中的条款逐项回答，确认满足本技术规范的要求和与本技术规范书的差异，对偏差部分单列成偏差表作详细描述。对于需要卖方给予说明的，卖方应进行如实答复，不得遗漏。所有技术应答除书面文件外，应提供电子文档光盘或软盘一份，软件平台为Office2OOO。如果卖方没有以书面形式对本技术规范书的条款提出异议，则意味着卖方提供的设备（或系统）完全满足本技术规范书的要求。本技术规范书未尽事宜，由买卖双方协商确定。2.依据标准及规范除本规范书特殊规定外，竞价单位所提供的设备均按下列标准和规程进行设计、制造、检验和安装。要求所用标准必须是最新版本，如果这些标准有矛盾时，应按最高标准的条款执行或按双方商定的标准执行。如果竞价单位选用本规范书规定以外的标准时，需提交所替换标准相当或优于本规范书规定的标准的证明。适用标准：GB8566-88——《计算机软件开发规范》GB——中华人民共和国国标。ISO——国际标准化组织标准。IEEE——美国电气电子工程师协会标准ANSI——美国国家标准委员会标准。EIA——电子工业协会标准。ITU——国际电信联盟。UL——美国保险商试验室标准。NFPA——美国国家防火协会标准。SI——标准国际单位制。NEMA——美国国家电气制造协会标准。《电力二次系统安全防护规定》，电监会5号令。《电力系统安全防护总体方案》（国家电力监管委员会[2006]34号文）及配套文件3.系统描述公司电力二次系统安全防护实时控制区和非实时控制区间、非实时系统与电力生产数据专用网络间布置防火墙设备。设备运行与保管环境应该满足电源、防火、防水、防盗等安全要求。设备密码需有专人管理，设备有专人进行操作。各级调度机构需要对所辖设备的配置进行备份，并可快速恢复，以保证设备的正常运行。4.安全性要求具有自主知识产权的国产设备，且必须是在电力行业具有应用案例，经过市场考验的、成熟的产品。具有公安部颁发的《计算机信息系统安全专用产品销售许可证》具有中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》通过国家信息安全测评认证中心防火墙安全等级EAL3认证；4.4支持VPN功能，需要采用国家密码管理局鉴定的密码算法，并提供国家密码管理局的技术鉴定证书。5.供货范围系统各站的设备配置见下表。卖方应根据自身设备的具体情况，对各站做出详细的设备配置，提供设备清单。供货范围序号设备名称型号及规范单位备注数量1硬件防火墙千兆防火墙台2硬件防火墙百兆防火墙台卖方按上述供货范围提供设备及其附属设备、安装材料、以及卖方认为必要的专用工具及备品备件。并为设备的安装、运行和维护提供各种中文版的技术文件和必要的说明书。供货时间要求：卖方合同签订后天内完成供货。6.功能要求可以基于网络地址，通讯协议，通讯端口，用户帐号，信息传输方向、操作方式、网路通讯时间、网络服务、等进行综合过滤与访问控制。支持动态网络地址转换NAT；支持IP和MAC绑定，可自动探测局域网IP并进行绑定；支持应用层协议的内容过滤：对HTTP过滤做到命令级包括URL和脚本(JAVAApplet和ActiveX)两种类型的请求过滤、页面内容过滤；对FTP过滤功能的特性支持命令级控制，以及基于命令级控制实现的对目录和文件的访问控制；对SMTP过滤功能特性支持主题过滤、正文过滤、附带文件过滤、地址过滤、防止邮件炸弹、限制邮

件大小、限制RELAY等功能；支持透明、路由及交换三种工作模式；在交换模式下支持多VLAN之间代理路由功能，方便各区域中不同网段数据的转发；5)6)7)8)9)10)11)12)13)14)15)16)17)18)支持IEEE802.1q的Trunk封装协议；提供网络信息的自动收集功能，如共享资源信息、IP/MAC地址信息、开放端口信息等；提供基于IP地址和用户最大流量的控制功能，提供基于优先级带宽的带宽管理功能；具有一次性口令用户身份认证功能、并通过标准的RADIUS协议支持第三方的认证；具有安全的自身防护能力，可以实时的防止多种网络攻击和扫描。当出现异常情况时，可以发出警告信息；防火墙上的配置信息，过滤规则可以方便的下载并保存在软件或着PC机中，以供备份，需要时再上载或恢复；各类资源对象、访问控制、地址转换策略可单独导入导出；支持防火墙配置的批量上传；支持多机热备份功能，切换时间不超过1秒；日志支持本地和网络两种存取方式，支持日志以专用格式/Welf/Syslog等多种日志格式的输出；日志包括事件日志、访问日志、日志可以方便导出；防火墙带有一套专业管理系统，支持对所有防火墙设备日志的集中收集、管理和安全审计；采用简化方案对横向互联防火墙和纵向互联防火墙进行合并的还需支持虚拟防火墙的功能；可屏蔽受保护主机/服务器系统信息，可以替换服务器（FTP、SMTP、POP3、Telnet,HTTP）的BANNER信息；支持链路备份功能，可以在用户的多条网络出口之间进行自动的切换；支持设备性能和接口详细信息的监视（CPU、内存、连接数、接口流量等）；支持设备在线状态的监视（包括正常、离线以及报警状态）；支持集中配置、管理；支持实时防火墙连接监控（显示源、目的IP/MAC信息，连接流量、速率）；支持远方手动删除、连接。支持Bypass功能，避免因防火墙掉电或意外故障时保持通信畅通，保障业务不中断。

7.性能要求：A、 百兆硬件防火墙网络吞吐率大于等于300MB;最大的并发连接数大于100万；新建连接能力大于3万连接／秒；4个10/100BASE-T端口，2个扩展插槽（最大可扩展不少于4个端口）。平均无故障时间大于等于8万小时；双220V交流电源；采用专有硬件。B、 千兆硬件防火墙网络吞吐率大于等于4GB；最大并发连接数大于180万；6个10/100/1000BASE-T千兆端口、4个SFP接口，2个扩展插槽（最大可扩展不少于8个千兆口）。新建连接速率大于5万连接／秒；平均无故障时间大于等于10万小时；双安全操作系统；双220V交流电源；采用专有硬件。8.售后服务要求:1） 设备原厂商在广西有注册的办事机构提供广西本地化服务（提供南宁本地机构的注册有效证件复印件），提供广西本地办事机构的办公地址、电话及技术服务工程师的名单，技术服务工程师必须具备相应安全行业认证资质证书（比如CISP、CCNP）。2） 设备必须是具备厂家合法渠道的全新正品，所有设备需完全满足招标文件所述规格，必须提供厂家针对本项目的销售授权书和售后服务承诺书原件。3） 所有设备免费质保三年，质保期内全免费上门维护服务，并提供终身维护。4） 提供设备原厂商电话及响应服务；设备故障或需要现场服务的必须在接到报告后市内1小时内广西区内8小时安排原厂商工程师到达现场；附属设备由厂家提供9.其他要求：根据对二次系统安全防护的理解和经验，提供对二次系统安全防护的防火墙技术方案。项目实施由设备原厂商负责，要求设备原厂商具有涉密集成资质并提供实施方案。提供技术培训方案及应急事件的解决方案。10.技术服务合同签定后，卖方应指定负责本工程的项目经理，负责协调卖方在工程全过程的各项工作，如工程进度、图纸文件、制造确认、包装运输、现场安装、调试验收、技术方案的制定及配合完成地址规划等。买卖双方技术人员在买方指定的地点召开工程设计联络会议解决设计及制造中的问题。设计联络会议要由卖方作好记录，包括讨论的内容、项目和得出的结论。纪要要用中文书写，在双方首席代表确认并签字后，作为合同的一部分。6.3技术文件卖方应按合同要求及时提供满足工程设计需要的有关图纸和技术资料。文件的交接要有记录。技术文件包括：a)设备主要技术参数、外形尺寸、安装方式与尺寸、屏面布置图、柜底电缆开孔图、输入、输出端子布置图；d)设备安装使用说明书、产品拆卸一览表、装箱单、产品合格证明、备件一览表及运行、维护、检修说明书和工厂试验报告。技术文件的交接时间表文件名称提供时间数量接收单位文件类型6.3a)〜c)随投标文件随投标文件随投标文件书面6.3d)随合同设备每套设备2份书面6.3a)〜c)合同签定前3书面2份，电子文档1份6.5设计文件、图纸及说明只限于用中文书写，并附电子文档(计算机软盘或光盘1份,软件平台为OFFICE2000、AutoCAD14.0版)。6.6工厂检验6.6.1卖方所提供的设备在发货前应在工厂进行严格和完善的测试检验，买方有权派技术专家到卖方生产厂检验和测试设备的性能和技术指标。如设备运抵安装现场后经双方检查确认有短缺或损坏、或设备安装后经测试发现存在故障及性能、技术指标达不到技术规范书中所规定的要求时，卖方应在原合同规定的期限内免费更换或修复。如果买方不派人，出厂测试应由卖方执行，并应在设备发运前，将设备工厂测试数据报告提交买方审核。检查不合格的产品不得出厂。6.7工程安装、督导6.7.1卖方应派遣熟悉设备、经验丰富的技术专家和工厂技术人员指导或参加设备的安装施工，负责系统的调测和开通，对督导人员未能及时到场所引起的一切后果负全部责任。买方有权派出自己的技术人员参加此项工作，对需要更换和修复的设备，由卖方提出技术方案经买方确认后方可实施。安装：买方将负责工程设备的安装，卖方应派专门人员现场指导安装，并保证安装质量。单机测试：卖方将负责单机加电及初始化工作，并按合同要求对单机各项指标进行测试，其测试结果必须满足本技术规范书的要求，买方给以全面的配合。卖方将测试记录全部移交给买方代表，作为验收依据。系统测试：卖方将负责系统测试。测试内容按本技术规范书的要求进行，测试记录经卖方整理后移交买方代表，作为验收依据。卖方工程技术服务结束：买方将卖方移交的单机、系统测试结果与本技术规范书的要求核对无误后，卖方技术专家即可撤离现场。6.7.6初验设备安装完毕后，由双方对设备进行全面的功能测试及检验，包括：系统联网、VPN功能、路由协议的支持、告警功能、管理及维护系统功能等。必要情况下将进行性能测试。如检测合格，双方签署初验证书，设备开始投入试运行。如任何设备不能通过初验，卖方应采取一切措施使设备在双方商定的期限内达到初验要求。试运行试运行期间若发生与本技术规范书不符或与初验记录不一致的情况时，买卖双方要进行协商，商洽试运行期间的问题如何解决，否则买方不予终验。终验a） 终检是在试运行结束后对整个工程的最后验收。b） 试运行期间将对设备的故障数据、问题处理记录及设备自动监测收集的性能数据等进行日常的统计。c） 如试运行期间统计或测试数据表明设备在功能、性能指标或可靠性等方面不符合要求，卖方有责任及时解决，应根据问题严重程度和解决时间，顺延或重新开始试运行。d） 如试运行期间统计测试数据表明设备符合要求，将通过终验进入保修期。e） 设备在质保期内由卖方每年进行维护11.对技术建议书和设备报价的要求1） 对技术建议书的要求本技术规范书仅对设备的组成和设备性能提出基本要求，卖方应提供投标设备的如下资料：a） 投标设备的设备手册，应包括机柜、主机箱、板卡的的原理、功能、性能和维护安装等资料。各类接口板的参数规范。b）