22 220kV变电站二次网络安全设备规范书

PAGE1PAGE22昆仑钢铁220kV变电站二次系统安全防护技术规范新疆光源电力勘察设计院2012年4月目录1. 总则2. 供货范围3. 工程概况4. 技术要求5. 技术服务6. 买方工作7. 工作安排8. 专用工具9. 质量保证和试验10. 包装、运输和储存1总则1.1本规范书是用于昆仑钢铁220kV变电站工程二次系统安全防护的设备订货技术规范书，它提出了本工程主要设备技术业务功能要求、供货要求、服务要求。1.2卖方必须具有完善的质量保证体系，具有ISO9000系列质量认证合格证书，以及与安全相关的计算机信息系统集成资质。1.3卖方提供的安全产品应获得国家公安部的销售许可证、国家保密局的涉密信息系统产品检测证书，同时获得设备原产商的授权。相关安全产品应在国内省级及以上电力二次系统安全防护方面有成功运行经验。卖方应随报价书一起，向买方提供本公司的资格文件、设备授权书、工程总结表和用户使用证明。1.4本规范书提出的要求是最低限度的技术要求，并未对一切技术细节作出规定，也未充分引述有关标准和技术条文，卖方应提供符合本规范书和工业标准的优质产品。1.5如果卖方没有以书面方式对本规范提出异义，则意味着卖方提供的设备（或系统）完全符合本规范书的要求。如有异议，不管是多么微小，都应在报价书中以“对规范书的意见和同规范书的差异”为标题的专门章节中加以详细的叙述。1.6本技术规范书应视为保证系统运行所需的最低要求，如有遗漏，卖方应予以补充，否则一旦中标将认为卖方认同遗漏部分并免费提供。1.7买方保留解释修改本技术规范书的权力。本技术规范书未尽事宜，由买方和卖方在合同技术谈判时协商确定。1.8本规范书涉及电力调度系统安全防护体系，卖方应承诺对相关内容进行保密，如发生泄密将追究法律责任。1.9本规范书所使用的标准和卖方所执行的标准不一致时，按较高标准执行。1.10本规范书经买、卖双方确认后作为订货合同的技术附件，与合同正文具有同等效力。2供货范围2.1防火墙（100M）2台。2.2正向物理隔离装置2台。2.3电力专用纵向加密认证装置4台，注：实施调度专网第二平面，则需另加2台纵向加密认证装置。2.4网络三层交换机4台。2.5工控机2台。2.6跨正向物理隔离装置安全传输软件2套。2.7电力专用横向正向隔离装置日志收集及上传软件2套。2.8电力专用横向正向隔离装置日志信息接入主站监视系统2套2.9杀病毒软件2套。2.10专用网络机柜2面。2.11电源切换装置2套。2.12浪涌保护器4套。2.13安装工具及电线、电缆等2套。投标厂家根据自身标准配置，需满足我方要求，若需其他设备，厂家补齐。3工程概况二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对昆仑钢铁220kV变电站二次系统发起的恶意破坏和攻击，以及其它非法操作，防止昆仑钢铁220kV变电站二次系统瘫痪和失控，并由此导致的昆仑钢铁220kV变电站一次系统事故。本期昆仑钢铁220kV变电站需要进行安全防护的系统主要包括：监控系统、继电保护装置、安全自动装置、故障录波装置、电能量采集装置、实时调度管理系统等，各系统按照《全国电力二次系统安全防护总体方案》的要求，分别置于实时控制区、非控制生产区、生产管理区等安全分区中。本期安全防护设备安装在主控室室，与应用系统在同一机房。4技术要求4.1设备使用环境条件4.1.1海拔高度：≤204.1.2耐地震能力地面水平加速度：0.2g地面垂直加速度：0.15g抗地震：里式7级(美式9级)4.1.3环境温度湿度环境温度：0℃～55℃相对湿度：30％～80％4.1.4抗电磁干扰：140βμV/m4.2应符合的标准ISO国际标准化组织 IEC国际电工委员会 ITU-T国际电信联盟电信标准化部门IETFInternet工程任务组 IEEE电气和电子工程师协会 GB中华人民共和国国家标准 DL中华人民共和国电力系统行业标准4.3安全防护设备及软件的部署在本工程二次系统安全防护方案中，综合部署防火墙、物理隔离等安全防护设备。4.3.1防火墙：防火墙产品部署在实时控制区与非控制生产区之间及生产管理区与外部网络之间，实现区域的逻辑隔离、报文过滤、访问控制等功能。4.3.2物理隔离：电力专用物理隔离装置作为非控制生产区与生产管理区的必备边界，要求具有最高的安全防护强度，是横向防护的要点。本期在非控制生产区与生产管理区之间部署正向物理隔离装置，负责单向数据传递。4.3.3纵向认证加密装置纵向认证加密装置用于实时控制区与非控制生产区的广域网边界防护，实现本地包过滤功能以及广域网通信提供认证与加密功能，保证数据传输的机密性、完整性。4.3.4网络三层交换机在安全II区需布署一台交换机用于安全II区内设备的组网，同时该交换机连接到电力专用横向正向隔离装置的内网口。4.3.5在安全Ⅱ区内布署一台工控机，并将其通过Ⅱ区的非实时网段交换机接入到电力专用横向正向隔离装置的内网口，用于读取和上传电力专用横向正向隔离装置的日志信息。4.3.6跨物理隔离装置安全传输软件根据《全国电力二次系统安全防护总体方案》的技术要求，操作系统自带的FTP、RCP等远程文件传输服务禁止跨越电力系统专用横向单向隔离装置，但在实际工作应用中，跨隔离装置的安全区之间的文件传输是必不可缺少的功能。因此，必须有一套专门实现符合电力二次系统安全防护有关要求，且能够穿透电力系统专用横向单向隔离装置的文件传输系统。其功能和接口应仿标准FTP，且该软件可代替操作系统自带的FTP、RCP，并且该软件比操作系统自带的FTP、RCP更安全。4.3.7电力专用横向正向隔离装置日志收集及上传软件为了解设备本身运行工作状态是否正常等信息，一旦发现问题，应该对问题的内容及处理结果有所记录，因此需配置电力专用横向正向隔离装置日志收集及上传软件。4.3.8电力专用横向正向隔离装置日志信息接入主站监视系统目前调度主站端已经建设了一套网络安全产品集中监视管理系统，用于集中展现电力专用横向正向隔离装置的运行工况、配置信息、日志信息、报警信息等并加以综合利用，以便于系统维护，保证系统安全稳定运行。本期卖方应负责将昆仑钢铁220kV变电站信息接入主站。4.3.9杀病毒软件由于病毒在网络中存储、传播、感染的方式各异，因此企业在构建网络防毒系统时，应利用企业防病毒产品，针对网络中所有可能的病毒攻击点设置全方位、多层次的防毒系统配置，使企业网络免受病毒的入侵和危害。本次产品采购主要用于安全III区的工作站的病毒防护。4.4安全防护设备技术要求4.4.11)卖方提供的防火墙必须为国产硬件防火墙，可安装于19英寸标准机柜，并在全国省级及以上电力二次系统有不少于两家的成功运行经验。2)硬件系统应基于专用硬件平台和私有的安全操作系统平台，并具有自主知识产权，卖方应详细说明投标产品的软硬件体系结构，防火墙内置操作系统应是当前最新版本。3)软硬件系统应具有高可靠性和稳定性，具备一定的扩展能力。4)采用基于状态包检测的过滤技术，支持状态检测和智能动态过滤，支持链路层URL智能过滤。5)支持Java、ActiveX、SQL注入攻击防范。6)能抵御常见的各种攻击，如SynFlood、SynAttach、ICMPflood、Pingofdeath、Smurf、不明协议攻击、源IP攻击、IP碎片攻击、DoS/DDoS攻击、IP欺骗、IP碎片、端口扫描等。7)支持网关、路由和透明等工作方式，可以适用于不同的网络环境。8)具有IP与MAC地址的绑定及用户与IP/MAC的绑定功能。9)支持透明应用代理功能。10)支持双向的网络地址转换技术，包括动态转换和静态转换模式，可实现一对一、一对多、多对多的地址映射功能。11)支持过滤规则的设定、一致性检查，具有方便的防火墙配置文件的导入与导出功能。12)支持OSPF、RIP路由协议。13)支持IPX、NETBIOS、VLAN协议。14)支持本地认证，远端RADIUS认证、TACACS+认证，支持用户和组管理，实现基于用户的访问控制。在用户端与防火墙之间认证信息的传输必须是加密的。15)具有防火墙授权日志、行为日志、代理日志，日志可以缓存于本地，也支持标准的syslog日志管理服务器，并具有日志统计分析功能。日志包括事件时间，事件信息，事件原因等，还可根据用户需求定制用户日志信息。16)支持图形界面安全管理方式，友好、直观、方便、快捷并易于管理。17)支持远程管理和维护，同时保证网络上传送的管理信息被加密，而不被内部或外部用户嗅探或攻击。18)支持CONSOLE、TELNET、SSHV1.5、SSHV2、WEB等管理方式；19)支持集中安全管理，支持SNMPv1、SNMPv2C、SNMPv3协议和syslog协议；可通过SNMP协议接受商品化的、网络综合监视系统对设备的在线监视管理。20)支持系统网络升级。技术指标：1）DF-FW100或同类产品：2)标准10/100M(RJ45)接口4个（可扩展为6个）3)独立的管理接口4)数据包吞吐量：100MBps5)并发连接数：≥1,000,0006)VPN隧道数：20007)平均延时：≤40μs8)丢包率：在吞吐量下的丢包率全部为09)MTBF（平均故障间隔时间）：≥40,000小时4.4.21）可安装于19英寸标准机柜，并在全国省级及以上电力二次系统有不少于两家的成功运行经验。2)实现两个安全区之间的非网络方式的安全数据交换，并且保证隔离装置内外两个处理系统不同时连通；3)跨隔离装置的数据传输使用安全数据传输软件SFTP；4）支持表示层与应用层数据完全单向传输，即从非控制生产区到实时控制区的TCP应答禁止携带应用数据；5）支持多种工作模式：无IP地址透明工作方式（虚拟主机IP地址、隐藏MAC地址）、支持网络地址转换（NAT）、混杂工作模式，保证标准应用的透明接入；6）基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；7）防止穿透性TCP联接；8）具有可定制的应用层解析功能，支持应用层特殊标记识别；9）提供完备的日志审计功能，如时间、IP、MAC、PORT等日志信息。对通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的记录，以便事后审计。10）具有报警功能，但发生非法入侵、装置异常、通信中断或丢失应用数据时，可通过串口或网络口输出报警信息；11）安全、方便的维护管理方式：基于证书的管理人员认证，图形化的管理界面。方便地对装置进行设置，监视和控制运行；12）提供数据传输软件和API函数接口，方便用户进行二次系统安全隔离的改造。13）支持集中安全管理，具备标准的syslog日志输出；可接受商品化的、网络综合监视系统对设备的在线监视管理。技术指标：1）DF-NS310S或同类产品；2)接口数：4个百兆电口；3)内存：128M；4)最大连接数≥2000；5)传输能力（Mbps）≥40；6)切换最短时间：0.1毫秒；7)最大动态规则数目：256条；8)具有国网公司的入网测试证明。4.4.31）交换能力：大于9.6Mpps2）线速转发：支持二层、三层线速转发3）支持vlan数量：4K个符合IEEE802.1Q标准的VLAN4）MAC地址表：支持16K个MAC地址5）支持端口汇聚、端口镜像6）生成树协议：支持STP/RSTP7）网管协议：支持SNMP、RMON8）三层功能：支持静态、RIP9）QOS/ACL：支持CAR（CommittedAccessRate）功能，流量限速的粒度为：64Kbit/s；支持L2（Layer2）~L4（Layer4）包过滤功能支持对端口接收报文的速率和发送报文的速率进行限制10）安全特性：支持MAC地址与端口绑定支持IEEE802.1X认证支持防止DoS攻击功能支持端口隔离4.4.4电力专用纵向加密认证装置要求选择电力专用纵向加密认证装置。4.4.5采用嵌入式计算机产品，具体要求如下：机箱：优质钢板成型，喷涂高温烘漆保护面板：高强度面板，带状态观察窗门板，有锁保护背板：支持AT/ATXI/O架互换，方便拆卸驱动器空间：防震设计的驱动器仓，可支持三个5.25″空间(可通过转接架安装三个3.5″HDD)；易于拆卸的3.5″驱动器支架，一个3.5″FDD空间、一个3.5″HDD空间底板：14槽标准工业级底板，ATX主板可选I/O口：二个USB口、PS/2键盘接口电源：带PFC工业AT/ATX电源通风与散热：机箱内置高速进风风扇，在机箱后面有足够的散热通风开孔外型尺寸：19″标准上架型，4U高度4.4.6跨物理隔离装置安全传输软件（IT-SFTP）要求1)完成安全单向文件传输*完成安全I、II区到安全III、IV区的正向文件传输*保证目标文件的正确、完整，同源文件一致2)较高的安全性*符合全国电力二次系统安全防护总体方案的技术要求*提供源地址、用户的身份认证功能。*根据源地址、源文件、目标目录、文件类型、用户名等信息，制定文件传输安全规则。根据规则，对文件传输的请求进行检查，允许或禁止文件的传输。*文件传送的过程中，用户名、口令及文件内容均应采用相应的加密机制。*严格限制安全区III、IV向安全区I、II的应答，防止III、IV区向安全区I、II传输不当的数据或文件。*软件本身应具备较高的安全级别，进行相应的安全控制。3)软件健壮、运行稳定*提供7X24小时服务，能捕获和处理运行中的各种硬软件异常，并能把异常报告用户。*软件经过长时间使用，适合各种应用环境，能够穿越目前所有经过国调中心认证的电力系统专用横向单向隔离装置实现文件传输。4)提供多种用户接口*提供与标准FTP的兼容的用户接口，原有的调用标准FTP的程序不做改动或尽可能少改动,仍可使用。*在UNIX平台中，提供命令行方式，交互式传输文件（界面同标准FTP）。*在WINDOWS平台中，提供图形界面，方便用户传输文件。*提供API函数等方式，方便程序员在VB和VC等开发环境中，做二次开发。5)跨平台文件传输*能够实现UNIX到UNIX、WINDOWS，WINDOWS到UNIX、WINDOWS的文件传输。6)提供并发服务*为了提高工作效率，加快响应速度，软件应采用多进程和多线程的工作机制，可以同时接受多个用户的连接请求和处理多个文件传输的要求。7)具备完善的日志及告警功能*软件本身应有完善的日志记录，用作日后的安全审计使用；同时提供丰富的告警方式及信息，确保重要计划任务的执行情况能够得到及时的反馈和处理。8)批处理安全文件传输命令支持*可以安全的文件命令写到文件中，通过标准输入重定向，输入命令；批处理传输文件。9）计划任务处理*软件可以设置计划任务，实现自动定时进行文件传输。10）支持安全区内部的安全文件传输*该传输软件可以替代原有的I区和II区之间或者同一安全区内部的FTP的相应功能，增强系统的安全性。11）第三方独立软件，方便维护*为了减小以后系统及软件的维护量，避免每上一种物理隔离装置就要习惯和维护一种传输软件的情况发生，要求该传输软件对目前所有的电力系统专用横向单向隔离装置均适用。4.4.7电力专用横向正向隔离装置日志收集及上传软件要求电力专用横向正向隔离装置日志收集及上传软件要求能对以下日志信息进行收集分类并自动上传至主站接受端。日志收集信息分类表日志类别内容系统日志装置启停WatchDog切换版本信息系统CPU利用率内存利用率进程信息系统登陆系统配置链路日志新建链路会话消息删除链路会话信息链路会话信息收到数据包统计信息丢弃数据包统计信息单向流量信息安全日志规则过滤的报文信息IP攻击信息TCP攻击信息UDP攻击信息ICMP攻击信息应用日志隔离装置模块的启停隔离装置调试信息模块运行信息4.4.8电力专用横向正向隔离装置日志信息接入主站监视系统要求目前调度主站端已经建设了一套网络安全产品集中监视管理系统，用于集中展现各网络安全产品运行工况、配置信息、日志信息、报警信息等并加以综合利用，以便于系统维护，保证系统安全稳定运行。按照的相关要求，电站侧通过定义好隔离装置的日志标准，对隔离装置的日志信息进行收集，通过日志详细记录隔离装置的工作状态，最终达到便于调度中心管理人员清晰了解及管理下端的隔离装置，确保设备工作正常的目的。4.4.9杀病毒软件要求1）方案中涉及的安全产品（包括硬件，软件安全产品）应具有国家有关安全管理部门的认证和产品销售许可证；2)产品的安全性好，执行效能高，并且对系统原有应用系统的影响程度最小；3)产品具有良好的人机交互功能，要求采用中文界面，提供中文联机帮助系统；4)厂商提供的杀毒软件不仅要能保护文件服务，同时也要对各种服务器、员工用PC、网关等所有计算机设备进行保护，而且能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截；5)病毒查杀能力强，能够成功查杀网络中传播的各种病毒以及浏览网页时的有害脚本，并要求具有一定程度的未知病毒识别能力，一旦防病毒软件发现一个文件可能携带病毒，它应该有能力提供一种解决方法对该文件进行处理，以免系统或者文件受到未知病毒的破坏；6)要求集成商从软件供应商的病毒信息搜集网络、病毒代码的更新周期和供应商对用户发现的新病毒的反应周期这三个方面来阐述防病毒软件对新病毒的反应能力的强弱；7)具有完整的服务功能，提供快速、方便、灵活和简便的升级手段，要求既提供通过Internet从厂商的升级中心下载，同时也能从上一级病毒控制中心下载升级；8)产品应能智能安装、远程识别、管理方便，易于操作，统计和报表功能强大，要求提供审计功能；9)产品应能提供多种报警手段，能通过电子邮件、打印机、寻呼机、手机或网络消息，传送各种病毒警告给携带病毒用户和系统管理员，并能提供标准输出，供其它系统对其告警信息二次开发；10）集成商应保证所提供的防病毒产品与电站目前所使用的应用软件不产生冲突；4.4.10浪涌保护器技术要求本期在网络安全防护等设备电源接口处加装独立的单相电源浪涌保护器。浪涌保护器主要技术指标要求如下：工作电压：220V最高工作电压：不低于300V保护模式：具备横向保护和纵向保护残压：≤900V响应时间：≤30ns状态指示：具备声光指示和报警。功能：具有具有过热、过流自动断电功能。4.4.交流：～220V10％，50Hz5％4.4.121)网络机柜外形尺寸为：800*600*2260mm，内部为2)柜体所采用钢板的厚度不低于1.5mm，单体承重500Kg以上。3)机柜前门为玻璃单开门，后门为钢体单开门。前后门开度均为180度。前后门采用内嵌式带把手锁。两侧门体嵌入柜体，无散热孔。4)机柜内结构应考虑电缆的走线和固定。5)柜内应在装设照明装置，且与柜门联锁点亮。柜内应留有2个5联排220V电源插排，插排上每个插座容量为220V、10A，插座标准为澳大利亚式（斜三眼）。插排安装在机柜两侧，高度可调。6)柜内应带安全接地铜排。7)机柜顶部安装散热风扇，风扇工作电源为交流220V/50HZ，风扇总风量不小于200m3/h，风扇的运行有控制开关，风扇噪声不大于45dB。8)柜体表面处理应考虑防静电、防腐蚀措施。机柜颜色GY09冰灰桔纹。5技术服务5.1项目管理合同签定后，卖方应指定负责本工程的项目经理，负责协调卖方在工程全过程的各项工作，如工程进度、设计制造、图纸文件、制造确认、包装运输、现场安装、调试验收等。5.2技术文件：5.2.1卖方在订货前向买方提供一般性资料如：鉴定证书、报价书、典型说明书、屏布置图、系统原理图和主要技术参数。5.2.2在合同签定 10 天内，卖方向买方提供下列技术文件 2 份以供确认。1）屏正面布置图、屏内设备布置图及图例说明。2）屏的安装尺寸图。包括屏的尺寸、基础螺栓的位置和尺寸等。3）屏的端子排图 卖方在提供确认图纸时必须提供为审核该张图纸所需的资料。买方有权要求卖方对其图纸中的任一装置任一部件作必要修改，而买方不需承担额外费用。 在收到买方最终认可图纸前，卖方所购买的材料或制造所发生的费用及其风险全由卖方单独承担。 生产的成品应符合合同的技术规范。买方对图纸的确认并不能解除卖方对其图纸的完善性和准确性应承担的责任。 设计院在收到图纸后1周内返回确认意见，并根据需要召开设计联络会。在收到确认意见或设计联络会后7天内，卖方应提供全部正式图纸的最终蓝图和所有图纸的ACAD电子版（AUTOCAD14.0版及以上）及其相关的支撑软件，资料提供8份(包括CAD14版的图纸软盘或光盘)【其中业主6份（随屏），设计单位2份（邮寄）】5.2.3设备供货时提供下列资料:设备的开箱资料，除了5.2.2所述图纸还应包括安装、运行、维护、修理说明书、部件清单资料、工厂试验报告、产品合格证等。供方提供的图纸、资料应满足设计、施工、调试及运行的需要。5.3现场服务及售后服务：5.3.1卖方应派代表到现场负责安装、调试并投入运行，并负责解决合同设备制造及性能等方面的有关问题，详细解答合同范围内买方提出的问题。5.3.2在产品质保期内有制造质量的设备，由卖方负责修理或更换。对非卖方责任造成的设备损坏，卖方有优先提供配件和修理的义务。5.3.3对买方选购的与本合同设备有关的配套设备，卖方有提供技术配合的义务，并不由此而增加任何费用。5.3.4卖方有为买方培训运行维护人员的义务。6买方工作6.1买方应向卖方提供有特殊要求的设备技术文件。6.2设备安装过程中，买方为卖方现场派员提供工作和生活的便利条件。6.3设备制造过程中，买方可派员到卖方进行监造和检验，卖方应积极配合。7工作安排7.1根据工程需要可以召开设计联络会或其它形式解决设计制造中的问题。7.2文件交接要有记录，设计联络会议应有纪要。7.3卖方提供的设备及附件规格、重量或接线有变化时，应及时书面通知买方。7.4未尽事宜，双方协商处理，可以以其它形式补充。以后协调所形成的文件与规范书同等效力。7.5卖方应在投标书中提供投标设备的详细参数表。8专用工具8.1专用工具卖方应向买方提供的专用工具及仪器见表8.1。表8.