电力监控系统安防II区纵向加密改造技术要求

电力监控系统安防n区纵向加密改造技术要求

1总则

1.1引言

本要求根据国家标准、行业标准，并结合调度数据因络

二次安防技术发展，梳理了调度数据网二次安防网络在规划

设计、工程建设、设备选型、运行维护等方面需遵循的技术

指标及功能特性，以便调度数据网数据网络的规划设计、工

程建设、设备选型、运行维护等工作需求。

1.2供方职责

供方的工作范围将包括但不限于下列内容。

1.2.1提供标书内所有设备及设计说明书及制造方面的说

明。

1.2.2提供国家或电力工业检验检测机构出具的型式试验

报告，以便确认供货设备能否满足所有的性能要求。

1.2.3提供设备安装、使用的说明书。

1.2.4提供试验和检验的标准，包括试验报告和试验数据。

1.2.5提供图纸，制造和质量保证过程的一览表以及标书规

定的其他资料“

1.2.6提供设备管理和运行所需有关资料。

1.2.7所提供设备应发运到规定的目的地。

1.2.8如标准、规范与本规范书的条文有明显的冲突，则供

方应在制造设备前，用书面形式将冲突和解决办法告知需方,

并经需方确认后，才能进行设备制造。

1.2.9提供现场服务。

1.3编制依据

♦YD/T1170-2001IP网络技术要求-网络总体

♦YD/T1171-2001IP网络技术要求-网络性能参数与指标

♦YD/T1099-2005千兆比以太网交换机设备技术规范

♦YD/T1382-2005IP网络技术要求-流量控制

♦国家电力监管委员会第5号令电力二次系统安全防护规

定

♦南方电网数据网络技术规范Q/CSGH0015-2011

♦南方电网通信管理规定

♦南方电网电力光缆技术规范Q/CSG110003-2011

♦南方电网通信电源运行管理办法

2工程概况

南方电网调度数据网络按照业务性质和实时性，划分为

控制区（安全I区）和非控制区（安全n区）两大类。控

制区（安全I区）和非控制区（安全n区）通称为生产控

制大区。厂站端运行有实时（I区）与非实时（H区）的业

务系统，各业务系统通过接入南方电网调度数据网实现与调

度端的数据通信，在厂站数据网接入边界已部署相应强度的

安全防护设备。

根据国家发改委颁发的《电力监控系统安全防护规定》

（发改委[2014]14号令）与国家能源局印发的《电力监控

系统安全防护总体方案等安全防护方案和评估规范的通知》

（国能安全[2015]36号）等文件，以及南网总调《关于进

一步做好电力二次系统安全防护工作的通知》（调自[2009]4

号）文的要求，调度数据网设备与二次安全防护设备电源均

需做到N-1的冗余备份，且原非实时业务系统需加装加密装

置。认真梳理全厂二次防护系统，制定二次系统安全防护改

造优化方案。

2.1改造内容

纵向加密装置，以支持国密SM2算法。

3技术性能要求

3.1基本要求

a）设备的总体机械结构充分考虑安装、维护的方便和扩充

容量灵活性。设备的各种插板或模块是嵌入式的，不装插板、

模块的槽位提供装饰性盖板。

b）所有设备的工厂预安装深度要求达到机架级，以尽量减

少现场安装工作量。

c）设备有足够的机械强度和刚度，设备的安装固定方式具

有抗震性和防震能力。

d）设备在加电运行期间，插入或拔出机盘时，任何元件不

受到损坏和缩短使用寿命。设备接插件必须接触可靠，结构

坚固，易于插拔。接插件有定位和锁定装置。

全防护工作必须遵守的原则，各有关单位必须严格执行。南

方电网二次系统安全防护总体策略如下：

1）安全分区

根据电力二次系统业务的重要性及其对电力一次系统的影

响程度进行分区，南方

电网电力二次系统分为生产控制大区和管理信息大区，其中

生产控制大区分为控制区

（又称安全区I）和非控制区（又称安全区II）,生产控制

大区是重点保护对象。

2）网络专用

南方电网各级电力调度数据网应当在专用通道上使用独

立的网络设备组网，在物理层面上实现与综合业务数据网及

外部公共信息网的安全隔离。该网可采用MPLS-VPN技术或类

似技术划分两个用互逻辑隔离的业务子网，即实时VPN和非

实时VPN。

3）横向隔离

南方电网电力二次系统应采用安全防护设备实现各安

全区的隔离，在生产控制大区与管理信息大区之间必须设置

经国家指定部门检测认证的电力专用横向安全隔离装

置实现高强度隔离。生产控制大区和管理信息大区内部的安

全区之间应采用防火墙或带有访问控制功能的网络设备实

现逻辑隔离。

4）纵向认证

南方电网各级调度中心和厂站在控制区与调度数据网

的纵向连接处应部署经过国家指定部门检测认证的电力专

用纵向加密认证装置或加密认证网关以及其它安全设

施，为上下级控制系统之间的调度数据网通信提供双向身份

认证、数据加密和访问控制服务。

3.2.2设备技术要求

直调电厂调度数据网二区专用纵向加密认证网关（装置）

的选型应符合下列基本要求：

3.2.2.1配置要求

（1）至少具备4个10/100M网络接口。

（2）具备双机热备接口。

（3）具备1个RS232配置接口+1人IC卡读卡器接口，或

者USBKEY接口。

（4）具备双电源。

（5）装置可安装于19英寸标准机柜。

3.2.2.2安全性要求

（1）必须通过国家密码管理委员会办公室组织的安全性审

查和技术鉴定。

（2）具备公安部销售许可证。

（3）采用专用服务器硬件和代码可控的安全操作系统。

（4）本身应能够一定程度防御常见的网络攻击，包括ARP

Attack、PingAttack、PingofDeathAttacksSmurfAttack、

UnreachableHostAttack、LandAttack、TeardropAttack、

SynAttack等。

（5）支持设备密钥、工作参数的备份与恢复。

3.2.2.3可靠性要求

（1）应通过有关部门组织的电磁兼容性检测。

（2）应支持双机热备功能，在任一设备出现故障时，自动

切换。

（3）应具有自动旁路功能，在紧急故障状态下，可以旁路

所有安全功能，作为透明桥接设备工作，必要时允许通过网

线旁路。在旁路状态下，设备应有明显的警告提

不O

3.2.2.4功能要求

（1）采用国家密码管理局批准的电力专用密码算法对传输

的数据进行保护，保证数据的真实性、机密性和完整性。

（2）加密认证装置或加密认证网关之间支持基于电力数字

证书的双向认证。

（3）支持透明工作方式与网关工作方式，支持NAT。

（4）具有基于IP、传输协议、应用端口号的综合报文过滤

与访问控制功能。

（5）加密认证区关支持对电力应用协议的特殊报文进行选

择性加密保护。

（6）符合《IP加密认证装置技术规范》的技术要求，支持

不同厂家设备的互联互通。

（7）装置必须能够识别、处理网络正常运行所需要的路由

协议报文、及其他协议

报文。

（8）装置必须能够识别、过滤、转发Trunk协议的报文，装

置本地配置功能必须支持设置VLanlD。

（9）支持系统告警，支持完备的安全事件告警机制，当发

生非法入侵、装置异常、通信中断或丢失应用数据时，可向

第三方日志告警管理系统输出报警信息，日志格式遵循

Syslog标准。

（10）必须支持所属调度管理机构的装置管理系统进行远程

管理。

3.2.2.5性能要求

（1）最大并发加密隧道数：2300条

（2）100MLAN环境下，加密隧道建立延迟：＜ls

（3）明文数据包吞吐量：240Mbps（50条安全策略，1024

报文长度，1对端口双向流量）

（4）密文数据包吞吐量：20Mbps（10条安全策略，1024

报文长度，1对端口

双向流量）

（5）数据包转发延迟：＜2ms（50%密文数据包吞吐量）

3.2.2.6加密机技术要求汇总表

序号项目技术参数

1★网络端口4个10/100M电或

光接口，具备双机

热备接口

2外设接口具备1个RS232配

置接口+1个IC卡

读卡器接口，或者

USBKEY接口

3★传输速率100/1000Mbps

4外型尺寸19英寸标准机柜

5内存22G

6★电源电压DC-48V双电源

7工作温度0℃-45℃

8工作湿度5%-95%（不结露）

9★安全标准1、必须通过国家密

码管理委员会的

安全性审查和技术

鉴定。

2、具备公安部销售

许可证。

3、采用专用服务器

硬件和代码可控的

安全操作系统。

4、本身应能够一定

程度防御常见的网

络攻击。

5、支持设备密钥、

工作参数的备份与

恢复。

6、支持国密SM2算

法。

4供货范围及工作内容

4.1一般要求

4.1.1本附件规定了招标设备的供货范围。供方保证提供设

备为全新的、先进的、成熟的、完整的和安全可靠的。

4.1.2供方提供详细供货清单，清单中依次说明型号、数量、

产地、生产厂家等内容。对于属于整套设备运行和施工所必

需的部件，如果本附件未列出和/或数量不足，供方仍需在

执行合同时免费补足。

4.1.3供方提供所有安装和检修所需专用工具和消耗材料

等。

4.1.4提供用于设备的安装、调试以及维修所用的专用工具、

设备商业运行前所必须的备品备件。

4.2供货清单

本站系统的设备配置见下表。供方根据自身设备的具体

情况，对各站做出详细的设备配置，提供设备清单，包括安

装材料、专用工具和备品备件，并对各单板的功能做出简要

说明。供方确保供货范围完整，满足买方对安装、调试、运

行和设备性能的要求，并提供保证设备安装、调试、投运相

关的技术服务和配合。在技术规范中涉及的供货要求也作为

本供货范围的补充，若在安装、调试、运行中发现缺项，供

方无条件免费补充供货。

4.3设备及材料需求清单

名称单数量型号及规范配置说明（中文）

位

加密台4Netkeeper-2000标准1U机箱，4人

机10M/100M以太

网接口，1个RJ45串

口；1024条

最大并发加密隧道

数；密文数据包

吞吐量60Mbps；数据

包转发延迟

250us；双路电源模块

供方按上述供货范围提供设备及其附属设备、安装材料

(设备紧固件、内部连接电缆、信号巨缆采用屏蔽电缆)、以

及供方认为必要的专用工具及备品备件。并为设备的安装、

运行和维护提供各种中文版的技术文件和必要的说明书。

5技术资料和交付进度

5.1一般要求

5.1.1供方提供的资料应使用国家法定单位制即国际单位

制，语言为中文。其中提供的图纸须同时提供AUT0CAD(2014)

电子文本。供方根据用户提供的编码原则及编码要求对设备

进行KKS编码。

5.1.2供方应提供适用于本工程实际情况的，为本工程专用

的技术资料，资料的组织结构清晰、逻辑性强。资料内容正

确、准确、一致、清晰完整，满足工程要求。所有资料上注

明“XX工程专用”字样，并注明版次。最终资料提交后不

得任意修改。设备到货后与所提资料不符造成的一切返工和

损失由供方负责赔偿。

5.1.3供方资料的提交及时、充分，满足工程进度要求。

5.1.4供方提供的技术资料一般可分为投标阶段，配合设计

阶段，设备监造检验、施工调试试运、性能试验验收和运行

维护等方面。供方须满足以上方面的具体要求。

5.1.5对于其它没有列入技术资料清单，是工程所必需文件

和资料，一经发现，供方应及时免费提供。

5.1.6供方要及时提供与设备设计制造有关的资料。中标后,

供方应负责编写并出版所供产品的的技术协议，并经需方

和设计方确认。技术协议签订后后3日内应给出满足施工图

设计的全部技术资料和交付进度清单，并经需方确认。提供

最终版的正式图纸的同时，应提供正式的AUTOCAD（2019）电

子文件，正式图纸必须加盖工厂公章和签字。

5.1.7供方随设备（含配套设备，包括进口设备等）交付而

提供给需方的最终版图纸资料为每台设备3套（不包括配合

设计图纸资料的数量）。对于最终版图纸资料，应有明显的

最终版标记，供方应同时提供电子版图纸资料（光盘）一套，

版本至少为0FFICE97和AUTOCAD（2019）。

5.2技术文件和图纸

5.2.1随投标书提供的资料：鉴定证书、报价书、典型说明

书、屏布置图及总重量、系统原理图和主要技术参数。

5.2.2供方在技术协议签定后提供的供设计用图纸：

5.3交付进度表

交货进度表如下

设备名称交货至合同约定地备注

点时间

纵向加密认证网关签订合同60天内

本项目实施计划:

标识任务名称工期

1.1合同签订2周

1.2工程勘测设计

1.3技术文件和图纸提交

1.4实施方案审查

2.1备货6周

2.2发货及运输

3.1硬件安装1周

3.2设备调试和系统联调

4.1初验1周

4.2试运行

4.3竣工终验

4.4用户培训

6监造、检验和性能验收试验

6.1总的要求

6.1.1本项目的验收内容包括工厂验收、现场验收及可用性

验收三个部分。只有二者完全通过验收测试后，方认为本项

目的设备验收合格。

6.1.2供方提供详细的工厂验收试验和现场验收试验的大

纲或计划。大纲中明确规定试验项目和必须达到的各项要求。

6.1.3大纲经需方确认后方可生效。

6.1.4供方提供的所有设备的质量、功能、性能等均经过工

厂验收试验后，供方提供签字试验报告才交货。

6.1.5供方提供试验报告内容包括：报告的编号，设备的说

明、编号、数量，完成试验的时间、地点及方法，试验环境

和条件，试验合格的标准，试验的结果(包括数据和结论)，

试验人员名单，负责人的签字等。

6.1.6只有当供需双方的代表在验收报告上签字认可后，现

场验收试验才算完成。

6.2工厂验收试验(FAT)

6.2.1工厂验收标准项目：

工厂检验是质量控制的一个重要组成部分。乙方须严格

进行厂内各生产环节的检验和试验，提供的合同设备须签发

质量证明、检验记录和测试报告，并且作为交货时质

量证明文件的组成部分。

所提供的网络设备出厂前必须在厂内进行过以下测试,

并提供测试方法、标准和报告，同时提供出厂验收、现场验

收的测试报告内容供招标方选择。

1.功能测试

1接口功能测试

2设备功能测试

3管理功能的测试

4业务功能测试

5设备可靠性测试

6外观、功率的测试

7后台维护管理系统的测试

8系统恢复时间和设备的故障恢复时间

2.性能测试

1吞吐量测试

2突发长度测试

3过负荷测试

4转发速率测试

5地址缓存能力测试

6时延测试

7时延抖动测试

8丢包率测试

3.协议测试

1VLAN功能测试

2生成树协议测试

4.常规测试

1电气安全测试

2环境测试

6.2.2工厂验收试验应根据验收标准项目，按照需方确认的

试验大纲进行。单个设备试验可由供方自行完成，并向需方

提交试验报告。

6.2.3稳定性试脸

6.2.4在设备全负载全功能情况下，在本技术规范书描述的

运行环境条件下，进行72小时的连续运行。

6.2.5在工厂验收试验期间，供方提供所需的检验、测量、

试验和记录的设备。

6.2.6现场验收试验（SAT）

6.2.7现场设备验收必须符合南方电网相关技术规范，调试

报告经南网总调审批合格。若由于设备或调试未能通过南网

总调审批，后果由供方负责。

6.2.8现场验收试验按照需方确认的试验大纲进行。

6.2.9现场验收试验在设备现场安装调试完成后进行，现场

验收试验的时间和条件由需方根据现场安装和调试的进度

确定。

6.2.10现场验收试验在供方专家技术指导下，由需方专业技

术人员完成。

6.2.11现场验收试验的一般工具和仪器仪表由需方提供，专

用工具、仪器仪表由供方提供。在试验和调试期间所有损坏

的供货范围内的设备，供方免费给予更换。

—25—

6.3可用性试验

在现场验收后进行1个月的可用性试验。系统的运行时

间和故障时间分别由调度端和厂内值班人员记录。测试期限

结束后，根据记录的时间计算出该系统是否满足如下要

求。

可用率（%）二（总投运时间-累计故障时间）/（总投运时间）

X100%

系统的可用率N98%。

若可用性试验未获通过，则供方负责免费解决所有故障,

并重新进行可用性试验，质保期将相应顺延。

因需方原因发生故障引起的系统停运时间不记入系统故障

时间内。

7技术服务和设计联络

7.1供方现场技术服务

7.1.1供方现场技术服务人员的目的是保证所提供的设备

安全、正常投运。供方要派

出合格的、能独立解决问题的现场服务人员。供方提供的包

括服务人天数的现场服务

表应能满足工程需要。如果由于供方的原因，下表中的人天

数不能满足工程需要，需

方有权追加人天数，且发生的费用由供方承担；如果由于需

方的原因，下表中的人天

数不能满足工程需要，需方要求追加人天数，且发生的费用

由需方承担。

7.1.2现场服务人员的工作时间应与现场要求相一致，以满

足现场安装、调试和试运行的要求。需方不再因供方现场服

务人员的加班和节假日而另付费用。

7.1.3未经需方同意，供方不得随意更换现场服务人员。同

时，供方须及时更换需方认为不合格的供方现场服务人员。

7.1.4下述现场服务表中的天数均为现场服务人员人天数。

现场服务

序号技术服总的计派出人员构成备注

务内容划人天职称人数

数

1设备安2工程师2

装

2设备调3工程师2

试

7.1.5供方现场服务人员应具有下列资质：

a）遵守中华人民共和国法律，遵守现场的各项规章和制度;

b）有较强的责任感和事业心，按时到位；

c）了解设备的设计，熟悉其结构，有相同或相近机组的现

场工作经验，能够正确地进行现场

指导；

d）身体健康，适应现场工作的条件；

7.1.6供方现场服务人员的职责

a）供方现场服务人员的任务主要包括货物的开箱检验、设

备质量问题的处理、指导安装和调

试、参加试运和性能验收试验；

b）在安装和调试前，供方技术服务人员应向需方进行技术

交底，讲解和示范将要进行的程序和方法。供方应对其所供

设备提供安装和调试监督的重要工序表，供方技术人员要对

施工情况进行确认和签证，否则需方不能进行下一道工序。

经供方确认和签证的工序如因供方技术服务人员指导错误

而发生问题，供方负全部责任；

C）供方现场服务人员应有权全权处理现场出现的一切技术

和商务问题。如现场发生质量问题，供方现场人员要在需方

规定的时间内处理解决。如供方委托需方进行处理，供方现

场服务人员要出委托书并承担相应的经济责任；

d）供方对其现场服务人员的一切行为负全部责任；

e）供方现场服务人员的正常来去和更换应事先与需方协商。

7.2培训

7.2.1为使设备能正常安装、调试、运行、维护及检修，供

方有责任提供相应的技术培训。培训内容和时间应与工程进

度相一致。

7.2.2培训的内容、方式、时间、人数、地点等具体内容由

供需双方商定。

7.2.3供方为需方培训人员提供设备、场地、资料等培训条

件，并提供食宿和交通方便。

7.3设计联络

工程设计进行到一定阶段后，应召开设计联络会，参加

人数约4〜5人。供方应负责澄清有关技术及接口问题。

有关设计联络的计划、时间、地点和内容要求由供需双

方商定。

8后服务与质保

（一）产品质量承诺（含产