二次系統(tǒng)安全防護-防火墻技術(shù)規(guī)范書

二次系統(tǒng)安全防護（防火墻）技術(shù)規(guī)范書廣西電網(wǎng)公司2009年11月總則1.1本技術(shù)規(guī)范書適用于公司電力二次系統(tǒng)安全防護所涉及到的防火墻設(shè)備的供貨。它列出了該設(shè)備在廣西電網(wǎng)二次系統(tǒng)安全防護中的功能設(shè)計、結(jié)構(gòu)、性能、安裝、檢測和技術(shù)服務(wù)等方面要求。1.2本技術(shù)規(guī)范書提出的是最基本的技術(shù)要求，并未對一切技術(shù)細節(jié)做出規(guī)定，也未充分引述有關(guān)標(biāo)準(zhǔn)和規(guī)范的條文，賣方應(yīng)保證提供符合本技術(shù)規(guī)范書和工業(yè)標(biāo)準(zhǔn)的優(yōu)質(zhì)產(chǎn)品。1.3本技術(shù)規(guī)范書所使用的標(biāo)準(zhǔn)如與賣方所執(zhí)行的標(biāo)準(zhǔn)有偏差時，按高標(biāo)準(zhǔn)執(zhí)行。賣方為本工程提供的設(shè)備應(yīng)是按最新工藝制造的、全新的、符合國際、國內(nèi)標(biāo)準(zhǔn)的，以確保系統(tǒng)的安全穩(wěn)定運行。1.4賣方所提供的設(shè)備應(yīng)提供滿足本技術(shù)規(guī)范書的最新型號的產(chǎn)品，并應(yīng)對涉及專利、知識產(chǎn)權(quán)等法律條款承擔(dān)義務(wù)，買方對此不承擔(dān)任何責(zé)任。1.5第三方產(chǎn)品的技術(shù)、性能參數(shù)、測試數(shù)據(jù)應(yīng)由產(chǎn)品生產(chǎn)廠商直接提供和確認，并由賣方對設(shè)備各項性能負責(zé)。1.6本技術(shù)規(guī)范書經(jīng)買賣雙方確認后作為定貨合同的技術(shù)附件，與合同正文具有同等的法律效力。1.7系統(tǒng)投入運行后，如果買方為了符合信息產(chǎn)業(yè)部新版或其它的相關(guān)技術(shù)體制和技術(shù)規(guī)范，需修改或增加系統(tǒng)的功能，賣方有義務(wù)提供性能的修改和增加，同時免費升級軟件版本。1.8根據(jù)本技術(shù)規(guī)范書，賣方應(yīng)在投標(biāo)應(yīng)答書中對其中的條款逐項回答，確認滿足本技術(shù)規(guī)范的要求和與本技術(shù)規(guī)范書的差異，對偏差部分單列成偏差表作詳細描述。對于需要賣方給予說明的，賣方應(yīng)進行如實答復(fù)，不得遺漏。所有技術(shù)應(yīng)答除書面文件外，應(yīng)提供電子文檔光盤或軟盤一份，軟件平臺為Office2000。如果賣方?jīng)]有以書面形式對本技術(shù)規(guī)范書的條款提出異議，則意味著賣方提供的設(shè)備(或系統(tǒng))完全滿足本技術(shù)規(guī)范書的要求。1.9本技術(shù)規(guī)范書未盡事宜，由買賣雙方協(xié)商確定。依據(jù)標(biāo)準(zhǔn)及規(guī)范除本規(guī)范書特殊規(guī)定外，競價單位所提供的設(shè)備均按下列標(biāo)準(zhǔn)和規(guī)程進行設(shè)計、制造、檢驗和安裝。要求所用標(biāo)準(zhǔn)必須是最新版本，如果這些標(biāo)準(zhǔn)有矛盾時，應(yīng)按最高標(biāo)準(zhǔn)的條款執(zhí)行或按雙方商定的標(biāo)準(zhǔn)執(zhí)行。如果競價單位選用本規(guī)范書規(guī)定以外的標(biāo)準(zhǔn)時，需提交所替換標(biāo)準(zhǔn)相當(dāng)或優(yōu)于本規(guī)范書規(guī)定的標(biāo)準(zhǔn)的證明。適用標(biāo)準(zhǔn)：GB8566-88——《計算機軟件開發(fā)規(guī)范》GB——中華人民共和國國標(biāo)。ISO——國際標(biāo)準(zhǔn)化組織標(biāo)準(zhǔn)。IEEE——美國電氣電子工程師協(xié)會標(biāo)準(zhǔn)。ANSI——美國國家標(biāo)準(zhǔn)委員會標(biāo)準(zhǔn)。EIA——電子工業(yè)協(xié)會標(biāo)準(zhǔn)。ITU——國際電信聯(lián)盟。UL——美國保險商試驗室標(biāo)準(zhǔn)。NFPA——美國國家防火協(xié)會標(biāo)準(zhǔn)。SI——標(biāo)準(zhǔn)國際單位制。NEMA——美國國家電氣制造協(xié)會標(biāo)準(zhǔn)。《電力二次系統(tǒng)安全防護規(guī)定》，電監(jiān)會5號令?！峨娏ο到y(tǒng)安全防護總體方案》（國家電力監(jiān)管委員會[2006]34號文）及配套文件系統(tǒng)描述公司電力二次系統(tǒng)安全防護實時控制區(qū)和非實時控制區(qū)間、非實時系統(tǒng)與電力生產(chǎn)數(shù)據(jù)專用網(wǎng)絡(luò)間布置防火墻設(shè)備。設(shè)備運行與保管環(huán)境應(yīng)該滿足電源、防火、防水、防盜等安全要求。設(shè)備密碼需有專人管理，設(shè)備有專人進行操作。各級調(diào)度機構(gòu)需要對所轄設(shè)備的配置進行備份，并可快速恢復(fù)，以保證設(shè)備的正常運行。安全性要求4.1具有自主知識產(chǎn)權(quán)的國產(chǎn)設(shè)備，且必須是在電力行業(yè)具有應(yīng)用案例，經(jīng)過市場考驗的、成熟的產(chǎn)品。4.2具有公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》具有中國國家信息安全測評認證中心頒發(fā)的《國家信息安全認證產(chǎn)品型號證書》4.3通過國家信息安全測評認證中心防火墻安全等級EAL3認證；4.4支持VPN功能，需要采用國家密碼管理局鑒定的密碼算法，并提供國家密碼管理局的技術(shù)鑒定證書。供貨范圍系統(tǒng)各站的設(shè)備配置見下表。賣方應(yīng)根據(jù)自身設(shè)備的具體情況，對各站做出詳細的設(shè)備配置，提供設(shè)備清單。供貨范圍序號設(shè)備名稱型號及規(guī)范單位備注數(shù)量1硬件防火墻千兆防火墻臺2硬件防火墻百兆防火墻臺賣方按上述供貨范圍提供設(shè)備及其附屬設(shè)備、安裝材料、以及賣方認為必要的專用工具及備品備件。并為設(shè)備的安裝、運行和維護提供各種中文版的技術(shù)文件和必要的說明書。供貨時間要求：賣方合同簽訂后天內(nèi)完成供貨。功能要求可以基于網(wǎng)絡(luò)地址，通訊協(xié)議，通訊端口，用戶帳號，信息傳輸方向、操作方式、網(wǎng)路通訊時間、網(wǎng)絡(luò)服務(wù)、等進行綜合過濾與訪問控制。支持動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT；支持IP和MAC綁定,可自動探測局域網(wǎng)IP并進行綁定；支持應(yīng)用層協(xié)議的內(nèi)容過濾：對HTTP過濾做到命令級包括URL和腳本（JAVAApplet和ActiveX）兩種類型的請求過濾、頁面內(nèi)容過濾；對FTP過濾功能的特性支持命令級控制，以及基于命令級控制實現(xiàn)的對目錄和文件的訪問控制；對SMTP過濾功能特性支持主題過濾、正文過濾、附帶文件過濾、地址過濾、防止郵件炸彈、限制郵件大小、限制RELAY等功能；支持透明、路由及交換三種工作模式；在交換模式下支持多VLAN之間代理路由功能，方便各區(qū)域中不同網(wǎng)段數(shù)據(jù)的轉(zhuǎn)發(fā)；支持IEEE802.1q的Trunk封裝協(xié)議；提供網(wǎng)絡(luò)信息的自動收集功能，如共享資源信息、IP/MAC地址信息、開放端口信息等；提供基于IP地址和用戶最大流量的控制功能，提供基于優(yōu)先級帶寬的帶寬管理功能；具有一次性口令用戶身份認證功能、并通過標(biāo)準(zhǔn)的RADIUS協(xié)議支持第三方的認證；具有安全的自身防護能力，可以實時的防止多種網(wǎng)絡(luò)攻擊和掃描。當(dāng)出現(xiàn)異常情況時，可以發(fā)出警告信息；防火墻上的配置信息，過濾規(guī)則可以方便的下載并保存在軟件或著ＰＣ機中，以供備份，需要時再上載或恢復(fù)；各類資源對象、訪問控制、地址轉(zhuǎn)換策略可單獨導(dǎo)入、導(dǎo)出；支持防火墻配置的批量上傳；支持多機熱備份功能，切換時間不超過1秒；日志支持本地和網(wǎng)絡(luò)兩種存取方式，支持日志以專用格式/Welf/Syslog等多種日志格式的輸出；日志包括事件日志、訪問日志、日志可以方便導(dǎo)出；防火墻帶有一套專業(yè)管理系統(tǒng)，支持對所有防火墻設(shè)備日志的集中收集、管理和安全審計；采用簡化方案對橫向互聯(lián)防火墻和縱向互聯(lián)防火墻進行合并的還需支持虛擬防火墻的功能；可屏蔽受保護主機/服務(wù)器系統(tǒng)信息，可以替換服務(wù)器(FTP、SMTP、POP3、Telnet,HTTP)的BANNER信息；支持鏈路備份功能，可以在用戶的多條網(wǎng)絡(luò)出口之間進行自動的切換；支持設(shè)備性能和接口詳細信息的監(jiān)視（CPU、內(nèi)存、連接數(shù)、接口流量等）；支持設(shè)備在線狀態(tài)的監(jiān)視（包括正常、離線以及報警狀態(tài)）；支持集中配置、管理；支持實時防火墻連接監(jiān)控（顯示源、目的IP/MAC信息，連接流量、速率）；支持遠方手動刪除、連接。支持Bypass功能，避免因防火墻掉電或意外故障時保持通信暢通，保障業(yè)務(wù)不中斷。性能要求：Ａ、百兆硬件防火墻網(wǎng)絡(luò)吞吐率大于等于300MB;最大的并發(fā)連接數(shù)大于100萬；新建連接能力大于3萬連接／秒；4個10/100BASE-T端口，2個擴展插槽（最大可擴展不少于4個端口）。平均無故障時間大于等于8萬小時；雙220V交流電源；采用專有硬件。Ｂ、千兆硬件防火墻網(wǎng)絡(luò)吞吐率大于等于4GB；最大并發(fā)連接數(shù)大于180萬；6個10/100/1000BASE-T千兆端口、4個SFP接口，2個擴展插槽（最大可擴展不少于8個千兆口）。新建連接速率大于5萬連接／秒；平均無故障時間大于等于10萬小時；雙安全操作系統(tǒng)；雙220V交流電源；采用專有硬件。售后服務(wù)要求:設(shè)備原廠商在廣西有注冊的辦事機構(gòu)提供廣西本地化服務(wù)（提供南寧本地機構(gòu)的注冊有效證件復(fù)印件），提供廣西本地辦事機構(gòu)的辦公地址、電話及技術(shù)服務(wù)工程師的名單，技術(shù)服務(wù)工程師必須具備相應(yīng)安全行業(yè)認證資質(zhì)證書（比如CISP、CCNP）。設(shè)備必須是具備廠家合法渠道的全新正品，所有設(shè)備需完全滿足招標(biāo)文件所述規(guī)格，必須提供廠家針對本項目的銷售授權(quán)書和售后服務(wù)承諾書原件。所有設(shè)備免費質(zhì)保三年，質(zhì)保期內(nèi)全免費上門維護服務(wù)，并提供終身維護。提供設(shè)備原廠商電話及響應(yīng)服務(wù)；設(shè)備故障或需要現(xiàn)場服務(wù)的必須在接到報告后市內(nèi)1小時內(nèi)廣西區(qū)內(nèi)8小時安排原廠商工程師到達現(xiàn)場；附屬設(shè)備由廠家提供其他要求：根據(jù)對二次系統(tǒng)安全防護的理解和經(jīng)驗，提供對二次系統(tǒng)安全防護的防火墻技術(shù)方案。項目實施由設(shè)備原廠商負責(zé)，要求設(shè)備原廠商具有涉密集成資質(zhì)并提供實施方案。提供技術(shù)培訓(xùn)方案及應(yīng)急事件的解決方案。技術(shù)服務(wù)6.1合同簽定后，賣方應(yīng)指定負責(zé)本工程的項目經(jīng)理，負責(zé)協(xié)調(diào)賣方在工程全過程的各項工作，如工程進度、圖紙文件、制造確認、包裝運輸、現(xiàn)場安裝、調(diào)試驗收、技術(shù)方案的制定及配合完成地址規(guī)劃等。6.2買賣雙方技術(shù)人員在買方指定的地點召開工程設(shè)計聯(lián)絡(luò)會議解決設(shè)計及制造中的問題。設(shè)計聯(lián)絡(luò)會議要由賣方作好記錄，包括討論的內(nèi)容、項目和得出的結(jié)論。紀(jì)要要用中文書寫，在雙方首席代表確認并簽字后，作為合同的一部分。6.3技術(shù)文件賣方應(yīng)按合同要求及時提供滿足工程設(shè)計需要的有關(guān)圖紙和技術(shù)資料。文件的交接要有記錄。技術(shù)文件包括：a)設(shè)備主要技術(shù)參數(shù)、外形尺寸、安裝方式與尺寸、屏面布置圖、柜底電纜開孔圖、輸入、輸出端子布置圖；d)設(shè)備安裝使用說明書、產(chǎn)品拆卸一覽表、裝箱單、產(chǎn)品合格證明、備件一覽表及運行、維護、檢修說明書和工廠試驗報告。6.4技術(shù)文件的交接時間表文件名稱提供時間數(shù)量接收單位文件類型6.3a)隨投標(biāo)文件隨投標(biāo)文件隨投標(biāo)文件書面6.3d)隨合同設(shè)備每套設(shè)備2份書面6.3a)合同簽定前3書面2份，電子文檔1份6.5設(shè)計文件、圖紙及說明只限于用中文書寫，并附電子文檔(計算機軟盤或光盤1份，軟件平臺為OFFICE2000、AutoCAD14.0版)。6.6工廠檢驗6.6.1賣方所提供的設(shè)備在發(fā)貨前應(yīng)在工廠進行嚴(yán)格和完善的測試檢驗，買方有權(quán)派技術(shù)專家到賣方生產(chǎn)廠檢驗和測試設(shè)備的性能和技術(shù)指標(biāo)。如設(shè)備運抵安裝現(xiàn)場后經(jīng)雙方檢查確認有短缺或損壞、或設(shè)備安裝后經(jīng)測試發(fā)現(xiàn)存在故障及性能、技術(shù)指標(biāo)達不到技術(shù)規(guī)范書中所規(guī)定的要求時，賣方應(yīng)在原合同規(guī)定的期限內(nèi)免費更換或修復(fù)。6.6.2如果買方不派人，出廠測試應(yīng)由賣方執(zhí)行，并應(yīng)在設(shè)備發(fā)運前，將設(shè)備工廠測試數(shù)據(jù)報告提交買方審核。檢查不合格的產(chǎn)品不得出廠。6.7工程安裝、督導(dǎo)...6設(shè)備安裝完畢后，由雙方對設(shè)備進行全面的功能測試及檢驗，包括：系統(tǒng)聯(lián)網(wǎng)、VPN功能、路由協(xié)議的支持、告警功能、管理及維護系統(tǒng)功能等。必要情況下將進行性能測試。如檢測合格，雙方簽署初驗證書，設(shè)備開始投入試運行。如任何設(shè)備不能通過初驗，賣方應(yīng)采取一切措施使設(shè)備在雙方商定的期限內(nèi)達到初驗要求。6.7.7試運行期間若發(fā)生與本技術(shù)規(guī)范書不符或與初驗記錄不一致的情況時，買賣雙方要進行協(xié)商，商洽試運行期間的問題如何解決，否則買方不予終驗。6.7.8a)終檢是在試運行結(jié)束后對整個工程的最后驗收。b)試運行期間將對設(shè)備的故障數(shù)據(jù)、問題處理記錄及設(shè)備自動監(jiān)測收集的性能數(shù)據(jù)等進行日常的統(tǒng)計。c)如試運行期間統(tǒng)計或測試數(shù)據(jù)表明設(shè)備在功能、性能指標(biāo)或可靠性等方面不符合要求，賣方有責(zé)任及時解決，應(yīng)根據(jù)問題嚴(yán)重程度和解決時間，順延或重新開始試運行。d)如試運行期間統(tǒng)計測試數(shù)據(jù)表明設(shè)備符合要求，將通過終驗進入保修期。e)設(shè)備在質(zhì)保期內(nèi)由賣方每年進行維護對技術(shù)建議書和設(shè)備報價的要求1）對技術(shù)建議書的要求本技術(shù)規(guī)范書僅對設(shè)備的組成和設(shè)備性能提出基本要求，賣方應(yīng)提供投標(biāo)設(shè)備的如下資料：a)投標(biāo)設(shè)備的設(shè)備手冊，應(yīng)包括機柜、主機箱、板卡的的原理、功能、性能和維護安裝等資料。各類接口板的參數(shù)規(guī)范。b)賣方應(yīng)提出設(shè)備的保證期限和計算過程。c)賣方應(yīng)提供詳細的培訓(xùn)計劃書。2）對設(shè)備報價的要求a)