二次系統安全防護（防火墻）技術規范書廣西電網公司2009年11月總則1.1本技術規范書適用于公司電力二次系統安全防護所涉及到的防火墻設備的供貨。它列出了該設備在廣西電網二次系統安全防護中的功能設計、結構、性能、安裝、檢測和技術服務等方面要求。1.2本技術規范書提出的是最基本的技術要求，并未對一切技術細節做出規定，也未充分引述有關標準和規范的條文，賣方應保證提供符合本技術規范書和工業標準的優質產品。1.3本技術規范書所使用的標準如與賣方所執行的標準有偏差時，按高標準執行。賣方為本工程提供的設備應是按最新工藝制造的、全新的、符合國際、國內標準的，以確保系統的安全穩定運行。1.4賣方所提供的設備應提供滿足本技術規范書的最新型號的產品，并應對涉及專利、知識產權等法律條款承擔義務，買方對此不承擔任何責任。1.5第三方產品的技術、性能參數、測試數據應由產品生產廠商直接提供和確認，并由賣方對設備各項性能負責。1.6本技術規范書經買賣雙方確認后作為定貨合同的技術附件，與合同正文具有同等的法律效力。1.7系統投入運行后，如果買方為了符合信息產業部新版或其它的相關技術體制和技術規范，需修改或增加系統的功能，賣方有義務提供性能的修改和增加，同時免費升級軟件版本。1.8根據本技術規范書，賣方應在投標應答書中對其中的條款逐項回答，確認滿足本技術規范的要求和與本技術規范書的差異，對偏差部分單列成偏差表作詳細描述。對于需要賣方給予說明的，賣方應進行如實答復，不得遺漏。所有技術應答除書面文件外，應提供電子文檔光盤或軟盤一份，軟件平臺為Office2000。如果賣方沒有以書面形式對本技術規范書的條款提出異議，則意味著賣方提供的設備(或系統)完全滿足本技術規范書的要求。1.9本技術規范書未盡事宜，由買賣雙方協商確定。依據標準及規范除本規范書特殊規定外，競價單位所提供的設備均按下列標準和規程進行設計、制造、檢驗和安裝。要求所用標準必須是最新版本，如果這些標準有矛盾時，應按最高標準的條款執行或按雙方商定的標準執行。如果競價單位選用本規范書規定以外的標準時，需提交所替換標準相當或優于本規范書規定的標準的證明。適用標準：GB8566-88——《計算機軟件開發規范》GB——中華人民共和國國標。ISO——國際標準化組織標準。IEEE——美國電氣電子工程師協會標準。ANSI——美國國家標準委員會標準。EIA——電子工業協會標準。ITU——國際電信聯盟。UL——美國保險商試驗室標準。NFPA——美國國家防火協會標準。SI——標準國際單位制。NEMA——美國國家電氣制造協會標準。《電力二次系統安全防護規定》，電監會5號令。《電力系統安全防護總體方案》（國家電力監管委員會[2006]34號文）及配套文件系統描述公司電力二次系統安全防護實時控制區和非實時控制區間、非實時系統與電力生產數據專用網絡間布置防火墻設備。設備運行與保管環境應該滿足電源、防火、防水、防盜等安全要求。設備密碼需有專人管理，設備有專人進行操作。各級調度機構需要對所轄設備的配置進行備份，并可快速恢復，以保證設備的正常運行。安全性要求4.1具有自主知識產權的國產設備，且必須是在電力行業具有應用案例，經過市場考驗的、成熟的產品。4.2具有公安部頒發的《計算機信息系統安全專用產品銷售許可證》具有中國國家信息安全測評認證中心頒發的《國家信息安全認證產品型號證書》4.3通過國家信息安全測評認證中心防火墻安全等級EAL3認證；4.4支持VPN功能，需要采用國家密碼管理局鑒定的密碼算法，并提供國家密碼管理局的技術鑒定證書。供貨范圍系統各站的設備配置見下表。賣方應根據自身設備的具體情況，對各站做出詳細的設備配置，提供設備清單。供貨范圍序號設備名稱型號及規范單位備注數量1硬件防火墻千兆防火墻臺2硬件防火墻百兆防火墻臺賣方按上述供貨范圍提供設備及其附屬設備、安裝材料、以及賣方認為必要的專用工具及備品備件。并為設備的安裝、運行和維護提供各種中文版的技術文件和必要的說明書。供貨時間要求：賣方合同簽訂后天內完成供貨。功能要求可以基于網絡地址，通訊協議，通訊端口，用戶帳號，信息傳輸方向、操作方式、網路通訊時間、網絡服務、等進行綜合過濾與訪問控制。支持動態網絡地址轉換NAT；支持IP和MAC綁定,可自動探測局域網IP并進行綁定；支持應用層協議的內容過濾：對HTTP過濾做到命令級包括URL和腳本（JAVAApplet和ActiveX）兩種類型的請求過濾、頁面內容過濾；對FTP過濾功能的特性支持命令級控制，以及基于命令級控制實現的對目錄和文件的訪問控制；對SMTP過濾功能特性支持主題過濾、正文過濾、附帶文件過濾、地址過濾、防止郵件炸彈、限制郵件大小、限制RELAY等功能；支持透明、路由及交換三種工作模式；在交換模式下支持多VLAN之間代理路由功能，方便各區域中不同網段數據的轉發；支持IEEE802.1q的Trunk封裝協議；提供網絡信息的自動收集功能，如共享資源信息、IP/MAC地址信息、開放端口信息等；提供基于IP地址和用戶最大流量的控制功能，提供基于優先級帶寬的帶寬管理功能；具有一次性口令用戶身份認證功能、并通過標準的RADIUS協議支持第三方的認證；具有安全的自身防護能力，可以實時的防止多種網絡攻擊和掃描。當出現異常情況時，可以發出警告信息；防火墻上的配置信息，過濾規則可以方便的下載并保存在軟件或著ＰＣ機中，以供備份，需要時再上載或恢復；各類資源對象、訪問控制、地址轉換策略可單獨導入、導出；支持防火墻配置的批量上傳；支持多機熱備份功能，切換時間不超過1秒；日志支持本地和網絡兩種存取方式，支持日志以專用格式/Welf/Syslog等多種日志格式的輸出；日志包括事件日志、訪問日志、日志可以方便導出；防火墻帶有一套專業管理系統，支持對所有防火墻設備日志的集中收集、管理和安全審計；采用簡化方案對橫向互聯防火墻和縱向互聯防火墻進行合并的還需支持虛擬防火墻的功能；可屏蔽受保護主機/服務器系統信息，可以替換服務器(FTP、SMTP、POP3、Telnet,HTTP)的BANNER信息；支持鏈路備份功能，可以在用戶的多條網絡出口之間進行自動的切換；支持設備性能和接口詳細信息的監視（CPU、內存、連接數、接口流量等）；支持設備在線狀態的監視（包括正常、離線以及報警狀態）；支持集中配置、管理；支持實時防火墻連接監控（顯示源、目的IP/MAC信息，連接流量、速率）；支持遠方手動刪除、連接。支持Bypass功能，避免因防火墻掉電或意外故障時保持通信暢通，保障業務不中斷。性能要求：Ａ、百兆硬件防火墻網絡吞吐率大于等于300MB;最大的并發連接數大于100萬；新建連接能力大于3萬連接／秒；4個10/100BASE-T端口，2個擴展插槽（最大可擴展不少于4個端口）。平均無故障時間大于等于8萬小時；雙220V交流電源；采用專有硬件。Ｂ、千兆硬件防火墻網絡吞吐率大于等于4GB；最大并發連接數大于180萬；6個10/100/1000BASE-T千兆端口、4個SFP接口，2個擴展插槽（最大可擴展不少于8個千兆口）。新建連接速率大于5萬連接／秒；平均無故障時間大于等于10萬小時；雙安全操作系統；雙220V交流電源；采用專有硬件。售后服務要求:設備原廠商在廣西有注冊的辦事機構提供廣西本地化服務（提供南寧本地機構的注冊有效證件復印件），提供廣西本地辦事機構的辦公地址、電話及技術服務工程師的名單，技術服務工程師必須具備相應安全行業認證資質證書（比如CISP、CCNP）。設備必須是具備廠家合法渠道的全新正品，所有設備需完全滿足招標文件所述規格，必須提供廠家針對本項目的銷售授權書和售后服務承諾書原件。所有設備免費質保三年，質保期內全免費上門維護服務，并提供終身維護。提供設備原廠商電話及響應服務；設備故障或需要現場服務的必須在接到報告后市內1小時內廣西區內8小時安排原廠商工程師到達現場；附屬設備由廠家提供其他要求：根據對二次系統安全防護的理解和經驗，提供對二次系統安全防護的防火墻技術方案。項目實施由設備原廠商負責，要求設備原廠商具有涉密集成資質并提供實施方案。提供技術培訓方案及應急事件的解決方案。技術服務6.1合同簽定后，賣方應指定負責本工程的項目經理，負責協調賣方在工程全過程的各項工作，如工程進度、圖紙文件、制造確認、包裝運輸、現場安裝、調試驗收、技術方案的制定及配合完成地址規劃等。6.2買賣雙方技術人員在買方指定的地點召開工程設計聯絡會議解決設計及制造中的問題。設計聯絡會議要由賣方作好記錄，包括討論的內容、項目和得出的結論。紀要要用中文書寫，在雙方首席代表確認并簽字后，作為合同的一部分。6.3技術文件賣方應按合同要求及時提供滿足工程設計需要的有關圖紙和技術資料。文件的交接要有記錄。技術文件包括：a)設備主要技術參數、外形尺寸、安裝方式與尺寸、屏面布置圖、柜底電纜開孔圖、輸入、輸出端子布置圖；d)設備安裝使用說明書、產品拆卸一覽表、裝箱單、產品合格證明、備件一覽表及運行、維護、檢修說明書和工廠試驗報告。6.4技術文件的交接時間表文件名稱提供時間數量接收單位文件類型6.3a)隨投標文件隨投標文件隨投標文件書面6.3d)隨合同設備每套設備2份書面6.3a)合同簽定前3書面2份，電子文檔1份6.5設計文件、圖紙及說明只限于用中文書寫，并附電子文檔(計算機軟盤或光盤1份，軟件平臺為OFFICE2000、AutoCAD14.0版)。6.6工廠檢驗6.6.1賣方所提供的設備在發貨前應在工廠進行嚴格和完善的測試檢驗，買方有權派技術專家到賣方生產廠檢驗和測試設備的性能和技術指標。如設備運抵安裝現場后經雙方檢查確認有短缺或損壞、或設備安裝后經測試發現存在故障及性能、技術指標達不到技術規范書中所規定的要求時，賣方應在原合同規定的期限內免費更換或修復。6.6.2如果買方不派人，出廠測試應由賣方執行，并應在設備發運前，將設備工廠測試數據報告提交買方審核。檢查不合格的產品不得出廠。6.7工程安裝、督導...6設備安裝完畢后，由雙方對設備進行全面的功能測試及檢驗，包括：系統聯網、VPN功能、路由協議的支持、告警功能、管理及維護系統功能等。必要情況下將進行性能測試。如檢測合格，雙方簽署初驗證書，設備開始投入試運行。如任何設備不能通過初驗，賣方應采取一切措施使設備在雙方商定的期限內達到初驗要求。6.7.7試運行期間若發生與本技術規范書不符或與初驗記錄不一致的情況時，買賣雙方要進行協商，商洽試運行期間的問題如何解決，否則買方不予終驗。6.7.8a)終檢是在試運行結束后對整個工程的最后驗收。b)試運行期間將對設備的故障數據、問題處理記錄及設備自動監測收集的性能數據等進行日常的統計。c)如試運行期間統計或測試數據表明設備在功能、性能指標或可靠性等方面不符合要求，賣方有責任及時解決，應根據問題嚴重程度和解決時間，順延或重新開始試運行。d)如試運行期間統計測試數據表明設備符合要求，將通過終驗進入保修期。e)設備在質保期內由賣方每年進行維護對技術建議書和設備報價的要求1）對技術建議書的要求本技術規范書僅對設備的組成和設備性能提出基本要求，賣方應提供投標設備的如下資料：a)投標設備的設備手冊，應包括機柜、主機箱、板卡的的原理、功能、性能和維護安裝等資料。各類接口板的參數規范。b)賣方應提出設備的保證期限和計算過程。c)賣方應提供詳細的培訓計劃書。2）對設備報價的要求a)