目錄TOC\o"1-2"\h\z\u1工程簡介 42設(shè)計(jì)總則 52.1設(shè)計(jì)依據(jù) 52.2設(shè)計(jì)范圍 52.3設(shè)計(jì)原則 53 業(yè)務(wù)種類及傳輸需求分析 63.1業(yè)務(wù)種類 63.2四川電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)男畔?63.3網(wǎng)絡(luò)業(yè)務(wù)傳輸需求分析 74 技術(shù)體制 75 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 86 XX、XX梯級電站通信現(xiàn)狀 97 XX、XX梯級電站接入拓?fù)?98 廠站業(yè)務(wù)接入方案 108.1業(yè)務(wù)系統(tǒng)接入原則 108.2遠(yuǎn)動(dòng)信息接入 118.3電能量采集系統(tǒng)/發(fā)電計(jì)劃申報(bào)系統(tǒng) 129調(diào)度數(shù)據(jù)網(wǎng)設(shè)備配置及技術(shù)要求 149.1網(wǎng)絡(luò)設(shè)備的配置原則 149.2路由器 149.3三層交換機(jī) 189.4設(shè)備機(jī)械結(jié)構(gòu)及工藝要求 199.5環(huán)境條件 2010機(jī)房布置及要求 2111通道要求 2112水電站二次系統(tǒng)安全防護(hù)總體框架要求 2212.1電力二次系統(tǒng)安全防護(hù)的特點(diǎn) 2212.2總體安全策略 2312.3總體防護(hù)方案 2313XX、XX梯級電站二次安防方案 2713.1安全分區(qū) 2713.2安全區(qū)I安全防護(hù) 2813.3安全區(qū)II安全防護(hù) 2914二次系統(tǒng)安全管理體系建設(shè) 3114.1建立完善的安全管理組織機(jī)構(gòu) 3114.2安全評估的管理 3214.3工程實(shí)施過程中的安全管理 3214.4設(shè)備、應(yīng)用及服務(wù)的接入管理 3314.5建立日常運(yùn)行的安全管理制度 3315安全防護(hù)產(chǎn)品技術(shù)要求 3615.1縱向加密認(rèn)證裝置技術(shù)要求 3615.2主機(jī)加固軟件技術(shù)要求 3715.3入侵檢測系統(tǒng)技術(shù)要求 3815.4漏洞掃描系統(tǒng)技術(shù)要求 4015.5安全審計(jì)管理平臺(tái) 4315.6防病毒系統(tǒng) 4416投資估算表 451工程簡介 XX、XX梯級電站位于四川省XXXX縣境內(nèi)，是XX在XX縣境內(nèi)梯級開發(fā)的第一、二級電站，均為引水式電站。XX水電站距XX縣城約130km，距平武縣城約73km；電站裝機(jī)容量2×24MW，兩臺(tái)機(jī)組接成發(fā)電機(jī)—變壓器組單元接線,分別接容量為31.5MVA的主變壓器各一臺(tái)，110kV側(cè)母線采用單母線接線。XX水電站距XX縣城約138km，距平武縣城約65km；電站裝機(jī)容量2×22MW，發(fā)電機(jī)變壓器組合為單元接線，分別接容量為90MVA和31.5MVA的主變壓器各一臺(tái)，90MVA變壓器為三圈變壓器，110kV側(cè)吸收XX電站電能升壓至220kV，10.5kV側(cè)吸收本電站1#機(jī)電能，2#機(jī)與2#主變接為單元接線；220kV側(cè)采用單母線接線。梯級電站采用集中控制模式，集控中心設(shè)于XX電站內(nèi)。2006年10月在四川電力調(diào)度數(shù)據(jù)網(wǎng)廠站接入工作會(huì)上，四川省調(diào)根據(jù)四川電網(wǎng)“十一五”二次系統(tǒng)規(guī)劃，對水電站調(diào)度自動(dòng)化信息接入省調(diào)提出了新要求，要求水電站應(yīng)組織電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)（主通道）和常規(guī)遠(yuǎn)動(dòng)通道（備用通道），以直采直送方式將水電站調(diào)度自動(dòng)化信息傳送到四川省調(diào)。根據(jù)四川電網(wǎng)“十一五”二次系統(tǒng)規(guī)劃方案，按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》和《全國電力二次系統(tǒng)安全防護(hù)總體方案》的要求，為防范對電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行，建立和完善電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)體系。實(shí)施方案應(yīng)滿足《電力二次系統(tǒng)安全防護(hù)總體方案》電監(jiān)安全[2006]34號文的要求。為適應(yīng)省調(diào)這一最新要求，XX、XX梯級電站按四川電力調(diào)度數(shù)據(jù)網(wǎng)雙平面接入要求分別接入四川省級調(diào)度數(shù)據(jù)接入網(wǎng)和XX地級調(diào)度數(shù)據(jù)接入網(wǎng)，數(shù)據(jù)網(wǎng)設(shè)備按雙套配置，在XX、XX梯級電站配置接入路由器2臺(tái)和三層交換機(jī)4臺(tái)。接入方案按《國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)第二平面網(wǎng)絡(luò)（SPDnet-2）總體技術(shù)方案》的要求執(zhí)行。同時(shí)在電廠側(cè)配置縱向加密認(rèn)證裝置，實(shí)現(xiàn)電廠與省調(diào)通信的縱向安全防護(hù)體系。2設(shè)計(jì)總則2.1設(shè)計(jì)依據(jù)（1）四川電網(wǎng)“十一五”二次系統(tǒng)規(guī)劃；（2）國家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)總體設(shè)計(jì)技術(shù)方案；（3）四川電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)初步設(shè)計(jì)和技術(shù)規(guī)范書；（4）《電力二次系統(tǒng)安全防護(hù)總體方案》，電監(jiān)安全[2006]34號文。2.2設(shè)計(jì)范圍（1）依據(jù)四川電力調(diào)度數(shù)據(jù)網(wǎng)一期工程初步設(shè)計(jì)中所確定的原則和四川省電網(wǎng)公司調(diào)度生產(chǎn)現(xiàn)有需求及發(fā)展需要，對水電站和調(diào)度相關(guān)的業(yè)務(wù)種類、需求及流量進(jìn)行分析和預(yù)測，確定XX、XX梯級電站接入四川電力調(diào)度數(shù)據(jù)網(wǎng)所采用的網(wǎng)絡(luò)技術(shù)體制及接入方案。（2）進(jìn)行網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)方案設(shè)計(jì)，提出網(wǎng)絡(luò)功能和業(yè)務(wù)范圍、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理等方面的要求。（3）提出各類承載業(yè)務(wù)系統(tǒng)的接入方案。（4）根據(jù)業(yè)務(wù)和性能要求，提出網(wǎng)絡(luò)設(shè)備配置方案及技術(shù)指標(biāo)要求。（5）提出工程的主要設(shè)備清冊。2.3設(shè)計(jì)原則XX、XX梯級電站接入四川電力調(diào)度數(shù)據(jù)網(wǎng)方案規(guī)劃設(shè)計(jì)的主要原則如下：（1）接入方案應(yīng)滿足電監(jiān)會(huì)5號令的要求，確保電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)等電力二次系統(tǒng)的安全。（2）接入方案應(yīng)滿足四川電力調(diào)度數(shù)據(jù)網(wǎng)工程設(shè)計(jì)中有關(guān)廠站接入的要求。（3）接入方案應(yīng)滿足四川電力調(diào)度生產(chǎn)各種業(yè)務(wù)的需要，并應(yīng)充分考慮網(wǎng)絡(luò)技術(shù)的發(fā)展方向，網(wǎng)絡(luò)平臺(tái)應(yīng)具有高度的靈活性、適應(yīng)性和良好的可擴(kuò)展性，以滿足目前和未來的網(wǎng)絡(luò)需求。（4）接入方案應(yīng)具有良好的服務(wù)質(zhì)量保證機(jī)制，滿足四川電網(wǎng)調(diào)度生產(chǎn)所需的網(wǎng)絡(luò)功能和承載能力。（5）接入方案應(yīng)滿足XX、XX梯級電站安全、可靠和高效地向四川省調(diào)傳送相關(guān)業(yè)務(wù)數(shù)據(jù)的要求。3 業(yè)務(wù)種類及傳輸需求分析3.1業(yè)務(wù)種類（1）調(diào)度自動(dòng)化數(shù)據(jù)業(yè)務(wù)調(diào)度自動(dòng)化數(shù)據(jù)有兩類，一類是保證電網(wǎng)安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行所必需的電網(wǎng)運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)；另一類是EMS系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)分析的高級應(yīng)用軟件所需要的準(zhǔn)實(shí)時(shí)數(shù)據(jù)。（2）電力市場數(shù)據(jù)：電力市場數(shù)據(jù)包括公司內(nèi)部電力市場技術(shù)支持系統(tǒng)之間交換的數(shù)據(jù)，各個(gè)系統(tǒng)采集的各自需要的數(shù)據(jù)，公司交易中心與其它公司交易中心之間交換的數(shù)據(jù)。這些數(shù)據(jù)用于電力市場交易、查詢、發(fā)布和結(jié)算，其覆蓋面廣，信息量大，對數(shù)據(jù)可靠性、安全性、完整性、準(zhǔn)確性均有很高要求。電力市場數(shù)據(jù)內(nèi)容主要有電能計(jì)量數(shù)據(jù)、現(xiàn)貨交易數(shù)據(jù)（負(fù)荷、電量、報(bào)價(jià)等）、期貨交易數(shù)據(jù)（負(fù)荷、電量、報(bào)價(jià)等）、市場其它信息等。（3）電能量信息數(shù)據(jù)、系統(tǒng)繼電保護(hù)及故障錄波信息數(shù)據(jù)、安全自動(dòng)裝置數(shù)據(jù)業(yè)務(wù)以及保護(hù)記錄的歷史數(shù)據(jù)的非實(shí)時(shí)數(shù)據(jù)傳輸。3.2四川電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)男畔⑺拇娏φ{(diào)度數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)男畔⒖梢苑譃橐韵露悾海?）實(shí)時(shí)和準(zhǔn)實(shí)時(shí)信息：﹡ 遠(yuǎn)動(dòng)信息﹡ 水調(diào)自動(dòng)化信息﹡ 保護(hù)故障信息處理系統(tǒng)信息﹡ 相角監(jiān)測信息﹡ EMS系統(tǒng)之間交換的用于網(wǎng)絡(luò)分析的準(zhǔn)實(shí)時(shí)數(shù)據(jù)﹡ 電力市場實(shí)時(shí)信息交換﹡ 通信監(jiān)測系統(tǒng)信息（2）非實(shí)時(shí)信息﹡電力市場數(shù)據(jù)（含電能量計(jì)量數(shù)據(jù)）﹡繼電保護(hù)類信息﹡安全穩(wěn)定控制系統(tǒng)數(shù)據(jù)﹡運(yùn)方類信息3.3網(wǎng)絡(luò)業(yè)務(wù)傳輸需求分析上述各類業(yè)務(wù)信息的傳輸優(yōu)先級、傳輸頻度、傳輸時(shí)延、傳輸?shù)目煽啃缘纫蟾鞑幌嗤鋫鬏斝枨蟮姆治鼋Y(jié)果可參見下表：表3-1各類業(yè)務(wù)數(shù)據(jù)傳輸需求一覽表序號業(yè)務(wù)種類傳輸優(yōu)先級傳輸頻度可靠性1實(shí)時(shí)數(shù)據(jù)（1）遠(yuǎn)動(dòng)數(shù)據(jù)高秒級高（2）EMS實(shí)時(shí)數(shù)據(jù)高秒級高（3）電力市場實(shí)時(shí)數(shù)據(jù)高秒級高2非實(shí)時(shí)數(shù)據(jù)（1）電能量計(jì)量數(shù)據(jù)較高分鐘級高（2）電力市場非實(shí)時(shí)數(shù)據(jù)較高分鐘級高（3）水調(diào)自動(dòng)化數(shù)據(jù)較高分鐘級高（4）保護(hù)故障數(shù)據(jù)較高隨機(jī)高4 技術(shù)體制在四川電力調(diào)度數(shù)據(jù)網(wǎng)一期工程已經(jīng)明確電力調(diào)度數(shù)據(jù)網(wǎng)采用IP技術(shù)體制，即采用IPOverSDH技術(shù)組網(wǎng)，實(shí)現(xiàn)調(diào)度數(shù)據(jù)網(wǎng)和電力綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)的物理隔離（SDH層面隔離）。該體制具有以下優(yōu)點(diǎn)：（1）符合調(diào)度應(yīng)用特性。電力調(diào)度應(yīng)用系統(tǒng)特性相對較單一，基本是IP業(yè)務(wù)，從應(yīng)用特性看，應(yīng)直接采用IP交換網(wǎng)絡(luò)。（2）IP+SDH網(wǎng)絡(luò)開銷小，傳輸效率高。（3）網(wǎng)絡(luò)簡潔，設(shè)備投資少。（4）網(wǎng)絡(luò)層次簡潔，復(fù)雜度低，利于日常運(yùn)行維護(hù)。IP路由設(shè)備與SDH/PDH設(shè)備接口簡單、標(biāo)準(zhǔn)，便于在故障情況下快速定位和故障處理。（5）調(diào)度IP業(yè)務(wù)與其他IP業(yè)務(wù)之間是物理隔離，網(wǎng)絡(luò)安全性好，有利于系統(tǒng)整體安全策略的制定和部署。根據(jù)IP技術(shù)發(fā)展的趨勢和調(diào)度數(shù)據(jù)網(wǎng)業(yè)務(wù)的需求，根據(jù)國調(diào)《二次系統(tǒng)安全防護(hù)體系》的要求，采用基于BGP/MPLSVPN的技術(shù)在調(diào)度數(shù)據(jù)網(wǎng)內(nèi)劃分兩個(gè)VPN：實(shí)時(shí)控制VPN和非控制生產(chǎn)VPN，分別供安全區(qū)I（實(shí)時(shí)控制區(qū)）和安全區(qū)II（非控制生產(chǎn)區(qū)）廣域數(shù)據(jù)傳輸用。調(diào)度數(shù)據(jù)網(wǎng)采用MPLSVPN實(shí)現(xiàn)業(yè)務(wù)間的安全隔離。路由協(xié)議采用OSPF，通過建立多區(qū)域并和IP地址規(guī)劃配合，減少路由表?xiàng)l目，避免路由翻動(dòng)對區(qū)域外網(wǎng)絡(luò)的影響。5 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（1）分層結(jié)構(gòu)基于業(yè)務(wù)量的需求和網(wǎng)絡(luò)可擴(kuò)展性的原則，考慮網(wǎng)絡(luò)運(yùn)行維護(hù)要求，四川調(diào)度數(shù)據(jù)網(wǎng)采用三層結(jié)構(gòu)，即核心層、骨干層、接入層。XX、XX梯級電站為接入層節(jié)點(diǎn)。（2）標(biāo)準(zhǔn)化和開放性采用的網(wǎng)絡(luò)技術(shù)應(yīng)符合國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，滿足信息準(zhǔn)確、安全、可靠地交換傳輸。網(wǎng)絡(luò)設(shè)備應(yīng)有開放的接口，擁有良好的維護(hù)、測量及管理手段，實(shí)現(xiàn)統(tǒng)一網(wǎng)管。（3）業(yè)務(wù)管理能力網(wǎng)絡(luò)需向用戶提供不同類型的服務(wù)，應(yīng)有良好的業(yè)務(wù)管理能力。（4）統(tǒng)一網(wǎng)管網(wǎng)絡(luò)采用統(tǒng)一的分級、分權(quán)管理能力的網(wǎng)管系統(tǒng)。（5）擴(kuò)展性考慮到用戶數(shù)量和業(yè)務(wù)種類的變化，網(wǎng)絡(luò)要建成完整統(tǒng)一、組網(wǎng)靈活、易于擴(kuò)展的網(wǎng)絡(luò)平臺(tái)，能隨需求變化而擴(kuò)展。（6）安全可靠性整個(gè)網(wǎng)絡(luò)要安全穩(wěn)定，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施。（7）實(shí)時(shí)性網(wǎng)絡(luò)應(yīng)滿足調(diào)度業(yè)務(wù)實(shí)時(shí)性要求。省調(diào)地調(diào)川北光纖環(huán)網(wǎng)水晶變電站小河電站豐巖堡電站圖6-1小河、豐巖堡梯級電站通信網(wǎng)絡(luò)示意圖6 XX、XX省調(diào)地調(diào)川北光纖環(huán)網(wǎng)水晶變電站小河電站豐巖堡電站圖6-1小河、豐巖堡梯級電站通信網(wǎng)絡(luò)示意圖XX、XX梯級電站的對外通信狀況如圖6-1所示。7 XX、XX梯級電站接入拓?fù)淠壳熬W(wǎng)省調(diào)出于流域安全、電網(wǎng)穩(wěn)定控制和電力市場水電優(yōu)先、電能量關(guān)口數(shù)據(jù)獲取等原則要求直接從水電站現(xiàn)場的業(yè)務(wù)系統(tǒng)或采集裝置上采集數(shù)據(jù)，其業(yè)務(wù)流量模型如圖7-1所示：圖7-1XX、XX梯級電站業(yè)務(wù)流量模型按照四川省調(diào)擬定四川電力調(diào)度數(shù)據(jù)網(wǎng)接入典型方案的要求，XX、XX梯級電站應(yīng)考慮配置接入節(jié)點(diǎn)設(shè)備。如圖7-2所示：圖7-2XX、XX梯級電站接入拓?fù)? 廠站業(yè)務(wù)接入方案8.1業(yè)務(wù)系統(tǒng)接入原則根據(jù)《全國電力二次系統(tǒng)安全防護(hù)總體方案》的要求：根據(jù)《全國電力二次系統(tǒng)安全防護(hù)總體方案》的要求，XX、XX梯級電站的各類業(yè)務(wù)按安全等級劃分為2個(gè)區(qū)，要求建立2個(gè)VPN分別進(jìn)行信息交換：安全區(qū)I是生產(chǎn)控制區(qū)，凡是具有實(shí)時(shí)監(jiān)控功能的系統(tǒng)或其中的監(jiān)控功能部分均屬于安全區(qū)I，本工程中主要是包括XX、XX梯級電站的計(jì)算機(jī)監(jiān)控系統(tǒng)；安全區(qū)II是非生產(chǎn)控制區(qū)，原則上不具備控制功能的生產(chǎn)業(yè)務(wù)和系統(tǒng)中不進(jìn)行控制的部分均屬于安全區(qū)II，本工程中主要是包括電能量計(jì)量系統(tǒng)、發(fā)電計(jì)劃申報(bào)系統(tǒng)終端等。四川調(diào)度數(shù)據(jù)網(wǎng)采用三層結(jié)構(gòu)：核心層、骨干層和接入層。省調(diào)為核心層，地調(diào)為骨干層，XX、XX梯級電站數(shù)據(jù)網(wǎng)絡(luò)位于接入層。擬在XX、XX梯級電站設(shè)置2套數(shù)據(jù)專網(wǎng)柜，由SDH設(shè)備2M通道將所有信息傳至省調(diào)、XX地調(diào)。廠站接入如圖8-1所示，在廠站各業(yè)務(wù)接入節(jié)點(diǎn)配置接入路由器及三層交換機(jī)，采用VLAN技術(shù)，每個(gè)VPN接入一臺(tái)三層交換機(jī)，兩臺(tái)三層交換機(jī)接入廠站路由器。圖8-1廠站業(yè)務(wù)系統(tǒng)接入方案示意圖8.2遠(yuǎn)動(dòng)信息接入通過XX、XX梯級電站站內(nèi)綜合計(jì)算機(jī)監(jiān)控系統(tǒng)的主備雙通信服務(wù)器，采用調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)傳輸鏈路為主通道，常規(guī)專線通道為備用通道，通過101、104規(guī)約向四川省主調(diào)和備調(diào)傳送相關(guān)遠(yuǎn)動(dòng)數(shù)據(jù)信息。圖8-2為圖8-2計(jì)算機(jī)監(jiān)控系統(tǒng)接入方案示意圖8.3電能量采集系統(tǒng)/發(fā)電計(jì)劃申報(bào)系統(tǒng)四川電網(wǎng)電力市場支持系統(tǒng)主站設(shè)在四川省電力公司調(diào)度中心，由統(tǒng)一的網(wǎng)絡(luò)平臺(tái)、電量采集系統(tǒng)、發(fā)電計(jì)劃申報(bào)管理系統(tǒng)、考核結(jié)算系統(tǒng)、信息發(fā)布系統(tǒng)、調(diào)度自動(dòng)化系統(tǒng)（EMS）系統(tǒng)組成，是四川電力市場正常運(yùn)轉(zhuǎn)必不可少的技術(shù)基礎(chǔ)。省調(diào)側(cè)電力市場技術(shù)支持系統(tǒng)各子系統(tǒng)建立在一個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)上，各子系統(tǒng)通過網(wǎng)絡(luò)交換機(jī)互聯(lián)，相互交換數(shù)據(jù)。省調(diào)電量采集主站系統(tǒng)采用電力調(diào)度數(shù)據(jù)專網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)傳輸為主，撥號方式數(shù)據(jù)傳輸為輔，抄錄電站端電量數(shù)據(jù)。站端發(fā)電計(jì)劃申報(bào)管理系統(tǒng)通過電力調(diào)度數(shù)據(jù)專網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)傳輸為主，撥號方式備用的結(jié)構(gòu)訪問主站系統(tǒng)，上報(bào)和獲取計(jì)劃和其它市場信息。如下圖所示：圖8-3電能量采集裝置、發(fā)電計(jì)劃申報(bào)系統(tǒng)接入9調(diào)度數(shù)據(jù)網(wǎng)設(shè)備配置及技術(shù)要求9.1網(wǎng)絡(luò)設(shè)備的配置原則﹡ 必須具備高可靠性及高冗余性；﹡ 必須能夠提供故障隔離功能；﹡ 必須具有迅速升級能力；﹡ 必須具有較少的時(shí)延；﹡ 必須具有良好的可管理性。同時(shí)還需要考慮：路由器的處理性能；網(wǎng)絡(luò)的可靠性；網(wǎng)絡(luò)的擴(kuò)展能力；網(wǎng)絡(luò)的安全性。9.2路由器9.2.1路由器基本功能要求路由器設(shè)備必須實(shí)現(xiàn)以下功能。對于所提供路由器設(shè)備，投標(biāo)人9.2.2路由器接口類型及特性要求19.2.2.5SDH接口9.2.3路由器各層協(xié)議及路由協(xié)議要求19.2.3.1.1地址解析協(xié)議（ARP）9.2.3.1.2點(diǎn)到點(diǎn)協(xié)議（PPP）239.2.3.4路由協(xié)議9.2.3.5MPLS協(xié)議9.2.3.6區(qū)分業(yè)務(wù)協(xié)議（Diff-Serv）79.2.4接入路由器詳細(xì)技術(shù)指標(biāo)功能及技術(shù)指標(biāo)參數(shù)要求包轉(zhuǎn)發(fā)能力≥200kpps接口槽數(shù)≥4配置DRAM內(nèi)存≥256M配置Flash內(nèi)存≥32M可支持接口類型10/100BaseT、E1電路端口、.24冗余電源1＋1最大快速以太接入數(shù)量≥10最大E1接口數(shù)量≥16整機(jī)不間斷工作時(shí)間20萬小時(shí)時(shí)延≤100μs用戶協(xié)議IP，TM，F(xiàn)raeRelay路由協(xié)議OSPF、BGPv4、BGP4Extensio、RIPv2路由器管理/安全協(xié)議SNM、RMONII、在線升級，在線打補(bǔ)丁服務(wù)質(zhì)量流量分類和流量監(jiān)管CAR/L、流量整形GTS、擁塞管理PQ/CQ/FQ/CB、擁塞避免RED網(wǎng)絡(luò)安全錄用戶認(rèn)證、RADIUS認(rèn)證/計(jì)費(fèi)、IPSEC、IKE、硬件加密卡、防火墻支持（對接口/時(shí)間段/MAC地址的過濾、高性能T。標(biāo)記交換LDP、MP-BGP流量工程MPLS/TE虛擬專網(wǎng)MPLS/VPN組播PIM，IGP9.3三層交換機(jī)9.3.1基本技術(shù)要求9.3.2詳細(xì)技術(shù)指標(biāo)功能及技術(shù)指標(biāo)參數(shù)要求交換背板容量>=8G最大轉(zhuǎn)發(fā)性能>=6Mpps處理器內(nèi)存>＝64M可支持接口類型10/100BaseT、百兆光口（單模、多模、可擴(kuò)展千兆模塊>=2固定FE接口數(shù)量>=24路由表容量>=2K時(shí)延線速交換VLAN特性支持基于端口的VLAN，802.1qVlan封裝，802.1DSpanning-tree，最大Vlan數(shù)>=25，支持GVRPMAC地址表>=8K路由表項(xiàng)>＝8K基本功能端口鏡像；優(yōu)先權(quán)/802.1p；流量控制/802.3x；端口聚集/802.3ad，>=8；堆疊數(shù)量>=16；支持QoS協(xié)議特性802.1，RSTP組播協(xié)議支持MRP、PIM-DM、PIM-SM、IGMPI、GMPSnooping等協(xié)議生產(chǎn)樹協(xié)議支持STP/RSTP協(xié)議符合IEEE802.1IEEE802.1W標(biāo)準(zhǔn)安全分級命令保護(hù)機(jī)制，L過濾設(shè)備管理集群管理數(shù)量>=256SNMRMON1/2/3/9yslog；支持EB網(wǎng)管，支持MIB-II9.4設(shè)備機(jī)械結(jié)構(gòu)及工藝要求9.5環(huán)境條件高程400地震基本烈度=6\*ROMANVII）10機(jī)房布置及要求路UPS220V±1050Hz±511通道要求12水電站二次系統(tǒng)安全防護(hù)總體框架要求12.1電力二次系統(tǒng)安全防護(hù)的特點(diǎn)12.1.1系統(tǒng)性12.1.2動(dòng)態(tài)性圖12-1安全防護(hù)P2DR動(dòng)態(tài)模型12.2總體安全策略12.3總體防護(hù)方案12.3.1安全區(qū)劃分1）安全區(qū)Ⅰ（控制區(qū)）12.3.2應(yīng)用系統(tǒng)分區(qū)原則12.3.3各安全區(qū)內(nèi)部防護(hù)基本要求12.3.4安全區(qū)之間的橫向隔離要求12.3.5安全區(qū)與遠(yuǎn)方通信的縱向安全防護(hù)要求13XX、XX梯級電站二次安防方案13.1安全分區(qū)13-113.2安全區(qū)I安全防護(hù)配置一套漏洞掃描系統(tǒng)。13-2I13.3安全區(qū)II安全防護(hù)在安全區(qū)II的非實(shí)時(shí)VPN交換機(jī)上增加一套入侵檢測系統(tǒng)，監(jiān)測II區(qū)系統(tǒng)與電力調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)邊界。13-3II14二次系統(tǒng)安全管理體系建設(shè)14.1建立完善的安全管理組織機(jī)構(gòu)系統(tǒng)設(shè)立一套安全審計(jì)平臺(tái)：14.1.1建立完善的安全負(fù)責(zé)制14.1.2明確各類人員的安全職責(zé)14.2安全評估的管理14.3工程實(shí)施過程中的安全管理14.4設(shè)備、應(yīng)用及服務(wù)的接入管理14.5建立日常運(yùn)行的安全管理制度3）網(wǎng)絡(luò)管理4）訪問控制管理5）權(quán)限管理11）數(shù)據(jù)及系統(tǒng)的備份管理14）應(yīng)急處理 必須制定事故應(yīng)急處理方案，并必須經(jīng)過預(yù)演或模擬驗(yàn)證， ，須根據(jù)情況立即采取相應(yīng)的安全應(yīng)急措施：加強(qiáng)保護(hù)、中斷對方連接、反跟蹤以及其它處理措施；并及時(shí)向與本單位直接相關(guān)的電力調(diào)度結(jié)構(gòu)和本地信息安全主管部門報(bào)告，保 恢復(fù)維護(hù)：當(dāng)系統(tǒng)遭到破壞，應(yīng)當(dāng)按照預(yù)先制定的應(yīng)急方案實(shí)施恢復(fù)；采取立即完全恢復(fù)、部分恢復(fù)或啟用備份系統(tǒng)恢15）聯(lián)合防護(hù) 出現(xiàn)安全事故或遭受病毒或黑客的攻擊時(shí)，應(yīng)該及時(shí)向上級部門報(bào)告，并通報(bào)有網(wǎng)絡(luò)連接的單位，采取聯(lián)合防護(hù)措施，15安全防護(hù)產(chǎn)品技術(shù)要求15.1縱向加密認(rèn)證裝置技術(shù)要求證、的VPN保滿104asII濾功面。15.2主機(jī)加固軟件技術(shù)要求1.基于數(shù)字簽名認(rèn)證，控制非授權(quán)訪問在操作系統(tǒng)內(nèi)核層采用數(shù)字簽名方式對用戶進(jìn)行認(rèn)證，認(rèn)證證書本身通過加密算法加密保存，不可偽造，用戶使用數(shù)字證書通過正常認(rèn)證以后才能訪問系統(tǒng)?；跀?shù)字簽名認(rèn)證機(jī)制，可以防止未經(jīng)授權(quán)的超級用戶非法中止進(jìn)程或中斷系統(tǒng)。2.靈活、全面的訪問控制可根據(jù)用戶的需求管理系統(tǒng)調(diào)用，對文件、系統(tǒng)、進(jìn)程進(jìn)行保護(hù)，并可防止由攻擊造成的數(shù)據(jù)篡改，阻止非授權(quán)用戶中斷進(jìn)程和系統(tǒng)服務(wù)，保障服務(wù)器的穩(wěn)定運(yùn)行。3.主動(dòng)入侵防護(hù)及審計(jì)跟蹤可在內(nèi)核層防止BOF(緩沖區(qū)溢出)攻擊，阻止獲得ROOTSHELL。當(dāng)發(fā)生安全問題時(shí)，強(qiáng)制結(jié)束惡意進(jìn)程及自動(dòng)阻斷相應(yīng)IP，并通過管理控制臺(tái)等進(jìn)行實(shí)時(shí)報(bào)警。當(dāng)系統(tǒng)發(fā)生入侵行為或者違反安全策略的操作時(shí)，在網(wǎng)絡(luò)層和系統(tǒng)內(nèi)部對該用戶或程序進(jìn)行阻斷，并由系統(tǒng)向管理員報(bào)警。審計(jì)日志記錄所有與安全相關(guān)的內(nèi)核事件，并提供多種報(bào)表格式供使用。4.實(shí)現(xiàn)權(quán)限分離及最小特權(quán)操作系統(tǒng)訪問控制的最佳策略是權(quán)限分離和最小特權(quán)原則。通過嚴(yán)格分開系統(tǒng)管理員和安全管理員的權(quán)限，以控制超級用戶(Windows中的Administrator，Unix/Linux中的root)的權(quán)限，可有效防止內(nèi)部人員的越權(quán)訪問和外部的攻擊。5.程序自我保護(hù)系統(tǒng)采用內(nèi)核密封(KernelSealing)技術(shù)，管理內(nèi)核模塊的加載/卸載，可阻斷對內(nèi)核的惡意攻擊。主機(jī)加固系統(tǒng)具有內(nèi)核隱藏(KernelStealth)功能，它隱藏了安全內(nèi)核，并自動(dòng)保護(hù)主機(jī)加固系統(tǒng)程序目錄和文件，可防止安全內(nèi)核程序被刪除，最大限度地降低了安全風(fēng)險(xiǎn)。6.運(yùn)行環(huán)境“零影響”系統(tǒng)應(yīng)采用動(dòng)態(tài)可加載模塊技術(shù)，保證服務(wù)器加固與管理系統(tǒng)安裝或卸載時(shí)不需要重啟系統(tǒng)。通過從內(nèi)核層截取文件訪問控制方式，加強(qiáng)操作系統(tǒng)安全性，同時(shí)，并不對操作系統(tǒng)的內(nèi)核進(jìn)行修改。15.3入侵檢測系統(tǒng)技術(shù)要求1）產(chǎn)品需獲得如下資質(zhì)證書：計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證；國際信息安全認(rèn)證產(chǎn)品EAL3認(rèn)證證書；涉密信息系統(tǒng)產(chǎn)品檢測證書；國際CVE組織產(chǎn)品兼容認(rèn)證證書。2）產(chǎn)品廠家應(yīng)獲得如下資質(zhì)：安全服務(wù)2級資質(zhì)；應(yīng)急相應(yīng)1級資質(zhì)；企業(yè)CIMM3資質(zhì)。3）系統(tǒng)集成商必須提交原廠家的授權(quán)書及售后服務(wù)承諾函。4）引擎為標(biāo)準(zhǔn)機(jī)架式硬件設(shè)備；最少具備二個(gè)監(jiān)聽端口，最多可擴(kuò)充到四端口監(jiān)聽。支持冗余電源設(shè)置。5）具有用戶自定義事件功能。具備完備、開放的特征庫，支持生成自己的事件庫，對非通用入侵行為進(jìn)行定義檢測；支持向?qū)降淖远x事件方式。5）提供事件關(guān)聯(lián)分析功能，可實(shí)現(xiàn)入侵檢測事件之間的關(guān)聯(lián)，也可以實(shí)現(xiàn)入侵檢測事件和漏洞掃描事件之間的關(guān)聯(lián)。6）采用基于行為分析的檢測技術(shù)，對未知漏洞進(jìn)行攻擊能夠很好防范。支持協(xié)議衍生功能，定義檢測非標(biāo)準(zhǔn)端口協(xié)議事件。7）支持異常流量檢測，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的流量異常行為。8）應(yīng)具備集中控制、集中管理功能，可實(shí)現(xiàn)集中式安全監(jiān)測管理和配置管理，提供有選擇的上下級事件上報(bào)策略，并支持在整個(gè)網(wǎng)絡(luò)內(nèi)的全局預(yù)警功能。9）各組件間（管理平臺(tái)與引擎等）使用加密信道通信；簡便易用的GUI管理界面，要求能夠?qū)︼@示窗口進(jìn)行自定義，做到只顯示需要關(guān)注的內(nèi)容。10）應(yīng)具備與主機(jī)入侵檢測系統(tǒng)/漏洞掃描系統(tǒng)同臺(tái)管理功能。11）具有設(shè)備的拓?fù)滹@示功能，可以在界面上以圖形化的方式顯示當(dāng)前的IDS部署拓?fù)?。同時(shí)支持多個(gè)用戶監(jiān)測臺(tái)的設(shè)置，支持至少8個(gè)以上的多用戶監(jiān)測臺(tái)設(shè)置。12）應(yīng)提供按照檢測對象、攻擊類型等分類的默認(rèn)內(nèi)置檢測模版，且默認(rèn)模版不可修改；提供向?qū)Щ牟呗跃幹品绞剑峁┖?、并、交等策略集操作策略?3）支持虛擬引擎功能，可以按照不同檢測對象設(shè)置不同的檢測策略。14）具備動(dòng)態(tài)策略調(diào)整功能，對一些頻繁出現(xiàn)的低風(fēng)險(xiǎn)事件，自動(dòng)調(diào)整其響應(yīng)方式。15）應(yīng)具備基于時(shí)間、事件、風(fēng)險(xiǎn)級別、源地址、源端口、目標(biāo)地址、目標(biāo)端口、行為參數(shù)、響應(yīng)方式等復(fù)雜邏輯組合的分析查詢功能，并且可以產(chǎn)生各種圖片、文字報(bào)告；支持自定義的報(bào)表模版，生成的報(bào)表可以導(dǎo)出為DOC/CSV/XLS等常見文本格式。同時(shí)還應(yīng)具備基于統(tǒng)計(jì)的圖表型報(bào)表。16）事件幫助信息必須全中文并提供對事件的描述和如何修補(bǔ)漏洞的指導(dǎo)。17）應(yīng)支持多種數(shù)據(jù)庫類型，包括：ACCESS、MSDE（SQLSERVER）和任何具備ODBC（開放式數(shù)據(jù)庫互聯(lián)）通用數(shù)據(jù)庫接口的數(shù)據(jù)庫系統(tǒng)，并且支持獨(dú)立的日志數(shù)據(jù)庫部署。同時(shí)具備專門的數(shù)據(jù)庫維護(hù)功能，要求能夠按照事件上報(bào)的日期時(shí)間和風(fēng)險(xiǎn)等級、引擎來源等對日志數(shù)據(jù)庫進(jìn)行刪除、轉(zhuǎn)儲(chǔ)等操作。18）要求對用戶分級，并能夠調(diào)整對不同用戶具體權(quán)限，具備不同的操作。對各級權(quán)限的用戶行為進(jìn)行審計(jì)。對控制臺(tái)與探測引擎之間的數(shù)據(jù)通信及存儲(chǔ)進(jìn)行加密、完整性檢查和基于RSA（1024位）的身份鑒別處理；網(wǎng)絡(luò)探測引擎采用固化模塊（包含軟硬件），專有操作系統(tǒng)，探測引擎無IP地址，在網(wǎng)絡(luò)中實(shí)現(xiàn)自身隱藏及帶外管理。15.4漏洞掃描系統(tǒng)技術(shù)要求技術(shù)要求對網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫和應(yīng)用服務(wù)的漏洞進(jìn)行掃描時(shí)，不更改任何配置和安裝任何類似探針的軟件，也不需要被掃描設(shè)備提供任何訪問權(quán)限的情況下，系統(tǒng)能夠正常工作。掃描信息全面，包括主機(jī)信息、用戶信息、服務(wù)信息、漏洞信息等內(nèi)容。能對掃描對象的安全脆弱性進(jìn)行全面檢查，檢查內(nèi)容包括缺少的安全補(bǔ)丁、詞典中可猜測的口令、操作系統(tǒng)內(nèi)部是否有黑客程序駐留、不安全的服務(wù)配置等?？蓹z測的目標(biāo)主機(jī)的系統(tǒng)包括：Win系列、Linux、Unix、AIX、HPUX、IRIX、BSD等。掃描過程中能夠自動(dòng)發(fā)現(xiàn)和識別目標(biāo)系統(tǒng)的類型，并根據(jù)其類型選擇相應(yīng)的掃描方法。支持對網(wǎng)絡(luò)設(shè)備和安全設(shè)備，如Cisco、Checkpoint等的掃描?？蓲呙璧闹髁鲾?shù)據(jù)庫包括：Oralce、Sybase、SQLServer、DB2、MySQL、Infomix等。為確保網(wǎng)絡(luò)的保密性，系統(tǒng)應(yīng)能夠檢測到網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)監(jiān)聽設(shè)備。能夠支持Windows域環(huán)境掃描，實(shí)現(xiàn)類似基于主機(jī)的安全漏洞檢測深度。具有豐富的漏洞檢查列表，內(nèi)置漏洞庫涵蓋當(dāng)前系統(tǒng)常見的漏洞和攻擊特征，漏洞庫兼容CNCVE、CVE和BUGTRAQ標(biāo)準(zhǔn)。漏洞掃描能力超過2200條。支持分布式掃描，可以定義掃描端口的范圍。可以定義掃描對象范圍、掃描策略。歷史掃描任務(wù)可以導(dǎo)出導(dǎo)入和修改。能定制臨時(shí)或定期掃描任務(wù)，系統(tǒng)自動(dòng)執(zhí)行掃描，找出系統(tǒng)或配置上的漏洞和不安全因素。定期執(zhí)行任務(wù)的起始和終止時(shí)間可以自定義。可以在掃描過程中通知被掃描的主機(jī)將要接受來自掃描器的掃描，如windowsmessange（用戶是Windows系統(tǒng)且該服務(wù)啟動(dòng)情況下）。提供掃描授權(quán)機(jī)制，在授權(quán)許可范圍內(nèi)進(jìn)行單機(jī)掃描、分組掃描和全部掃描?？梢赃m應(yīng)用戶的不同網(wǎng)絡(luò)帶寬環(huán)境，具有可配置的多主機(jī)、多線程掃描能力，采用漸進(jìn)式多線程任務(wù)調(diào)度技術(shù)。可并發(fā)掃描IP>30。在掃描的過程中不對目標(biāo)系統(tǒng)產(chǎn)生破壞性影響，即掃描結(jié)束后目標(biāo)系統(tǒng)不會(huì)被改動(dòng)或破壞，掃描結(jié)束后目標(biāo)系統(tǒng)不會(huì)出現(xiàn)死機(jī)或者停機(jī)現(xiàn)象，掃描過程中應(yīng)保持目標(biāo)系統(tǒng)的可用性。掃描過程可視化，能夠?qū)崟r(shí)顯示掃描進(jìn)度和IP地址、漏洞信息。能夠?qū)崟r(shí)在線顯示掃描漏洞報(bào)表，掃描任務(wù)結(jié)束后可直接對漏洞結(jié)果進(jìn)行查看。支持?jǐn)嗑W(wǎng)續(xù)掃功能，并且對已經(jīng)完成的掃描結(jié)果進(jìn)行保存。提供漏洞驗(yàn)證功能，對掃描出來的重要漏洞能夠模擬黑客行為進(jìn)行漏洞風(fēng)險(xiǎn)展示。資質(zhì)要求產(chǎn)品應(yīng)具備中華人民共和國公安部的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》，中國國家信息安全評測認(rèn)證中心的《國家信息安全認(rèn)證產(chǎn)品型號證書》。具備國家保密局涉密信息系統(tǒng)安全保密中心的《涉密信息系統(tǒng)產(chǎn)品檢測證書》。具備中國人民解放軍信息安全測評認(rèn)證中心《軍用信息安全產(chǎn)品認(rèn)證證書》。產(chǎn)品廠家必須有CMMI3證書，涉密甲級單項(xiàng)軟件開發(fā)證書。漏洞掃描廠商應(yīng)具備多年的漏洞研究經(jīng)驗(yàn)積累，國際CVE組織成員，能夠查看微軟操作系統(tǒng)源代碼。產(chǎn)品有5年以上的市場銷售時(shí)間，是成熟可信產(chǎn)品。產(chǎn)品要求取得CVE（CommonVulnerabilitiesandExposures，世界漏洞披露組織）正式的兼容認(rèn)證（CertificateofCVECompatiblity），并提供證明文件。產(chǎn)品要求為國內(nèi)開發(fā)，具備自主知識產(chǎn)權(quán),必須具備《計(jì)算機(jī)軟件著作權(quán)登記證書》。漏洞掃描系統(tǒng)必須與入侵檢測系統(tǒng)為同一廠家產(chǎn)品。即在同一平臺(tái)界面上可以進(jìn)行NIDS和掃描引擎的統(tǒng)一管理