电站调度数据网接入及二次系统安全防护工程初步设计报告3

电站调度数据网接入及二次系统安全防护工程初步设计报告3 四川省XX县XX、XX电站 调度数据网接入及二次系统安全防护工程 设计单位:XXXX电力设计咨询有限公司 二?一二年三月 目 录 1 工程简介 ............................................................................................................. 3 2 设计总则 ............................................................................................................. 4 2.1 设计依据 ........................................................................................................... 4 2.2 设计范围 ........................................................................................................... 4 2.3 设计原则 ........................................................................................................... 4 3 业务种类及传输需求 .................................................................................... 5 3.1 业务种类 ........................................................................................................... 5 3.2 四川电力调度数据网络传输的信息 ...................................................................... 5 3.3 网络业务传输需求分析 ....................................................................................... 6 4 技术体制 ............................................................................................................ 6 5 网络拓扑结构 ..................................................................................................... 7 6 XX、XX梯级电站通信现状................................................................................. 8 7 XX、XX梯级电站接入拓扑................................................................................. 8 8 厂站业务接入 .............................................................................................. 9 8.1 业务系统接入原则 ............................................................................................. 9 8.2 远动信息接入 ...................................................................................................10 8.3 电能量采集系统/发电申报系统 ....................................................................11 9 调度数据网设备配置及技术要求 ...........................................................................12 9.1 网络设备的配置原则 .........................................................................................12 9.2 路由器 .............................................................................................................12 9.3 三层交换机.......................................................................................................16 9.4 设备机械结构及工艺要求 ..................................................................................17 9.5 环境条件 ..........................................................................................................18 10 机房布置及要求 .................................................................................................19 11 通道要求 ...........................................................................................................19 12 水电站二次系统安全防护总体框架要求 ...............................................................20 1 12.1 电力二次系统安全防护的特点 ..........................................................................20 12.2 总体安全策略 .................................................................................................21 12.3 总体防护方案 .................................................................................................21 13 XX、XX梯级电站二次安防方案 .........................................................................25 13.1 安全分区 ........................................................................................................25 13.2 安全区 I 安全防护 ..........................................................................................26 13.3 安全区 II 安全防护 ........................................................................................27 14 二次系统安全管理体系建设 ................................................................................29 14.1 建立完善的安全管理组织机构 ..........................................................................29 14.2 安全评估的管理 ..............................................................................................30 14.3 工程实施过程中的安全管理 .............................................................................30 14.4 设备、应用及服务的接入管理 ..........................................................................31 14.5 建立日常运行的安全#管理# ..........................................................................31 15 安全防护产品技术要求.......................................................................................34 15.1 纵向加密认证装置技术要求 .............................................................................34 15.2 主机加固软件技术要求 ....................................................................................35 15.3 入侵检测系统技术要求 ....................................................................................36 15.4 漏洞扫描系统技术要求 ....................................................................................38 15.5 安全审计管理平台 ...........................................................................................41 15.6 防病毒系统 .....................................................................................................42 16 投资估算表 .......................................................................................................43 2 1 工程简介 XX、XX梯级电站位于四川省XXXX县境内，是XX在XX县境内梯级开发的第一、二级电站，均为引水式电站。XX水电站距XX县城约130km，距平武县城约73km;电站装机容量2×24 MW，两台机组接成发电机—变压器组单元接线,分别接容量为31.5 MVA的主变压器各一台，110kV侧母线采用单母线接线。XX水电站距XX县城约138km，距平武县城约65km;电站装机容量2×22MW，发电机变压器组合为单元接线，分别接容量为90MVA和31.5MVA的主变压器各一台，90MVA变压器为三圈变压器，110kV侧吸收XX电站电能升压至220kV，10.5kV侧吸收本电站1#机电能，2#机与2#主变接为单元接线;220kV 侧采用单母线接线。梯级电站采用集中控制模式，集控中心设于XX电站内。 2006年10月在四川电力调度数据网厂站接入工作会上，四川省调根据四川电网“十一五”二次系统规划，对水电站调度自动化信息接入省调提出了新要求，要求水电站应组织电力调度数据网络(主通道)和常规远动通道(备用通道)，以直采直送方式将水电站调度自动化信息传送到四川省调。根据四川电网“十一五”二次系统规划方案，按照《电力二次系统安全防护规定》和《全国电力二次系统安全防护总体方案》的要求，为防范对电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障电力系统的安全稳定运行，建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系。实施方案应满足《电力二次系统安全防护总体方案》电监安全[2006]34号文的要求。 为适应省调这一最新要求，XX、XX梯级电站按四川电力调度数据网双平面接入要求分别接入四川省级调度数据接入网和XX地级调度数据接入网，数据网设备按双套配置，在XX、XX梯级电站配置接入路由器2台和三层交换机4台。接入方案按《国家电网调度数据网第二平面网络(SPDnet-2)总体技术方案》的要求执行。同时在电厂侧配置纵向加密认证装置，实现 3 电厂与省调通信的纵向安全防护体系。 2 设计总则 2.1 设计依据 (1) 四川电网“十一五”二次系统规划; (2) 国家电力调度数据网络总体设计技术方案; (3) 四川电力调度数据网络初步设计和技术规范书; (4)《电力二次系统安全防护总体方案》，电监安全[2006]34 号文。 2.2 设计范围 (1) 依据四川电力调度数据网一期工程初步设计中所确定的原则和四川省电网公司调度生产现有需求及发展需要，对水电站和调度相关的业务种类、需求及流量进行分析和预测，确定XX、XX梯级电站接入四川电力调度数据网所采用的网络技术体制及接入方案。 (2) 进行网络拓扑结构、网络方案设计，提出网络功能和业务范围、网络安全、网络管理等方面的要求。 (3) 提出各类承载业务系统的接入方案。 (4) 根据业务和性能要求，提出网络设备配置方案及技术指标要求。 (5) 提出工程的主要设备清册。 2.3 设计原则 XX、XX梯级电站接入四川电力调度数据网方案规划设计的主要原则如下: (1)接入方案应满足电监会 5 号令的要求，确保电网和电厂计算 机监控系统及调度数据网络等电力二次系统的安全。 (2)接入方案应满足四川电力调度数据网工程设计中有关厂站接入的要求。 (3)接入方案应满足四川电力调度生产各种业务的需要，并应充分考虑网络技术的发展方向，网络平台应具有高度的灵活性、适应性和良好 4 的可扩展性，以满足目前和未来的网络需求。 (4)接入方案应具有良好的服务质量保证机制，满足四川电网调度生产所需的网络功能和承载能力。 (5)接入方案应满足XX、XX梯级电站安全、可靠和高效地向四川省调传送相关业务数据的要求。 3 业务种类及传输需求分析 3.1 业务种类 (1) 调度自动化数据业务 调度自动化数据有两类，一类是保证电网安全、稳定、经济运行所必需的电网运行状态的实时监控数据;另一类是EMS系统实现网 络分析的高级应用软件所需要的准实时数据。 (2) 电力市场数据:电力市场数据包括公司内部电力市场技术支持系统之间交换的数据，各个系统采集的各自需要的数据，公司交易中心与其它公司交易中心之间交换的数据。这些数据用于电力市场交易、查询、发布和结算，其覆盖面广，信息量大，对数据可靠性、安全性、完整性、准确性均有很高要求。电力市场数据内容主要有电能计量数据、现货交易数据(负荷、电量、报价等)、期货交易数据(负荷、电量、报价等)、市场其它信息等。 (3) 电能量信息数据、系统继电保护及故障录波信息数据、安全自动装置数据业务以及保护记录的历史数据的非实时数据传输。 3.2 四川电力调度数据网络传输的信息 四川电力调度数据网络传输的信息可以分为以下二类: (1) 实时和准实时信息: , 远动信息 , 水调自动化信息 , 保护故障信息处理系统信息 5 , 相角监测信息 , EMS 系统之间交换的用于网络分析的准实时数据 , 电力市场实时信息交换 , 通信监测系统信息 (2) 非实时信息 , 电力市场数据(含电能量计量数据) , 继电保护类信息 , 安全稳定控制系统数据 , 运方类信息 3.3 网络业务传输需求分析 上述各类业务信息的传输优先级、传输频度、传输时延、传输的可靠 性等要求各不相同，其传输需求的分析结果可参见下表: 表 3-1 各类业务数据传输需求一览表 序号业务种类传输优先传输频度可靠性 实时数据级 1 (1)远动数据高秒级高 (2)EMS 实时数据高秒级高 (3)电力市场实时数据高秒级高 非实时数据 2 (1)电能量计量数据较高分钟级高 (2)电力市场非实时数据较高分钟级高 (3)水调自动化数据较高分钟级高 (4)保护故障数据较高随机高4 技术体制 在四川电力调度数据网一期工程已经明确电力调度数据网采用IP技 术体制，即采用 IP Over SDH 技术组网，实现调度数据网和电力综合业 6 务数据网的物理隔离(SDH 层面隔离)。该体制具有以下优点: (1) 符合调度应用特性。电力调度应用系统特性相对较单一，基本是 IP 业务，从应用特性看，应直接采用IP交换网络。 (2) IP+SDH 网络开销小，传输效率高。 (3) 网络简洁，设备投资少。 (4) 网络层次简洁，复杂度低，利于日常运行维护。IP路由设备与SDH/PDH设备接口简单、标准，便于在故障情况下快速定位和故障处理。 (5) 调度IP业务与其他IP业务之间是物理隔离，网络安全性好，有利于系统整体安全策略的制定和部署。 根据 IP 技术发展的趋势和调度数据网业务的需求，根据国调《二次系统安全防护体系》的要求，采用基于BGP/MPLS VPN的技术在调度数据网内划分两个VPN: 实时控制VPN和非控制生产VPN，分别供安全区 I(实时控制区)和安全区 II(非控制生产区)广域数据传输用。 调度数据网采用MPLS VPN实现业务间的安全隔离。路由采用OSPF，通过建立多区域并和IP地址规划配合，减少路由表条目，避免路由翻动对区域外网络的影响。 5 网络拓扑结构 (1) 分层结构 基于业务量的需求和网络可扩展性的原则，考虑网络运行维护要求，四川调度数据网采用三层结构，即核心层、骨干层、接入层。XX、XX梯级电站为接入层节点。 (2) 标准化和开放性 采用的网络技术应符合国际标准及国内标准，满足信息准确、安全、可靠地交换传输。网络设备应有开放的接口，拥有良好的维护、 测量及管理手段，实现统一网管。 (3) 业务管理能力 网络需向用户提供不同类型的服务，应有良好的业务管理能力。 (4) 统一网管 网络采用统一的分级、分权管理能力的网管系统。 7 (5) 扩展性 考虑到用户数量和业务种类的变化，网络要建成完整统一、组网灵活、易于扩展的网络平台，能随需求变化而扩展。 (6) 安全可靠性 整个网络要安全稳定，支持网络节点的备份和线路保护，提供网络安全防范措施。 (7) 实时性 网络应满足调度业务实时性要求。 6 XX、XX梯级电站通信现状 XX、XX梯级电站的对外通信状况如图 6-1 所示。 小河电站 丰岩堡电站 水晶变电站 地调 川北光纤环网 省调 图 6-1 小河、丰岩堡梯级电站通信网络示意图 7 XX、XX梯级电站接入拓扑 目前网省调出于流域安全、电网稳定控制和电力市场水电优先、 电能量关口数据获取等原则要求直接从水电站现场的业务系统或采集装置上采集数据，其业务流量模型如图 7-1 所示: 图 7-1 XX、XX梯级电站业务流量模型 8 按照四川省调拟定四川电力调度数据网接入典型方案的要求，XX、XX梯级电站应考虑配置接入节点设备。如图 7-2 所示: 图7-2 XX、XX梯级电站接入拓扑 8 厂站业务接入方案 8.1 业务系统接入原则 根据《全国电力二次系统安全防护总体方案》的要求:根据《全国电力二次系统安全防护总体方案》的要求，XX、XX梯级电站的各类业务按安全等级划分为2个区，要求建立2个VPN分别进行信息交换:安全区I是生产控制区，凡是具有实时监控功能的系统或其中的监控功能部分均属于安全区I，本工程中主要是包括XX、XX梯级电站的计算机监控系统;安全区II是非生产控制区，原则上不具备控制功能的生产业务和系统中不进行控制的部分均属于安全区II，本工程中主要是包括电能量计量系统、发电计划申报系统终端等。 四川调度数据网采用三层结构:核心层、骨干层和接入层。省调为核心层，地调为骨干层，XX、XX梯级电站数据网络位于接入层。拟在XX、XX梯级电站设置2套数据专网柜，由SDH设备2M通道将所有信息传至省调、XX地调。 厂站接入如图8-1所示，在厂站各业务接入节点配置接入路由器及三层交换机，采用VLAN技术，每个VPN接入一台三层交换机，两台三层交 9 换机接入厂站路由器。 图8-1 厂站业务系统接入方案示意图 8.2 远动信息接入 通过XX、XX梯级电站站内综合计算机监控系统的主备双通信服务器，采用调度数据网网络传输链路为主通道，常规专线通道为备用通道，通过 101、104 规约向四川省主调和备调传送相关远动数据信息。图 8-2为远动信息接入示意图: 10 图8-2 计算机监控系统接入方案示意图 8.3 电能量采集系统/发电计划申报系统 四川电网电力市场支持系统主站设在四川省电力公司调度中心，由统一的网络平台、电量采集系统、发电计划申报管理系统、考核结算系统、信息发布系统、调度自动化系统(EMS)系统组成，是四川电力市场正常运转必不可少的技术基础。 省调侧电力市场技术支持系统各子系统建立在一个统一的网络平台上，各子系统通过网络交换机互联，相互交换数据。省调电量采集主站系统采用电力调度数据专网网络数据传输为主，拨号方式数据传输为辅，抄录电站端电量数据。站端发电计划申报管理系统通过电力调度数据专网网络数据传输为主，拨号方式备用的结构访问主站系统，上报和获取计划和其它市场信息。如下图所示: 图8-3 电能量采集装置、发电计划申报系统接入 11 9 调度数据网设备配置及技术要求 9.1 网络设备的配置原则 必须具备高可靠性及高冗余性; , , 必须能够提供故障隔离功能; , 必须具有迅速升级能力; 必须具有较少的时延; , 必须具有良好的可管理性。 同时还需要考虑: , 路由器的处理性能; 网络的可靠性; 网络的扩展能力; 网络的安全性。 9.2 路由器 9.2.1 路由器基本功能要求 路由器设备必须实现以下功能。对于所提供路由器设备，投标人应结合下述功能要求详细进行逐条说明。 (1)应支持将 IP 地址与相应连接到的网络的链路层地址相互映射。例如将 IP 地址转换成以太网硬件地址等(ARP 以及 RARP)。 (2)应能支持 OSPF v2 或/和 IS-IS 和 RIP v2 等内部网关协议(IGP) 与其它同一自治域(AS)中路由器交换路由信息及可达性信息。 支持 BGP 4 外部网关协议与其它自治域交换拓扑信息。 (3)应能提供系统网络管理和控制机制，包括存储/上载配置、诊 断、升级、状态报告、异常情况报告及控制等。并应能提供包括数、字节数、端口、业务类型等信息统计功能。 (4)应能提供多种可选物理层传输接口和适配功能。特别是，支持多个 E1/G.703 接口的绑定功能。 12 (5)应能提供组播功能。 (6)应能提供虚拟专网(VPN)功能。 (7)应能支持 MPLS(VPN，TE)。 (8) 应能支持路由器节点的 CQS 功能，并且网络具备一定的 QoS 机制。 (9) 应能够与其他厂家的路由器设备互联互通，并列出清单(型号)。 9.2.2 路由器接口类型及特性要求 9.2.2.1 路由器接口 (1)应能支持 10/100BaseT 自适应接口 (2)应能支持千兆以太网接口 (3)应能支持 E1/CE1 电接口 (4)应能支持 STM-1 光/电接口 9.2.2.2 10/100BaseT 接口 10Mbit/s 以太网接口应符合 IEEE802.3。 100Mbit/s 快速以太网接口应符合 IEEE802.3u。 9.2.2.3 千兆比以太网接口 1000Mbit/s 以太网物理接口可以支持 1000Base-SX、1000Base-LX 以 及 1000BaseT 。 1000Base-SX 和 1000Base-LX 接口应符合 IEEE802.3z，1000BaseT 接口应符合 IEEE802.3ab。 支持千兆比以太网接口上的 MPLS(MPLS OVER GIGABIT ETHERNET)。 支持优先级设定/映射。当用于局域网时，支持虚拟冗余路由器协议(VRRP)。 9.2.2.4 E1 电接口 E1 电接口的物理层特性应符合 ITU-T I.432、G.703 建议。 E1 电接口的接口类型应为非平衡式 75 欧姆 BNC 接口。 支持信道化方式。 13 9.2.2.5 SDH 接口 STM-1 光/电接口物理层特性应符合 ITU-T G.957 和国标要求。 9.2.3 路由器各层协议及路由协议要求 9.2.3.1 链路层协议 路由器应能支持地址解析协议(ARP)、反向地址解析协议(RARP)、点到点协议(PPP);对于核心层、骨干层路由器还应能支持 SDH 上传送 IP 的协议，即能支持 RFC1619/2615。 9.2.3.1.1 地址解析协议(ARP) 实现 ARP 的路由器必须符合 RFC1122 中 ARP 部分。如果仅因为 ARP 缓存中没有相应的目的地地址，链路层不允许报告目的地不可达差错;链路层应在执行 ARP 请求/响应序列时缓存数据包，只有在请求无结果后才报告目的地不可达。 9.2.3.1.2 点到点协议(PPP) 对点到点协议的实现必须符合 RFC1661、RFC1331、RFC1334 和 RFC1994。 9.2.3.2 互联网层协议 应能支持 IP、ICMP、IGMP 等协议 9.2.3.3 互联网层转发协议 路由器的包转发过程应符合 RFC791、RFC950、RFC922、RFC792、 RFC1349 互联网层协议;应支持传输控制协议(TCP)、用户数据包协 议(UDP)。 9.2.3.4 路由协议 路由器应支持缺省路由、静态路由，并支持 RIPv2、OSPF、BGP4 等动态路由协议，并说明是否支持 IS-IS 路由协议。 9.2.3.5 MPLS 协议 路由器应完全支持对 MPLS 协议。 14 9.2.3.6 区分业务协议(Diff-Serv) 路由器应支持区分业务协议。 9.2.3.7 排队策略和拥塞控制 路由器应提供先进的拥塞控制机制，对不同等级的业务进行不同的处 理，设备应该支持为每个队列或用户分配相对独立的带宽资源，为所有的 应用提供不同的时延、不同的时延抖动、不同的带宽保证和不同的丢包率 个。应提供路等要求，设备的每个物理接口所支持的队列数量不应低于4 由器每接口模块能够提供的队列数目、可以实施的队列调度算法、以及队 列对性能的综合影响。 9.2.4 接入路由器详细技术指标 功能及技术指标参数要求 包转发能力?200kpps 接口槽数?4 配置DRAM 内存?256M 配置Flash 内存?32M 可支持接口类型10/100BaseT、E1 电路端口、V.24 冗余电源1，1 最大快速以太接入数量?10 最大E1 接口数量?16 整机不间断工作时间20 万小时 时延?100μs 用户协议IP，ATM，Frame Relay 路由协议OSPF、BGP v4、BGP4 Extension、RIP v2 路由器管理/安全协议SNMP、RMON II、在线升级，在线打补丁 服务质量流量分类和流量监管 CAR/LR、流量整形 GTS、拥塞管理 PQ/CQ/WFQ/CBQ、拥塞避免W RED 件加密卡、网络安全录用户认证、RADIUS 认证/计费、IPSEC、IKE、硬 防火墙支持(对接口/时间段/MAC 地址的 过滤、高性能)N AT。 标记交换LDP、MP-BGP 流量工程MPLS/ TE 虚拟专网MPLS/VPN 组播PIM，IGMP 15 9.3 三层交换机 9.3.1 基本技术要求 千兆比以太网 3 层交换机具有第 3 层路由功能，其主要功能包括 以下几方面: 1) 接口功能:支持 1000Base-SX、1000Base-LX、1000Base-T、 ( 100Base-FX、100Base-T 接口。 (2) 逻辑链路层功能:以太网交换机必须实现一类 LLC 支持类型 1 操作。 (3) 数据帧转发功能:交换机在不同端口所连接的被桥接的 MAC 间交换 MAC 用户数据帧。 (4) 数据帧过滤功能:交换机为防止数据帧重复，对某些端口上数据帧不转发(丢弃)到其他接口。 (5) IP 包转发功能:按照路由表内容在各端口(包括逻辑端口)间转发数据包并且改写链路层数据包头信息。 (6) 路由信息维护功能:该功能负责运行路由协议，维护路由表。 (7) 维护决定数据帧转发及过滤的信息:交换机必须实现维护数据帧转发/过滤信息。 (8) 运行维护功能:交换机必须实现运行维护功能。 (9) 网络管理功能:交换机必须实现网络管理接口及协议。 (10) 任意配置下，所有端口线速交换转发。 (11) 支持 OSPF、RIP 等内部网关协议(IGP)。 (12) 支持 802.1X 认证，提高网络安全性。 16 9.3.2 详细技术指标 功能及技术指标参数要求 交换背板容量>=8G 最大转发性能>=6Mpps 处理器内存>,64M 可支持接口类型10/100BaseT、百兆光口(单模、多模、)GE 可扩展千兆模块>=2 固定FE 接口数量>=24 路由表容量>=2K 时延线速交换 VLAN 特性支持基于端口的VLA N，802.1q Vlan 封装，802.1D Spanning-tree，最大Vlan 数>=256，支持GVRP MAC 地址表>=8K 路由表项>,8K 基本功能端口镜像;优先权/802.1p;流量控制/802.3x;端口 聚集/802.3ad，>=8;堆叠数量>=16;支持QoS 协议特性802.1X，RSTP 组播协议支持 GMRP 、PIM-DM 、PIM-SM 、IGMPI 、GMP Snooping 等协议 生产树协议支持STP/RSTP 协议符合，IEEE802.1 DIEEE802.1W、 标准 安全分级命令保护机制，ACL 过滤 设备管理集群管理数量>=256;SNMP;RMON 1/2/3/9;Syslog; 支持W EB 网管，支持MIB -II 9.4 设备机械结构及工艺要求 (1) 设备的总体机械结构应充分考虑安装维护的方便和扩充容量或调整设备数量的灵活性，实现硬件的模块化。机械结构应具有足够的强度和刚度，设备的安装固定方式应具有防振抗震能力，对地面的荷重不应超过 400kg/m2，应保证设备经过常规的运输、储存和安装后不产生破损、变形。 (2) 机箱(包括路由器、交换机)以及所有的部件均应安装在标准机架内。 机箱上各种插板、模块均应是嵌入式的，易于插入、拔出，并有定位、锁定装置，插板、模块上应标示有导向。机架上可接触至布线的部位和危 17 险电压的部位，均必须提供罩盖，对高压等危险部位应有特殊标志。 (3) 设备应有良好的表面处理，表面处理层应是牢固的，易锈、易氧化的部件应进行特殊表面处理，以便设备能长期抗腐蚀、防蛀、 防生锈。所有喷塑(漆)部件的表面应光滑平整、色泽一致，不允许有划痕、斑疵、流挂、脱落和破损，所有电镀部件的表面应有金属光泽，不允许有裂纹、锈点、毛刺和缺陷。 9.5 环境条件 (1) 海拔高程:至少400米。 (2) 耐地震能力 1)地面水平加速度:0.2g 2)地面垂直加速度:0.1g 3)地震基本烈度:VII (3) 工作环境温度 1)长期工作条件:10?,35? 2) 短期工作条件:0?,45?(短期工作条件连续不超过48h，每年累计不超过 15 天) (4) 工作相对湿度 1)长期工作条件:20%,80% 2) 短期工作条件:10%,90%(短期工作条件连续不超过48h，每年累计不超过 15 天) (5)路由器等设备应能适应不同的地域环境条件，并能在无空调条件下运输和存储，而不影响装机开通后的正常运行。对此，投标人应作出相应说明。 (6)路由器等设备应具备相应的防尘能力，在机房内粒子直径大于 5 微米的灰尘(灰尘粒子是非导电、导磁和腐蚀性的)的浓度不大于 3x104粒/m3的情况下路由器等设备应不出现故障和性能的下降。 18 (7)路由器等设备应具备相应的抗电磁干扰能力，路由器等设备本身在 0.01-10000MHz 频率范围内受到电场强度为 140dBuV/m 的外界电磁波干扰时，应不出现故障和性能的下降。 (8)路由器等设备应采用交流 220V 供电方式，投标人应详细说明所提供的各类设备所需电源的要求，并给出各种节点、各种设备的功耗和总功耗。 (9) 采用单相、额定电压为 220V 的交流电源时，路由器等设备应能在一定的电压变动范围之内正常工作。允许的电压变动范围为+15% , -15%，50Hz 频率+5% , -5%，线电压波形畸变率<5%。 (10)机房的接地电阻值一般不大于 2 欧姆，路由器等设备应具有相应的接地措施。低层通信传输设备一般采用联合接地方式，与大楼接地体连接，而计算机应用系统一般与大楼接地体是隔离的。 10 机房布置及要求 (1)新增二面调度数据网机柜(2260X800X600mm)布置在中控室内。 (2)中控室的接地电阻值一般不大于 2 欧姆，路由器等设备应具有相应的接地措施 。 (3)调度数据网机柜应采用双路UPS 电源供电;交流:220V ? 10,，50Hz ? 5,。 11 通道要求 XX电站提供:XX、XX梯级电站—水晶220KV变—省调。 XX电站提供:XX、XX梯级电站—水晶220KV变—XX地调。 19 12 水电站二次系统安全防护总体框架要求 12.1 电力二次系统安全防护的特点 电力二次系统安全防护的特点是具有系统性和动态性。 12.1.1 系统性 二次系统由电站内各业务系统子网组成，其中以不同的通信方式和通信协议承载着安全性要求各异的多种应用。网络采用分层分区的模式实现信息组织和管理。这些因素决定了电力二次系统的安全防护是一个系统性的工程。电站安全防护工作对内应做到细致全面，清晰合理;对外应积极配合上级和调度机构的安全管理，在完成内部安全防护的同时在区域和全局形成合理优化的防护体系。 12.1.2 动态性 二次系统安全防护的动态性由两方面决定。一是通信技术、计算机网络技术的不断发展;二是电力二次系统自身内涵外延的变化。在新的病毒、恶意代码、网络攻击手段层出不穷的情况下，静止不变的安全防护策略不可能满足二次系统网络信息安全的要求，安全防护体系必须采用实时、动态、主动的防护思想。同时二次系统内部也在不断更新、扩充、结合，安全要求也相应改变。所以安全防护是一个长期的、循环的不断完善适应的过程。图 12-1 所示P2DR模型是二次系统安全防护动态性的形象表示。 防护防护防护防护 PProtectionrotectionrotectionrotectionPP 策略策略策略策略 PPolicyolicyolicyolicyPP RResponseesponseesponseesponseRRDDetectionetection etectionetectionDD 反应反应检测检测反应反应检测检测 2图12-1 安全防护PDR动态模型 20 12.2 总体安全策略 , 安全分区 根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内。 , 网络专用 安全区边界清晰明确，区内根据业务的重要性提出不同安全要求，制定强度不同的安全防护措施。特别强调，为保护生产控制业 务应建设电力调度数据网，实现与其它数据网络物理隔离，并以技术手段在专网上形成多个相互逻辑隔离的子网，保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。 , 横向隔离 在安全区之间和安全区通信通道间采用不同强度的安全隔离，设备使各安全区中的业务系统得到有效保护。 , 纵向认证 采用认证、加密、访问控制等手段满足各种数据在远程通信中的保密性、完整性和可用性要求，防止远程攻击和违规操作，形成纵向边界的安全防御，与调度机构和上级管理单位建立互信可靠的 通信机制。 12.3 总体防护方案 12.3.1 安全区划分 电力二次系统划分为不同的安全工作区，反映了各区中业务系统的重要性的差别。不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。根据电力二次系统的特点、目前状况和安全要求，整个二次系统分为两个大区:生产控制大区和管理信息大区。生产控制大区划分为:实时控制区、非控制生产区。管理信息大区可根据业务系统的状况再细分。 (1) 生产控制大区 , 安全区?(控制区) 是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。 21 控制区中的业务系统或其功能模块(或子系统)的典型特征为:是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用电力调度数据网络或专用通道，是安全防护的重点与核心。 , 安全区?(非控制区) 在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。 非控制区中业务系统或功能模块的典型特征为:是电力生产的必要环节，在线运行但不具备控制功能，使用电力调度数据网络，与控制区中的业务系统或功能模块联系紧密。 (2)管理信息大区 按照《电力二次系统安全防护规定》，管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区，原则上应划分为安全区?(生产管理区)和安全区?(管理信息 区)。 12.3.2 应用系统分区原则 1)根据该系统的实时性、使用者、功能、场所、与各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响，将其分置于各安全区之中。 2)进行实时控制的功能或系统均须置于安全区?。 3)电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设备放置于高安全区，由属于高安全区的人员使用。 4)某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可把业务系统根据不同的功能模块分为若干子系统分置于各安 全区中。各子系统经过安全区之间的通信来构成整个业务系统。 5)自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但 22 需遵守所在安全区的安全防护规定。 12.3.3 各安全区内部防护基本要求 1)对安全区?及安全区?的要求: , 禁止安全区?和安全区?内部的 E-mail 服务。 , 禁止安全区?的 Web 服务。 , 允许安全区?纵向Web服务，其专用Web服务器和Web浏览工作站均在“非军事区”的网段，专用Web服务器是经过安全加固且支持HTTPS的安全Web服务器，Web浏览工作站与II区业务系统工作站不得共用，而且必须由业务系统向Web服务器单向主动传送数据。 , 在安全区?、?内禁止使用 IDS 与防火墙的联动。 , 允许安全区?内部 B/S 结构的系统，系统必须采取措施进行封闭。 , 安全区?和安全区?的重要业务用认证加密机制。 , 安全区?和安全区?内的相关系统间采取访问控制等安全措施。 , 对安全区?和安全区?进行拨号访问服务，用户端应该使用 Unix 或 Linux 操作系统且采取认证、加密、访问控制等安全防护措施。 , 安全区?和安全区?应该部署安全审计措施，把安全审计与安全区网络管理系统、入侵检测系统(IDS)、敏感业务服务器登录认证和授权、应用访问权限相结合。 , 安全区?和安全区?必须采取防恶意代码措施。病毒库和木马库 的更新必须离线进行，不得直接从因特网下载。 , 安全区?和安全区?内的系统必须经过安全评估。 2)对安全区?的要求: , 安全区?允许开通 E-mail、Web 服务。 , 对安全区?的拨号访问服务必须采取访问控制等安全防护措施。 , 安全区?必须采取防病毒和恶意代码措施。 3)安全区?的防护应严格遵照电力二次系统安全防护总体方案执行。 23 12.3.4 安全区之间的横向隔离要求 在各安全区之间均需选择适当安全强度的隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求，还需要考虑带宽及实时性的 要求。隔离装置必须是国产设备并经过国家或电力系统有关部门认证。 1) 安全区?与安全区?之间的隔离要求: 安全区?、?之间采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离、报文过滤、状态检测、访问控制，禁止-mail、Web、Telnet、Rlogin 等服务穿越安全区之间的隔离设备。 ) 安全区 III 与安全区 IV 之间的隔离要求: 安全区?、?之2 间采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离、报文过滤、访问控制。 3) 安全区?、?与安全区?、?之间的隔离要求: 安全区?、?不得与安全区?直接联系，安全区?、?与安全区?之间必须采用经有关部门认定核准的专用隔离装置。专用 隔离装置分为正向隔离装置和反向隔离装置。从安全区?、?往 安全区?单向传输信息须采用正向隔离装置，由安全区?往安全 区?甚至安全区?的单向数据传输必须采用反向隔离装置。反向 隔离装置采取签名认证和数据过滤措施(禁止 E-MAIL、Web、 TELnet、Rlogin 等访问)。 12.3.5 安全区与远方通信的纵向安全防护要求 安全区?、?所连接的广域网为电力调度数据网 SPDnet，应采用 MPLS-VPN 技术的 SPDnet 为安全区?、?分别提供二个逻辑隔离的MPLS-VPN。安全区?、?接入 SPDnet 时，应配置纵向加密认证装置，实现网络层双向身份认证、数据加密和访问控制。 安全区?所连接的广域网为发电集团/ 公司电力数据通信网， SPDnet 与电力数据通信网应采用物理隔离。安全区?接入电力数据通信网应配置硬件防火墙。 24 处于外部网络边界的通信网关的操作系统要进行安全加固，?、 ?安全区的外部通信网关增加加密、认证和过滤功能。 13 XX、XX梯级电站二次安防方案 按照《电力二次系统安全防护总体方案》的具体要求，综合考虑电厂的业务系统二次系统安全防护现状，确定本安全防护工程以下原则: 1) 调度数据网作为生产控制大区业务系统的通信通道，不将其作为一个单独的系统考虑。 2) 计算机监控系统应该作为安全防护的核心点。 3) 本次设计以各系统间的横向通信和与上级单位及调度端的纵向 通信接口防护为重点。 4) 生产控制系统/装置的远程拨号维护接口因采取禁止策略，故不再在现状描述中体现。 5) 系统设备之间的硬接线不视为通信连接，本设计中视其为安全。 6) 入侵检测系统; 7) 防范病毒入侵网络和传播; 13.1 安全分区 , 安全区 I:包括计算机监控系统。计算机监 控系统是实时生产监控系统，是整个安全保护的核心。 , 安全区 II: 包括电能量采集系统、报价系统。数据的非实时性是分钟级、小时级、日、月甚至年。 分区规划如图 13-1 所示。本期重点设计 I、II 区安全措施。 25 图13-1 安全分区规划 13.2 安全区 I 安全防护 I区计算机监控系统独立系统，没有和电厂内二次业务系统通信，因此可不考虑横向隔离。安全区I网络结构及安全防护产品如下: , 安全区I与省调纵向通信中采用认证加密装置进行安全隔离。 , 在安全区I的实时VPN交换机上增加一套入侵系统，监测I区系统与电力调度数据网的网络边界。 , 安全区I配置一套漏洞扫描系统。 26 图13-2 I区安全防护 13.3 安全区 II 安全防护 安全区II包括:电能量计量系统、报价系统和继电保护及故障信息系统。安全区II各应用系统在横向上与其它区业务系统没有数据交换;但是在II区业务接入调度数据网时，应通过纵向加密认证装置进行安全防护。在安全区II的非实时VPN交换机上增加一套入侵检测系统，监测II区系统与电力调度数据网的网络边界。II区安全防护如图13-3所示: 27 图13-3 II区安全防护 28 14 二次系统安全管理体系建设 电力二次系统的安全防护除了采取技术手段之外必须加强管理，按照 “三分技术，七分管理”的原则认真地将安全管理落到实处。具体措施如下。 14.1 建立完善的安全管理组织机构 系统设立一套安全审计平台: 14.1.1 建立完善的安全负责制 本着“谁主管，谁负责”和“谁经营，谁负责”的原则，应成立二次系统安全防护小组，小组成员由各类业务的代表组成，成员对各自业务所涉及的应用系统的安全防护工作负责。应任命安全专责对小组事务全面管理。管理层应指定专人对安全小组的工作进行统筹、安排和指导，并协调配合上级信息安全机构的工作。 14.1.2 明确各类人员的安全职责 1)管理层领导为安全防护第一责任人，其安全职责为: , 负责组织有关人员建立所管辖的电力二次系统的安全防护体系; , 经常检查安全防护的执行情况、审计结果; , 定期组织人员进行安全评估; , 组织人员对安全事故进行认真分析并及时向上级报告; 2)二次系统安全防护专责的职责为: , 参与所管辖的电力二次系统的安全防护体系的建立; , 负责各个安全区的横向边界和纵向边界部署的安全产品的 日常运行和维护; , 定期对所管理的电力二次系统进行安全检测和评估; , 负责及时处理所管辖的电力二次系统发生的安全事故; , 担负基本安全知识的咨询及培训。 3)安全防护小组成员的职责为:负责对专业维护的应用系统中已部 29 署的安全产品的安全策略进行设置和调整，定期对安全产品的日志进行审计，及时将结果向本单位的安全负责人报告。 4)电力二次专业系统的一般工作人员的安全职责: , 严格遵守各项安全管理制度; , 保护本人的口令、数字证书、密钥、IC 卡等安全设施，一旦泄露或丢失，应该立即报告。 14.2 安全评估的管理 1)对电力二次系统的安全评估应该尽量聘请电力部门的有关单位进行;如确实需要聘请外系统的有关机构进行评估，必须聘请经过国家有关结构认证并具有资质的国内单位进行;电力系统关键部门应配备必要的安全扫描及检测工具，尽量自己进行常规安全检查。 2)安全评估的内容包括:风险评估、攻击演习、漏洞扫描、安全体系的评估、安全设备的部署及性能评估、安全管理措施的评估等;安全评估过程的任何记录、数据、结果等均不容许以任何形式携带出被评估单位。 3)新的生产设备或信息系统在投运之前、老系统进行安全整改之后或进行重大改造或升级之后必须进行安全评估;电力二次系统应该定期(一年或两年)进行安全评估。 14.3 工程实施过程中的安全管理 1)二次系统各相关设备及系统的供应商必须承诺:所提供的设备及系统中不包含任何安全隐患，并在设备及系统的生命期(自交付至退役为止)内承担由此引起的连带责任; 2)接入电力调度数据网络的节点、设备和应用系统，须经二次系统安全防护小组核准，并送上一级电力调度机构备案; 3)二次系统的安全防护方案必须经过上级主管单位的审查、批准， 完工后必须经过上级有关部门验收;安全防护方案的实施必须严格遵守有关规定，保证部署的安全装置的可用性指标达到 99.99%; 30 4)电力二次专业系统在投运前必须进行安全评估。 14.4 设备、应用及服务的接入管理 )在已经建立安全防护体系的电力二次系统中，接入任何新的设备1 和应用及服务，均必须立案申请，经过本单位的安全管理员以及本单位安全主管的审查批准后，方可在安全管理员的监管下实施接入; 2)安全区?及安全区?中的工作站、服务器均严格禁止以各种方式开通与互联网、与其它安全区及任何外部网络的连接;原则上不得开通拨号功能，若确需开通拨号服务，必须配置强认证机制;在安全区?及安全区?中的 PC 机及其它微机原则上应该将软盘驱动、光盘驱动、USB 接口、串行口等拆除，或通过安全管理平台实施严格管理，以防止病毒等恶意代码的传播。若个别 PC机确有必要插接 USB-key， 应该严格管理; 3)接入电力二次系统的安全区?及安全区?中的安全产品，必须使用经过国家有关安全部门认证的国产产品，其中电力专用安全产品还必须经过电力安全主管部门检测认证;这些安全产品都必须通过电力系统强电磁环境中的电磁干扰和电磁兼容测试。 14.5 建立日常运行的安全管理制度 1)门禁制度 电力二次专业系统的机房及重要场所必须建立合理、严格的门禁制度。 2)人员管理 明确各级人员的安全职责，定期检查各级人员安全职责的实施情况。 3)网络管理 , 对网络使用人员的操作行为作严格的规定。对违规操作制定明确的处罚内容。 , 禁止在网络内部私自使用拨号方式访问 Internet 等外部公共网络。与网络外部的连接应进行严格的审查。 31 , 定期检查网络设备安全设置，进行网络系统漏洞扫描，对发现的网络系统漏洞进行及时修补。 4)访问控制管理 , 应对重要数据信息实行清晰的安全等级划分，并严格限定其访问用户群。相关内容应以文件规定形式明确。 , 访问控制的粒度应达到主体为用户组/用户级，以权限分配的方式实施控制。 , 原则上建议删除默认用户，否则应严格限制默认用户的权限。 , 安全管理人员应定时检查各应用系统访问情况和访问规则，对出现的问题及时进行调整。 5)权限管理 , 针对不同专业的业务系统，对不同的用户实体、不同的使用人员按最小化原则赋予相应的访问权限和操作权限。 , 为超级用户或特权用户设定复杂的口令，删除临时用户和已经不用的用户，对 WINDOWS 系统中有管理员权限的帐户必须设置强口令。 , 禁止任何应用程序以超级用户身份运行。 6)文件管理及保密 应建立严格的文件管理条例，详细规定文件的生成、发布、使用、修订、保存、作废等过程的操作规范。明确保密文件范围及保密等级和使用人员。应特别重视电子文档在使用、保存、发布中的 保密。 7)安全防护系统的维护管理 在各个安全区分别设立安全防护系统的软硬结合的维护机制，负责采集有关安全装置的日志记录、状态，并进行综合处理，以便 及时发现安全事故、非法入侵、安全漏洞以及安全装置的故障。 8)常规设备及各系统的维护管理 对设备及各系统及时进行防护或加 32 固;制定各系统及设备故障处理的预案，并经常进行预演;及时了解相关系统软件漏洞，发布信息，及时进行加固;一旦出现安全故障及时报告，保护现场，恢复系统。 9)恶意代码(病毒及木马等)的防护以有效的方式及时发布病毒报告、相应的升级防病毒软件、以及各个公用系统软件的漏洞报告及相应的软件补丁;及时部署升级的防病毒软件，并追踪查杀效果;及时向上级报告新病毒等恶意代码的入侵情况。 10)审计管理 对安全设备和网络装置(如隔离装置、纵向加密认证装置、入侵检测系统、防火墙、路由器、交换机等)及关键系统(如:计算机监控系统、机组状态监测系统、水调自动化系统等)的应用系统、操作系统、数据库日志进行维护;认真保存日志;由具有特许授权的安全管理人员进行管理，及时进行分析，检查各种违规行动以及病毒和黑客的攻击行为;并根据情况，修改设备的安全策略以及采取其它相应的措施。 11)数据及系统的备份管理 , 数据备份:各专业系统的实时数据库以及历史数据库必须定期进行备份，备份的数据必须存储在可靠的介质中并与系统分开存放，并制定详尽的使用数据备份进行数据库故障恢复的预案，并进行预演。 , 计算机系统的备份:各专业系统的计算机系统(包括操作系 统、应用系统)要有存储在可靠介质的全备份并存放在安全场所;必须制定完善可靠的进行系统快速恢复的方案，定期进行预演。 12)用户口令管理 人员的登录名及口令的设置必须进行审批;口令应该具有足够的长度和复杂度，及时更新;系统的超级管理员的登录名及口令严格限定使用范围;用户丢失或遗忘登录名及口令，应该申请新的登录名及口令;用户调离后，应该立即注销登录名及口令。 13)培训管理 安全产品厂家应负责对安全防护小组相关成员进行细致的培训，加强电站安全人员对安全技术的认识，提高电站自主解决安全 33 问题的能力。定期对工作人员进行电力二次系统安全防护知识的培训，应该形成制度，坚持不懈的贯彻，以保证各项安全措施的可靠执行。 14)应急处理 , 必须制定事故应急处理方案，并必须经过预演或模拟验证， 以尽量维持生产管理的运行为目标; , 一旦出现安全事故(遭到黑客、病毒攻击和其他人为破坏) ，须根据情况立即采取相应的安全应急措施:加强保护、中断对方连接、反跟踪以及其它处理措施;并及时向与本单位直接相关的电力调度结构和本地信息安全主管部门报告，保护事故现场，进行事故分析; , 恢复维护:当系统遭到破坏，应当按照预先制定的应急方案实施恢复;采取立即完全恢复、部分恢复或启用备份系统恢复(保护现场)等措施。 15)联合防护 , 应密切配合上级和其它电厂，联合进行安全防护; , 出现安全事故或遭受病毒或黑客的攻击时，应该及时向上级部门报告，并通报有网络连接的单位，采取联合防护措施，防止事故的扩大以保证整个系统的正常运行。 15 安全防护产品技术要求 注:纵向加密认证装置必须采用国产设备和系统。 15.1 纵向加密认证装置技术要求 电力专用加密认证装置安置在电力控制系统的内部局域网与电力调度数据网络的路由器之间，用来保障电力调度系统纵向数据传输过程中的数据机密性、完整性和真实性。 同时满足电力专用应用层通信协议转换功能，以便于实现端到端的选择性保护。 电力专用加密认证装置其功能要求如下: 34 1) 纵向加密认证网关能为电力调度数据网通信提供具有认证、 与加 密功能的 VPN，实现数据传输的机密性、完整性保护。 2) 满足电力专用通信协议(104、TaseII 等)转换和应用过滤功能。 3) 采用电力专用分组密码算法和公钥密码算法，支持身份鉴别，信息 加密，数字签名和密钥生成与保护。 RSA 公私密钥对的数字签名和采用专用加密算法进行数4) 提供基于 字加密的功能。 5) 采用专用嵌入式安全操作系统，系统无 TCP/IP 协议栈。 6) 支持明通和密文传输，支持标准的 802.1Q VLAN 封装协议，可以 实现不同网段应用无缝透明接入。 7) 具有应用层通信协议转换功能 日志审计功能、支持双机热备、基于数字证书的图形化界面。 15.2 主机加固软件技术要求 1.基于数字签名认证，控制非授权访问 在操作系统内核层采用数字签名方式对用户进行认证，认证证书本身通过加密算法加密保存，不可伪造，用户使用数字证书通过正常认证以后才能访问系统。 基于数字签名认证机制，可以防止未经授权的超级用户非法中止进程或中断系统。 2.灵活、全面的访问控制 可根据用户的需求管理系统调用，对文件、系统、进程进行保护，并可防止由攻击造成的数据篡改，阻止非授权用户中断进程和系统服务，保障服务器的稳定运行。 3.主动入侵防护及审计跟踪 可在内核层防止BOF(缓冲区溢出)攻击，阻止获得ROOTSHELL。当发生安全问题时，强制结束恶意进程及自动阻断相应IP，并通过管理控制台等进行实时报警。当系统发生入侵行为或者违反安全策略的操作时，在 35 网络层和系统内部对该用户或程序进行阻断，并由系统向管理员报警。审计日志记录所有与安全相关的内核事件，并提供多种报表格式供使用。 4.实现权限分离及最小特权 操作系统访问控制的最佳策略是权限分离和最小特权原则。通过严格分开系统管理员和安全管理员的权限，以控制超级用户(Windows 中的Administrator，Unix/Linux中的root)的权限，可有效防止内部人员的越权访问和外部的攻击。 5.程序自我保护 系统采用内核密封(Kernel Sealing)技术，管理内核模块的加载/卸载，可阻断对内核的恶意攻击。主机加固系统具有内核隐藏(Kernel Stealth)功能，它隐藏了安全内核，并自动保护主机加固系统程序目录和文件，可防止安全内核程序被删除，最大限度地降低了安全风险。 6.运行环境“零影响” 系统应采用动态可加载模块技术，保证服务器加固与管理系统安装或卸载时不需要重启系统。通过从内核层截取文件访问控制方式，加强操作系统安全性，同时，并不对操作系统的内核进行修改。 15.3 入侵检测系统技术要求 1) 产品需获得如下资质证书: 计算机信息系统安全专用产品销售许可证; 国际信息安全认证产品 EAL3 认证证书; 涉密信息系统产品检测证书; 国际 CVE 组织产品兼容认证证书。 2)产品厂家应获得如下资质: 安全服务2级资质; 应急相应1级资质; 企业CIMM3资质。 36 3) 系统集成商必须提交原厂家的授权书及售后服务承诺函。 4) 引擎为标准机架式硬件设备;最少具备二个监听端口，最多可扩充到四端口监听。支持冗余电源设置。 5) 具有用户自定义事件功能。具备完备、开放的特征库，支持生成自己的事件库，对非通用入侵行为进行定义检测;支持向导式的自定义事件方式。 5) 提供事件关联分析功能，可实现入侵检测事件之间的关联，也可以实现入侵检测事件和漏洞扫描事件之间的关联。 6) 采用基于行为分析的检测技术，对未知漏洞进行攻击能够很好防范。支持协议衍生功能，定义检测非标准端口协议事件。 7) 支持异常流量检测，及时发现网络中的流量异常行为。 8) 应具备集中控制、集中管理功能，可实现集中式安全监测管理和配置管理，提供有选择的上下级事件上报策略，并支持在整个网络内的全局预警功能。 9) 各组件间(管理平台与引擎等)使用加密信道通信;简便易用的 GUI 管理界面，要求能够对显示窗口进行自定义，做到只显示需要关注的内容。 10) 应具备与主机入侵检测系统/漏洞扫描系统同台管理功能。 11)具有设备的拓扑显示功能，可以在界面上以图形化的方式显示当前的 IDS 部署拓扑。同时支持多个用户监测台的设置，支持至少8 个以上的多用户监测台设置。 12)应提供按照检测对象、攻击类型等分类的默认内置检测模版，且默认模版不可修改;提供向导化的策略编制方式，提供合、并、交等策略集操作策略。 13)支持虚拟引擎功能，可以按照不同检测对象设置不同的检测策略。 14)具备动态策略调整功能，对一些频繁出现的低风险事件，自动调 37 整其响应方式。 15)应具备基于时间、事件、风险级别、源地址、源端口、目标地址、目标端口、行为参数、响应方式等复杂逻辑组合的分析查询功能，并且可以产生各种图片、文字报告;支持自定义的报表模版，生成的报表可以导出为 DOC/CSV/XLS 等常见文本格式。同时还应具备基于统计的图表型报表。 16)事件帮助信息必须全中文并提供对事件的描述和如何修补漏洞的指导。 17)应支持多种数据库类型，包括:ACCESS、MSDE(SQL SERVER)和任何具备 ODBC(开放式数据库互联)通用数据库接口的数据库系统，并且支持独立的日志数据库部署。同时具备专门的数据库维护功能，要求能够按照事件上报的日期时间和风险等级、引擎来源等对日志数据库进行删除、转储等操作。 18)要求对用户分级，并能够调整对不同用户具体权限，具备不同的操作。对各级权限的用户行为进行审计。对控制台与探测引擎之间的数据通信及存储进行加密、完整性检查和基于 RSA(1024 位)的身份鉴别处理;网络探测引擎采用固化模块(包含软硬件)，专有操作系统，探测引擎无 IP 地址，在网络中实现自身隐藏及带外管理。 15.4 漏洞扫描系统技术要求 技术要求 1) 对网络设备、主机系统、数据库和应用服务的漏洞进行扫描时，不更改任何配置和安装任何类似探针的软件，也不需要被扫描设备提供任何访问权限的情况下，系统能够正常工作。 2) 扫描信息全面，包括主机信息、用户信息、服务信息、漏洞信息等内容。 3) 能对扫描对象的安全脆弱性进行全面检查，检查内容包括缺少的安 38 全补丁、词典中可猜测的口令、操作系统内部是否有黑客程序驻留、不安全的服务配置等。 4) 可检测的目标主机的系统包括:Win系列、Linux、Unix、AIX、HPUX、IRIX、BSD等。扫描过程中能够自动发现和识别目标系统的类型，并根据其类型选择相应的扫描方法。 5) 支持对网络设备和安全设备，如Cisco、Checkpoint等的扫描。 DB2、6) 可扫描的主流数据库包括:Oralce、Sybase、SQLServer、MySQL、Infomix等。 7) 为确保网络的保密性，系统应能够检测到网络中存在的网络监听设备。 8) 能够支持Windows域环境扫描，实现类似基于主机的安全漏洞检测深度。 9) 具有丰富的漏洞检查列表，内置漏洞库涵盖当前系统常见的漏洞和攻击特征，漏洞库兼容CNCVE、CVE和BUGTRAQ标准。 10) 漏洞扫描能力超过2200条。 11) 支持分布式扫描，可以定义扫描端口的范围。 12) 可以定义扫描对象范围、扫描策略。 13) 历史扫描任务可以导出导入和修改。 14) 能定制临时或定期扫描任务，系统自动执行扫描，找出系统或配置上的漏洞和不安全因素。定期执行任务的起始和终止时间可以自定义。 15) 可以在扫描过程中通知被扫描的主机将要接受来自扫描器的扫描，如windows messange(用户是Windows系统且该服务启动情况下)。 16) 提供扫描授权机制，在授权许可范围内进行单机扫描、分组扫描和全部扫描。 17) 可以适应用户的不同网络带宽环境，具有可配置的多主机、多 39 线程扫描能力，采用渐进式多线程任务调度技术。可并发扫描IP>30。 18) 在扫描的过程中不对目标系统产生破坏性影响，即扫描结束后目标系统不会被改动或破坏，扫描结束后目标系统不会出现死机或者停机现象，扫描过程中应保持目标系统的可用性。 19) 扫描过程可视化，能够实时显示扫描进度和IP地址、漏洞信息。 20) 能够实时在线显示扫描漏洞报表，扫描任务结束后可直接对漏洞结果进行查看。 21) 支持断网续扫功能，并且对已经完成的扫描结果进行保存。 22) 提供漏洞验证功能，对扫描出来的重要漏洞能够模拟黑客行为进行漏洞风险展示。 资质要求 1) 产品应具备中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，中国国家信息安全评测认证中心的《国家信息安全认证产品型号证书》。具备国家保密局涉密信息系统安全保密中心的《涉密信息系统产品检测证书》。具备中国人民解放军信息安全测评认证中心《军用信息安全产品认证证书》。产品厂家必须有CMMI3证书，涉密甲级单项软件开发证书。 2) 漏洞扫描厂商应具备多年的漏洞研究经验积累，国际CVE组织成员，能够查看微软操作系统源代码。 3) 产品有5年以上的市场销售时间，是成熟可信产品。 4) 产品要求取得CVE(Common Vulnerabilities and Exposures，世界漏洞披露组织)正式的兼容认证 (Certificate of CVE Compatiblity )，并提供证明文件。 5) 产品要求为国内开发，具备自主知识产权,必须具备《计算机软件著作权登记证书》。 6) 漏洞扫描系统必须与入侵检测系统为同一厂家产品。即在同一平台 40 界面上可以进行NIDS和扫描引擎的统一管理、配置、执行任务。入侵检测的事件和漏洞扫描结果统一显示。可对入侵事件和系统漏洞进行综合分析。 15.5 安全审计管理平台 1)国内自主研发，系统提供方应拥有所提供系统的全部知识产权，( 并能够在其上进行进一步开发。 (2)平台化设计，功能模块插件化，用户可以自主选择需要的功能模块，或在现有平台上进行客户化定制。 (3)平台必须采用业界主流的B/S方式，不需要安装客户端。 (4)系统应对I/II区的安全设备、网络设备等的运行工况、日志告警进行集中统一的监控管理。 (5)系统应实时接收各类业务系统、网络系统和安全产品(防火墙、IDS、防病毒系统、路由器、隔离装置、交换机、业务主机、机房设施等)的安全事件信息，能对上述信息进行集中存储、查询。 (6)系统支持网络(TCP、UDP)、串口等多种通讯方式，采用SYSLOG、SNMP和订制接口等方式采集不同格式的日志信息和告警信息。 (7)系统能按照既定规则对接收的安全事件信息进行分析，发生设备异常及异常的安全事件时，能自动检测并告警，能自动执行预定义处理动作，如通过发送手机短信向管理员告警，并存储在后台数据库系统中供事后分析处理。 (8)系统应具备完善的报警检测规则定义机制，能自定义事件信息处理规则，能过滤误报事件信息，能智能识别真假报警事件。系统应通过图形界面定制事件信息处理规则，并可灵活地嵌入定制的事件处理程序。 (9)内置短信平台，支持短信的告警、查询和处理，同时也支持声光、邮件等多种告警方式。 (10) 采用触发器(优先级)、计数器、滑动窗口等多种机制实现对 41 安全事件的监控和分析，具有“检修”状态设置功能，屏蔽由于设备更换、退出运行产生的直接和相关告警。 (11) 具有排班功能，灵活定义告警信息发送对象，对告警记录和处理过程可以查询和统计。 12) 系统支持多种认证方式，具有基于角色的用户授权管理功能，( 以及详细的系统日志，为分布部署和多人管理提供了可能。 (13) 支持对调度数据网络设备的链路通断的状态和设备运行状态的自动监测，判断状态变化并产生告警。 (14) 系统应提供完善的用户界面，查询各设备、系统的运行状态、工况信息。以报表的方式实现安全审计，提供模糊查询功能和多种报表格式。 (15) 系统应具有良好的模块化结构，采用JAVA/DCOM/.NET等通用的主流技术。 (16) 系统应支持多个数据采集子系统，支持今后在横向(不同安全区)和纵向(上下级调度单位)上的扩充，都可以方便接入采集的信息。 (17) 系统内部数据传输具有流控机制，避免内部传输的告警信息过多的占用网络带宽，从而影响业务系统的正常运行。 15.6 防病毒系统 在安全区II区部署一套防病毒系统。对区中的所有计算机统一进行病毒定义码的更新、防病毒政策的设定、病毒情况的监控，手动的、定时的病毒扫描及清除、病毒日志及汇总报表以及集中隔离未知病毒;并能隔离有病毒的客户端。手工定期升级防病毒系统病毒库。 42 16 投资估算表 调度数据网接入及二次系统安全防护工程投资估算表 序号 设 备 数量 费用(万元) 备注 一 电能量采集及发电计划申报系统 1 电能量采集系统 1套 44 2 发电计划申报系统 1套 32 小计 76 三 调度自动化系统 1 调度自动化系统接入省调主站端的扩容 1套 40 2 调度自动化系统接入备调主站端的扩容 1套 8 小计 48 四 调度数据专网接入 1 路由器 2台 24 2 交换机 4台 10 3 纵向认证加密装置 2套 20 4 防火墙 2套 16 5 机柜 2面 2 6 至地调通道调试费 1项 10 7 至省调通道调试费 1项 10 小 计 92 五 二次安全防护 1 监控系统主机加固软件 4套 监控系统已定货 2 横向隔离装置 1套 8 3 入侵检测系统 2套 36 4 漏洞扫描系统 1套 20 5 防病毒系统 1套 4 6 综合管理服务器 1台 2 7 安全审计平台 1套 56 小 计 122 六 时钟同步装置 1套 18 小计 18 总 计 356 43