新澳火电厂网络安全监测装置建设项目技术规范.docx
《新澳火电厂网络安全监测装置建设项目技术规范.docx》由会员分享,可在线阅读,更多相关《新澳火电厂网络安全监测装置建设项目技术规范.docx(19页珍藏版)》请在冰点文库上搜索。
新澳火电厂网络安全监测装置建设项目技术规范
新澳火电厂网络安全监测装置建设项目
技术规范书
批准:
审核:
校核:
编写:
华能罗源发电有限责任公司
2019年5月
1总则
1.1引言
根据《国网福建电力调控中心关于印发福建电网厂站调度自动化系统可研、初设技术审查要点(试行)的通知》(调自〔2018〕125号)要求,落实电力监控系统网络安全实时监测技术手段的建设,在并网电厂电力监控系统的安全Ⅰ、Ⅱ区部署网络安全监测装置,采集发电厂涉网区域的主机设备、网络设备和安全防护设备的安全事件,并转发至调度端网络安全管理平台的数据网关机。
同时,支持网络安全事件的本地监视和管理。
1.2适用范围
1.2.1本技术规范书规定了新澳火电厂厂站网络安全监测装置及其附件的采购,包括网络安全监测装置及辅助设备的功能设计、结构、性能、调试(包括柜内/间接线,与福建省调调试和需方接入设备的调试)、技术服务和培训等方面的技术要求。
1.2.2本技术规范书提出的是最低限度的技术要求,并未对一切技术细节作出规定,也未充分引述有关标准和协议条文,投标方提供的设备必须执行国家有关安全、环境保护等强制性标准和相关工业标准的高质量产品及其相应服务,并保证提供符合本技术规范书、国家、行业标准要求的优质产品。
投标方提供产品应经过全面现场设计,符合现场使用要求。
1.3标准和规范
所提供的装置必须符合IEC或ANSI以及中国标准,除这些标准外,还应满足装置制造国的标准。
所有标准都会被修订,使用标准的各方应探讨使用下列标准最新版本的可能性。
(不仅限于以下)
GB2423-95电工电子产品基本环境试验规程
GB/T13926工业过程测量和控制装置的电磁兼容性
GB-2887-89计算机场地技术条件
GB50171-92电气装置安装工程盘、柜及二次回路结线施工及验收规范
GB50065-1994交流电气装置的接地设计规范
GB/T14598.9-1995辐射静电试验
DL/T667-1999继电保护设备信息接口配套标准
DL/T-5136-2001火力发电厂、变电所二次接线设计技术规程
国电调[2002]138号《防止电力生产重大事故的二十五项重点要求》继电保护实施细则
国能安全[2015]36号《电力监控系统安全防护总体方案》
调自[2016]102号 《国调中心关于加强电力监控系统安全防护常态化管理的通知》
调自[2017]1084号《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》
1.4权利和职责
为切实保障本项目的工作质量,确保工作达到预期目标,对招标方及项目实施方双方技术工作责任约定如下:
1.4.1投标方资格要求
1.4.1.1投标人提供的设备需有设备厂家的授权函、制造厂商售后服务承诺函,确保设备不存在区域串货影响后期安装调试。
1.4.1.2投标方需具备信息系统集成及服务资质二级以上资质,ISO9000系列质量体系认证证书或等同的质量保证体系认证证书。
1.4.1.3投标方提供的设备需确保与福建省调主站端电力监控系统网络安全管理平台无缝对接,需提供福建省调主站平台原厂出具加盖公章的与主站平台无缝对接的证明材料。
1.4.2招标方权利义务
1.4.2.1为保障项目有序的进行,招标方需提供良好的工作场地和环境,避免影响项目工程进度。
1.4.2.2招标方需要结合现场作业实际情况,制定相应的应急措施,负责实施过程中出现紧急情况的处理。
1.4.2.3认定技术服务人员不按合同履行其职责,或与第三人串通给委托人造成经济损失的,有权要求更换技术服务人员,直至终止合同并要求咨询人承担相应的赔偿责任。
1.4.2.4招标方有权向投标方询问工作进展情况及相关内容,并阐述对具体问题的意见和建议。
1.4.2.5招标方应按照合同的约定支付相关费用。
1.4.3投标方权利义务
1.4.3.1投标方将执行技术规范书所列要求、标准,技术规范中未提及的内容均将满足或优于技术规范所列的国家标准、电力行业标准和有关国际标准。
有矛盾时,按较高标准执行,供货产品要求拥有福建省电网电力设备入网许可证。
1.4.3.2投标方提供的设备的功能要求不能低于国调关于电力监控系统安全防护完善提升相关文件的要求,保证开发的应用功能满足智能电网技术支持系统建设框架总体设计的要求,满足国调电网实际工作的需要(包含本技术规范未尽部分),满足电力监控系统安全防护完善提升运行的需要。
1.4.3.3投标方必须提供满足招标方总体建设目标的详细整体解决方案,内容包括但不限于以下内容:
技术方案、阶段安排、每一阶段的建设内容和周期。
技术方案需通过福建省调控中心自动化处审核。
1.4.3.4投标方必须分别对本技术规范书所涉及的建设内容提供满足招标方本期目标的解决方案,包括但不限于以下内容:
项目综述、项目需求分析、项目总体设计、功能解决方案、技术解决方案、项目管理办法、项目实施计划、技术支持与售后服务、培训方案等。
1.4.3.5供货范围内所有设备采用的专利涉及到的全部费用均被认为已包含在设备报价中,投标方承诺招标方不承担有关设备专利的一切责任。
1.4.3.6供货范围内的同类型设备、部件、元器件等应采用同一品牌、型号,备品备件具有互换性。
投标方对更换的组件负有全部技术责任。
分包、外购设备和零部件技术上由投标方负责归口协调。
1.4.3.7合同期内,应当履行该技术协议中约定的义务,因投标方单方过失造成的经济损失,应当向招标方进行赔偿。
累计赔偿总额不应超过合同总额(除去税金)。
1.4.3.8投标方对招标方或第三人所提出的问题不能及时核对或答复,导致合同不能全部或部分履行,投标方应承担由此造成的费用和损失。
1.5保密
1.5.1由招标方收集的、开发的、整理的、复制的、研究的和准备的与本合同项下工作有关的所有资料在提供给投标方时,均被视为保密的,不得泄漏给除招标方或其指定的代表之外的任何人、企业或公司。
1.5.2合同有效期内,双方应采取适当措施对本合同项下的任何资料或信息予以严格保密,未经一方的书面同意,另一方不得泄露给任何第三方。
1.5.3一方和其工作人员在履行合同过程中所获得或接触到的任何信息(包括财务信息、技术信息、管理信息等一切在公共渠道无法获知的信息),另一方有义务予以保密,未经其书面同意,任何一方不得使用或泄露从他方获得的上述保密信息。
1.5.4不管本合同因何种原因终止,本条款一直有效,任何一方违反本条款均应支付_10000_元违约金。
1.6违约责任
1.6.1招标方的违约责任:
1.6.1.1招标方若不及时提供接入设备必须的资料,影响网络安全建设开展的,投标方不承担责任,造成投标方损失的,招标方承担赔偿责任;
1.6.1.2投标方按照本合同要求提供网络安全建设且达到合同标准的,若招标方不按照合同约定支付相应费用,应承担赔偿责任;
1.6.1.3招标方违反本合同任一条款造成投标方损失的均应承担赔偿责任。
1.6.2投标方的违约责任:
1.6.2.1若投标方不按照本合同要求完成网络安全建设服务,应支付招标方_20000_元违约金。
1.6.2.2若投标方提供的建设服务或成果达不到合同要求的标准,应进行改正和补救,改正期限为_7_天。
1.6.2.4投标方违反本合同任一条款造成招标方损失的均应承担赔偿责任。
2部署方案及目标
2.1部署方案
新澳火电厂涉网区域存在Ⅰ、Ⅱ区,且网络完全断开,根据省调要求,需在安全Ⅰ区和Ⅱ区各部署1套网络安全监测装置。
网络安全监测装置采用旁路部署方式,对电厂涉网生产控制大区内的主机设备、网络设备和安全防护设备等监测对象进行数据采集,并将数据上传至省调网络安全管理平台。
涉网部分设备接入范围涵盖主机设备、网络设备(内网交换机)以及通用(IDS、防火墙)、专用安全防护设备(正、反向隔离设备)的接入。
需在接入设备上部署安全装置接口服务(Agent)。
接入网络安全监测装置的设备包括但不仅仅如下表格所列:
表一:
网络安全监测装置业务接入清单
序号
业务名称
设备型号
操作系统
数量
1
远动机
北京四方CSC-1321
VxWorks
2
2
发电厂监控系统
联想30AG-A1KPCN
Windows7
5
3
同步相量测量系统
北京四方CSC-361E
Unix
2
北京四方CSC-361B
Unix
3
4
保护及故障信息子站系统
北京四方CSC-1326
VxWorks
1
联想30AG-A1KPCN
Windows7
1
5
故障录波系统
山东山大WDGL-VI
Linux
3
6
电能量采集系统
珠海兰吉尔FFC3
Linux
1
联想30AG-A1KPCN
Windows7
1
7
发电计划曲线
联想30AG-A1KPCN
Windows7
1
8
AVC系统
北京四方CSC-800VA1
VxWorks
1
北京四方CSC-800VA2
VxWorks
2
联想30AG-A1KPCN
Windows7
1
9
AGC系统
北京四方CSC-850
VxWorks
2
10
其他安防设备
隔离装置、站控层交换机、数据网设备
1
合计
27
新澳火电厂安防改造后拓扑如下:
图1新澳火电厂安防改造后拓扑
2.2改造目标
2.2.1实现调度数据安全采集
对发电厂涉网生产控制大区内的服务器、工作站、网络设备(交换机)、安全防护设备等监测对象进行数据采集:
(1)采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息;
(2)采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息;
(3)采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息;
(4)触发性事件信息的采集和周期性上送的状态类信息的采集。
2.2.2实现调度数据安全分析处理
(1)以分钟级统计周期,对重复出现的事件进行归并处理;
(2)根据参数配置,对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理,根据处理结果决定是否形成新的上报事件。
2.2.3实现“分布采集、统一管控”
按照省调要求,采用“分布采集、统一管控”原则,Ⅱ型网络安全监测装置部署于创电厂涉网生产\非生产控制大区,用以对监测对象的网络安全信息进行采集,为网络安全管理平台上传事件并提供服务代理功能,供给网络安全管理平台调用,满足如下服务代理功能:
(1)远程调阅采集信息、上传事件等数据信息,支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息;
(2)对被监测系统内的资产进行远程管理,包括资产信息的添加、删除、修改、查看等;
(3)参数配置的远程管理,包括系统参数、通信参数及事件处理参数;
(4)通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看;
(5)通过网络安全管理平台对网络安全监测装置进行远程程序升级。
2.2.4实现多方通信
(1)与服务器、工作站设备通信
支持采用自定义TCP协议与服务器、工作站等设备进行通信,实现对服务器、工作站等设备的信息采集与命令控制。
报文格式包括报文头、报文体和报文尾三部分。
(2)与网络设备通信
1)支持通过SNMP协议主动从交换机获取所需信息;
2)支持通过SNMPTRAP协议被动接收交换机事件信息;
3)采用SNMP、SNMPTRAPV3版本与交换机进行通信;
4)支持通过日志协议采集交换机信息。
(3)与安全防护设备通信
网络安全监测装置与安全防护设备通信应支持通过GB/T31992协议采集安全防护设备信息。
(4)事件上传通信
采用DL/T634.5104通信协议;网络安全管理平台作为服务端,网络安全监测装置作为客户端;采用自定义的报文类型;TCP连接建立后,首先进行基于调度数字证书的双向身份认证,认证通过后才能进行事件上传;只与网络安全管理平台建立一条TCP连接。
(5)服务代理通信
采用基于TCP的自定义通信协议;网络安全监测装置作为服务端,网络安全管理平台作为客户端;支持多个TCP连接;对未配置的网络安全管理平台IP地址发来的TCP连接请求拒绝响应。
2.2.5实现本地管理
(1)具备自诊断功能,包括进程异常、通信异常、硬件异常、CPU占用率过高、存储空间剩余容量过低、内存占用率过高等,检测到异常时应提示告警,诊断结果应记录日志。
(2)具备用户管理功能,基于三权分立原则为不同角色分配不同权限;满足不同角色的权限相互制约要求,不存在拥有所有权限的超级管理员角色。
(3)具备资产管理功能,包括资产信息的添加、删除、修改、查看等,资产信息包括:
设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等。
(4)采集信息、上传信息的本地查看,支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看。
(5)对监视对象数量、在离线状态的统计展示,支持从设备类型、事件等级等维度对采集信息、上传信息进行统计展示。
(6)具备日志功能,日志类型包括登录日志、操作日志、维护日志等。
(7)日志内容包括日志级别、日志时间、日志类型、日志内容等信息,日志具备可读性。
3技术规范
网络安全监测装置的主要性能指标要求:
按照“分布采集、统一管控”原则,网络安全监测装置部署于电力监控系统发电厂涉网生产控制大区或变电站站控层,用以对监测对象的网络安全信息进行采集,为网络安全管理平台上传事件并提供服务代理功能,采用DL/T634.5104通信协议;网络安全管理平台作为服务端,网络安全监测装置作为客户端;采用自定义的报文类型;TCP连接建立后,首先进行基于调度数字证书的双向身份认证,认证通过后才能进行事件上传;只与网络安全管理平台建立一条TCP连接;采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息;采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息;采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息;触发性事件信息的采集和周期性上送的状态类信息的采集。
产品要求
详细说明
硬件平台
powerpc处理器,主频1.1GHz及以上,cpu4核,内存8GB,FLASH1GB
操作系统
代码可控的经过裁减内核的Linux操作系统。
接口
采用RJ45接口,具备不少于8个10M/100M/1000M自适应以太网电口(支持网口扩展);两个交流220V/50HZ,电源插座,两个电源开关,四个USB2.0接口,部署广域传输数据服务传输接口
性能指标
采集功能
采集信息吞吐量≥1000条/s,支持监测对象数量≥100,内存≥4GB,存储空间≥250GB,上传事件信息的处理时间≤500ms,远程调阅的处理时间≤500ms,平均故障间隔时间(MTBF)≥30000h
支持对变电站站控层或发电厂涉网生产控制大区内的服务器、工作站、网络设备(交换机)、安全防护设备等监测对象进行数据采集
支持采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息
支持采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息
支持采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息
分析功能
支持触发性事件信息的采集和周期性上送的状态类信息的采集
支持以分钟级统计周期,对重复出现的事件进行归并处理
代理功能
支持根据参数配置,对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理,根据处理结果决定是否形成新的上报事件
支持远程调阅采集信息、上传事件等数据信息,支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息
支持对被监测系统内的资产进行远程管理,包括资产信息的添加、删除、修改、查看等
支持参数配置的远程管理,包括系统参数、通信参数及事件处理参数
支持通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看
通信功能
支持通过网络安全管理平台对网络安全监测装置进行远程程序升级
支持通过SNMP协议主动从交换机获取所需信息
支持通过SNMPTRAP协议被动接收交换机事件信息
采用SNMP、SNMPTRAPV3版本与交换机进行通信
本地管理
支持通过日志协议采集交换机信息
具备自诊断功能,至少包括进程异常、通信异常、硬件异常、CPU占用率过高、存储空间剩余容量过低、内存占用率过高等,检测到异常时应提示告警,诊断结果应记录日志
支持采集信息、上传信息的本地查看,支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看
日志内容包括日志级别、日志时间、日志类型、日志内容等信息,日志具备可读性
平台管控
要求经过严格测试,能与调度端的北京科东电力控制系统有限公司的网络安全监管平台无缝对接,传输数据并能提供证明材料
应支持上级平台远程查看、添加、删除装置上平台证书的功能
4试验和验收
4.1安装调试
4.1.1安装之前由投标方向招标方提交安装调试方案,在该方案通过福建省调的审查后方可开始实施,投标方必须保证符合福建省调的技术要求。
4.1.2安装地点和环境在指定的地点,投标方应负责设备的安装、调试,保障设备正常运行。
投标方需明确以下问题:
a)设备安装由投标方负责,安装过程中所有电缆及接头均由投标方提供并施工;
b)投标方负责对施工地点进行现场勘察,提供工程施工和相关安装资料,并负责指导人员掌握和使用这些技术资料。
投标方应提供下列各种详细资料:
1)设备外形尺寸、质量、面板布置、进出线方式;
2)所需电源种类、功耗、电压、地线要求;
3)机房荷重、环境要求;
4)设备安装方式和抗震措施。
4.1.3安装调测时使用的工具、设备由投标方提供,通用工具由协助解决。
双方应协商制定工程进度表,投标方负责按工程进度表进行施工。
4.1.4设备调试由投标方负责,投标方调试前应提出完整的调试计划并经确认,包括设备调试的内容、项目、指标、方法和进度,并提供相应的仪器和工具。
投标方应对的技术人员提出的问题做出解答。
调试应进行详细记录,系统调试结束后,由投标方技术人员签字后交给验收。
投标方应负责本柜的系统通过相关调度部门的检查验收。
4.2设备验收
4.2.1项目单位与投标方对设备到货后共同配合进行开箱检查,出现损坏、数量不全或产品不对等问题时,由投标方负责解决。
4.2.2依技术规范要求对全部设备、产品、型号、规格、数量、外形、外观、包装及资料、文件(包括装箱单、保修单、随箱介质等)的验收。
4.2.3全部设备应在规定的地点和环境下,进行安装、调试,加电实现正常运行,并达到技术规范要求的性能和产品技术规格中的性能。
4.2.4按规范技术部分要求对产品进行测试检查。
设备产品测试中出现性能指标或功能上不符合规范和合同时,项目单位有拒收的权利。
4.2.5如验收及测试中出现不符合规范和合同要求的严重质量问题时,保留索赔权利。
5技术服务和培训
5.1技术服务
5.1.1技术后援支持
投标方应向承诺技术后援支持,为今后主要软、硬件设备的功能扩充、服务提供至少1年的技术支持。
5.1.2质保及售后服务
5.1.2.1质保及售后服务
本部分中所有设备应具备以下条件:
a)质保:
所有本部分内包含的产品质保期为24个月,对于设备,包括硬件、软件,在质保期内,提供免费的生产原厂商软件升级包和免费的生产原厂商设备保修备件;质保期自设备通过最终验收之日起计算,其费用计入总价。
请投标方或制造商详细描述质保方案;
b)售后服务:
投标方需提供质保期内免费的7×24h技术支持与服务。
投标方应按照如下格式对服务响应时间进行明确描述。
“设备出现故障时应在2h内对所提出的维修要求做出响应,24h内到达现场。
对于24h解决不了的问题,应提供备用设备。
”投标方如有其他服务响应可以另加描述;
c)投标方详细说明所提供的设备原厂商1年售后服务与技术支持的级别及服务内容。
投标方应提出质保期内的维修、维护内容及服务方式、范围(产品、技术、模块、部件);
d)在质保期内,投标方应提供相关软件的免费升级和备品更换服务;投标方负责对其提供的设备进行现场维修与维护,不收取额外费用;在质保期后投标方应以不高于本合同相应的最优惠价格向提供修理和维修合同设备必要的备品备件;
e)要求投标方承诺在产品交付时提供针对交付产品的原厂1年质保函。
5.1.2.2质保期后的质保与售后服务
质保和售后服务要求如下:
a)投标方按照上述质保与售后服务为标准为提供质保期后的维保方案和报价,不计入总价;
b)在质保期过后,投标方应以不高于本合同相应的最优惠价格向提供修理和维修合同设备必要的备品备件;
c)原厂商技术支持站点(或办事处)与原厂商备品备件库;
d)投标方需提供国家电网公司涉及地理区域范围内的原厂商技术支持站点及原厂商备品备件库。
5.2培训
5.2.1培训总则要求如下:
a)培训服务为项目单位自愿采购内容;
b)投标方应提供高水平的培训。
培训应包括硬件、软件等。
所提供的培训课程表随应答文件一起提交;
c)投标方派出的培训教员应至少具有1年的相同课程的教学经验;
d)所有的培训教员应用中文授课(如果讲师不会讲中文,投标方应提供中文翻译),除非有其他的协议规定;
e)投标方应为所有被培训人员提供培训用计算机、网络环境、文字资料和讲义等相关用品。
所有的资料应是中文;
f)培训场所由投标方提供;
g)培训时间和日期与招标方协商决定;
h)培训费用根据培训内容按照每人每天计算;
i)培训费用计入总价;
j)投标方应提供现场免费培训。
5.2.2培训内容与课程要求如下:
a)培训内容应包括:
投标方所提供的软、硬件设备的相关技术原理、性能、操作使用方法、维护管理的技术、实际的操作练习等。
使具备独立进行管理、维护测试和故障处理等工作的能力,以保证投标方所提供的设备能够正常、安全运行。
b)培训费用包括课程费、资料费等,计入总价。
c)提供详细培训体系内容
6采购清单
序号
名称
规格
单位
数量
备注
1
网络安全监测装置
1U,主频1.1GHz及以上,采用RJ45接口,部署广域传输数据服务传输接口;具备不少于8个10M/100M/1000M自适应以太网电口(支持网口扩展);两个交流220V/50HZ,电源插座,两个电源开关,四个USB2.0接口,采集信息吞吐量≥1000条/s,支持监测对象数量≥100,内存≥4GB,存储空间≥250GB,上传事件信息的处理时间≤500ms,远程调阅的处理时间≤500ms,平均故障间隔时间(MTBF)≥30000h。
台
2
适合机柜内安装
代理程序Agent
用于主机、设备接入
套
1
详见表一所列
交换机
满足现场主机、设备接入
台
3
根据现场实际
专用调试软件
含配套调试接口等
套
1
2
移动存储设备
硬盘、U盘等
套
1
根据现场需要
3
安装调试
含以上设备安
升级会员 