四川省XX縣XX、XX電站調(diào)度數(shù)據(jù)網(wǎng)接入及二次系統(tǒng)安全防護工程初步設計設計單位XXXX電力設計咨詢有限公司二一二年三月1目錄1工程簡介42設計總則521設計依據(jù)522設計范圍523設計原則53業(yè)務種類及傳輸需求分析631業(yè)務種類632四川電力調(diào)度數(shù)據(jù)網(wǎng)絡傳輸?shù)男畔?33網(wǎng)絡業(yè)務傳輸需求分析74技術(shù)體制75網(wǎng)絡拓撲結(jié)構(gòu)86XX、XX梯級電站通信現(xiàn)狀97XX、XX梯級電站接入拓撲98廠站業(yè)務接入方案1081業(yè)務系統(tǒng)接入原則1082遠動信息接入1183電能量采集系統(tǒng)/發(fā)電計劃申報系統(tǒng)129調(diào)度數(shù)據(jù)網(wǎng)設備配置及技術(shù)要求1491網(wǎng)絡設備的配置原則1492路由器1493三層交換機1894設備機械結(jié)構(gòu)及工藝要求1995環(huán)境條件2010機房布置及要求2111通道要求2112水電站二次系統(tǒng)安全防護總體框架要求222121電力二次系統(tǒng)安全防護的特點22122總體安全策略23123總體防護方案2313XX、XX梯級電站二次安防方案27131安全分區(qū)27132安全區(qū)I安全防護28133安全區(qū)II安全防護2914二次系統(tǒng)安全管理體系建設31141建立完善的安全管理組織機構(gòu)31142安全評估的管理32143工程實施過程中的安全管理32144設備、應用及服務的接入管理33145建立日常運行的安全管理制度3315安全防護產(chǎn)品技術(shù)要求36151縱向加密認證裝置技術(shù)要求36152主機加固軟件技術(shù)要求37153入侵檢測系統(tǒng)技術(shù)要求38154漏洞掃描系統(tǒng)技術(shù)要求40155安全審計管理平臺43156防病毒系統(tǒng)4416投資估算表4531工程簡介XX、XX梯級電站位于四川省XXXX縣境內(nèi)，是XX在XX縣境內(nèi)梯級開發(fā)的第一、二級電站，均為引水式電站。XX水電站距XX縣城約130KM，距平武縣城約73KM；電站裝機容量224MW，兩臺機組接成發(fā)電機變壓器組單元接線,分別接容量為315MVA的主變壓器各一臺，110KV側(cè)母線采用單母線接線。XX水電站距XX縣城約138KM，距平武縣城約65KM；電站裝機容量222MW，發(fā)電機變壓器組合為單元接線，分別接容量為90MVA和315MVA的主變壓器各一臺，90MVA變壓器為三圈變壓器，110KV側(cè)吸收XX電站電能升壓至220KV，105KV側(cè)吸收本電站1機電能，2機與2主變接為單元接線；220KV側(cè)采用單母線接線。梯級電站采用集中控制模式，集控中心設于XX電站內(nèi)。2006年10月在四川電力調(diào)度數(shù)據(jù)網(wǎng)廠站接入工作會上，四川省調(diào)根據(jù)四川電網(wǎng)“十一五”二次系統(tǒng)規(guī)劃，對水電站調(diào)度自動化信息接入省調(diào)提出了新要求，要求水電站應組織電力調(diào)度數(shù)據(jù)網(wǎng)絡（主通道）和常規(guī)遠動通道（備用通道），以直采直送方式將水電站調(diào)度自動化信息傳送到四川省調(diào)。根據(jù)四川電網(wǎng)“十一五”二次系統(tǒng)規(guī)劃方案，按照電力二次系統(tǒng)安全防護規(guī)定和全國電力二次系統(tǒng)安全防護總體方案的要求，為防范對電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的攻擊侵害及由此引起的電力系統(tǒng)事故，保障電力系統(tǒng)的安全穩(wěn)定運行，建立和完善電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的安全防護體系。實施方案應滿足電力二次系統(tǒng)安全防護總體方案電監(jiān)安全200634號文的要求。為適應省調(diào)這一最新要求，XX、XX梯級電站按四川電力調(diào)度數(shù)據(jù)網(wǎng)雙平面接入要求分別接入四川省級調(diào)度數(shù)據(jù)接入網(wǎng)和XX地級調(diào)度數(shù)據(jù)接入網(wǎng)，數(shù)據(jù)網(wǎng)設備按雙套配置，在XX、XX梯級電站配置接入路由器2臺和三層交換機4臺。接入方案按國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)第二平面網(wǎng)絡4（SPDNET2）總體技術(shù)方案的要求執(zhí)行。同時在電廠側(cè)配置縱向加密認證裝置，實現(xiàn)電廠與省調(diào)通信的縱向安全防護體系。2設計總則21設計依據(jù)（1）四川電網(wǎng)“十一五”二次系統(tǒng)規(guī)劃；（2）國家電力調(diào)度數(shù)據(jù)網(wǎng)絡總體設計技術(shù)方案；（3）四川電力調(diào)度數(shù)據(jù)網(wǎng)絡初步設計和技術(shù)規(guī)范書；（4）電力二次系統(tǒng)安全防護總體方案，電監(jiān)安全200634號文。22設計范圍（1）依據(jù)四川電力調(diào)度數(shù)據(jù)網(wǎng)一期工程初步設計中所確定的原則和四川省電網(wǎng)公司調(diào)度生產(chǎn)現(xiàn)有需求及發(fā)展需要，對水電站和調(diào)度相關(guān)的業(yè)務種類、需求及流量進行分析和預測，確定XX、XX梯級電站接入四川電力調(diào)度數(shù)據(jù)網(wǎng)所采用的網(wǎng)絡技術(shù)體制及接入方案。（2）進行網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)絡方案設計，提出網(wǎng)絡功能和業(yè)務范圍、網(wǎng)絡安全、網(wǎng)絡管理等方面的要求。（3）提出各類承載業(yè)務系統(tǒng)的接入方案。（4）根據(jù)業(yè)務和性能要求，提出網(wǎng)絡設備配置方案及技術(shù)指標要求。（5）提出工程的主要設備清冊。23設計原則XX、XX梯級電站接入四川電力調(diào)度數(shù)據(jù)網(wǎng)方案規(guī)劃設計的主要原則如下（1）接入方案應滿足電監(jiān)會5號令的要求，確保電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡等電力二次系統(tǒng)的安全。（2）接入方案應滿足四川電力調(diào)度數(shù)據(jù)網(wǎng)工程設計中有關(guān)廠站接入5的要求。（3）接入方案應滿足四川電力調(diào)度生產(chǎn)各種業(yè)務的需要，并應充分考慮網(wǎng)絡技術(shù)的發(fā)展方向，網(wǎng)絡平臺應具有高度的靈活性、適應性和良好的可擴展性，以滿足目前和未來的網(wǎng)絡需求。（4）接入方案應具有良好的服務質(zhì)量保證機制，滿足四川電網(wǎng)調(diào)度生產(chǎn)所需的網(wǎng)絡功能和承載能力。（5）接入方案應滿足XX、XX梯級電站安全、可靠和高效地向四川省調(diào)傳送相關(guān)業(yè)務數(shù)據(jù)的要求。3業(yè)務種類及傳輸需求分析31業(yè)務種類（1）調(diào)度自動化數(shù)據(jù)業(yè)務調(diào)度自動化數(shù)據(jù)有兩類，一類是保證電網(wǎng)安全、穩(wěn)定、經(jīng)濟運行所必需的電網(wǎng)運行狀態(tài)的實時監(jiān)控數(shù)據(jù)；另一類是EMS系統(tǒng)實現(xiàn)網(wǎng)絡分析的高級應用軟件所需要的準實時數(shù)據(jù)。（2）電力市場數(shù)據(jù)電力市場數(shù)據(jù)包括公司內(nèi)部電力市場技術(shù)支持系統(tǒng)之間交換的數(shù)據(jù)，各個系統(tǒng)采集的各自需要的數(shù)據(jù)，公司交易中心與其它公司交易中心之間交換的數(shù)據(jù)。這些數(shù)據(jù)用于電力市場交易、查詢、發(fā)布和結(jié)算，其覆蓋面廣，信息量大，對數(shù)據(jù)可靠性、安全性、完整性、準確性均有很高要求。電力市場數(shù)據(jù)內(nèi)容主要有電能計量數(shù)據(jù)、現(xiàn)貨交易數(shù)據(jù)（負荷、電量、報價等）、期貨交易數(shù)據(jù)（負荷、電量、報價等）、市場其它信息等。（3）電能量信息數(shù)據(jù)、系統(tǒng)繼電保護及故障錄波信息數(shù)據(jù)、安全自動裝置數(shù)據(jù)業(yè)務以及保護記錄的歷史數(shù)據(jù)的非實時數(shù)據(jù)傳輸。32四川電力調(diào)度數(shù)據(jù)網(wǎng)絡傳輸?shù)男畔⑺拇娏φ{(diào)度數(shù)據(jù)網(wǎng)絡傳輸?shù)男畔⒖梢苑譃橐韵露悾?）實時和準實時信息6遠動信息水調(diào)自動化信息保護故障信息處理系統(tǒng)信息相角監(jiān)測信息EMS系統(tǒng)之間交換的用于網(wǎng)絡分析的準實時數(shù)據(jù)電力市場實時信息交換通信監(jiān)測系統(tǒng)信息（2）非實時信息電力市場數(shù)據(jù)（含電能量計量數(shù)據(jù)）繼電保護類信息安全穩(wěn)定控制系統(tǒng)數(shù)據(jù)運方類信息33網(wǎng)絡業(yè)務傳輸需求分析上述各類業(yè)務信息的傳輸優(yōu)先級、傳輸頻度、傳輸時延、傳輸?shù)目煽啃缘纫蟾鞑幌嗤鋫鬏斝枨蟮姆治鼋Y(jié)果可參見下表表31各類業(yè)務數(shù)據(jù)傳輸需求一覽表序號業(yè)務種類傳輸優(yōu)先級傳輸頻度可靠性1實時數(shù)據(jù)（1）遠動數(shù)據(jù)高秒級高（2）EMS實時數(shù)據(jù)高秒級高（3）電力市場實時數(shù)據(jù)高秒級高2非實時數(shù)據(jù)（1）電能量計量數(shù)據(jù)較高分鐘級高（2）電力市場非實時數(shù)據(jù)較高分鐘級高（3）水調(diào)自動化數(shù)據(jù)較高分鐘級高7（4）保護故障數(shù)據(jù)較高隨機高4技術(shù)體制在四川電力調(diào)度數(shù)據(jù)網(wǎng)一期工程已經(jīng)明確電力調(diào)度數(shù)據(jù)網(wǎng)采用IP技術(shù)體制，即采用IPOVERSDH技術(shù)組網(wǎng)，實現(xiàn)調(diào)度數(shù)據(jù)網(wǎng)和電力綜合業(yè)務數(shù)據(jù)網(wǎng)的物理隔離（SDH層面隔離）。該體制具有以下優(yōu)點（1）符合調(diào)度應用特性。電力調(diào)度應用系統(tǒng)特性相對較單一，基本是IP業(yè)務，從應用特性看，應直接采用IP交換網(wǎng)絡。（2）IPSDH網(wǎng)絡開銷小，傳輸效率高。（3）網(wǎng)絡簡潔，設備投資少。（4）網(wǎng)絡層次簡潔，復雜度低，利于日常運行維護。IP路由設備與SDH/PDH設備接口簡單、標準，便于在故障情況下快速定位和故障處理。（5）調(diào)度IP業(yè)務與其他IP業(yè)務之間是物理隔離，網(wǎng)絡安全性好，有利于系統(tǒng)整體安全策略的制定和部署。根據(jù)IP技術(shù)發(fā)展的趨勢和調(diào)度數(shù)據(jù)網(wǎng)業(yè)務的需求，根據(jù)國調(diào)二次系統(tǒng)安全防護體系的要求，采用基于BGP/MPLSVPN的技術(shù)在調(diào)度數(shù)據(jù)網(wǎng)內(nèi)劃分兩個VPN實時控制VPN和非控制生產(chǎn)VPN，分別供安全區(qū)I（實時控制區(qū)）和安全區(qū)II（非控制生產(chǎn)區(qū)）廣域數(shù)據(jù)傳輸用。調(diào)度數(shù)據(jù)網(wǎng)采用MPLSVPN實現(xiàn)業(yè)務間的安全隔離。路由協(xié)議采用OSPF，通過建立多區(qū)域并和IP地址規(guī)劃配合，減少路由表條目，避免路由翻動對區(qū)域外網(wǎng)絡的影響。5網(wǎng)絡拓撲結(jié)構(gòu)（1）分層結(jié)構(gòu)基于業(yè)務量的需求和網(wǎng)絡可擴展性的原則，考慮網(wǎng)絡運行維護要求，四川調(diào)度數(shù)據(jù)網(wǎng)采用三層結(jié)構(gòu)，即核心層、骨干層、接入層。XX、XX梯級電站為接入層節(jié)點。（2）標準化和開放性采用的網(wǎng)絡技術(shù)應符合國際標準及國內(nèi)標8準，滿足信息準確、安全、可靠地交換傳輸。網(wǎng)絡設備應有開放的接口，擁有良好的維護、測量及管理手段，實現(xiàn)統(tǒng)一網(wǎng)管。（3）業(yè)務管理能力網(wǎng)絡需向用戶提供不同類型的服務，應有良好的業(yè)務管理能力。（4）統(tǒng)一網(wǎng)管網(wǎng)絡采用統(tǒng)一的分級、分權(quán)管理能力的網(wǎng)管系統(tǒng)。（5）擴展性考慮到用戶數(shù)量和業(yè)務種類的變化，網(wǎng)絡要建成完整統(tǒng)一、組網(wǎng)靈活、易于擴展的網(wǎng)絡平臺，能隨需求變化而擴展。（6）安全可靠性整個網(wǎng)絡要安全穩(wěn)定，支持網(wǎng)絡節(jié)點的備份和線路保護，提供網(wǎng)絡安全防范措施。（7）實時性網(wǎng)絡應滿足調(diào)度業(yè)務實時性要求。6XX、XX梯級電站通信現(xiàn)狀XX、XX梯級電站的對外通信狀況如圖61所示。7XX、XX梯級電站接入拓撲目前網(wǎng)省調(diào)出于流域安全、電網(wǎng)穩(wěn)定控制和電力市場水電優(yōu)先、電能量關(guān)口數(shù)據(jù)獲取等原則要求直接從水電站現(xiàn)場的業(yè)務系統(tǒng)或采集裝置上采集數(shù)據(jù)，其業(yè)務流量模型如圖71所示省調(diào)地調(diào)川北光纖環(huán)網(wǎng)水晶變電站小河電站豐巖堡電站圖61小河、豐巖堡梯級電站通信網(wǎng)絡示意圖9圖71XX、XX梯級電站業(yè)務流量模型按照四川省調(diào)擬定四川電力調(diào)度數(shù)據(jù)網(wǎng)接入典型方案的要求，XX、XX梯級電站應考慮配置接入節(jié)點設備。如圖72所示圖72XX、XX梯級電站接入拓撲8廠站業(yè)務接入方案81業(yè)務系統(tǒng)接入原則根據(jù)全國電力二次系統(tǒng)安全防護總體方案的要求根據(jù)全國電力二次系統(tǒng)安全防護總體方案的要求，XX、XX梯級電站的各類業(yè)務按安全等級劃分為2個區(qū)，要求建立2個VPN分別進行信息交換安全區(qū)I是生產(chǎn)控制區(qū)，凡是具有實時監(jiān)控功能的系統(tǒng)或其中的監(jiān)控功能部分均屬于安全區(qū)I，本工程中主要是包括XX、XX梯級電站的計算機監(jiān)控系統(tǒng)；安全區(qū)II是非生產(chǎn)控制區(qū)，原則上不具備控制功能的生產(chǎn)10業(yè)務和系統(tǒng)中不進行控制的部分均屬于安全區(qū)II，本工程中主要是包括電能量計量系統(tǒng)、發(fā)電計劃申報系統(tǒng)終端等。四川調(diào)度數(shù)據(jù)網(wǎng)采用三層結(jié)構(gòu)核心層、骨干層和接入層。省調(diào)為核心層，地調(diào)為骨干層，XX、XX梯級電站數(shù)據(jù)網(wǎng)絡位于接入層。擬在XX、XX梯級電站設置2套數(shù)據(jù)專網(wǎng)柜，由SDH設備2M通道將所有信息傳至省調(diào)、XX地調(diào)。廠站接入如圖81所示，在廠站各業(yè)務接入節(jié)點配置接入路由器及三層交換機，采用VLAN技術(shù)，每個VPN接入一臺三層交換機，兩臺三層交換機接入廠站路由器。圖81廠站業(yè)務系統(tǒng)接入方案示意圖82遠動信息接入通過XX、XX梯級電站站內(nèi)綜合計算機監(jiān)控系統(tǒng)的主備雙通信服務器，采用調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡傳輸鏈路為主通道，常規(guī)專線通道為備用通道，通過101、104規(guī)約向四川省主調(diào)和備調(diào)傳送相關(guān)遠動數(shù)據(jù)信息。圖82為遠動信息接入示意圖11圖82計算機監(jiān)控系統(tǒng)接入方案示意圖83電能量采集系統(tǒng)/發(fā)電計劃申報系統(tǒng)四川電網(wǎng)電力市場支持系統(tǒng)主站設在四川省電力公司調(diào)度中心，由統(tǒng)一的網(wǎng)絡平臺、電量采集系統(tǒng)、發(fā)電計劃申報管理系統(tǒng)、考核結(jié)算系統(tǒng)、信息發(fā)布系統(tǒng)、調(diào)度自動化系統(tǒng)（EMS）系統(tǒng)組成，是四川電力市場正常運轉(zhuǎn)必不可少的技術(shù)基礎(chǔ)。省調(diào)側(cè)電力市場技術(shù)支持系統(tǒng)各子系統(tǒng)建立在一個統(tǒng)一的網(wǎng)絡平臺上，各子系統(tǒng)通過網(wǎng)絡交換機互聯(lián)，相互交換數(shù)據(jù)。省調(diào)電量采集主站系統(tǒng)采用電力調(diào)度數(shù)據(jù)專網(wǎng)網(wǎng)絡數(shù)據(jù)傳輸為主，撥號方式數(shù)據(jù)傳輸為輔，抄錄電站端電量數(shù)據(jù)。站端發(fā)電計劃申報管理系統(tǒng)通過電力調(diào)度數(shù)據(jù)專網(wǎng)網(wǎng)絡數(shù)據(jù)傳輸為主，撥號方式備用的結(jié)構(gòu)訪問主站系統(tǒng)，上報和獲取計劃和其它市場信息。如下圖所示12圖83電能量采集裝置、發(fā)電計劃申報系統(tǒng)接入9調(diào)度數(shù)據(jù)網(wǎng)設備配置及技術(shù)要求91網(wǎng)絡設備的配置原則必須具備高可靠性及高冗余性；必須能夠提供故障隔離功能；必須具有迅速升級能力；必須具有較少的時延；必須具有良好的可管理性。同時還需要考慮路由器的處理性能；網(wǎng)絡的可靠性；網(wǎng)絡的擴展能力；網(wǎng)絡的安全性。92路由器921路由器基本功能要求路由器設備必須實現(xiàn)以下功能。對于所提供路由器設備，投標人應結(jié)合下述功能要求詳細進行逐條說明。（1）應支持將IP地址與相應連接到的網(wǎng)絡的鏈路層地址相互映射。例如將IP地址轉(zhuǎn)換成以太網(wǎng)硬件地址等（ARP以及RARP）。13（2）應能支持OSPFV2或/和ISIS和RIPV2等內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）與其它同一自治域（AS）中路由器交換路由信息及可達性信息。支持BGP4外部網(wǎng)關(guān)協(xié)議與其它自治域交換拓撲信息。（3）應能提供系統(tǒng)網(wǎng)絡管理和控制機制，包括存儲/上載配置、診斷、升級、狀態(tài)報告、異常情況報告及控制等。并應能提供包括數(shù)、字節(jié)數(shù)、端口、業(yè)務類型等信息統(tǒng)計功能。（4）應能提供多種可選物理層傳輸接口和適配功能。特別是，支持多個E1/G703接口的綁定功能。（5）應能提供組播功能。（6）應能提供虛擬專網(wǎng)（VPN）功能。（7）應能支持MPLS（VPN，TE）。（8）應能支持路由器節(jié)點的CQS功能，并且網(wǎng)絡具備一定的QOS機制。（9）應能夠與其他廠家的路由器設備互聯(lián)互通，并列出清單（型號）。922路由器接口類型及特性要求9221路由器接口（1）應能支持10/100BASET自適應接口（2）應能支持千兆以太網(wǎng)接口（3）應能支持E1/CE1電接口（4）應能支持STM1光/電接口922210/100BASET接口10MBIT/S以太網(wǎng)接口應符合IEEE8023。100MBIT/S快速以太網(wǎng)接口應符合IEEE8023U。9223千兆比以太網(wǎng)接口1000MBIT/S以太網(wǎng)物理接口可以支持1000BASESX、1000BASELX14以及1000BASET。1000BASESX和1000BASELX接口應符合IEEE8023Z，1000BASET接口應符合IEEE8023AB。支持千兆比以太網(wǎng)接口上的MPLS（MPLSOVERGIGABITETHERNET）。支持優(yōu)先級設定/映射。當用于局域網(wǎng)時，支持虛擬冗余路由器協(xié)議（VRRP）。9224E1電接口E1電接口的物理層特性應符合ITUTI432、G703建議。E1電接口的接口類型應為非平衡式75歐姆BNC接口。支持信道化方式。9225SDH接口STM1光/電接口物理層特性應符合ITUTG957和國標要求。923路由器各層協(xié)議及路由協(xié)議要求9231鏈路層協(xié)議路由器應能支持地址解析協(xié)議（ARP）、反向地址解析協(xié)議（RARP）、點到點協(xié)議（PPP）；對于核心層、骨干層路由器還應能支持SDH上傳送IP的協(xié)議，即能支持RFC1619/2615。92311地址解析協(xié)議（ARP）實現(xiàn)ARP的路由器必須符合RFC1122中ARP部分。如果僅因為ARP緩存中沒有相應的目的地地址，鏈路層不允許報告目的地不可達差錯；鏈路層應在執(zhí)行ARP請求/響應序列時緩存數(shù)據(jù)包，只有在請求無結(jié)果后才報告目的地不可達。92312點到點協(xié)議（PPP）對點到點協(xié)議的實現(xiàn)必須符合RFC1661、RFC1331、RFC1334和RFC1994。9232互聯(lián)網(wǎng)層協(xié)議應能支持IP、ICMP、IGMP等協(xié)議9233互聯(lián)網(wǎng)層轉(zhuǎn)發(fā)協(xié)議15路由器的包轉(zhuǎn)發(fā)過程應符合RFC791、RFC950、RFC922、RFC792、RFC1349互聯(lián)網(wǎng)層協(xié)議；應支持傳輸控制協(xié)議（TCP）、用戶數(shù)據(jù)包協(xié)議（UDP）。9234路由協(xié)議路由器應支持缺省路由、靜態(tài)路由，并支持RIPV2、OSPF、BGP4等動態(tài)路由協(xié)議，并說明是否支持ISIS路由協(xié)議。9235MPLS協(xié)議路由器應完全支持對MPLS協(xié)議。9236區(qū)分業(yè)務協(xié)議（DIFFSERV）路由器應支持區(qū)分業(yè)務協(xié)議。9237排隊策略和擁塞控制路由器應提供先進的擁塞控制機制，對不同等級的業(yè)務進行不同的處理，設備應該支持為每個隊列或用戶分配相對獨立的帶寬資源，為所有的應用提供不同的時延、不同的時延抖動、不同的帶寬保證和不同的丟包率等要求，設備的每個物理接口所支持的隊列數(shù)量不應低于4個。應提供路由器每接口模塊能夠提供的隊列數(shù)目、可以實施的隊列調(diào)度算法、以及隊列對性能的綜合影響。924接入路由器詳細技術(shù)指標功能及技術(shù)指標參數(shù)要求包轉(zhuǎn)發(fā)能力200KPPS接口槽數(shù)4配置DRAM內(nèi)存256M配置FLASH內(nèi)存32M可支持接口類型10/100BASET、E1電路端口、V24冗余電源11最大快速以太接入數(shù)量10最大E1接口數(shù)量16整機不間斷工作時間20萬小時時延100S用戶協(xié)議IP，ATM，F(xiàn)RAMERELAY16路由協(xié)議OSPF、BGPV4、BGP4EXTENSION、RIPV2路由器管理/安全協(xié)議SNMP、RMONII、在線升級，在線打補丁服務質(zhì)量流量分類和流量監(jiān)管CAR/LR、流量整形GTS、擁塞管理PQ/CQ/WFQ/CBQ、擁塞避免WRED網(wǎng)絡安全錄用戶認證、RADIUS認證/計費、IPSEC、IKE、硬件加密卡、防火墻支持（對接口/時間段/MAC地址的過濾、高性能NAT。標記交換LDP、MPBGP流量工程MPLS/TE虛擬專網(wǎng)MPLS/VPN組播PIM，IGMP93三層交換機931基本技術(shù)要求千兆比以太網(wǎng)3層交換機具有第3層路由功能，其主要功能包括以下幾方面（1）接口功能支持1000BASESX、1000BASELX、1000BASET、100BASEFX、100BASET接口。（2）邏輯鏈路層功能以太網(wǎng)交換機必須實現(xiàn)一類LLC支持類型1操作。（3）數(shù)據(jù)幀轉(zhuǎn)發(fā)功能交換機在不同端口所連接的被橋接的MAC間交換MAC用戶數(shù)據(jù)幀。（4）數(shù)據(jù)幀過濾功能交換機為防止數(shù)據(jù)幀重復，對某些端口上數(shù)據(jù)幀不轉(zhuǎn)發(fā)（丟棄）到其他接口。（5）IP包轉(zhuǎn)發(fā)功能按照路由表內(nèi)容在各端口（包括邏輯端口）間轉(zhuǎn)發(fā)數(shù)據(jù)包并且改寫鏈路層數(shù)據(jù)包頭信息。（6）路由信息維護功能該功能負責運行路由協(xié)議，維護路由表。（7）維護決定數(shù)據(jù)幀轉(zhuǎn)發(fā)及過濾的信息交換機必須實現(xiàn)維護數(shù)據(jù)幀轉(zhuǎn)發(fā)/過濾信息。17（8）運行維護功能交換機必須實現(xiàn)運行維護功能。（9）網(wǎng)絡管理功能交換機必須實現(xiàn)網(wǎng)絡管理接口及協(xié)議。（10）任意配置下，所有端口線速交換轉(zhuǎn)發(fā)。（11）支持OSPF、RIP等內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）。（12）支持8021X認證，提高網(wǎng)絡安全性。932詳細技術(shù)指標功能及技術(shù)指標參數(shù)要求交換背板容量8G最大轉(zhuǎn)發(fā)性能6MPPS處理器內(nèi)存64M可支持接口類型10/100BASET、百兆光口（單模、多模、GE可擴展千兆模塊2固定FE接口數(shù)量24路由表容量2K時延線速交換VLAN特性支持基于端口的VLAN，8021QVLAN封裝，8021DSPANNINGTREE，最大VLAN數(shù)256，支持GVRPMAC地址表8K路由表項8K基本功能端口鏡像；優(yōu)先權(quán)/8021P；流量控制/8023X；端口聚集/8023AD，8；堆疊數(shù)量16；支持QOS協(xié)議特性8021X，RSTP組播協(xié)議支持GMRP、PIMDM、PIMSM、IGMPI、GMPSNOOPING等協(xié)議生產(chǎn)樹協(xié)議支持STP/RSTP協(xié)議符合IEEE8021DIEEE8021W標準安全分級命令保護機制，ACL過濾設備管理集群管理數(shù)量256；SNMP；RMON1/2/3/9；SYSLOG；支持WEB網(wǎng)管，支持MIBII1894設備機械結(jié)構(gòu)及工藝要求（1）設備的總體機械結(jié)構(gòu)應充分考慮安裝維護的方便和擴充容量或調(diào)整設備數(shù)量的靈活性，實現(xiàn)硬件的模塊化。機械結(jié)構(gòu)應具有足夠的強度和剛度，設備的安裝固定方式應具有防振抗震能力，對地面的荷重不應超過400KG/M2，應保證設備經(jīng)過常規(guī)的運輸、儲存和安裝后不產(chǎn)生破損、變形。（2）機箱（包括路由器、交換機）以及所有的部件均應安裝在標準機架內(nèi)。機箱上各種插板、模塊均應是嵌入式的，易于插入、拔出，并有定位、鎖定裝置，插板、模塊上應標示有導向。機架上可接觸至布線的部位和危險電壓的部位，均必須提供罩蓋，對高壓等危險部位應有特殊標志。（3）設備應有良好的表面處理，表面處理層應是牢固的，易銹、易氧化的部件應進行特殊表面處理，以便設備能長期抗腐蝕、防蛀、防生銹。所有噴塑（漆）部件的表面應光滑平整、色澤一致，不允許有劃痕、斑疵、流掛、脫落和破損，所有電鍍部件的表面應有金屬光澤，不允許有裂紋、銹點、毛刺和缺陷。95環(huán)境條件（1）海拔高程至少400米。（2）耐地震能力1）地面水平加速度02G2）地面垂直加速度01G3）地震基本烈度VII（3）工作環(huán)境溫度191）長期工作條件10352）短期工作條件045（短期工作條件連續(xù)不超過48H，每年累計不超過15天）（4）工作相對濕度1）長期工作條件20802）短期工作條件1090（短期工作條件連續(xù)不超過48H，每年累計不超過15天）（5）路由器等設備應能適應不同的地域環(huán)境條件，并能在無空調(diào)條件下運輸和存儲，而不影響裝機開通后的正常運行。對此，投標人應作出相應說明。（6）路由器等設備應具備相應的防塵能力，在機房內(nèi)粒子直徑大于5微米的灰塵（灰塵粒子是非導電、導磁和腐蝕性的）的濃度不大于3X104粒/M3的情況下路由器等設備應不出現(xiàn)故障和性能的下降。（7）路由器等設備應具備相應的抗電磁干擾能力，路由器等設備本身在00110000MHZ頻率范圍內(nèi)受到電場強度為140DBUV/M的外界電磁波干擾時，應不出現(xiàn)故障和性能的下降。（8）路由器等設備應采用交流220V供電方式，投標人應詳細說明所提供的各類設備所需電源的要求，并給出各種節(jié)點、各種設備的功耗和總功耗。（9）采用單相、額定電壓為220V的交流電源時，路由器等設備應能在一定的電壓變動范圍之內(nèi)正常工作。允許的電壓變動范圍為1515，50HZ頻率55，線電壓波形畸變率30。18在掃描的過程中不對目標系統(tǒng)產(chǎn)生破壞性影響，即掃描結(jié)束后目標系統(tǒng)不會被改動或破壞，掃描結(jié)束后目標系統(tǒng)不會出現(xiàn)死機或者停機現(xiàn)象，掃描過程中應保持目標系統(tǒng)的可用性。19掃描過程可視化，能夠?qū)崟r顯示掃描進度和IP地址、漏洞信息。20能夠?qū)崟r在線顯示掃描漏洞報表，掃描任務結(jié)束后可直接對漏洞結(jié)果進行查看。21支持斷網(wǎng)續(xù)掃功能，并且對已經(jīng)完成的掃描結(jié)果進行保存。22提供漏洞驗證功能，對掃描出來的重要漏洞能夠模擬黑客行為進行漏洞風險展示。資質(zhì)要求1產(chǎn)品應具備中華人民共和國公安部的計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證，中國國家信息安全評測認證中心的國家信息安全認證產(chǎn)品型號證書。具備國家保密局涉密信息系統(tǒng)安全保密中心的涉密信息系統(tǒng)產(chǎn)品檢測證書。具備中國人民解放軍信息安全測評認證中心軍用信息安全產(chǎn)品認證證書。產(chǎn)品廠家必須有CMMI3證書，涉密甲級單項軟件開發(fā)證書。2漏洞掃描廠商應具備多年的漏洞研究經(jīng)驗積累，國際CVE組織成員，能夠查看微軟操作系統(tǒng)源代碼。3產(chǎn)品有5年以上的市場銷售時間，是成熟可信產(chǎn)品。424產(chǎn)品要求取得CVE（COMMONVULNERABILITIESANDEXPOSURES，世界漏洞披露組織）正式的兼容認證（CERTIFICATEOFCVECOMPATIBLITY），并提供證明文件。5產(chǎn)品要求為國內(nèi)開發(fā)，具備自主知識產(chǎn)權(quán),必須具備計算機軟件著作權(quán)登記證書。6漏洞掃描系統(tǒng)必須與入侵檢測系統(tǒng)為同一廠家產(chǎn)品。即在同一平臺界面上可以進行NIDS和掃描引擎的統(tǒng)一管理、配置、執(zhí)行任務。入侵檢測的事件和漏洞掃描結(jié)果統(tǒng)一顯示。可對入侵事件和系統(tǒng)漏洞進行綜合分析。155安全審計管理平臺（1）國內(nèi)自主研發(fā)，系統(tǒng)提供方應擁有所提供系統(tǒng)的全部知識產(chǎn)權(quán)，并能夠在其上進行進一步開發(fā)。（2）平臺化設計，功能模塊插件化，用戶可以自主選擇需要的功能模塊，或在現(xiàn)有平臺上進行客戶化定制。（3）平臺必須采用業(yè)界主流的B/S方式，不需要安裝客戶端。（4）系統(tǒng)應對I/II區(qū)的安全設備、網(wǎng)絡設備等的運行工況、日志告警進行集中統(tǒng)一的監(jiān)控管理。（5）系統(tǒng)應實時接收各類業(yè)務系統(tǒng)、網(wǎng)絡系統(tǒng)和安全產(chǎn)品（防火墻、IDS、防病毒系統(tǒng)、路由器、隔離裝置、交換機、業(yè)務主機、機房設施等）的安全事件信息，能對上述信息進行集中存儲、查詢。（6）系統(tǒng)支持網(wǎng)絡（TCP、UDP）、串口等多種通訊方式，采用SYSLOG、SNMP和訂制接口等方式采集不同格式的日志信息和告警信息。（7）系統(tǒng)能按照既定規(guī)則對接收的安全事件信息進行分析，發(fā)生設備異常及異常的安全事件時，能自