腾龙芳烃漳州有限公司分散控制系统DCS网络安全加固技术规范书.docx

上传人:夺命阿水 文档编号:548126 上传时间:2023-08-21 格式:DOCX 页数:46 大小:114.58KB
返回 下载 相关 举报
腾龙芳烃漳州有限公司分散控制系统DCS网络安全加固技术规范书.docx_第1页
第1页 / 共46页
腾龙芳烃漳州有限公司分散控制系统DCS网络安全加固技术规范书.docx_第2页
第2页 / 共46页
腾龙芳烃漳州有限公司分散控制系统DCS网络安全加固技术规范书.docx_第3页
第3页 / 共46页
腾龙芳烃漳州有限公司分散控制系统DCS网络安全加固技术规范书.docx_第4页
第4页 / 共46页
腾龙芳烃漳州有限公司分散控制系统DCS网络安全加固技术规范书.docx_第5页
第5页 / 共46页
点击查看更多>>
资源描述

《腾龙芳烃漳州有限公司分散控制系统DCS网络安全加固技术规范书.docx》由会员分享,可在线阅读,更多相关《腾龙芳烃漳州有限公司分散控制系统DCS网络安全加固技术规范书.docx(46页珍藏版)》请在课桌文档上搜索。

1、腾龙芳煌(漳州)有限公司分散控制系统DCS网络安全加固技术规范书编制:初审:审核:批准:腾龙芳煌(漳州)有限公司2023年04月26日投标人资质和条件1、投标人应具备独立法人资格且有能力提供招标服务。2、投标人须为依法注册的独立法人或其他组织,须提供有效的证明文件。投标人须具有并提供有效的信息安全管理体系认证证书、信息安全等级保护安全建设服务机构能力评估合格证书。并提供有效的书面证明材料。3、业绩要求(1)投标方应具有最近3年内已完工的200州或以上火电机组DCS网络安全防护系统设备供货及现场调试业绩,需提供与最终用户等签订的合同作为业绩证明文件(至少包括合同封面、签字页、供货、工作范围描述相

2、关页及完工证明文件(如发票、完成验收表、用户证明等)(2)未提供业绩证明文件或提供的业绩证明文件无法认定上述业绩要求的,视为无效业绩。(3)与招标人存在利害关系可能影响招标公正性的法人,不得参加投标。(4)单位负责人为同一人或者存在控股、管理关系的不同单位,不得同时参加本招标项目投标。(5)处于被责令停业或投标资格被取消或财产被接管、冻结、查封、破产等权利状态受限状态的投标人,不得参加投标。(6)本项目不接受联合体投标。4、投标费用承包方应承担其编制投标文件与递交文件所涉及的一切费用。5、投标文件的语言单位之间来往的通知、函件和文件均使用中文。6、评标形式本工程按照国家有关规定,实行公平、公正

3、、公开的原则,建议通过招标形式综合评标,择优选定中标单位。1 .本次评标采用综合评分法评标,得分最高者中标。各部分评分分值分布如下:PT:商务部分评分满分10分PB:技术部分评分满分20分PF:报价部分评分满分70分注:PT和PB部分的最终得分为各个评标委员会评分的算术平均值,并四舍五入取小数点后2位数。评标委员会评分取小数点后1位数。综合得分:P=PT+PB+PF2.评分标准见下表。序号评审项目分值评分细则投标人1投标人21商务部分体系认证2信息安全管理体系认证证书、信息安全等级保护安全建设服务机构能力评估合格证书得5分,不全得2分,没有得。分。工作业绩8近3年有类似产品业绩。提供一个合同及

4、发票凭证得1分,最高得8分。2技术部分技术方案和人员资质2()1、根据响应人的网络安全建设技术方案横向比较综合评审,最高15分,最低得5分。2、项目团队负责人及技术人员资质(CISSP注册信息系统安全专家证书、IS027001LA信息安全管理体系主任审核员证书、CISAW信息安全保障人员证、CISP注册信息安全专业人员认证),最高5分,没有最低得0分。3报价部分投标报价70投标价格得分=(F低/Fn)70式中:F低为评标基准价二进入报价部分评分的各合格投标人中最低的报价评标价。Fn为进入报价部分评分的各合格投标人的报价评标价。合计:六、答疑及现场勘察1.开标前:承包方可以通过传真、电话询问方式

5、答疑。2 .勘察现场:D承包方勘察现场所发生的费用由承包方自己承担。2)承包方提出的与投标有关的任何问题须在招标文件规定的时间内以书面形式送至发包方。七、差异表投标人要将投标文件和招标文件的差异之处汇集成表。序号招标文件投标文件条目简要内容条目简要内容备注:承包方如对本规范书有偏差(无论多少或微小)都必须清楚地表示在本规范书的附件“差异表”中。否则认为承包方完全接受。一、总则1.1本技术规范书适用腾龙芳燃(漳州)有限公司热电厂4670th+3150MW汽轮发电机组的分散控制系统DCS网络安全加固项目的技术要求。1. 2本技术规范书规定的是最低限度的技术协议,并未对一切技术细节作出规定,也未充分

6、引述有关标准和规范的条文,投标方应提供符合本技术协议要求和有关行业标准的服务。本技术规范书投标方若有异议,则以差异表方式在投标文件中一并提出。如投标方没有以书面形式对本规范的条文提出异议,那么招标方可以认为投标方提供的服务完全满足本规范的要求。1.4如投标方有除本规范书以外的其他要求,应以书面形式提出,经与招标方讨论、确认后,载于本规范书。1.5在合同签订后,招标方有权提出因设计、标准、规程、规范和现场实际发生变化而产生的修订要求。投标方应承诺予以配合,具体项目和条件由双方共同商定。1.6 本技术规范书经招标方、投标方双方确认后作为合同的技术附件,与合同正文具有同等效力。1.7 本规范所使用标

7、准如与投标方所执行标准发生矛盾时,按较严格现行标准执行。1.8 投标方对供货范围内的设备负有全部责任,且包括分包(或对外采购)的产品。9在签订合同之后,招标方有权提出因规范标准和规程发生变化而产生的一些补充要求,具体项目由双方共同商定。1.lO本项目要求采用国家最新实行的或将要实行的有关标准、规范和规定。1.11 设备采用的专利涉及到的全部费用均被认为已包含在设备报价中,卖方应保证买方不承担有关设备及软件等专利的一切责任。1.12 为便于评标工作,投标方提交的所有投标文件的电子版应采用可编辑电子文件,使用语言为中文,投标方在投标文件中所提的技术数据应以表格的形式列出。工程联系文件、技术资料、图

8、纸、计算、仪表刻度和文件中的计量单位均采用法定计量单位。二、工程概况2.1厂址概况热电厂位于漳州古雷港口经济区(位于福建省南端,东经11730,11745,北纬2325,24),古雷区域东临浮头湾、台湾海峡,西靠东山湾,面对东山县、云霄县,三面环海。水路至厦门77海里,至汕头73海里,至台湾澎湖98海里。陆路至漳州112km,至厦门138km,至汕头146km。沈海高速公路从规划区北面穿过并设有互通口。国道324线、漳州沿海大通道和规划建设的厦深铁路横贯规划区北面,区位和交通条件优越。2. 2工程概况1)工程简介腾龙芳烧热电厂装设4台670th超高压煤粉锅炉(670th13.7MPa、540)

9、。锅炉采用自然循环、四角切向燃烧方式,单炉膛,无再热,平衡通风,露天布置,固态排渣,全钢架悬吊结构I型汽包锅炉。过热器出口压力13.7MPa,过热器出口温度540。配套3X150MW(12.5MPa,534)抽汽凝汽式汽轮发电机组,汽轮机采用南京汽轮机有限公司生产的超高压双缸双排汽抽汽凝汽式汽轮机进行设计,每套汽轮机设计一段可调工业抽汽系统,其抽汽负荷性质为4.3MPa*382*282th一段可调工业抽汽一部分直接作为外界供热蒸汽,另一部分经减温减压2. 3MPa*230C后作为外界供热蒸汽,以满足主厂区的供热蒸汽需求。2)气象条件本项目所在地属南亚热带季风性气候,冬无严寒,夏无酷暑。年平均气

10、温为21.3;年平均降水1327.4mm,雨季集中在58月;多年平均湿度为80乐常年主导风向为东北风;79月受台风影响频率最高。气温年平均大气温度21.3极端最高气温38.2极端最低气温4.7最热月的日最高大气温度的平均值31.6年最高气温日数30oC,平均每年81d-35C,平均每年0.65d无霜期降水多年平均年降水量历年最多年降水量历年最少年降水量风365天/年1327.4毫米2125.6毫米788.8毫米多年平均风速夏季平均风速冬季平均风速5.5米/秒3.9米/秒(IOnl高处平均风速)6.9米/秒(Iom高处平均风速)主导风向三、技术标准东北,北北东供货范围和服务所涉及的硬件和软件等应

11、符合相应的标准规范或法规的最新版本或其修正本的要求,除非另有特别说明,将包括投标期内有效的任何修正和补充。除非合同另有规定,均须遵守最新的国家标准(GB)、国家电力行业标准(DL)、国际电工委员会(IEe)标准及国际单位制(SD标准。当上述标准不一致时,按技术条款要求高的标准执行。GB17859-1999计算机信息系统安全保护等级划分准则GBT22239-2019信息安全技术网络安全等级保护基本要求GBT28448-2019信息安全技术网络安全等级保护测评要求GBT28449-2018信息安全技术网络安全等级保护测评过程指南GBT36572-2018电力监控系统网络安全防护导则GBT33009

12、.1-2016工业自动化和控制系统网络安全集散控制系统(DCS)第1部分:防护要求GBT33009.2-2016工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求GBT33009.3-2016工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南GBT33009.4-2016工业自动化和控制系统网络安全集散控制系统(DCS)第4部分:风险与脆弱性检测要求GBT37933-2019信息安全技术工业控制系统专用防火墙技术要求GBT37934-2019信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求GBT37953-2019信息安全技术工业控制网络监测安全技

13、术要求及测试评价方法GBT37941-2019信息安全技术工业控制系统网络审计产品安全技术要求GBT37954-2019信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法GBT40813-2021信息安全技术工业控制系统安全防护技术要求和测试评价方法GAT1350-2017信息安全技术工业控制系统安全管理平台安全技术要求GAT1485-2018信息安全技术工业控制系统入侵检测产品安全技术要求GAT1559-2019信息安全技术工业控制系统软件脆弱性扫描产品安全技术要求GAT1560-2019信息安全技术工业控制系统主机安全防护与审计监控产品安全技术要求GAT 1562-2019信息安全

14、技术工业控制系统边界安全专用网关产品安全技术要求国家能源局在2015年2月4日印发了电力监控系统安全防护总体方案(俗称36号文)国家发展和改革委员会第14号令电力监控系统安全防护规定以上标准提出了最基本要求,投标方应执行本技术协议所列标准。有不一致时,按较高标准执行,并及时通告买方。从订货之日至卖方开始制造之日的这段时期内,买方有权提出因规程、规范和标准发生变化而产生的补充要求,卖方应遵守这些要求。且不论买方知道与否,卖方有责任及时书面通知买方有关规程、规范和标准发生的变化。四、系统概况4.1分散控制系统简介腾龙芳崎(漳州)有限公司热电厂4X670th+3X150MW汽轮发电机组的分散控制系统

15、DCS采用南京科远NT6000,每台锅炉、汽机和公用部分设立独立设备电子间,辅网车间控制系统脱硫区域DCS采用南京科远NT6000,4台锅炉烟气脱硫控制系统在脱硫控制楼电子设备间。除尘除灰区域控制系统采用西门子S7-400,4台锅炉除尘输灰电子设备间设在除尘输灰控制楼。输煤区域控制系统DCS采用南京科远NT6000,电子设备间设在输煤控制楼。采用全厂集中控制布置在汽机房10米层中央控制室内。腾龙芳烧(漳州)有限公司热电厂分散控制系统DCS网络现状如下:网络拓扑图1)4670th+3150MW汽轮发电机组DCS系统网络采用B网冗余配置,每台锅炉、每台汽机和公用系统各设置I对网络控制域,该主机和公

16、用系统共8个域,16个网段。4台锅炉为1-4号控制域、3台汽机为5-7号控制域每个控制域各设置2台操作站、1台工程师站。锅炉、汽机各控制域通过三层交换机接入公用系统的8号控制域,公用系统的8号控制域设置3台工程师站,2台值长站、1台公用操作站、2台历史站,1台接口机。2)辅网车间控制系统DCS系统网络采用A/B网冗余配置1对控制域,设置4台脱硫操作站,1台脱硫工程师站,1台脱硫废水工程师站、4台除尘输灰操作站、2台输煤操作站、1台输煤工程师站、2台辅网工程师站、2台历史站。3)辅网车间控制系统数据通过辅网工程师站数据转发至8号控制域接口机,接口机连接电力专用隔离装置数据传输至外网MES系统。4

17、)海腾码头输煤管廊控制系统数据通过输煤楼输煤工程师站数据采集转发至辅网控制系统。五、技术要求5.1总的要求依据等保2.O的一个中心,三重防护的思想,针对DCS控制系统面临的主要安全威胁,部署入侵检测、主机安全软件、工业防火墙、工控安全检测与审计、日志审计、统一管理平台等网络安全设备。分别从安全计算环境、安全通信网络、安全区域边界、安全管理中心四个部分使用相应的防护技术以应对安全威胁,提升网络安全防御能力。投标人负责提供满足招标方4X670th+3X150MW汽轮发电机组DCS控制系统控制大区网络安全建设满足等保三级要求所需要的全部硬件、软件、系统改造的附件及辅材、相关安全管理文档等。5.2基本

18、要求1)本技术规范书对腾龙芳烧(漳州)有限公司热电厂DCS系统网络安全加固项目所采用的硬件、软件提出技术及相关要求。2)本规范书涉及网络安全加固项目的软件系统划分为两部分:即系统软件和应用软件,这两部分软件都由投标方提供。3)本技术规范书提出的是最低限度的要求,并未对所有技术细节做出规定(如目前所列的各个子系统并不是最终确定的,投标方可根据自身设计提出更完善的设置),也未完全陈述与之有关的协议和标准。投标方提供符合本技术规范书和有关工业标准要求的经过实践代表当今先进技术的优质工业网络安全系统和有关设备及材料。4)应用软件系统包括投标方自行开发和采用的各种软件系统,即直接用于网络安全管理的软件系

19、统,或为使整个系统更为完善而配置的各种功能软件。应用软件的主体部分应采用投标方自主开发的B/S结构系统,业务流程基于图形化工作流系统驱动,工作流系统完全为自主知识产权产品而不是第三方软件。应用软件所有业务功能模块基于统一平台、统一登录入口。对非投标方开发的应用软件,投标方应在投标书中进行说明。5)设备采购的专利涉及到的全部费用均被认为已包含在设备报价中,投标方应保证需方不承担有关设备专利的一切责任和可能的费用。6)投标方提供的进口的硬件应是原产地原产国产品,并附有原产地证明书。所提供的软件(包含数据库应用软件、操作系统在内的第三方软件)应保证正版。并在国内同等级机组上有三年以上的成功运行业绩。

20、7)投标方随合同提供的供货清单在执行合同期间的任何减少或更换不同型号规格参数应经过招标方认可。8)投标方供货范围内所有设备的选型,均应在投标书中详细列出规格型号、数量、品牌等内容。9)投标方必须提供包括但不限于招标规范书要求的网络安全建设全套硬、软件设括备,以及相应的规划、迁移、安装、调试等全部服务。10)全面负责供货、安装、调试,包括系统内部的接线,负责其供货范围内所有设备的内部及其连线的设计和供货。11)根据本招标文件的要求,提供必须的安装详图和安装指导以及施工图设计、安装调试、培训指导、运行维护所需的全部软件、图纸和竣工资料。12)投标方根据招标方要求负责网络安全系统软、硬件的安装、调试

21、、最终整合成一个安全网络系统,直至稳定运行。13)本技术规范书作为合同的一个附件,与合同文件具有相同的法律效力。双方共同签署的会议纪要、补充文件等也与合同文件一样具有相同的法律效力。14)招标方对本规范书拥有最终解释权。5.3硬件要求1)投标方必须根据本项目建设和运行的实际需求,提供合理和必需的设备配置和报价,明确说明每个设备的类型和用途。2)投标方所提供的各类设备,所有提供的软、硬件(如接口设备、缆线、软件控制器等,包括本规范中未列出而系统实施又必需的软件、硬件)需配齐以构成一套实用系统,并在投标设备清单中详细的体现。如果投标方在中标并签署合同后,在供货或系统集成时出现软、硬件的任何遗漏,均

22、必须由中标方免费提供,招标方将不再支付任何费用。3)投标方所提供的各类设备其性能必须达到或超过需求中技术指标的要求。4)投标方应提供所有投标设备的工作环境说明,包括机房要求、供电功率、空间要求、承重要求等。5)投标方所提供的各类设备如需使用特别接头、插座、附件等,由投标方免费提供。另外,所投设备的用电保护如果超过一般线路保护,保护设备也由投标方免费提供。如必须产生费用的附件投标方应将与此有关的费用计入投标价中。6)投标方必须提供投标设备的详细配置清单及分项细项报价,性能必须与报价中的详细配置一致。7)如果投标方已中标并签署合同,所有设备和材料必须具有原制造厂商的授权证署或许可证,具备原制造厂商

23、的铭牌、标志,招标方将向制造商(生产厂商)进行产品验证。投标方所有设备和材料必须通过合法渠道提供给招标方。本系统中出现的任何涉及非法设备和材料的纠纷,均由投标方承担全部法律责任。5.4软件要求1)投标方必须承诺保证提供的所有软件产品为最新正式版本。2)投标方必须承诺保证提供的所有软件产品都具有在中国境内的正式合法使用权。所有系统软件必须具有原制造厂商的授权证或许可证,应具有功能、性能参数和使用手册。本系统中出现的任何涉及纠纷,均由投标方承担全部法律责任。3)投标方必须承诺保证提供的所有软件产品都具有完整的技术资料和介质。4)投标方必须给出所有软件产品的价格(或使用权的价格),并给出所有软件产品

24、模块的详细分项报价。如提供的某些技术资料或介质不含在基本报价中,也需另外单独列出报价。5)如果投标方已中标并签署合同,所有软件系统必须具有原制造厂商的授权证或许可证,具备原制造厂商的铭牌、标志,招标方将向制造商(生产厂商)进行产品验证。投标方所有软件系统必须通过合法渠道提供给招标方。本系统中出现的任何涉及非法软件系统的纠纷,均由投标方承担全部法律责任。5.5工作范围投标方提供的网络安全建设必须是成套服务,其范围包括:系统整体规划、方案设计及设备选型;系统工程的施工,包括设备及软件的采购、测试、联调、安装、调测;整个安全系统的测试验收、人员培训、技术支持以及对系统的优化调整;负责进行网络的规划。

25、在现有网络安全环境基础上提出设备升级改造加固方案,并列出报价。完成2022年度集散控制系统DCS等级测评报告所列相关的网络设备加固整改。5.6供货要求5.6.1工控防火墙技术要求1)网络层控制包过滤工控防火墙的包过滤要求如下:a)安全策略应使用默认禁止原则,即除非明确允许,否则就禁止;b)安全策略应包含基于源IP地址、目的IP地址的访问控制;C)安全策略应包含基于源端口、目的端口的访问控制;d)安全策略应包含基于协议类型的访问控制;安全策略应包含基于MAC地址的访问控制;f)应支持用户自定义的安全策略,安全策略可以是MAC地址、IP地址、端口的部分或全部组合。NAT部署域间的工控防火墙应具备N

26、AT功能,具体技术要求如下:a)应支持双向NAT:SNAT和DNAT:b)SNAT应至少可实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源IP地址被转换状态检测工控防火墙应具备状态检测功能,支持基于状态检测技术的访问控制。a)动态开放端口工控防火墙应具备动态开放端口功能,应至少支持OPC、FTP协议。b)1P/MAC地址绑定工控防火墙应支持自动或手动绑定IP/MAC地址;应能够检测IP地址盗用事件,拦截盗用IP地址的主机经过工控防火墙的各种访问。抗拒绝服务攻击工控防火墙应具有抗拒绝服务攻击的能力,具体技术要求如下(包括,但不限于):a)ICMPFIood攻击:b)UDPFIood攻

27、击;c)SYNFIood攻击:d) TearDrop攻击;e) 1.and攻击;f)超大ICMP数据攻击。网络扫描防护工控防火墙应能够检测和记录扫描行为,包括对受保护网络的扫描。2)应用层控制应用协议控制工控防火墙应能识别并控制各种应用类型,具体技术要求如下:a)支持HTTP、FTP、Telnet等通用应用层协议;b)支持常用工业控制协议,如OPC、ModbusTCP、S7协议、ProfinetBACnetDNP3、IEClO4等。工业协议深度内容检测工控防火墙应能对主流工业协议进行深度内容检测,具体技术要求如下:a)工控协议格式规约检查,禁止不符合协议规约的通信;b)对工业协议的操作类型、操

28、作对象、操作范围等参数进行控制;C)至少支持一种主流工控协议。3)管理安全工控防火墙应具备管理安全功能,具体技术要求如下:a)支持对授权管理员的口令鉴别方式,且口令设置满足安全要求;b)应在所有授权管理员请求执行任何操作之前,对每个授权管理员进行唯一的身份鉴别;C)应具有登录失败处理功能,身份鉴别在经过一个可设定的鉴别失败最大次数后,工控防火墙应终止管理主机或用户建立的会话;d)工控防火墙应为每一位规定的授权管理员提供一套唯一的为执行安全策略所必需的安全属性4)管理方式工控防火墙应具备多种管理方式,具体技术要求如下:a)应支持进行本地管理工控防火墙;b)应支持通过网络接口进行远程管理,并可限定

29、可进行远程管理的网络接口;C)远程管理过程中,管理端与工控防火墙之间的所有通信数据应加密传输。5)管理能力工控防火墙应具备相应的管理能力,具体技术要求如下a)向授权管理员提供设置和修改安全管理相关的数据参数的功能;b)向授权管理员提供设置、查询和修改各种安全策略的功能;C)向授权管理员提供管理审计日志的功能。6)安全审计记录事件类型工控防火墙应具备安全审计功能,记录事件类型要求如下:a)工控防火墙访间控制策略匹配的访问请求;b)访问控制策略默认禁止的访问请求,包括试图穿越或到达工控防火墙的访问请求;C)检测到的攻击行为;d)试图登录工控防火墙管理端口和管理身份鉴别请求;e)对工控防火墙系统重要

30、管理配置操作,如增加/删除/修政管理员,保存/删除审计日志,更改安全策略和配置参数等;f)其他应记录的事件类型。日志内容工控防火墙应具备安全审计功能,日志内容要求如下a)事件发生的日期时间,日期应包括年、月、日,时间应包括时,分,秒;b)访问控制日志应包括数据包的协议类型,源地址、日标地址,源端口、日标端口,允许或禁止;c)工控协议的深度内容检查信息:d)管理日志应包括事件主体、事件客体,事件描述日志管理工控防火墙应具备日志管理功能,具体技术要求如下:a)应只允许授权审计员对日志进行读取-存档,导出,删除和清空等操作;b)应提供日志查阅工具,具备对审计事件以时间、旧期、主体标识,客体标识等条件

31、检索的能力;C)并且只允许授权审计员使用查阅工具;d)审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阈值时通知授权管理员进行处理。7)安全管理工控防火墙的底层支撑系统应满足以下要求:a)不提供多余的网络服务;b)不含任何导致产品权限委失,拒绝服务等的安全漏洞。异常处理机制工控防火墙在非正常关机仕匕如掉电、强行关机)再重新启动后,应满足如下技术要求:a)安全策略你复到关机前的状态b)日志信息不会丢失C)管理员重新鉴别8)高可用性a)可用性保障部署在现场控制层的工控防火墙应具备ByPaSS功能,当工控防火墙自身出现断电故障时,应使工控防火墙内部接口与外部接口直接物理连通,保持内部网络与外

32、部网络之间的正常通信,并及时告警。b)自检功能工控防火墙应具备一定的自检功能在初始化或启动期间,应能对设备硬件、程序或功能模块、重要配置文件等进行检测,当发现早常时能够及时告警在运行期间,应能在授权管理员的要求下或者周期性的对提供安全功能的模块或进程进行检测,当出现异常时能够及时告警C)运行模式工控防火墙应支持多种运行模式,工控防火墙能够区分部署过程和工作过程,以实现对被防护系统的最小影响,具体技术要求如下:支持学习模式,工控防火墙记录运行过程中经过防火墙的所有策略,资产等信息,形成白名单策略集;支持验证模式或测试模式,该模式下工控防火墙对禁止策略进行告警,但不拦截;支持正常工作模式,工控防火

33、墙的正常工作模式,严格按照防护策略进行过滤等动作保护。d)安全策略更新工控防火墙安全策略应用时不应影响正常的数据通信。e)时间同步工控防火墙应支持与时钟服务器自动同步时间的功能。f)电源冗余部署现场控制层的工控防火墙应提供双电源冗余功能。g)散热方式部署现场控制层的工控防火墙应采用自然散热.无风扇方式设计。9)性能要求a)吞吐量工控防火墙在只有一条允许规则和不丢包的情况下,一对相应速率的端口应达到的双向吞吐量指标如下:部署在域间的工控防火墙:对64字节短包,百兆工控防火墙应不小于线速的30%,千兆工控防火墙应不小于线速的40%;对256字节中长包,百兆工控防火墙应不小于线速的70%,千兆工控防

34、火墙应不小于线速的80%;对512字节长包,百兆工控防火墙应不小于线速的90%,千兆工控防火墙应不小于线速的95%0部署在现场控制层设备前的工控防火墙:对64字节短包,百兆工控防火墙应不小于线速的10乳千兆工控防火墙应不小于线速的20%;对256字节中长包,百兆工控防火墙应不小于线速的30%,千兆工控防火墙应不小于线速的40祝对512字节长包,百兆工控防火墙应不小于线速的50%,千兆工控防火墙应不小于线速的70%.b)延退延迟视不同速率的工控防火墙有所不同,在吞吐量90%条件下,应满足如下要求:a)部署在域间的工控防火墙:A对64字节短包、256字节中长包、512字节长包,百兆工控防火墙平均延

35、退不应超过1ms;A对64字节短包、256字节中长包、512字节长包,千兆工控防火墙平均延迟不应超过200Sob)部署在现场控制层设备前的工控防火墙:对64字节短包、256字节中长包,512字节长包,百兆工控防火墙平均延退不应超过500us;对64字节短包、256字节中长包、512字节长包,千兆工控防火墙平均延迟不应超过200SoC)最大并发连接数最大并发连接数视不同速率的工控防火墙有所不同,具体指标要求如下:百兆工控防火墙的最大并发连接数应不小于60000个;千兆工控防火墙的最大并发连接数应不小于300000个。d)最大连接速率最大连接速率视不同速率的工控防火墙有所不同,具体指标要求如下:百

36、兆工控防火墙的最大连接速率应不小于1500个/s;干兆工控防火墙的最大连接速率应不小于5000个s5. 6.2入侵检测系统技术要求1)数据探测功能a)数据收集应具有实时获取受保护网段内的数据包的能力b)协议识别至少应识别基于以下协议的事件:网络层协议;TCP/IP;应用层协议;ModBusTCP,OPC,S7等c)行为监测至少应监视以下行为,端口扫描、工程师站组态变更、操作站数据与操作指令变更,以及资产变更通信行为等。d)流量监测应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量,特别是异常流量的监测e)协议定义除支持默认的工控协议集外,支持基于应用的协议自动识别,还应允许授权管理

37、员定义新的协议,或对协议的端口进行重新定位。2)入侵分析功能a)数据分析应对收集的数据包进行分析,发现攻击事件。b)分析方式应以模式匹配、协议分析等一种或多种方式进行人侵分析。c)参数分析应具备过程状态参数、控制信号的阙值检查功能。d)恶意代码识别应支持恶意代码识别的功能,如对木马、蜗虫等的识别。e)防躲避能力应能发现躲避或欺骗检测的行为,如TCP流重组、协议端口重定位等。f)事件合并应具有对高频度发生的相同安全事件进行合并告警的功能。g)事件关联应具有将不同的事件关联起来,发现低危害事件中隐含的高危害攻击的能力。3)入侵响应功能a)安全告警当检测到人侵时,应自动采取相应动作以发出安全告警。b

38、)告警方式告警方式可以采取界面实时提示、声音告警等方式中一种或多种方式。c)报文留存在监测到网络上的攻击行为时,应具有自动保存攻击报文的能力。d)排除响应应允许管理员定义对被检测网段中指定的主机或特定的事件不予告警。e)定制响应应允许管理员对被检测网段中指定的主机或特定的事件定制不同的响应方式,以对特定的事件突发告警。4)管理控制功能a)事件数据库应提供事件数据库,包括事件定义和分析、详细的漏洞修补方案、可采取的对策等。b)事件分级应按照事件的严重程度将事件分级,以使授权管理员能从大量信息中捕捉到危险的事件。c)策略配置应提供安全策略配置功能,并支持:对安全策略进行添加、删除、修改和分发;对安

39、全策略进行的导人和导出。d)产品升级应具有及时更新、升级产品和事件库的能力,支持离线升级并保证升级安全。e)分布式部署应具有本地或异地分布式部署、远程管理的能力。f)端口分离探测器应配备不同的端口分别用于产品管理和网络数据监听。5)检测结果处理a)事件记录应记录并保存检测到的人侵事件。入侵事件信息应至少包含以下内容:事件发生时间-源地址、目的地址、危害等级等。b)报告生成应能生成检测结果报告。报告应至少包含事件详细描述、解决方案建议等。c)报告模板定制应具有自定义报告模板的功能。d)报告查阅应具有查询检测结果报告的功能。e)报告导出应具有支持检测结果报告导出的功能。6)安全审计a)审计日志生成

40、应对与自身安全相关的下列事件生成审计日志:用户登录成功和失败;对安全策略进行更改;对用户进行增加、删除和属性修改;因鉴别失败的次数超出设定值而导致的会话连接终止;对事件记录,审计日志的操作。b)审计日志内容审计日志至少应包括事件发生的日期、时间、用户标识、事件描述和结果等。若采用远程登录方式对产品进行管理,还应记录管理主机的地址c)审计日志查阅应支持按照一定条件对审计日志进行查阅。d)审计日志存储审计日志应存储于掉电非易失性存储介质中,并满足以下要求:当审计日志存储空间超过阙值时,应能通知用户;当审计日志存储空间将要耗尽时,应采取相应的防止审计数据丢失的技术措施。5.6.3安全管理平台技术要求

41、1)安全管理a)设备管理产品应能对运行于工业控制系统中的安全产品进行统一管理,并建立设备清单。设备清单应至少包括设备名称、设备类型、重要程度,所处位置和安全责任人等内容。b)状态监测产品应能够对工业控制系统安全产品的运行状态进行监测,并满足以下要求:监测频率支持自定义;监测的运行状态.包括在线状态、系统资源(CPU、内存和硬盘)使用情况等,网络流量等;支持工业控制系统安全产品网络拓扑图的绘制。c)信息收集产品应能对工.业控制系统安全产品的信息进行收集,具体包括;硬件型号;软件版本;审计日志;安全策略.如工业控制系统人侵检测系统报警策略、工业控制系统防火墙的数据包过滤规则;工业控制系统网络隔离产

42、品访问控制策略、工业控制系统安全审计产品的审计策略等;安全配置;硬件序列号。d)策略配置产品应能够对工业控制系统安全产品的安全策略进行设置,比如工业控制人侵检测系统报警策略、工业控制防火墙的数据包过滤规则、工业控制网络隔离产品访问控制策略、工业控制安全审计产品的审计策略等.并支持以下功能:对安全策略进行添加、删除,修改和分发;对安全策略进行导人和导出。e)身份鉴别产品应保证要通过鉴别才能够对工业控制系统安全产品进行管理,并且应保证存储在产品中的鉴别数据不被未授权查阅或修改。2)统计分析a)安全事件库维护产品应建立安全事件库,并提供安全事件库的维护功能,具体包括:安全事件库内容应包括:事件名称,

43、事件类型,事件级别,事件描述和事件特征;安全事件库支持工业控制协议(等)和工业控制系统的安全事件;提供开放接口.允许用户自定义安全事件;应提供安全事件库升级功能b)安全事件分析产品应能对收集的审计日志进行分析,从中提取安全事件。c)统计分析报表产品应能够对安全事件进行统计.并生成汇总报表,并满足报表应能够以通用格式(例如或doc)导出;报表应包含文字、图、表等表现形式。d)潜在危害分析产品应能设定单类事件累计发生次数或发生频率的闽值,当统计分析表明此类事件超出闽值时,则表明工业控制系统出现了潜在的危害。e)异常行为分析产品应能对工业控制系统中的异常行为进行分析f)关联事件分析产品应能制定关联分

44、析规则.并基于不同的规则对不同设备上报的审计日志进行关联分析。3)管理安全a)安全角色管理产品应能通过对授权管理员给以不同的管理角色.赋予授权管理员不同的管理权限。b)管理方式产品应支持本地管理。若提供远程管理方式,产品应能满足以下要求:对可远程管理主机的IP地址进行限制;对可远程管理主机的MAC地址进行限制;远程管理接口可由管理员关闭。4)数据保护a)数据存储保护产品应能对存储的重要数据进行保护,以免被非授权访问。这些重要数据至少包括:用户及工业控制系统安全产品的鉴别信息;工业控制系统安全产品的审计日志,安全配置和安全策略等。b)数据传输保护产品应采取安全措施保护重要数据在传输过程中不被泄露

45、和窃取。这些重要数据至少包括:用户及工业控制系统安全产品的鉴划信息;工业控制系统安全产品的安全配置和安全策略等。c)数据备份和恢复产品应提供重要数据的备份和恢复功能,这些重要数据包括:工业控制系统安全产品的安全配置;安全策略和审计日志等。d)端口分离产品应配备不同的端口分别用于产品管理和信息收集。5)安全审计a)系统日志生成产品应对与自身安全相关的下列事件生成审计日志:用户登录成功和失败;对安全策略进行更改;对用户进行增加、删除和属性修政;因鉴别失败的次数超出了设定值.导致的会话连接终小;对事件记录,审计日志的操作。b)系统日志内容产品的系统日志至少应包括事件发生的日期、时间、用户标识、事件描述和结果、若采用远程登录方式对产品进行管理.还应记录管理主机的地址。c)审计日志查阅产品应提供多条件查阅工具,对系统日志和收集的审计日志进行查询d)审计日志存储产品的审计日志应存储于掉电非易失性存储介质中.并满足以下要求:a)当审计日志存储空间超过阈值时,应能通知用户;b)当审计日志存储空间将要耗尽时,应采取相应的防小审计数据丢失的技术措施。5.6.4网络监测审计系统技术要求1)安全功能要求a)审计数据采集产品应支持基于策略的数据采集;支持基于网络层要素的数据采集策略;至少包括源目的MAC或源目的IP,传输层协议、目的端口;

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 在线阅读 > 生活休闲


备案号:宁ICP备20000045号-1

经营许可证:宁B2-20210002

宁公网安备 64010402000986号