《顺和煤矿交换机及网络加固配件技术规格书.docx》由会员分享,可在线阅读,更多相关《顺和煤矿交换机及网络加固配件技术规格书.docx(9页珍藏版)》请在课桌文档上搜索。
1、HIMEC河南能源顺和煤矿顺和煤矿交换机及网络加固配件技术规格书编制:审核:分管领导:二。二一年六月顺和煤矿交换机及网络加固配件技术规格书1、功能要求(1)万兆交换机:本设备主要应用于矿现有工业以太环网,作为地面交换机进行数据通信,投标人须充分考虑所投产品与现有井上下网络设备的兼容性,保证改造后网络能稳定可靠运行,能具备统一管理的需求。(2)移动安全网关:提供APP自动封装,构建加密访问通道,实现致信APP等移动应用的远程接入安全访问。(3)入侵防御系统:具备超过7000条以上的入侵防护漏洞规则特征库,支持对服务器和客户端的漏洞攻击防护,支持XSS攻击、SQL注入等WEB攻击行为进行有效防护,
2、自动处置发现的威胁。(4)工控安全监测与审计系统:具备工业控制网络的信息安全审计能力,基于对工业控制协议的通信报文进行深度解析,实时检测针对工控协议的网络攻击,具备全链条的工控系统日志追溯能力。2、货物使用环境及范围1、适用于地面机房工作环境。2、使用环境温度:(TC40C。3、符合标准及规范:中华人民共和国网络安全法中华人民共和国计算机信息系统安全保护条例(国务院147号令)工业控制系统信息安全防护指南信息安全技术网络安全等级保护定级指南(GA/T22040-2020)信息安全技术网络安全等级保护基本要求(GB/T22239-2019)信息安全技术网络安全等级保护设计技术要求(GB/T250
3、70-2019)信息安全技术网络安全等级保护测评过程指南(GB/T28449-2019)信息安全技术网络安全等级保护测评要求(GB/T28448-2019)信息安全技术网络安全等级保护实施指南(GB/T25058-2019)信息安全技术网络安全等级保护安全管理中心技术要求(GB/T36958-2018)信息安全技术网络安全等级保护安全设计技术要求(GB/T25070-2019)信息安全技术网络安全等级保护基本要求第1部分:安全通用要求信息安全技术网络安全等级保护基本要求第5部分:工业控制系统安全扩展要求;河南省煤矿智能化建设标准及验收办法(试行)河南能源化工集团网络信息安全建设规范(试行)4、
4、技术要求(1)万兆交换机参考型号:ICS5000-16GT8GC6XS-L31、模块化:通过接口模块实现端口扩展;2、路由功能:支持三层路由功能;3、多种冗余技术:环网冗余,网络耦合,链路聚合,电源冗余等多种冗余方式;4、端口配置要求:配置6路万兆SFP+接口(万兆/千兆自适应)、16个千兆光口、8个千兆自适应Combo光电复用口,设备含光模块,单台交换机需置配备6个万兆光模块,16个千兆光模块。万兆光模块,要求工业级单模双纤万兆10G、LC接口、131Onm、IOKM、40C85C、支持DDM,千兆光模块要求工业级单模双纤千兆1.25G、LC接口、1310nm、20KM、4085C、支持DD
5、M;5、支持虚拟局域网技术(VLAN),质量服务(QOS),多播过滤功能(IGMP),流量限制功能,模块可热插拔,广播数限制,IEEE802.3x流量控制,简单网络时间协议(SNTP),服务类型(TOS)Diff.-Serv(DSCP),服务类型优先级映射;6、支持无主站结构Sw-Ring冗余环技术,保证任何一台主交换机出现问题,所有服务器和在线工作站可继续工作,环网重构时间严格小于20ms,MRP(介质冗余协议),RSTP(快速生成树协议),MSTP,ERPS环网协议网络耦合结构重构时间小于200ms,机箱支持冗余电源供电,支持冗余信号故障输出,支持静态或动态链路聚合协议;7、支持静态路由,
6、RIPVl2,VRRP,L3ACL(三层访问控制列表)等路由协议;8、安全功能:支持基于MAC地址和IP地址的端口安全,通过802.IX的端口访问控制,SSH,SSL,SNMP等安全功能等,用户权限分级、Radius服务器认证、防攻击控制、ACL、802.IX认证、端口告警、电源告警、风暴抑制、SSHD配置、Telnet配置、HTTPS配置;9、端口环路检测功能;端口形成环路立刻产生动作,关闭端口,隔离井下环路,避免广播风暴造成影响;发出环路检测告警,迅速通知井上操作员做出反应,及时排除故障。10、网络管理及实时故障诊断:支持WEB管理,CLI,TELNET,SNMP协议,可实现远程实时在线故
7、障诊断,当故障发生时,用户可在第一时间实现故障的诊断和定位,含网络管理软件1套,管理交换机台数不低于128台;11、交直流双电源,输入电压:100240VAC/DC或3672VDC(2)万兆交换机参考型号:ICS5028G-4XGS-8GC1、模块化:通过接口模块实现端口扩展;2、路由功能:支持三层路由功能;3、多种冗余技术:环网冗余,网络耦合,链路聚合,电源冗余等多种冗余方式:4、端口配置要求:配置4路万兆SFP+接口(万兆/千兆自适应)、16个千兆电口、8个千兆自适应Comb。光电复用口,设备含光模块,单台交换机需置配备4个万兆光模块,16个千兆电模块,8个千兆光模块。万兆光模块,要求工业
8、级单模双纤万兆10G、LC接口、1310nm、IoKM、4085、支持DDM,千兆光模块要求工业级单模双纤千兆1.25G、LC接口、1310nm、20KM、40C85C、支持DDM;5、支持虚拟局域网技术(VLAN),质量服务(QOS),多播过滤功能(IGMP),流量限制功能,模块可热插拔,广播数限制,IEEE802.3x流量控制,简单网络时间协议(SNTP),服务类型(TOS)Diff.-Serv(DSCP),服务类型优先级映射;6、支持无主站结构SW-Ring冗余环技术,保证任何一台主交换机出现问题,所有服务器和在线工作站可继续工作,环网重构时间严格小于20ms,MRP(介质冗余协议),R
9、STP(快速生成树协议),MSTP,ERPS环网协议网络耦合结构重构时间小于200ms,机箱支持冗余电源供电,支持冗余信号故障输出,支持静态或动态链路聚合协议;7、支持静态路由,RIPVl2,VRRP,L3ACL(三层访问控制列表)等路由协议:8、安全功能:支持基于MAC地址和IP地址的端口安全,通过802.IX的端口访问控制,SSH,SSL,SNMP等安全功能等,用户权限分级、Radius服务器认证、防攻击控制、ACL、802.IX认证、端口告警、电源告警、风暴抑制、SSHD配置、TeInet配置、HTTPS配置;9、端口环路检测功能:端口形成环路立刻产生动作,关闭端口,隔离井下环路,避免广
10、播风暴造成影响;发出环路检测告警,迅速通知井上操作员做出反应,及时排除故障。10、网络管理及实时故障诊断:支持WEB管理,CLI,TELNET,S、MP协议,可实现远程实时在线故障诊断,当故障发生时,用户可在第一时间实现故障的诊断和定位;11、交直流双电源,输入电压:Io(T240VAC/DC或3672VDC。(3)移动安全网关参考型号:E三-1000-B1030-M31、所提供设备为一体化设备,标配4个千兆电口,配200个SSLVPN(PC端)授权,100个APP端授权;负责封装致信及其他移动APP;2、支持对基于HTTP,HTTPS、FileShare,DNS、H.323、SMTP,POP
11、3、Telnet、SSH等的所有B/S、C/S应用系统,支持基于TCP、UDP、ICMP等IP层以上的协议的应用,例如即时通讯、视频、语音、Ping等服务;3、支持PC终端使用包括WindowslO,Windows8,Windows?,WindowsViSta、WindowsXP、MacOS、LinUX等主流操作系统来登录SSLVPN系统,并完整支持该操作系统下的各种IP层以上的B/S和C/S应用;支持WindowsIOS、Android,塞班等操作系统的智能手机、PDA、平板电脑(PAD)等移动终端的SSLVPN接入;4、支持LoCaIDB、USBKEY、短信认证、硬件特征码、动态令牌、数字
12、证书认证、LDAP、RADIUS、等认证方式;可针对用户/用户组设置认证方式的与、或组合,可进行用户名/密码、LDAP、USBKEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证;5、产品应提供环境检测、自动修复工具,支持对WindoWS的环境兼容性一键检测能力,以及对检测结果进行一键修夏的能力,避免由于用户操作系统环境存在问题影响SSLVPN的使用,减轻运维工作;6、产品应具有用户/用户组细粒度的权限分配功能:可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制;针对同一B/S资源,可对不同用户做到细致到URL级别的授权;7、支持基于硬件指纹特征的认证方式(非MAC地址
13、绑定),可实现用户与终端的绑定,支持终端接入审批,仅允许审批通过的终端接入VPN;支持用户自助审批:8、产品应具有用户/用户组细粒度的权限分配功能:可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制;针对同一B/S资源,可对不同用户做到细致到URL级别的授权;9,产品应具有角色授权机制,支持在用户组的基础上,根据角色的不同,组合关联不同的资源权限;10、支持客户端类型限制,可以针对VPN资源设置允许访问的客户端类型,客户端类型包括PC、移动端和SDK;11、支持基于Android、IOS平台的第三方软件开发包(SDK),并实现基于AndroidIOS平台第三方应用软件(A
14、PP)代码量不超过20行;12、支持第三方移动APP的自动封装,并发布到企业应用商店中,避免二次开发拖延项目交付周期,与主流应用厂商如泛微、致远等有良好的兼容性。(4)入侵防御系统参考型号:NIPs-100O1、硬件配置:26个千兆电口,4个千兆光口,网络层吞吐量5Gbps,IPS吞吐量N600Mbps;2,支持路由模式、透明网桥部署、旁路部署、单臂部署以及混合部署等多种方式:3、支持链路聚合功能,可将多条物理链路聚合成一条带宽更高的逻辑链路使用;支持端口联动功能,当上行/下行端口链路出现故障时,对应的另一端下行/上行端口自动切断链路;4、访问控制规则支持基于源/目的IP,源端口,源/目的区域
15、,用户(组),应用/服务类型,时间组的细化控制方式;5、访问控制规则支持数据模拟匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试;6、支持P2P、IM、游戏、炒股软件、网银,流媒体,常用邮件以及远程控制软件等的识别和控制,支持识别管控的应用类型超过1200种,应用识别规则总数超过3000条;7、支持SYNFlood、ICMPFlood.UDPFlood、DNSFlood.ARPFlood等DoS/DDoS攻击防护:支持IP地址扫描和端口扫描防护;支持Land、Smurf、WinNUke、TearDrop、IP数据块分片传输、超
16、大ICMP数据攻击等攻击基于数据包攻击防护:支持IP协议异常报文检测和TCP协议异常报文检测;8、设备具备独立的入侵防护漏洞规则特征库,特征总数在7000条以上;9、支持对服务器和客户端的漏洞攻击防护,支持XSS攻击、SQL注入等WEB攻击行为进行有效防护;支持对常见应用服务(FTP、SSH、SMTP,IMAP、POP3、RDP、RIOgin、SMB、TelnetWeblogic、VNO和数据库软件(MySQL、Oracle.MSSQD的口令暴力破解防护功能;10、设备具备独立的热门威胁库,支持木马、勒索软件、蠕虫、挖矿病毒等种类,特征总数在60万条以上;支持木马远控类、恶意链接类、移动安全类
17、、异常流量类僵尸网络行为的检测;11、支持以安全策略模板方式快速部署安全策略,安全策略模板支持默认模板和自定义模板等多种格式,减少配置工作,提高部署效率;12、支持在同一个界面对全网所有服务器的安全状况进行风险评估,支持对当前所有业务的安全防护状态进行动态保护,支持对所有已被入侵和受控的设备进行风险检测与分析,针对风险可以实现快速响应与处置:支持手动评估功能,自动展示最终的风险;13、支持基于攻击阶段图的方式来匹配并展示当前用户遭受到攻击的具体所处状态,并详细给出针对性处理建议,便于快速响应安全问题;14、支持设备软硬件异常状态监控,可以监控设备CPU、内存、硬盘使用率,并且可监控系统状态、网
18、络接口状态、安全能力监控状态,帮助用户实时了解安全设备运行状况:15、支持与永煤公司现有的安全态势感知产品实现联动,NlPS将数据上传到永煤公司态势感知平台,供态势感知系统进行深度关联分析并对恶意威胁实现联动封锁。(5)工控安全监测与审计系统参考型号:SMA50001、采用工业级64位ARM四核处理器,定制双电源,配置至少8个千兆电口和4个千兆COmbo接口,能够存储不少于6个月的审计数据信息,吞吐量210Gbps;投标人需具备独立配置主流工控交换机的能力,以便完整镜像工控网所有流量;2、支持旁路部署与串联部署,支持统一集中管理,采用专用管理平台,支持分级管理;可以对CPU、内存、硬盘、电源状
19、态进行监测;3、支持对工控协议的通信报文进行深度解析,记录工控协议的通信日志。支持多种主流工控协议的深度解析;至少包括OPCClassic3.0、ModbusTCP、SiemensS7xDNP3、IEC104.Ethernet/IP(CIP)、MMS、PRoFINET、FlNS等;支持工业协议指令功能码、寄存器值、动态端口、读写操作、畸形/异常报文的识别和控制;4,支持对非工控协议应能够记录网络连接信息。记录内容包括:时间(开始、结束)、源MAC、源IP地址、源端口、目的MAC、目的IP地址、目的端口、协议、报文数(上行、下行)、字节数(上行、下行);5、支持对工程师站组态变更、操控指令变更、
20、PLC下装、负载变更等关键事件告警;包括但不限于OPC的写操作,MODBUS各功能码的写操作,S7协议的写命令、请求上、请求下、下载完等,DNP3的写入、启动、保存、删除,IECK)4协议的单、双命令等;6,支持基于工控协议通信记录,自学习建立工控通信模型白名单;7、支持允许管理员自定义工控协议通信告警规则,对符合告警规则的通信行为进行告警;8、提供三权分立的用户管理能力:配置员、用户管理员、审计员相互独立,支持自定义管理用户权限和角色;9、支持流量异常行为检测,如网络蠕虫、木马、后门、僵尸、间谍软件、网络漏洞、网页漏洞、跨网站攻击、钓鱼邮件、暴力攻击、数据库注入攻击、ARP欺骗、DOS攻击等
21、;10、告警可详细展示风险级别、发生时间、告警名称、客户端IP、服务器IP、报文内容;11、支持报表模板的定制、图文结合报表的导入导出,报表能筋支持WoRD、PDF、HTML格式导出;12、支持基于IP、MAC、协议等要素的通信关系审计并自动生成通信矩阵。5、货物名称及供货范围序号设备名称规格型号单位数量1万兆交换机ICS5000-16GT8GC6XS-L3台22万兆交换机1CS5028G-4XGS-8GC台33万兆交换机网络管理软件128用户套11移动安全网关EMM-1000-B1030-M3合15入侵防御系统NIPS-1000-B1400-PL台16工控安全监测与审计系统SMA5612台1
22、6、质量及验收要求1、所有设备必须有质量检验合格证,产品使用年限低于行业标准规定期限内损坏,必须免费更换。2、验收采用现场验收方式,甲方技术人员现场对设备进行拆箱验收,确定设备的完好性。7、安装、调试要求1、设备到货验收入库前,须有经甲方技术人员对所有设备的性能,参数进行调试,确定设备完好。2、设备必须在地面库房通电运行24小时,测试期间设备没有技术性问题,性能稳定,确定合格后方可使用。3、设备安装由厂家指导安装,如涉及到软件部分由厂家负责调试完毕。8、服务及质保要求1、质保期为安装调试合格后12个月。2、设备正常运行后,如出现技术和质量问题,接到甲方通知后,4小时内做出回应技术人员24小时内到现场处理。3、如有未尽其它事宜,以使用单位现场要求为主。9.资料要求1、所有到货设备必须有设备使用的说明书、煤安证、合格证、防爆合格证各1套。2、所有到货设备必须有设备的使用说明书、接线图、原理图等资料。技术联系人:张文明
