电力监控系统安防II区纵向加密改造技术要求

admin管理员组

文章数量:1530846

2024年7月25日发(作者：)

电力监控系统安防II区纵向加密改造技术要求

1 总则

1.1 引言

本要求根据国家标准、行业标准，并结合调度数据网络

二次安防技术发展，梳理了调度数据网二次安防网络在规划

设计、工程建设、设备选型、运行维护等方面需遵循的技术

指标及功能特性，以便调度数据网数据网络的规划设计、工

程建设、设备选型、运行维护等工作需求。

1.2 供方职责

供方的工作范围将包括但不限于下列内容。

1.2.1 提供标书内所有设备及设计说明书及制造方面的说

明。

1.2.2 提供国家或电力工业检验检测机构出具的型式试验

报告，以便确认供货设备能否满足所有的性能要求。

1.2.3 提供设备安装、使用的说明书。

1.2.4 提供试验和检验的标准，包括试验报告和试验数据。

1.2.5 提供图纸，制造和质量保证过程的一览表以及标书规

定的其他资料。

1.2.6 提供设备管理和运行所需有关资料。

1.2.7 所提供设备应发运到规定的目的地。

1.2.8 如标准、规范与本规范书的条文有明显的冲突，则供

方应在制造设备前，用书面形式将冲突和解决办法告知需方，

并经需方确认后，才能进行设备制造。

1.2.9 提供现场服务。

1.3 编制依据

◆YD/T 1170-2001 IP 网络技术要求-网络总体

◆YD/T 1171-2001 IP 网络技术要求-网络性能参数与指标

◆YD/T 1099-2005 千兆比以太网交换机设备技术规范

◆YD/T 1382-2005 IP 网络技术要求-流量控制

◆国家电力监管委员会第5 号令电力二次系统安全防护规

定

◆南方电网数据网络技术规范Q/CSG110015-2011

◆南方电网通信管理规定

◆南方电网电力光缆技术规范Q/CSG 110003-2011

◆南方电网通信电源运行管理办法

2 工程概况

南方电网调度数据网络按照业务性质和实时性，划分为

控制区（安全I 区）和非控制区（安全II 区）两大类。控

制区（安全I 区）和非控制区（安全II 区）通称为生产控

制大区。厂站端运行有实时（Ⅰ区）与非实时（Ⅱ区）的业

务系统，各业务系统通过接入南方电网调度数据网实现与调

度端的数据通信，在厂站数据网接入边界已部署相应强度的

安全防护设备。

根据国家发改委颁发的《电力监控系统安全防护规定》

（发改委[2014]14 号令）与国家能源局印发的《电力监控

系统安全防护总体方案等安全防护方案和评估规范的通知》

（国能安全[2015]36 号）等文件，以及南网总调《关于进

一步做好电力二次系统安全防护工作的通知》（调自[2009]4

号）文的要求，调度数据网设备与二次安全防护设备电源均

需做到N-1 的冗余备份，且原非实时业务系统需加装加密装

置。认真梳理全厂二次防护系统，制定二次系统安全防护改

造优化方案。

2.1 改造内容

纵向加密装置，以支持国密SM2 算法。

3 技术性能要求

3.1 基本要求

a) 设备的总体机械结构充分考虑安装、维护的方便和扩充

容量灵活性。设备的各种插板或模块是嵌入式的，不装插板、

模块的槽位提供装饰性盖板。

b) 所有设备的工厂预安装深度要求达到机架级，以尽量减

少现场安装工作量。

c) 设备有足够的机械强度和刚度，设备的安装固定方式具

有抗震性和防震能力。

d) 设备在加电运行期间，插入或拔出机盘时，任何元件不

受到损坏和缩短使用寿命。设备接插件必须接触可靠，结构

坚固，易于插拔。接插件有定位和锁定装置。

e) 设备的电磁兼容性和抗电磁干扰满足IEC-801-2、

IEC-801-3、IEC-801-4 的要求，供方提供设备的具体电磁

兼容指标、测试方法及测试数据。

f) 供方所提供设备的平均故障间隔时间(MTBF)如下，并提

供其计算依据和方法。设备平均无故障时间（MTBF）：≥30000

小时。

g) 提供的软件是正常运行所需的管理、运营、维护等有关

的全部软件，并是成熟的最新版本的软件系统，为模块化设

计。

h) 设备不同时期软件版本能向下兼容，软件版本易于升级，

且在升级的过程中不影响网络的性能与运行。

i) 供方承诺3 年内免费更新软件版本，并提供相应的新版

本软件功能说明书及修改说明书。

3.2 系统总体技术要求

3.2.1 组网技术

电力二次系统安全防护的基本原则为“安全分区、网络专用、

横向隔离、纵向认证”。安全防护主要针对基于网络的生产

控制系统，重点强化边界防护，提高内部安全防护能力，保

证电力生产控制系统及重要数据的安全。

南方电网电力二次系统安全防护总体策略是南方电网

各级调度中心、配电中心（含负荷控制中心）、变电站、各

级调度中心直调电厂、电力通信机构开展电力二次系统安

全防护工作必须遵守的原则，各有关单位必须严格执行。南

方电网二次系统安全防护总体策略如下：

1) 安全分区

根据电力二次系统业务的重要性及其对电力一次系统的影

响程度进行分区，南方

电网电力二次系统分为生产控制大区和管理信息大区，其中

生产控制大区分为控制区

（又称安全区I）和非控制区（又称安全区Ⅱ），生产控制

大区是重点保护对象。

2) 网络专用

南方电网各级电力调度数据网应当在专用通道上使用独

立的网络设备组网，在物理层面上实现与综合业务数据网及

外部公共信息网的安全隔离。该网可采用MPLS-VPN技术或类

似技术划分两个相互逻辑隔离的业务子网，即实时VPN 和非

实时VPN。

3) 横向隔离

南方电网电力二次系统应采用安全防护设备实现各安

全区的隔离，在生产控制大区与管理信息大区之间必须设置

经国家指定部门检测认证的电力专用横向安全隔离装

置实现高强度隔离。生产控制大区和管理信息大区内部的安

全区之间应采用防火墙或带有访问控制功能的网络设备实

现逻辑隔离。

4) 纵向认证

南方电网各级调度中心和厂站在控制区与调度数据网

的纵向连接处应部署经过国家指定部门检测认证的电力专

用纵向加密认证装置或加密认证网关以及其它安全设

施，为上下级控制系统之间的调度数据网通信提供双向身份

认证、数据加密和访问控制服务。

3.2.2 设备技术要求

直调电厂调度数据网二区专用纵向加密认证网关（装置）

的选型应符合下列基本要求：

3.2.2.1配置要求

（1）至少具备4 个10/100M 网络接口。

（2）具备双机热备接口。

（3）具备1 个RS232 配置接口+ 1 个IC 卡读卡器接口，或

者USBKEY 接口。

（4）具备双电源。

（5）装置可安装于19 英寸标准机柜。

3.2.2.2安全性要求

（1）必须通过国家密码管理委员会办公室组织的安全性审

查和技术鉴定。

（2）具备公安部销售许可证。

（3）采用专用服务器硬件和代码可控的安全操作系统。

（4）本身应能够一定程度防御常见的网络攻击，包括ARP

Attack、Ping Attack、Ping of Death Attack、Smurf Attack、

Unreachable Host Attack、Land Attack、Teardrop Attack、

Syn Attack 等。

（5）支持设备密钥、工作参数的备份与恢复。

3.2.2.3可靠性要求

（1）应通过有关部门组织的电磁兼容性检测。

（2）应支持双机热备功能，在任一设备出现故障时，自动

切换。

（3）应具有自动旁路功能，在紧急故障状态下，可以旁路

所有安全功能，作为透明桥接设备工作，必要时允许通过网

线旁路。在旁路状态下，设备应有明显的警告提

示。

3.2.2.4功能要求

（1）采用国家密码管理局批准的电力专用密码算法对传输

的数据进行保护，保证数据的真实性、机密性和完整性。

（2）加密认证装置或加密认证网关之间支持基于电力数字

证书的双向认证。

（3）支持透明工作方式与网关工作方式，支持NAT。

（4）具有基于IP、传输协议、应用端口号的综合报文过滤

与访问控制功能。

（5）加密认证网关支持对电力应用协议的特殊报文进行选

择性加密保护。

（6）符合《IP 加密认证装置技术规范》的技术要求，支持

不同厂家设备的互联互通。

（7）装置必须能够识别、处理网络正常运行所需要的路由

协议报文、及其他协议

报文。

（8）装置必须能够识别、过滤、转发Trunk 协议的报文， 装

置本地配置功能必须支持设置VLanID。

（9）支持系统告警，支持完备的安全事件告警机制，当发

生非法入侵、装置异常、通信中断或丢失应用数据时，可向

第三方日志告警管理系统输出报警信息，日志格式遵循

Syslog 标准。

（10）必须支持所属调度管理机构的装置管理系统进行远程

管理。

3.2.2.5性能要求

（1）最大并发加密隧道数：≥300 条

（2）100M LAN 环境下，加密隧道建立延迟：＜1s

（3）明文数据包吞吐量：≥40Mbps （50 条安全策略，1024

报文长度，1 对端口双向流量）

（4）密文数据包吞吐量：≥20Mbps （10 条安全策略，1024

报文长度，1 对端口

双向流量）

（5）数据包转发延迟：＜2ms （50％密文数据包吞吐量）

3.2.2.6加密机技术要求汇总表

序号

1

项目

★网络端口

技术参数

4 个10/100M 电或

光接口，具备双机

热备接口

2 外设接口 具备1 个RS232 配

置接口+ 1 个IC卡

读卡器接口，或者

USBKEY 接口

3

4

5

6

7

8

9

★传输速率

外型尺寸

内存

★电源电压

工作温度

工作湿度

★安全标准

100/1000Mbps

19 英寸标准机柜

≥2G

DC -48V 双电源

0℃-45℃

5%–95%（不结露）

1、必须通过国家密

码管理委员会的

安全性审查和技术

鉴定。

2、具备公安部销售

许可证。

3、采用专用服务器

硬件和代码可控的

安全操作系统。

4、本身应能够一定

程度防御常见的网

络攻击。

5、支持设备密钥、

工作参数的备份与

恢复。

6、支持国密SM2 算

法。

4 供货范围及工作内容

4.1 一般要求

4.1.1 本附件规定了招标设备的供货范围。供方保证提供设

备为全新的、先进的、成熟的、完整的和安全可靠的。

4.1.2 供方提供详细供货清单，清单中依次说明型号、数量、

产地、生产厂家等内容。对于属于整套设备运行和施工所必

需的部件，如果本附件未列出和/或数量不足，供方仍需在

执行合同时免费补足。

4.1.3 供方提供所有安装和检修所需专用工具和消耗材料

等。

4.1.4 提供用于设备的安装、调试以及维修所用的专用工具、

设备商业运行前所必须的备品备件。

4.2 供货清单

本站系统的设备配置见下表。供方根据自身设备的具体

情况，对各站做出详细的设备配置，提供设备清单，包括安

装材料、专用工具和备品备件，并对各单板的功能做出简要

说明。供方确保供货范围完整，满足买方对安装、调试、运

行和设备性能的要求，并提供保证设备安装、调试、投运相

关的技术服务和配合。在技术规范中涉及的供货要求也作为

本供货范围的补充，若在安装、调试、运行中发现缺项，供

方无条件免费补充供货。

4.3 设备及材料需求清单

名称 单

位

加密台

机

4 Netkeeper-2000 标准1U 机箱，4 个

10M/100M 以太

网接口，1 个RJ45 串

口；1024 条

最大并发加密隧道

数；密文数据包

吞吐量60Mbps；数据

包转发延迟

数量 型号及规范 配置说明（中文)

250us；双路电源模块

供方按上述供货范围提供设备及其附属设备、安装材料

(设备紧固件、内部连接电缆、信号电缆采用屏蔽电缆)、以

及供方认为必要的专用工具及备品备件。并为设备的安装、

运行和维护提供各种中文版的技术文件和必要的说明书。

5 技术资料和交付进度

5.1 一般要求

5.1.1 供方提供的资料应使用国家法定单位制即国际单位

制，语言为中文。其中提供的图纸须同时提供AUTOCAD（2014）

电子文本。供方根据用户提供的编码原则及编码要求对设备

进行KKS 编码。

5.1.2 供方应提供适用于本工程实际情况的，为本工程专用

的技术资料，资料的组织结构清晰、逻辑性强。资料内容正

确、准确、一致、清晰完整，满足工程要求。所有资料上注

明“XX 工程专用”字样，并注明版次。最终资料提交后不

得任意修改。设备到货后与所提资料不符造成的一切返工和

损失由供方负责赔偿。

5.1.3 供方资料的提交及时、充分，满足工程进度要求。

5.1.4 供方提供的技术资料一般可分为投标阶段，配合设计

阶段，设备监造检验、施工调试试运、性能试验验收和运行

维护等方面。供方须满足以上方面的具体要求。

5.1.5 对于其它没有列入技术资料清单，是工程所必需文件

和资料，一经发现，供方应及时免费提供。

5.1.6 供方要及时提供与设备设计制造有关的资料。中标后,

供方应负责编写并出版所供产品的的技术协议, 并经需方

和设计方确认。技术协议签订后后3 日内应给出满足施工图

设计的全部技术资料和交付进度清单，并经需方确认。提供

最终版的正式图纸的同时，应提供正式的AUTOCAD(2019)电

子文件，正式图纸必须加盖工厂公章和签字。

5.1.7 供方随设备（含配套设备，包括进口设备等）交付而

提供给需方的最终版图纸资料为每台设备3 套（不包括配合

设计图纸资料的数量）。对于最终版图纸资料，应有明显的

最终版标记，供方应同时提供电子版图纸资料（光盘）一套，

版本至少为OFFICE97和AUTOCAD（2019）。

5.2 技术文件和图纸

5.2.1 随投标书提供的资料：鉴定证书、报价书、典型说明

书、屏布置图及总重量、系统原理图和主要技术参数。

5.2.2 供方在技术协议签定后提供的供设计用图纸：

5.3 交付进度表

交货进度表如下

设备名称 交货至合同约定地备注

点时间

纵向加密认证网关 签订合同60 天内

本项目实施计划：

标识

1.1

1.2

1.3

1.4

2.1

2.2

3.1

3.2

4.1

4.2

4.3

4.4

任务名称

合同签订

工程勘测设计

技术文件和图纸提交

实施方案审查

备货

发货及运输

硬件安装

设备调试和系统联调

初验

试运行

竣工终验

用户培训

工期

2 周

6 周

1 周

1 周

6 监造、检验和性能验收试验

6.1 总的要求

6.1.1 本项目的验收内容包括工厂验收、现场验收及可用性

验收三个部分。只有二者完全通过验收测试后，方认为本项

目的设备验收合格。

6.1.2 供方提供详细的工厂验收试验和现场验收试验的大

纲或计划。大纲中明确规定试验项目和必须达到的各项要求。

6.1.3 大纲经需方确认后方可生效。

6.1.4 供方提供的所有设备的质量、功能、性能等均经过工

厂验收试验后，供方提供签字试验报告才交货。

6.1.5 供方提供试验报告内容包括：报告的编号，设备的说

明、编号、数量，完成试验的时间、地点及方法，试验环境

和条件，试验合格的标准，试验的结果(包括数据和结论)，

试验人员名单，负责人的签字等。

6.1.6 只有当供需双方的代表在验收报告上签字认可后，现

场验收试验才算完成。

6.2 工厂验收试验(FAT)

6.2.1 工厂验收标准项目：

工厂检验是质量控制的一个重要组成部分。乙方须严格

进行厂内各生产环节的检验和试验，提供的合同设备须签发

质量证明、检验记录和测试报告，并且作为交货时质

量证明文件的组成部分。

所提供的网络设备出厂前必须在厂内进行过以下测试，

并提供测试方法、标准和报告，同时提供出厂验收、现场验

收的测试报告内容供招标方选择。

1. 功能测试

1 接口功能测试

2 设备功能测试

3 管理功能的测试

4 业务功能测试

5 设备可靠性测试

6 外观、功率的测试

7 后台维护管理系统的测试

8 系统恢复时间和设备的故障恢复时间

2. 性能测试

1 吞吐量测试

2 突发长度测试

3 过负荷测试

4 转发速率测试

5 地址缓存能力测试

6 时延测试

7 时延抖动测试

8 丢包率测试

3. 协议测试

1 VLAN 功能测试

2 生成树协议测试

4. 常规测试

1 电气安全测试

2 环境测试

6.2.2 工厂验收试验应根据验收标准项目，按照需方确认的

试验大纲进行。单个设备试验可由供方自行完成，并向需方

提交试验报告。

6.2.3 稳定性试验

6.2.4 在设备全负载全功能情况下，在本技术规范书描述的

运行环境条件下，进行72小时的连续运行。

6.2.5 在工厂验收试验期间，供方提供所需的检验、测量、

试验和记录的设备。

6.2.6 现场验收试验（SAT）

6.2.7 现场设备验收必须符合南方电网相关技术规范，调试

报告经南网总调审批合格。若由于设备或调试未能通过南网

总调审批，后果由供方负责。

6.2.8 现场验收试验按照需方确认的试验大纲进行。

6.2.9 现场验收试验在设备现场安装调试完成后进行，现场

验收试验的时间和条件由需方根据现场安装和调试的进度

确定。

6.2.10现场验收试验在供方专家技术指导下，由需方专业技

术人员完成。

6.2.11现场验收试验的一般工具和仪器仪表由需方提供，专

用工具、仪器仪表由供方提供。在试验和调试期间所有损坏

的供货范围内的设备，供方免费给予更换。

— 25 —

6.3 可用性试验

在现场验收后进行1 个月的可用性试验。系统的运行时

间和故障时间分别由调度端和厂内值班人员记录。测试期限

结束后，根据记录的时间计算出该系统是否满足如下要

求。

可用率(%)=(总投运时间-累计故障时间)/(总投运时间)

×100%

系统的可用率≥98%。

若可用性试验未获通过，则供方负责免费解决所有故障，

并重新进行可用性试验，质保期将相应顺延。

因需方原因发生故障引起的系统停运时间不记入系统故障

时间内。

7 技术服务和设计联络

7.1 供方现场技术服务

7.1.1 供方现场技术服务人员的目的是保证所提供的设备

安全、正常投运。供方要派

出合格的、能独立解决问题的现场服务人员。供方提供的包

括服务人天数的现场服务

表应能满足工程需要。如果由于供方的原因，下表中的人天

数不能满足工程需要，需

方有权追加人天数，且发生的费用由供方承担；如果由于需

方的原因，下表中的人天

数不能满足工程需要，需方要求追加人天数，且发生的费用

由需方承担。

7.1.2 现场服务人员的工作时间应与现场要求相一致，以满

足现场安装、调试和试运行的要求。需方不再因供方现场服

务人员的加班和节假日而另付费用。

7.1.3 未经需方同意，供方不得随意更换现场服务人员。同

时，供方须及时更换需方认为不合格的供方现场服务人员。

7.1.4 下述现场服务表中的天数均为现场服务人员人天数。

现场服务

序号 技术服总的计派出人员构成

职称 人数

备注

务内容 划人天

数

1 设备安

装

2 设备调

试

3

2 工程师 2

工程师 2

7.1.5 供方现场服务人员应具有下列资质：

a) 遵守中华人民共和国法律，遵守现场的各项规章和制度；

b) 有较强的责任感和事业心，按时到位；

c) 了解设备的设计，熟悉其结构，有相同或相近机组的现

场工作经验，能够正确地进行现场

指导；

d) 身体健康，适应现场工作的条件；

7.1.6 供方现场服务人员的职责

a) 供方现场服务人员的任务主要包括货物的开箱检验、设

备质量问题的处理、指导安装和调

试、参加试运和性能验收试验；

b) 在安装和调试前，供方技术服务人员应向需方进行技术

交底，讲解和示范将要进行的程序和方法。供方应对其所供

设备提供安装和调试监督的重要工序表，供方技术人员要对

施工情况进行确认和签证，否则需方不能进行下一道工序。

经供方确认和签证的工序如因供方技术服务人员指导错误

而发生问题，供方负全部责任；

c) 供方现场服务人员应有权全权处理现场出现的一切技术

和商务问题。如现场发生质量问题，供方现场人员要在需方

规定的时间内处理解决。如供方委托需方进行处理，供方现

场服务人员要出委托书并承担相应的经济责任；

d) 供方对其现场服务人员的一切行为负全部责任；

e) 供方现场服务人员的正常来去和更换应事先与需方协商。

7.2 培训

7.2.1 为使设备能正常安装、调试、运行、维护及检修，供

方有责任提供相应的技术培训。培训内容和时间应与工程进

度相一致。

7.2.2 培训的内容、方式、时间、人数、地点等具体内容由

供需双方商定。

7.2.3 供方为需方培训人员提供设备、场地、资料等培训条

件，并提供食宿和交通方便。

7.3 设计联络

工程设计进行到一定阶段后，应召开设计联络会，参加

人数约4～5 人。供方应负责澄清有关技术及接口问题。

有关设计联络的计划、时间、地点和内容要求由供需双

方商定。

8 后服务与质保

（一）产品质量承诺（含产权承诺）

投标产品的设计是符合相关国家标准或国际相关组织机构

标准的，技术上是成熟的并具有先进结构和一流工艺水平，

设备选型上符合安全可靠、安全运行和易于维护的要求，其

技术规范、技术经济指标和性能符合南方电网技术规范书的

要求，能在中国境内安全使用，符合南方电网相关环保要求。

我司遵守ISO 质量管理体系标准、相关法律法规等，保证所

供应的产品均是全新的、从未使用过的，是安全的、技术水

平先进的、成熟的、质量优良的，已通过国家或电力行业级

检测机构的产品相关检测，并具有其出具的在有效期内的试

验报告。

所有产品或产品的任何一部分（含第三方硬件、软件）均满

足国家及行业有关的知识产权、专利权等相关的法律和法规，

买方在产品使用期间在中华人民共和国使用该货物或货物

的任何一部分时，免受第三方提出的侵犯其专利权、商标权

或工业版权和其他被法律保护的权益等的起诉，我司保证负

责处理因此而引起的任何纠纷并赔偿买方因此而产生的所

有损失。

（二）售后服务承诺

系统设备：投标产品完全满足招标文件的所有技术参数及相

关要求，将能够实现招标文件所需的所有功能，来自原生产

厂商正常供货渠道，尺寸符合现场的安装及运输要求，满足

招标文件的质保期要求。

方案设计：针对本项目所设计的技术方案遵循国际和国内相

关领域最新版本的标准和规范，暂无标准可依的，我司将采

用最流行或最成熟的建议和技术，并满足南方电网公司制定

的相关技术规范。

技术文档：按合同要求提供系统软硬件的主要技术资料（包

括设备清单、安装连接图纸等）、产品出厂合格证明文件（包

括产品合格证、出厂检验报告等）、产品说明书(包含技术

参数说明、运行操作手册、维护诊断文件等)等项目相关文

件资料，保证所有文件资料的规范性、完整性，包括随机提

供资料和买方需购买的资料。

工程服务：针对本项目的相关工程将派出经验丰富且有较高

技术水平的资深工程师，在接到买方通知需进行现场服务后

的0.5 小时内给予人员答复并安排人员到达现场，负责指导

安装、调试、试运行、验收、技术支持以及我司合同义务范

围内的现场问题处理等工作，并保证不会影响工程进度和工

程质量，配合买方完成项目验收。

（三）质保机制

本项目合同标的物的质保期为:

从合同标的物通过验收并投运后12 个月。

质保期内提供7*24 小时响应，重大缺陷技术人员12 小时内

到达现场处理。本项目合同标的物出现问题后，做到0.5 小

时以内响应，2 小时内给出解决方案，并提供远程技术支持；

如判定问题需要人员到现场处理的，

本文标签： 设备供方提供