《顺和煤矿交换机及网络加固配件技术规格书.docx》由会员分享,可在线阅读,更多相关《顺和煤矿交换机及网络加固配件技术规格书.docx(9页珍藏版)》请在优知文库上搜索。
1、HIMEC河南能源顺和煤矿顺和煤矿交换机及网络加固配件技术规格书编制:审核:分管领导:二。二一年六月顺和煤矿交换机及网络加固配件技术规格书1、功能要求(1)万兆交换机:本设备主要应用于矿现有工业以太环网,作为地面交换机进行数据通信,投标人须充分考虑所投产品与现有井上下网络设备的兼容性,保证改造后网络能稳定可靠运行,能具备统一管理的需求。(2)移动安全网关:提供APP自动封装,构建加密访问通道,实现致信APP等移动应用的远程接入安全访问。(3)入侵防御系统:具备超过7000条以上的入侵防护漏洞规则特征库,支持对服务器和客户端的漏洞攻击防护,支持XSS攻击、SQL注入等WEB攻击行为进行有效防护,
2、自动处置发现的威胁。(4)工控安全监测与审计系统:具备工业控制网络的信息安全审计能力,基于对工业控制协议的通信报文进行深度解析,实时检测针对工控协议的网络攻击,具备全链条的工控系统日志追溯能力。2、货物使用环境及范围1、适用于地面机房工作环境。2、使用环境温度:(TC40C。3、符合标准及规范:中华人民共和国网络安全法中华人民共和国计算机信息系统安全保护条例(国务院147号令)工业控制系统信息安全防护指南信息安全技术网络安全等级保护定级指南(GA/T22040-2020)信息安全技术网络安全等级保护基本要求(GB/T22239-2019)信息安全技术网络安全等级保护设计技术要求(GB/T250
3、70-2019)信息安全技术网络安全等级保护测评过程指南(GB/T28449-2019)信息安全技术网络安全等级保护测评要求(GB/T28448-2019)信息安全技术网络安全等级保护实施指南(GB/T25058-2019)信息安全技术网络安全等级保护安全管理中心技术要求(GB/T36958-2018)信息安全技术网络安全等级保护安全设计技术要求(GB/T25070-2019)信息安全技术网络安全等级保护基本要求第1部分:安全通用要求信息安全技术网络安全等级保护基本要求第5部分:工业控制系统安全扩展要求;河南省煤矿智能化建设标准及验收办法(试行)河南能源化工集团网络信息安全建设规范(试行)4、
4、技术要求(1)万兆交换机参考型号:ICS5000-16GT8GC6XS-L31、模块化:通过接口模块实现端口扩展;2、路由功能:支持三层路由功能;3、多种冗余技术:环网冗余,网络耦合,链路聚合,电源冗余等多种冗余方式;4、端口配置要求:配置6路万兆SFP+接口(万兆/千兆自适应)、16个千兆光口、8个千兆自适应Combo光电复用口,设备含光模块,单台交换机需置配备6个万兆光模块,16个千兆光模块。万兆光模块,要求工业级单模双纤万兆10G、LC接口、131Onm、IOKM、40C85C、支持DDM,千兆光模块要求工业级单模双纤千兆1.25G、LC接口、1310nm、20KM、4085C、支持DD
5、M;5、支持虚拟局域网技术(VLAN),质量服务(QOS),多播过滤功能(IGMP),流量限制功能,模块可热插拔,广播数限制,IEEE802.3x流量控制,简单网络时间协议(SNTP),服务类型(TOS)Diff.-Serv(DSCP),服务类型优先级映射;6、支持无主站结构Sw-Ring冗余环技术,保证任何一台主交换机出现问题,所有服务器和在线工作站可继续工作,环网重构时间严格小于20ms,MRP(介质冗余协议),RSTP(快速生成树协议),MSTP,ERPS环网协议网络耦合结构重构时间小于200ms,机箱支持冗余电源供电,支持冗余信号故障输出,支持静态或动态链路聚合协议;7、支持静态路由,
6、RIPVl2,VRRP,L3ACL(三层访问控制列表)等路由协议;8、安全功能:支持基于MAC地址和IP地址的端口安全,通过802.IX的端口访问控制,SSH,SSL,SNMP等安全功能等,用户权限分级、Radius服务器认证、防攻击控制、ACL、802.IX认证、端口告警、电源告警、风暴抑制、SSHD配置、Telnet配置、HTTPS配置;9、端口环路检测功能;端口形成环路立刻产生动作,关闭端口,隔离井下环路,避免广播风暴造成影响;发出环路检测告警,迅速通知井上操作员做出反应,及时排除故障。10、网络管理及实时故障诊断:支持WEB管理,CLI,TELNET,SNMP协议,可实现远程实时在线故
7、障诊断,当故障发生时,用户可在第一时间实现故障的诊断和定位,含网络管理软件1套,管理交换机台数不低于128台;11、交直流双电源,输入电压:100240VAC/DC或3672VDC(2)万兆交换机参考型号:ICS5028G-4XGS-8GC1、模块化:通过接口模块实现端口扩展;2、路由功能:支持三层路由功能;3、多种冗余技术:环网冗余,网络耦合,链路聚合,电源冗余等多种冗余方式:4、端口配置要求:配置4路万兆SFP+接口(万兆/千兆自适应)、16个千兆电口、8个千兆自适应Comb。光电复用口,设备含光模块,单台交换机需置配备4个万兆光模块,16个千兆电模块,8个千兆光模块。万兆光模块,要求工业
8、级单模双纤万兆10G、LC接口、1310nm、IoKM、4085、支持DDM,千兆光模块要求工业级单模双纤千兆1.25G、LC接口、1310nm、20KM、40C85C、支持DDM;5、支持虚拟局域网技术(VLAN),质量服务(QOS),多播过滤功能(IGMP),流量限制功能,模块可热插拔,广播数限制,IEEE802.3x流量控制,简单网络时间协议(SNTP),服务类型(TOS)Diff.-Serv(DSCP),服务类型优先级映射;6、支持无主站结构SW-Ring冗余环技术,保证任何一台主交换机出现问题,所有服务器和在线工作站可继续工作,环网重构时间严格小于20ms,MRP(介质冗余协议),R
9、STP(快速生成树协议),MSTP,ERPS环网协议网络耦合结构重构时间小于200ms,机箱支持冗余电源供电,支持冗余信号故障输出,支持静态或动态链路聚合协议;7、支持静态路由,RIPVl2,VRRP,L3ACL(三层访问控制列表)等路由协议:8、安全功能:支持基于MAC地址和IP地址的端口安全,通过802.IX的端口访问控制,SSH,SSL,SNMP等安全功能等,用户权限分级、Radius服务器认证、防攻击控制、ACL、802.IX认证、端口告警、电源告警、风暴抑制、SSHD配置、TeInet配置、HTTPS配置;9、端口环路检测功能:端口形成环路立刻产生动作,关闭端口,隔离井下环路,避免广
10、播风暴造成影响;发出环路检测告警,迅速通知井上操作员做出反应,及时排除故障。10、网络管理及实时故障诊断:支持WEB管理,CLI,TELNET,S、MP协议,可实现远程实时在线故障诊断,当故障发生时,用户可在第一时间实现故障的诊断和定位;11、交直流双电源,输入电压:Io(T240VAC/DC或3672VDC。(3)移动安全网关参考型号:E三-1000-B1030-M31、所提供设备为一体化设备,标配4个千兆电口,配200个SSLVPN(PC端)授权,100个APP端授权;负责封装致信及其他移动APP;2、支持对基于HTTP,HTTPS、FileShare,DNS、H.323、SMTP,POP
11、3、Telnet、SSH等的所有B/S、C/S应用系统,支持基于TCP、UDP、ICMP等IP层以上的协议的应用,例如即时通讯、视频、语音、Ping等服务;3、支持PC终端使用包括WindowslO,Windows8,Windows?,WindowsViSta、WindowsXP、MacOS、LinUX等主流操作系统来登录SSLVPN系统,并完整支持该操作系统下的各种IP层以上的B/S和C/S应用;支持WindowsIOS、Android,塞班等操作系统的智能手机、PDA、平板电脑(PAD)等移动终端的SSLVPN接入;4、支持LoCaIDB、USBKEY、短信认证、硬件特征码、动态令牌、数字
12、证书认证、LDAP、RADIUS、等认证方式;可针对用户/用户组设置认证方式的与、或组合,可进行用户名/密码、LDAP、USBKEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证;5、产品应提供环境检测、自动修复工具,支持对WindoWS的环境兼容性一键检测能力,以及对检测结果进行一键修夏的能力,避免由于用户操作系统环境存在问题影响SSLVPN的使用,减轻运维工作;6、产品应具有用户/用户组细粒度的权限分配功能:可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制;针对同一B/S资源,可对不同用户做到细致到URL级别的授权;7、支持基于硬件指纹特征的认证方式(非MAC地址
13、绑定),可实现用户与终端的绑定,支持终端接入审批,仅允许审批通过的终端接入VPN;支持用户自助审批:8、产品应具有用户/用户组细粒度的权限分配功能:可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制;针对同一B/S资源,可对不同用户做到细致到URL级别的授权;9,产品应具有角色授权机制,支持在用户组的基础上,根据角色的不同,组合关联不同的资源权限;10、支持客户端类型限制,可以针对VPN资源设置允许访问的客户端类型,客户端类型包括PC、移动端和SDK;11、支持基于Android、IOS平台的第三方软件开发包(SDK),并实现基于AndroidIOS平台第三方应用软件(A
14、PP)代码量不超过20行;12、支持第三方移动APP的自动封装,并发布到企业应用商店中,避免二次开发拖延项目交付周期,与主流应用厂商如泛微、致远等有良好的兼容性。(4)入侵防御系统参考型号:NIPs-100O1、硬件配置:26个千兆电口,4个千兆光口,网络层吞吐量5Gbps,IPS吞吐量N600Mbps;2,支持路由模式、透明网桥部署、旁路部署、单臂部署以及混合部署等多种方式:3、支持链路聚合功能,可将多条物理链路聚合成一条带宽更高的逻辑链路使用;支持端口联动功能,当上行/下行端口链路出现故障时,对应的另一端下行/上行端口自动切断链路;4、访问控制规则支持基于源/目的IP,源端口,源/目的区域
15、,用户(组),应用/服务类型,时间组的细化控制方式;5、访问控制规则支持数据模拟匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试;6、支持P2P、IM、游戏、炒股软件、网银,流媒体,常用邮件以及远程控制软件等的识别和控制,支持识别管控的应用类型超过1200种,应用识别规则总数超过3000条;7、支持SYNFlood、ICMPFlood.UDPFlood、DNSFlood.ARPFlood等DoS/DDoS攻击防护:支持IP地址扫描和端口扫描防护;支持Land、Smurf、WinNUke、TearDrop、IP数据块分片传输、超大ICMP数据攻击等攻击基于数据包攻击防护:支持IP协议异常报文检测和TCP协议异常报文检测;8、设备具备独立的入侵防护漏洞规则特征库,特征总数在7000条以上;9、支持对服务器和客户端的漏洞攻击防护,支持XSS攻击、SQL注入等WEB攻击行为进行有效防护;支持对常见应用服务(FTP、SSH、SMTP,IMAP、POP3、RDP、RIOgin、SMB、TelnetWeblogic、VNO和数据库软件(MySQL、Oracle.MSSQD的口令暴力破解防护功能;10、设备具备独立的热门威胁库,支持木马、勒索软件、蠕虫、挖矿病毒