当前位置：文档库 › 22 220kV变电站二次网络安全设备规范书

22 220kV变电站二次网络安全设备规范书

昆仑钢铁220kV变电站

二次系统安全防护技术规范

新疆光源电力勘察设计院

2012年4月

1. 总则

2. 供货范围

3. 工程概况

4. 技术要求

5. 技术服务

6. 买方工作

7. 工作安排

8. 专用工具

9. 质量保证和试验

10. 包装、运输和储存

1 总则

1.1 本规范书是用于昆仑钢铁220kV变电站工程二次系统安全防护的设备订货技术规范书，它提出了本工程主要设备技术业务功能要求、供货要求、服务要求。

1.2卖方必须具有完善的质量保证体系，具有ISO9000系列质量认证合格证书，以及与安全相关的计算机信息系统集成资质。

1.3 卖方提供的安全产品应获得国家公安部的销售许可证、国家保密局的涉密信息系统产品检测证书，同时获得设备原产商的授权。相关安全产品应在国内省级及以上电力二次系统安全防护方面有成功运行经验。卖方应随报价书一起，向买方提供本公司的资格文件、设备授权书、工程总结表和用户使用证明。

1.4 本规范书提出的要求是最低限度的技术要求，并未对一切技术细节作出规定，也未充分引述有关标准和技术条文，卖方应提供符合本规范书和工业标准的优质产品。

1.5 如果卖方没有以书面方式对本规范提出异义，则意味着卖方提供的设备（或系统）完全符合本规范书的要求。如有异议，不管是多么微小，都应在报价书中以“对规范书的意见和同规范书的差异”为标题的专门章节中加以详细的叙述。

1.6本技术规范书应视为保证系统运行所需的最低要求，如有遗漏，卖方应予以补充，否则一旦中标将认为卖方认同遗漏部分并免费提供。

1.7买方保留解释修改本技术规范书的权力。本技术规范书未尽事宜，由买方和卖方在合同技术谈判时协商确定。

1.8 本规范书涉及电力调度系统安全防护体系，卖方应承诺对相关内容进行保密，如发生泄密将追究法律责任。

1.9本规范书所使用的标准和卖方所执行的标准不一致时，按较高标准执行。

1.10本规范书经买、卖双方确认后作为订货合同的技术附件，与合同正文具有同等效力。

2 供货范围

2.1防火墙（100M）2台。

2.2正向物理隔离装置2台。

2.3 电力专用纵向加密认证装置4台，注：实施调度专网第二平面，则需另加2台纵向加密认证装置。

2.4 网络三层交换机4台。

2.5 工控机2台。

2.6 跨正向物理隔离装置安全传输软件2套。

2.7 电力专用横向正向隔离装置日志收集及上传软件2套。

2.8 电力专用横向正向隔离装置日志信息接入主站监视系统2套

2.9 杀病毒软件2套。

2.10 专用网络机柜2面。

2.11电源切换装置2套。

2.12浪涌保护器4套。

2.13 安装工具及电线、电缆等2套。

投标厂家根据自身标准配置，需满足我方要求，若需其他设备，厂家补齐。

3 工程概况

二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对昆仑钢铁220kV变电站二次系统发起的恶意破坏和攻击，以及其它非法操

作，防止昆仑钢铁220kV变电站二次系统瘫痪和失控，并由此导致的昆仑钢铁220kV变电站一次系统事故。

本期昆仑钢铁220kV变电站需要进行安全防护的系统主要包括：监控系统、继电保护装置、安全自动装置、故障录波装置、电能量采集装置、实时调度管理系统等，各系统按照《全国电力二次系统安全防护总体方案》的要求，分别置于实时控制区、非控制生产区、生产管理区等安全分区中。

本期安全防护设备安装在主控室室，与应用系统在同一机房。

4 技术要求

4.1设备使用环境条件

4.1.1海拔高度：≤2000米。

4.1.2耐地震能力

地面水平加速度：0.2g

地面垂直加速度：0.15g

抗地震：里式7级(美式9级)

4.1.3 环境温度湿度

环境温度：0℃～55℃

相对湿度：30％～80％

4.1.4 抗电磁干扰：140βμV/m

4.2应符合的标准

ISO---------国际标准化组织

IEC---------国际电工委员会

ITU-T-------国际电信联盟电信标准化部门

IETF--------Internet工程任务组

IEEE--------电气和电子工程师协会

GB----------中华人民共和国国家标准

DL----------中华人民共和国电力系统行业标准

4.3 安全防护设备及软件的部署

在本工程二次系统安全防护方案中，综合部署防火墙、物理隔离等安全防护设备。

4.3.1 防火墙：

防火墙产品部署在实时控制区与非控制生产区之间及生产管理区与外部网络之间，实现区域的逻辑隔离、报文过滤、访问控制等功能。

4.3.2 物理隔离：

电力专用物理隔离装置作为非控制生产区与生产管理区的必备边界，要求具有最高的安全防护强度，是横向防护的要点。

本期在非控制生产区与生产管理区之间部署正向物理隔离装置，负责单向数据传递。

4.3.3 纵向认证加密装置

纵向认证加密装置用于实时控制区与非控制生产区的广域网边界防护，实现本地包过滤功能以及广域网通信提供认证与加密功能，保证数据传输的机密性、完整性。

4.3.4 网络三层交换机

在安全II区需布署一台交换机用于安全II区内设备的组网，同时该交换机连接到电力专用横向正向隔离装置的内网口。

4.3.5 工控机

在安全Ⅱ区内布署一台工控机，并将其通过Ⅱ区的非实时网段交换机接入到电力专用横向正向隔离装置的内网口，用于读取和上传电力专用横

向正向隔离装置的日志信息。

4.3.6跨物理隔离装置安全传输软件

根据《全国电力二次系统安全防护总体方案》的技术要求，操作系统自带的FTP、RCP等远程文件传输服务禁止跨越电力系统专用横向单向隔离装置，但在实际工作应用中，跨隔离装置的安全区之间的文件传输是必不可缺少的功能。因此，必须有一套专门实现符合电力二次系统安全防护有关要求，且能够穿透电力系统专用横向单向隔离装置的文件传输系统。其功能和接口应仿标准FTP，且该软件可代替操作系统自带的FTP、RCP，并且该软件比操作系统自带的FTP、RCP更安全。

4.3.7电力专用横向正向隔离装置日志收集及上传软件

为了解设备本身运行工作状态是否正常等信息，一旦发现问题，应该对问题的内容及处理结果有所记录，因此需配置电力专用横向正向隔离装置日志收集及上传软件。

4.3.8电力专用横向正向隔离装置日志信息接入主站监视系统

目前调度主站端已经建设了一套网络安全产品集中监视管理系统，用于集中展现电力专用横向正向隔离装置的运行工况、配置信息、日志信息、报警信息等并加以综合利用，以便于系统维护，保证系统安全稳定运行。本期卖方应负责将昆仑钢铁220kV变电站信息接入主站。

4.3.9杀病毒软件

由于病毒在网络中存储、传播、感染的方式各异，因此企业在构建网络防毒系统时，应利用企业防病毒产品，针对网络中所有可能的病毒攻击

点设置全方位、多层次的防毒系统配置，使企业网络免受病毒的入侵和危害。本次产品采购主要用于安全III区的工作站的病毒防护。

4.4 安全防护设备技术要求

4.4.1 防火墙功能要求

1) 卖方提供的防火墙必须为国产硬件防火墙，可安装于19英寸标准机柜，并在全国省级及以上电力二次系统有不少于两家的成功运行经验。

2) 硬件系统应基于专用硬件平台和私有的安全操作系统平台，并具有自主知识产权，卖方应详细说明投标产品的软硬件体系结构，防火墙内置操作系统应是当前最新版本。

3) 软硬件系统应具有高可靠性和稳定性，具备一定的扩展能力。

4) 采用基于状态包检测的过滤技术，支持状态检测和智能动态过滤，支持链路层URL智能过滤。

5) 支持Java、ActiveX、SQL注入攻击防范。

6) 能抵御常见的各种攻击，如Syn Flood、Syn Attach、ICMP flood、Ping of death、Smurf、不明协议攻击、源IP攻击、IP碎片攻击、DoS/DDoS攻击、IP欺骗、IP碎片、端口扫描等。

7) 支持网关、路由和透明等工作方式，可以适用于不同的网络环境。

8) 具有IP与MAC地址的绑定及用户与IP/MAC的绑定功能。

9) 支持透明应用代理功能。

10) 支持双向的网络地址转换技术，包括动态转换和静态转换模式，可实现一对一、一对多、多对多的地址映射功能。

11) 支持过滤规则的设定、一致性检查，具有方便的防火墙配置文件的导入与导出功能。

12) 支持OSPF、RIP路由协议。

13) 支持IPX、NETBIOS、VLAN协议。

14) 支持本地认证，远端RADIUS认证、TACACS+认证，支持用户和组管理，实现基于用户的访问控制。在用户端与防火墙之间认证信息的传输必须是加密的。

15) 具有防火墙授权日志、行为日志、代理日志，日志可以缓存于本地，也支持标准的syslog日志管理服务器，并具有日志统计分析功能。日志包括事件时间，事件信息，事件原因等，还可根据用户需求定制用户日志信息。

16) 支持图形界面安全管理方式，友好、直观、方便、快捷并易于管理。

17) 支持远程管理和维护，同时保证网络上传送的管理信息被加密，而不被内部或外部用户嗅探或攻击。

18) 支持CONSOLE、TELNET、SSH V1.5、SSH V2、WEB等管理方式；

19) 支持集中安全管理，支持SNMPv1、SNMPv2C、SNMPv3协议和syslog协议；可通过SNMP协议接受商品化的、网络综合监视系统对设备的在线监视管理。

20) 支持系统网络升级。

技术指标：

1）DF-FW100或同类产品：

2) 标准10/100M(RJ45)接口4个（可扩展为6个）

3) 独立的管理接口

4) 数据包吞吐量：100MBps

5) 并发连接数：≥1,000,000

6) VPN隧道数：2000

7) 平均延时：≤40 μs

8) 丢包率：在吞吐量下的丢包率全部为0

9) MTBF（平均故障间隔时间）：≥40,000小时

4.4.2 正向物理隔离装置功能要求

1）可安装于19英寸标准机柜，并在全国省级及以上电力二次系统有不少于两家的成功运行经验。

2) 实现两个安全区之间的非网络方式的安全数据交换，并且保证隔离装置内外两个处理系统不同时连通；

3) 跨隔离装置的数据传输使用安全数据传输软件SFTP；

4）支持表示层与应用层数据完全单向传输，即从非控制生产区到实时控制区的TCP应答禁止携带应用数据；

5）支持多种工作模式：无IP地址透明工作方式（虚拟主机IP地址、隐藏MAC地址）、支持网络地址转换（NAT）、混杂工作模式，保证标准应用的透明接入；

6）基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；

7）防止穿透性TCP联接；

8）具有可定制的应用层解析功能，支持应用层特殊标记识别；

9）提供完备的日志审计功能，如时间、IP、MAC、PORT等日志信息。对通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的记录，以便事后审计。

10）具有报警功能，但发生非法入侵、装置异常、通信中断或丢失应用数据时，可通过串口或网络口输出报警信息；

11）安全、方便的维护管理方式：基于证书的管理人员认证，图形化的

管理界面。方便地对装置进行设置，监视和控制运行；

12）提供数据传输软件和API函数接口，方便用户进行二次系统安全隔离的改造。

13）支持集中安全管理，具备标准的syslog日志输出；可接受商品化的、网络综合监视系统对设备的在线监视管理。

技术指标：

1）DF-NS310S或同类产品；

2)接口数：4个百兆电口；

3)内存：128M；

4)最大连接数≥2000；

5)传输能力（M bps）≥40；

6)切换最短时间：0.1毫秒；

7)最大动态规则数目：256条；

8)具有国网公司的入网测试证明。

4.4.3网络三层交换机技术要求

1）交换能力：大于9.6Mpps

2）线速转发：支持二层、三层线速转发

3）支持vlan数量：4K个符合IEEE 802.1Q标准的VLAN

4）MAC地址表：支持16K个MAC地址

5）支持端口汇聚、端口镜像

6）生成树协议：支持STP/RSTP

7）网管协议：支持SNMP、RMON

8）三层功能：支持静态、RIP

9）QOS/ACL：支持CAR（Committed Access Rate）功能，流量限速的粒度为：64Kbit/s；

支持L2（Layer 2）~ L4（Layer 4）包过滤功能

支持对端口接收报文的速率和发送报文的速率进行限制

10）安全特性：支持MAC地址与端口绑定

支持IEEE 802.1X认证

支持防止DoS攻击功能

支持端口隔离

4.4.4 电力专用纵向加密认证装置要求

选择电力专用纵向加密认证装置。

4.4.5工控机要求

采用嵌入式计算机产品，具体要求如下：

机箱：优质钢板成型，喷涂高温烘漆保护

面板：高强度面板，带状态观察窗门板，有锁保护

背板：支持AT/ATX I/O架互换，方便拆卸

驱动器空间：防震设计的驱动器仓，可支持三个5.25″空间(可通过转接架安装三个3.5″HDD)；易于拆卸的3.5″驱动器支架，一个3.5″FDD空间、一个3.5″HDD空间

底板：14槽标准工业级底板，ATX主板可选

I/O口：二个USB口、PS/2键盘接口

电源：带PFC工业AT/ATX电源

通风与散热：机箱内置高速进风风扇，在机箱后面有足够的散热通风开孔

外型尺寸：19″标准上架型，4U高度

4.4.6跨物理隔离装置安全传输软件（IT-SFTP）要求

1) 完成安全单向文件传输

*完成安全I、II区到安全III、IV区的正向文件传输

*保证目标文件的正确、完整，同源文件一致

2) 较高的安全性

*符合全国电力二次系统安全防护总体方案的技术要求

*提供源地址、用户的身份认证功能。

*根据源地址、源文件、目标目录、文件类型、用户名等信息，制定文件传输安全规则。根据规则，对文件传输的请求进行检查，允许或禁止文件的传输。

*文件传送的过程中，用户名、口令及文件内容均应采用相应的加密机制。

*严格限制安全区III、IV向安全区I、II的应答，防止III、IV区向安全区I、II传输不当的数据或文件。

*软件本身应具备较高的安全级别，进行相应的安全控制。

3) 软件健壮、运行稳定

*提供7X24小时服务，能捕获和处理运行中的各种硬软件异常，并能把异常报告用户。

*软件经过长时间使用，适合各种应用环境，能够穿越目前所有经过国调中心认证的电力系统专用横向单向隔离装置实现文件传输。

4) 提供多种用户接口

*提供与标准FTP的兼容的用户接口，原有的调用标准FTP的程序不做改动或尽可能少改动,仍可使用。

*在UNIX平台中，提供命令行方式，交互式传输文件（界面同标准

FTP）。

*在WINDOWS平台中，提供图形界面，方便用户传输文件。

*提供API函数等方式，方便程序员在VB和VC等开发环境中，做二次开发。

5) 跨平台文件传输

*能够实现UNIX到UNIX、WINDOWS，WINDOWS到UNIX、WINDOWS的文件传输。

6) 提供并发服务

* 为了提高工作效率，加快响应速度，软件应采用多进程和多线程的工作机制，可以同时接受多个用户的连接请求和处理多个文件传输的要求。

7) 具备完善的日志及告警功能

* 软件本身应有完善的日志记录，用作日后的安全审计使用；同时提供丰富的告警方式及信息，确保重要计划任务的执行情况能够得到及时的反馈和处理。

8) 批处理安全文件传输命令支持

*可以安全的文件命令写到文件中，通过标准输入重定向，输入命令；批处理传输文件。

9）计划任务处理

*软件可以设置计划任务，实现自动定时进行文件传输。

10）支持安全区内部的安全文件传输

*该传输软件可以替代原有的I区和II区之间或者同一安全区内部的FTP的相应功能，增强系统的安全性。

11）第三方独立软件，方便维护

*为了减小以后系统及软件的维护量，避免每上一种物理隔离装置就要

习惯和维护一种传输软件的情况发生，要求该传输软件对目前所有的电力系统专用横向单向隔离装置均适用。

4.4.7电力专用横向正向隔离装置日志收集及上传软件要求

电力专用横向正向隔离装置日志收集及上传软件要求能对以下日志信息进行收集分类并自动上传至主站接受端。

日志收集信息分类表

4.4.8电力专用横向正向隔离装置日志信息接入主站监视系统要求

目前调度主站端已经建设了一套网络安全产品集中监视管理系统，用于集中展现各网络安全产品运行工况、配置信息、日志信息、报警信息等并加以综合利用，以便于系统维护，保证系统安全稳定运行。

按照的相关要求，电站侧通过定义好隔离装置的日志标准，对隔离装置的日志信息进行收集，通过日志详细记录隔离装置的工作状态，最终达到便于调度中心管理人员清晰了解及管理下端的隔离装置，确保设备工作正常的目的。

4.4.9杀病毒软件要求

1）方案中涉及的安全产品（包括硬件，软件安全产品）应具有国家有关安全管理部门的认证和产品销售许可证；

2) 产品的安全性好，执行效能高，并且对系统原有应用系统的影响程度最小；

3) 产品具有良好的人机交互功能，要求采用中文界面，提供中文联机帮助系统；

4) 厂商提供的杀毒软件不仅要能保护文件服务，同时也要对各种服务器、员工用PC、网关等所有计算机设备进行保护，而且能从邮件、FTP 文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截；

5) 病毒查杀能力强，能够成功查杀网络中传播的各种病毒以及浏览网页时的有害脚本，并要求具有一定程度的未知病毒识别能力，一旦防病毒软件发现一个文件可能携带病毒，它应该有能力提供一种解决方法对该文件进行处理，以免系统或者文件受到未知病毒的破坏；

6) 要求集成商从软件供应商的病毒信息搜集网络、病毒代码的更新周期和供应商对用户发现的新病毒的反应周期这三个方面来阐述防病毒软件对新病毒的反应能力的强弱；

7) 具有完整的服务功能，提供快速、方便、灵活和简便的升级手段，要求既提供通过Internet从厂商的升级中心下载，同时也能从上一级病毒控制中心下载升级；

8) 产品应能智能安装、远程识别、管理方便，易于操作，统计和报表功能强大，要求提供审计功能；

9) 产品应能提供多种报警手段，能通过电子邮件、打印机、寻呼机、手机或网络消息，传送各种病毒警告给携带病毒用户和系统管理员，并能提供标准输出，供其它系统对其告警信息二次开发；

10）集成商应保证所提供的防病毒产品与电站目前所使用的应用软件不产生冲突；

4.4.10浪涌保护器技术要求

本期在网络安全防护等设备电源接口处加装独立的单相电源浪涌保护器。

浪涌保护器主要技术指标要求如下：

工作电压：220V

最高工作电压：不低于300V

保护模式：具备横向保护和纵向保护

残压：≤900V

响应时间：≤30ns

状态指示：具备声光指示和报警。

功能：具有具有过热、过流自动断电功能。

4.4.11电源要求

交流：～220V ± 10％，50Hz ± 5％

4.4.12网络柜的要求

1) 网络机柜外形尺寸为：800*600*2260mm，内部为19英寸宽标准安装支架，安装高度42U。每台机柜应提供30套安装设备的螺丝套件。

2) 柜体所采用钢板的厚度不低于1.5mm，单体承重500Kg以上。

3) 机柜前门为玻璃单开门，后门为钢体单开门。前后门开度均为180度。前后门采用内嵌式带把手锁。两侧门体嵌入柜体，无散热孔。

4) 机柜内结构应考虑电缆的走线和固定。

5) 柜内应在装设照明装置，且与柜门联锁点亮。柜内应留有2个5联排220V电源插排，插排上每个插座容量为220V、10A，插座标准为澳大利亚式（斜三眼）。插排安装在机柜两侧，高度可调。

6) 柜内应带安全接地铜排。

7) 机柜顶部安装散热风扇，风扇工作电源为交流220V/50HZ，风扇总风量不小于200m3/h，风扇的运行有控制开关，风扇噪声不大于45dB。

8) 柜体表面处理应考虑防静电、防腐蚀措施。机柜颜色GY09冰灰桔纹。

5 技术服务

5.1 项目管理

合同签定后，卖方应指定负责本工程的项目经理，负责协调卖方在工程全过程的各项工作，如工程进度、设计制造、图纸文件、制造确认、包装运输、现场安装、调试验收等。

5.2 技术文件：

5.2.1卖方在订货前向买方提供一般性资料如：鉴定证书、报价书、典型

说明书、屏布置图、系统原理图和主要技术参数。

5.2.2在合同签定10 天内，卖方向买方提供下列技术文件 2 份

以供确认。

1）屏正面布置图、屏内设备布置图及图例说明。

2）屏的安装尺寸图。包括屏的尺寸、基础螺栓的位置和尺寸等。

3）屏的端子排图

卖方在提供确认图纸时必须提供为审核该张图纸所需的资料。买方有权要求卖方对其图纸中的任一装置任一部件作必要修改，而买方不需承担额外费用。

在收到买方最终认可图纸前，卖方所购买的材料或制造所发生的费用及其风险全由卖方单独承担。

生产的成品应符合合同的技术规范。买方对图纸的确认并不能解除卖方对其图纸的完善性和准确性应承担的责任。

设计院在收到图纸后1周内返回确认意见，并根据需要召开设计联络会。

在收到确认意见或设计联络会后7天内，卖方应提供全部正式图纸的最终蓝图和所有图纸的ACAD电子版（AUTOCAD14.0版及以上）及其相关的支撑软件，资料提供8份(包括CAD14版的图纸软盘或光盘) 【其中业主6份（随屏），设计单位2份（邮寄）】

5.2.3设备供货时提供下列资料:设备的开箱资料，除了5.2.2所述图纸还

应包括安装、运行、维护、修理说明书、部件清单资料、工厂试验报告、产品合格证等。

供方提供的图纸、资料应满足设计、施工、调试及运行的需要。

5.3现场服务及售后服务：

5.3.1卖方应派代表到现场负责安装、调试并投入运行，并负责解决合同

设备制造及性能等方面的有关问题，详细解答合同范围内买方提出的问题。

5.3.2在产品质保期内有制造质量的设备，由卖方负责修理或更换。对非

卖方责任造成的设备损坏，卖方有优先提供配件和修理的义务。

5.3.3对买方选购的与本合同设备有关的配套设备，卖方有提供技术配合

的义务，并不由此而增加任何费用。

5.3.4卖方有为买方培训运行维护人员的义务。

6买方工作

6.1买方应向卖方提供有特殊要求的设备技术文件。

6.2设备安装过程中，买方为卖方现场派员提供工作和生活的便利条件。

6.3设备制造过程中，买方可派员到卖方进行监造和检验，卖方应积极配合。

7工作安排

7.1根据工程需要可以召开设计联络会或其它形式解决设计制造中的问

题。

7.2文件交接要有记录，设计联络会议应有纪要。

7.3卖方提供的设备及附件规格、重量或接线有变化时，应及时书面通知

买方。

7.4未尽事宜，双方协商处理，可以以其它形式补充。以后协调所形成的

文件与规范书同等效力。

7.5卖方应在投标书中提供投标设备的详细参数表。

8专用工具

8.1专用工具

换热器技术要求汇总

一．总图技术要求： 1、设备法兰和管板采用16Mn锻件，应符合NB/T 47008-2010《承压设备用碳素钢和合金钢锻件》标准，合格级别见图样规定；接管使用20无缝钢管，应符合GB 9948-2013《石油裂化用无缝钢管》的规定，供货状态为正火。 2、设备按照NB/T 47015-2011《压力容器焊接规程》焊接，焊接工艺评定根据NB/T 47014-2011《承压设备焊接工艺评定》进行，焊接接头除图中注明外，其余均为连续焊接接头，角焊接接头的焊角尺寸为施焊件中较薄件的厚度，法兰按相应的标准焊接。 3、管板密封面与壳体轴线垂直，垂直度公差为1mm。 4、换热器制造完毕后应彻底除锈，涂漆前钢材表面应达到GB/T8923.1-2011中规定的Sa2.5级的要求。壳体底层用环氧云铁防锈漆涂装3道，每道干膜厚度不得小于40μm，涂层总厚度不得小于120μm。 5、本设备管束需要做内防腐，管束内表面涂"SHY99"防腐涂料，防腐涂层干膜总厚度不得低于120μm。管束的涂料防腐应符合SH/T3540-2007<<钢制换热设备管束复合涂层施工及验收规范>>的规定，且防腐处理应由有成熟经验的专业防腐处理厂进行施工。 6、滑动鞍座采用双螺母固定，地脚螺栓上的第一个螺母拧紧后倒退一圈，然后用第二个螺母锁紧。 7、产品和注册铭牌座安装在壳程壳体(左侧)中间部位,材质与壳体一致，并保证高出保温层50mm以上。注：1.在设计寿命期内,压力容器使用单位，应根据装置的操作状态或TSG R7001-2004"压力容器定期检验规则"的要求，对该设备进行定期检验，并确认实际寿命和设计寿命的符合性，设计寿命不包括管束。二．前端管箱技术要求： 1.管箱组焊完毕后，应进行消除应力热处理，然后法兰和隔板密封面应一起进行精加工。 2.法兰密封面及表面不得有裂纹及其它降低法兰强度或连接可靠的缺陷。 3.其它要求见装配图。 4.此吊耳仅用于前端管箱的吊装。三、后端管箱技术要求： 1.法兰密封面及表面不得有裂纹及其它降低法兰强度或连接可靠的缺陷。 2.其它要求见装配图。 3.此吊耳仅用于前端管箱的吊装。四．滑道技术要求： 1.滑道必须平直，不得翘曲。 2.周边去毛刺，棱角倒钝。五．垫片的技术要求： 1.波齿复合垫应参照GB/T 19066.3-2008《柔性石墨金属波齿形复合垫片技术条件》的要求进行制造、检验和验收。 2.金属骨架应采用整张钢板制作，不允许拼接。 3.本波齿复合垫片应进行压缩、回弹及密封性能试验，其压缩率应≥25%。六．钩圈的技术要去： 1.锻件应符合NB/T47008-2010《承压设备用碳素钢和合金钢锻件》中规定的Ⅲ级锻件的要求。 2.制作后切为两半.

发电厂及变电站电气二次设备概要

第9章二次设备的选择及二次回路设计基础教学目的：掌握二次设备的选择、展开接线图中的回路编号、屏面布置图、端子排图、屏背面接线图；复习旧课：掌握隔离开关的控制回路、隔离开关的位置指示信号、隔离开关的误操作闭锁回路；重点：掌握二次设备的选择、展开接线图中的回路编号、屏面布置图、端子排图、屏背面接线图；难点：掌握二次设备的选择、展开接线图中的回路编号、屏面布置图、端子排图、屏背面接线图；引入新课：第一节二次设备的选择一、控制和信号回路的设备选择 1．控制开关的选择控制开关应根据以下三个条件选择：（1）回路接线需要的触点数量及触点闭合图表。（2）操作的频繁程度。（3）回路的额定电压、额定电流和分断电流。 2．跳、合闸回路中的中间继电器的选择（1）跳、合闸位置继电器的选择。音响或灯光监视的控制回路，跳、合闸回路中选择位置继电器的要求为： 1）在正常情况下，通过跳、合闸回路的电流应小于其最小动作电流及长期热稳定电流。 2）当直流母线电压为85％额定电压时，加于继电器的电压不小于其额定电压的70％。（2）跳、合闸继电器的选择。跳闸或合闸继电器电流自保持线圈的额定电流，除因配电磁操作机构的断路器由于合闸电流大，合闸回路设有直流接触器，合闸继电器需按合闸接触器的额定电流选择外，其他跳、合闸继电器均按断路器的合闸或跳闸线圈的额定电流来选择，并保证动作的灵敏系数不小于1. 5。（3）自动重合闸继电器及其出口信号继电器的选择。自动重合闸继电器及其出口信号继电器额定电流的选择应与其起动元件动作电流相配合，保证动作的灵敏度不小于1. 5。自动重合闸出口继电器及信号继电器，当其出口直接接至合闸线圈回路时，继电器的额定电流应按合闸接触器或断路器合闸线圈的额定电流来选择。 3．防跳继电器的选择（1）防跳继电器的选型。电流起动电压自保持的防跳继电器，其动作时间应不大于断路器的固有跳闸时间。DZK 系列快速中间继电器的动作时间不大于 15ms 。（2）防跳继电器的选择。

热网换热器技术规范书

荣成市石岛热电联产工程技术规范书热网加热器需方：荣成市昊阳热电有限公司设计方：山东省鑫峰工程设计有限公司月8年2016．

目录一、技术规范书 ....................................................... 2 1、总则 .............................................................. 2 2、概述 .............................................................. 3 3、运行条件 .......................................................... 3 4、技术要求 .......................................................... 4 5、执行标准 ........................................................ 14 二、供货范围 ........................................................ 15 三、包装、油漆、运输要求 (19) 四、技术资料和交付进度 .............................................. 23 五、设备监造(检验)、现场试验和性能验收试验 .......................... 26 六、技术服务、培训和设计联络 ........................................ 29 七、交货时间 ........................................................ 32 八、其它 ............................................................ 32 九、分包与外购、技术差异表 .......................................... 33 十、大（部）件情况 (33) 十一、附件 .......................................................... 34 附件1：质量保证/质量控制 ............................................ 34 附件2：用户手册的编制 ............................................... 36 38 / I 一、技术规范书 1、总则 1.1 本技术规范书适用于荣成市石岛热电联产工程首站的热网加热器设备和厂区采暖换热机组设备，它提出了该设备及其附属设备的功能设计、结构、性能、安装和试验等方面的技术要求和供货范围。

信息安全管理制度-网络安全设备配置规范v1

网络安全设备配置规范网络安全设备配置规范

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp等，以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –

网络安全监测装置技术规范

第8章专用技术条款

目录 8.1 网络安全监测装置技术规范 (1) 8.2 网络安全监测装置主要设备配置 (9) 8.3 质量保证和试验 (10) 8.4 设计联络、验收及服务 (12) 8.5 包装运输和储存 (13)

第8章专用技术条款 8.1 网络安全监测装置技术规范 8.1.1 术语和定义 8.1.1.1 电力监控系统用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等。 8.1.1.2 网络安全管理平台由安全核查、安全监视及告警、安全审计、安全分析等功能构成，能够对电力监控系统的安全风险和安全事件进行实时的监视和在线的管理。 8.1.1.3 网络安全监测装置部署于电力监控系统局域网网络中，用以对监测对象的网络安全信息采集，为网络安全管理平台上传事件并提供服务代理功能。根据性能差异分为Ⅰ型网络安全监测装置和Ⅱ型网络安全监测装置两种。Ⅰ型网络安全监测装置采用高性能处理器，可接入500个监测对象，主要用于主站侧。Ⅱ型网络安全监测装置采用中等性能处理器，可接入100个监测对象，主要用于厂站侧。 8.1.2 网络安全监视与管理体系按照“监测对象自身感知、网络安全监测装置分布采集、网络安全管理平台统一管控”的原则，构建电力监控系统网络安全监视与管理体系，实现网络空间安全的实时监控和有效管理，如下图所示图8.1-1 网络安全监视与管理体系结构图监测对象采用自身感知技术，产生所需网络安全事件并提供给网络安全监测装置，

同时接受网络安全监测装置对其的命令控制。网络安全监测装置就地部署，实现对本地电力监控系统的设备上采集、处理，同时把处理的结果通过通信手段送到调度机构部署的网络安全管理平台。网络安全管理平台部署于调度主站，负责收集所管辖范围内所有网络安全监测装置的上报事件信息，进行高级分析处理，同时调用网络安全监测装置提供的服务实现远程的控制与管理。 8.1.3 技术要求 8.1.3.1 一般要求网络安全监测装置应满足如下要求： 1）宜采用非X86低功耗工业级硬件架构设计； 2）在故障、重启的过程中不引起数据重发、误发、漏发； 3）有明显的接地标志； 4）有安全警示标识； 5）Ⅱ型网络安全监测装置应具备装置故障告警信号输出接点，装置运行灯灭时应导通装置故障接点； 6）Ⅱ型网络安全监测装置应采用无风扇、无旋转部件硬件设计。 8.1.3.2 环境条件 1）正常工作大气条件环境温度和湿度见表8.1-1，大气压力：70kPa～106kPa。表8.1-1 工作场所环境温度及湿度分级 2）对周围环境要求条件装置的使用地点应无爆炸危险，无腐蚀性气体及导电尘埃、无严重霉菌、无剧烈振动源，不允许有超过所处应用场所正常运行范围内可能遇到的电磁场存在。有防御雨、

变电站及其设备介绍

变电站及其设备介绍变电站(Substation）是把一些设备组装起来，用以切断或接通、改变或者调整电压，在电力系统中，变电站是输电和配电的集结点，变电站主要分为：升压变电站，主网变电站，二次变电站，配电站。变电站是电力系统中变换电压、接受和分配电能、控制电力的流向和调整电压的电力设施，它通过其变压器将各级电压的电网联系起来。变电站起变换电压作用的设备是变压器，除此之外，变电站的设备还有开闭电路的开关设备，汇集电流的母线，计量和控制用互感器、仪表、继电保护装置和防雷保护装置、调度通信装置等，有的变电站还有无功补偿设备。变电站的主要设备和连接方式，按其功能不同而有差异。变压器是变电站的主要设备，分为双绕组变压器、三绕组变压器和自耦变压器即高、低压每相共用一个绕组，从高压绕组中间抽出一个头作为低压绕组的出线的变压器。电压高低与绕组匝数成正比，电流则与绕组匝数成反比。变压器按其作用可分为升压变压器和降压变压器。前者用于电力系统送端变电站，后者用于受端变电站。变压器的电压需与电力系统的电压相适应。为了在不同负荷情况下保持合格的电压有时需要切换变压器的分接头。按分接头切换方式变压器有带负荷有载调压变压器和无负荷无载调压变压器。有载调压变压器主要用于受端变电站。电压互感器和电流互感器。它们的工作原理和变压器相似，它们把高电压设备和母线的运行电压、大电流即设备和母线的负荷或短路电流按规定比例变成测量仪表、继电保护及控制设备的低电压和小电流。在额定运行情况下电压互感器二次电压为l00V，电流互感器二次电流为5A或1A。电流互感器的二次绕组经常与负荷相连近于短路,请注意:绝不能让其开路，否则将因高电压而危及设备和人身安全或使电流互感器烧毁。开关设备。它包括断路器、隔离开关、负荷开关、高压熔断器等都是断开和合上电路的设备。断路器在电力系统正常运行情况下用来合上和断开电路，故障时在继电保护装置控制下自动把故障设备和线路断开，还可以有自动重合闸功能。在我国，220kV以上变电站使用较多的是真空断路器和六氟化硫断路器。隔离开关（刀闸)的主要作用是在设备或线路检修时隔离电压，以保证安全。

网络安全设备主要性能要求和技术指标要求部分汇总

1网络安全设备主要性能要求和技术指标要求 1.1防火墙用于控制专网、业务内网和业务外网，控制专网、业务内网部署在XX干线公司、穿黄现地管理处（备调中心），每个节点各2台；业务外网部署在XX干线公司1台，共计9台。要求如下： 1.2入侵检测系统（IDS）根据系统组建需要，控制专网、业务内网、业务外网均部署入侵检测系统（IDS），共需6套。（1）控制专网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各1套，共2套；（2）业务内网：部署在XX干线公司及穿黄现地管理处（备调中心），每个

节点各2套，共4套； 1.2.1 产品规格及性能指标要求（1）支持10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块)；（2）能监控的最大TCP并发连接数不小于120万；（3）能监控的最大HTTP并发连接数不小于80万；（4）连续工作时间（平均无故障时间）大于8万小时；（5）吞吐量不小于2Gbps。（6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。 1.2.2 部署和管理功能要求 (1)传感器应采用预定制的软硬件一体化平台； (2)入侵检测系统管理软件采用多层体系结构； (3)组件支持高可用性配置结构，支持事件收集器一级的双机热备； (4)各组件支持集中式部署和大型分布式部署； (5)大规模分布式部署支持策略的派发，即上级可将策略强制派发到下级，以确保整个系统的检测签名的一致性； (6)可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式； (7)支持以拓扑图形式显示组件之间的连接方式； (8)支持多个控制台同时管理，控制台对各组件的管理能力有明确的权限区别； (9)支持组件的自动发现； (10)支持NAT方式下的组件部署； (11)支持IPv6下一代通信网络协议的部署和检测。 1.2.3 检测能力要求

网上办税系统信息安全基本技术规范(税总函〔2014〕13号)

网上办税系统信息安全基本技术规范网上办税系统信息安全基本技术规范

目录 1文档概述 (1) 1.1适用范围 (1) 1.2文档相关说明 (1) 1.3引用文件 (1) 1.4术语和定义 (2) 1.5符号和缩略语 (2) 2网上办税系统概述 (3) 2.1系统定义 (3) 2.2系统描述 (3) 2.2.1服务器端 (3) 2.2.2客户端 (3) 2.2.3专用辅助安全设备 (3) 2.2.4网络通信 (4) 2.3用户及数据描述 (4) 2.3.1用户 (4) 2.3.2数据 (4) 2.4系统边界 (4) 3信息安全基本技术规范 (5) 3.1服务器端安全 (5) 3.1.1 应用安全和数据安全 (5) 3.1.2网络区域划分 (7) 3.1.3 网络安全 (9) 3.1.4 服务器安全 (11) 3.2客户端安全 (13) 3.2.1 客户端运行环境安全 (14) 3.2.2 客户端软件 (14) 3.2.3 密码保护 (14) 3.2.4 登录控制 (15) 3.2.5 信息保护 (15) 3.3专用辅助安全设备安全 (15) 3.3.1 USB Key (15) 3.3.2 文件证书 (16) 3.3.3 手机短信动态密码 (16) 3.4网络通信安全 (16)

前言编制目的：根据国家税务总局进一步优化纳税服务工作的要求，各地税务机关大力依托公共网络向纳税人提供网上办税服务，各地网上办税系统的数量和覆盖的业务范围快速增加，已经成为税务部门处理业务的一种重要方式。特别是随着各地网上办税业务模式不断创新，纳税人在互联网上已从过去单一的业务查询、申报工作提升到网上缴税等资金类操作，显著增加了网上办税系统的安全风险。与此同时，各地在网上办税中的信息安全防护水平参差不齐。因此，为保证网上办税系统能够安全平稳，有效增强现有网上办税系统安全防范能力，促进网上办税规范、健康发展，提出税务网上办税系统信息安全基本技术规范。基本原则：网上办税系统信息安全基本技术规范基于安全现状，符合安全需求，为网上办税系统提供基本的安全保障。

发电厂及变电站电气二次设备资料

第9章二次设备的选择及二次回路设计基础第一节二次设备的选择一、控制和信号回路的设备选择 1．控制开关的选择控制开关应根据以下三个条件选择：（1）回路接线需要的触点数量及触点闭合图表。（2）操作的频繁程度。（3）回路的额定电压、额定电流和分断电流。 2．跳、合闸回路中的中间继电器的选择（1）跳、合闸位置继电器的选择。音响或灯光监视的控制回路，跳、合闸回路中选择位置继电器的要求为： 1）在正常情况下，通过跳、合闸回路的电流应小于其最小动作电流及长期热稳定电流。 2）当直流母线电压为85％额定电压时，加于继电器的电压不小于其额定电压的70％。（2）跳、合闸继电器的选择。跳闸或合闸继电器电流自保持线圈的额定电流，除因配电磁操作机构的断路器由于合闸电流大，合闸回路设有直流接触器，合闸继电器需按合闸接触器的额定电流选择外，其他跳、合闸继电器均按断路器的合闸或跳闸线圈的额定电流来选择，并保证动作的灵敏系数不小于1.5。（3）自动重合闸继电器及其出口信号继电器的选择。自动重合闸继电器及其出口信号继电器额定电流的选择应与其起动元件动作电流相配合，保证动作的灵敏度不小于1.5。自动重合闸出口继电器及信号继电器，当其出口直接接至合闸线圈回路时，继电器的额定电流应按合闸接触器或断路器合闸线圈的额定电流来选择。 3．防跳继电器的选择（1）防跳继电器的选型。电流起动电压自保持的防跳继电器，其动作时间应不大于断路器的固有跳闸时间。DZK系列快速中间继电器的动作时间不大于15ms。（2）防跳继电器的选择。 1）电流起动电压自保持的防跳继电器，其电流线圈的额定电流的选择应与断路器跳闸线圈的额定电流相配合，并保证动作的灵敏度不小于1.5。自保持电压线圈按直流电源的额定电压选择。 2）电流起动线圈动作电流的整定可以根据1）所选用继电器线圈额定电流的80％整定。这样整定能保证当直流母线电压降低到85％时继电器仍能可靠动作。 3）电压自保持线圈按80％额定电压整定为宜。在接线中应注意防跳继电器线圈的极性。 4．信号继电器和附加电阻的选择（1）信号继电器和附加电阻选择的原则： l）在额定直流电压下，信号继电器动作灵敏度一般不小于1.4。 2）在0.8倍额定直流电压下，由于信号继电器的串接而引起回路的压降应不大于额定

网络安全操作规程

网络安全操作规程 1.目的为加强公司计算机设备及网络，系统数据，研发数据，源代码，信息安全的管理，确保计算机及公司网络系统正常可靠地运行，保证各部门日常工作的顺利开展，特制定计算机网络及信息安全管理规程。 2.范围适用于本公司各部门的计算机，网络设备，办公设备（以下简称IT设备）和数据，信息安全的管理。 3.职责 3.1公司内IT设备维护，系统管理，信息安全管理，网络管理由IT部门统一安排执行管理。 3.2使用者对分配给其使用的IT设备安全和完整性负责，部门负责人对本部门IT设备的安全和完整性负责。部门负责人对部门网络及信息安全负责。 3.3各个部门配合本规定的实施。 4.操作规程 4.1 计算机与网络管理程序 4.1.1 IT设备的领用、采购，回收，维修，更换流程（1）各部门新增招聘计划时，必须提前15天到行政部备案，如果库存的IT设备无法满足申请部门的需求或者库存无货时，就转采购申请。需采购的IT设备必须经IT人员确认配置后方可交由采购部采购。采购回来的设备由物资部交由仓库管理员签收后入库。（2）新入职人员必须接受计算机网络及信息安全管理规程培训，培训合格后才可以申请IT设备。（3）库存IT设备的申领申请人填写IT需求申请表，经IT人员确认核实相关配置。在库存有货的情况下由申请人经各级领导逐级审批，凭审批后的申请表到仓库领取。库存无货转采购流程。（4）回收后的IT设备数据处理为保障公司信息数据安全，对于需要归还的IT设备，使用部门归还前自行备份IT设备数据，归还前清空数据。需归还的设备由归还人员填写归还申请表经IT人员检测配置无误后，由归还人员将IT设备搬到仓库指定地点。由仓库管理员清点入库签收。（5）IT设备的维修IT设备的报修由申请人直接向IT人员提出，不产生费用且过保的维修事项由IT人员直接维修，对于保修期内的设备由采购人员联系供应商维修。经评估对于可能产生费用且过保的设备维修，由申请人填写IT设备需求申请表，经逐级审批后，方可由IT人员联系供应商进行维修。（6）IT设备的更换必须由当事人提出书面申请（IT需求申请表），经IT人员对原有IT 设备配置检查记录后，由申请人凭（经各级领导逐级审批后的）申请表到仓库管理员处领取更换。原有IT设备回收按照第4.1.1（4）执行。（7）离职员工离职前必须到IT人员处登记，由IT人员对其IT设备配置完整性进行检查，注销个人账户信息等，经确认IT设备完好无损，账户信息完全注销后方可办理其他离职手续。如有it设备损坏的情形将根据实际情况进行登记，由财务人员进行扣款处理后方可办理离职手续。离职员工的IT设备回收按照第4.1.1（4）执行。（8）计算机设备调换必须到it人员处登记信息。IT设备调换前双方自行备份并清空数据。IT人员做好IT资产变更信息。

换热设备技术协议(6.3)

酒泉钢铁（集团）有限责任公司厂区热网改造工程项目换热设备技术协议合同编号：甲方：酒钢（集团）公司动力厂乙方：甲方负责人：乙方负责人: 签定时间：签定时间：签定地点：甘肃省嘉峪关市签定地点：酒钢厂区热网改造工程设备技术协议书甲方:酒泉钢铁（集团）动力厂

乙方：经甲乙双方协商，双方就酒泉钢铁（集团）动力厂2009年厂区热网改造工程新建4座换热站的换热机组及4台管板式汽水换热器设备的技术要求达成如下协议： 1. 基本定义 1.1本技术协议是酒泉钢铁（集团）公司动力厂与乙方签订的2009 年厂区热网改造改造工程新建4座换热站的换热机组及4台管板式汽水换热器设备合同的附件，为该合同不可分割的一部分。 1.2本技术协议仅提供有限的技术要求，并未对一切技术细节做出规定，也未充分引述有关标准的详细条文，乙方的产品应保证符合有关国家、行业有关技术规范和标准以及甲方方提供的技术资料的要求。 1.3乙方必须充分了解嘉峪关地区的管网运行情况及水质状况，提供的设计方案必须保证技术上先进可行、运行可靠，保证冬季酒钢厂区用户采暖质量，并对站内换热机组的选型、制造全部负责，若热网在运行过程中，采暖效果达不到设计要求，乙方无偿改进或改造，并承担由此造成的一切损失和责任。 1.4乙方对整个设备及其附属设备的合理性、完整性负责。对供货设备技术总负责，即乙方对设备的选型、制造、安装、调试、功能考核、竣工验收等各阶段的工作，负全面的技术责任。 1.5功能考核按质保期连续运行进行考核，各项指标达到技术性能要求，机械设备在考核时间内无故障。功能考核达不到要求，乙方无条件免费负责处理，直至达到要求为止。 1.6 在合同签订之后，如需提出修改和补充，具体项目和条款由双

信息安全管理制度网络安全设备配置规范

网络安全设备配置规范 2011年1月

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭、、、等，以及使用而不是远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） ?用户允许规则（如，允许到公网服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击？ 5.防火墙是否阻断下述欺骗、私有（1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（1918）地址（10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255）

网络安全的技术要求

技术要求莱钢永锋钢铁有限公司网络安全建设方案，由防火墙、入侵检测、网管软件（含上网行为管理）和网络版杀毒软件等系统组成。目前，公司网络划分为11个网段，其中财务所处的VLAN在防火墙上进行隔离，其他网段可以相互访问.交换机均为神州数码科技的产品,局域网通过VPN与莱钢集团连接(10台服务器，500客户端)。技术要求：一、防火墙和入侵检测系统。本系统的防火墙和入侵检测系统，选用天融信公司的NGFW4000和TOPSENTRY2000系统。主要功能：1、地址转换。2、支持众多的网络通讯协议。3、加密支持。4、支持众多的身份验证。5、安全服务器保护。6、路由功能。7、多层次分布式带宽管理。8、支持其他产品的联动。9、支持ipsecVPN和SSLVPN等基础的功能。二、添加两款NETCORE7324NSW2＋4交换机。主要功能是自动学习mac地址，对网内pc机的mac和ip进行绑定，防止arp病毒和arp变种病毒的攻击。三、网管软件（含上网行为管理）。拟选两种方案：一、选用游龙的内网管理软件。二、选用网强和ipsms产品相结合。主要实现的功能：1、实现全网的交换机监视。2、局域网链路的监视。3、全网拓扑图结构的监视。4、对服务器系统的监视。5、对实时流量的监控。6、详细网络运行情况报表的自动发布。7、桌面的管理（含补丁、资产、报警、进程、远程维护、外设、桌面设置、接入安全、互联网访问日志和外设访问日志）。8、上网行为管理（针对pc上网的权限、流量等及其相关功能的管理）。四、网络版杀毒软件。选用方案为两种：赛门铁克和卡巴斯基。实现的功能：1、自带软件防火墙。2、自动清除间谍软件和广告软件以及病毒、蠕虫和特洛伊木马。3、集中安装、配置和管理。4、VPN连接符合公司安全策略。5、修复病毒和间谍软件所作的更改。 6、允许管理员定制阻止间谍软件、广告软件的策略。 7、允许管理员对网络进行审核。

(完整版)500kV变电站主要设备介绍

500kV变电站主要设备介绍第一部分设备的公用参数一、设备环境条件根据设备使用当地的具体环境确定，具体是： 1、户外设备环境条件主要分为：海拔高度、环境温度、相对湿度、污秽等级、地震烈度、覆冰厚度。 2、户内设备环境条件主要是环境温度和相对湿度。二、设备的额定电压 1、我国的电压等级电压等级分别用“系统标称电压”表示，分别为：1000kV、750kV、500kV、330kV（西北）、220kV、145kV （东北）、110kV、60kV、35kV、10kV、6kV（电厂）、0.4kV 2、设备的额定电压 “设备的额定电压”分别用上述系统的“最高运行电压”表示，分别为：1100kV、800kV、550kV、363kV （西北）、252kV、167kV（东北）、126kV、69kV、40.5kV、11.5kV、6.9kV（电厂）、0.46kV 三、绝缘水平绝缘水平是指：设备带电部分与不带电部分之间的绝缘能力，主要分为：雷电冲击、操作冲击和工频耐压三种绝缘水平，主要根据相应的国家和行业的标准以及安装地点的使用要求选择。四、设备的试验要求各种设备都应该按照国家和行业的标准，通过相关的试验。设备试验主要分为以下几种：型式试验、出厂试验、安装现场的交接试验等。五、额定频率：50HZ 第二部分 500kV变电站主要一次设备 500kV变电站一般分为三个电压等级，即：500kV、220kV和35kV，下面分别介绍各级电压的一次设备。一、500kV主变压器变压器的作用是“改变电压，将各级电压连接起来”。500kV主变压器的主要型式和参数介绍如下： 1、额定容量：750MVA、1000MVA等等 2、绕组容量比：100/100/50等等 3、电压变比500/220/35kV等等 4、短路阻抗 5、空载损耗和负载损耗 6、单相变压器（A、B、C三相共三台），或三相共体变压器（A、B、C三相一台）。多数变电站为三台分相的单相变压器，少量运输条件优越的变电站采用三相共体变压器。 7、调压方式：无载调压（无励磁调压），或有载调压（带励磁调压）； 8、冷却方式：强迫油循环风冷、空气自然冷却，或水循环冷却。二、500kV高压并联电抗器高压并联电抗器的作用：“一是限制系统的过电压；二是实现系统的无功补偿”。500kV高压并联电抗器的型式和主要参数介绍如下： 1、额定容量：90Mvar--180Mvar； 2、额定电压：525kV--550kV 3、冷却方式 4、一般500kV高压并联电抗器是三个单相构成，即：三台构成一组。三、500kV断路器断路器的作用是：“既可以分合正常工作电流，也可以切断较大的事故短路电流”。500kV断路器的型式和主要参数介绍如下： 1、额定电流（有效值）：3150A、4000A等等 2、额定短路开断电流（有效值）：50kA、63 kA等等 3、额定短时耐受电流（冲击峰值）：125 kA、160 kA等等 4、组合型式：主要分为以下三种：柱式断路器、罐式断路器、HGIS开关设备、GIS开关设备（后面具体介绍）四、500kV隔离开关

板式换热器技术规范书

1、概述 (2) 2、通用技术要求 (2) 3、换热设备的技术参数及要求 (3) 4、技术服务 (6) 5、质量保证和试验 (7) 6、其它 (8)

1、概述 1.1需方在本规范书中提出了最低限度的技术要求，并未对全部技术细节做出详细规定，也未充分引用有关标准和规范的条文，供方应提供符合本规范书和相应工业规范标准的优质产品，对国家有关安全、环保等强制性标准，必须满足其要求。 1.2如果供方没有以书面形式对本规范书的条文提出异议，则意味着供方提供的设备完全符合本规范书的要求。 1.3供方在执行本规范书所列规范标准与其它标准或规范有矛盾时，按较高标准执行。 1.4工程简介华电邹城发电厂市区供热工程位于山东省邹城市，供热规模为1000万平方米采暖，设有二条高温热水管道。主要为邹城市区民用及公建采暖供热。工程分期建设，本规范书为一期工程二级换热站。 1.5运行环境 1.5.1区内自然地坪标高：46.00~77.00m 1.5.2区内地震基本烈度为：7度。 1.5.3年平均气温14.5℃，冬季采暖室外计算温度-7℃，冬季室外平均温度-1.5℃，极端最高气温39.8℃，极端最低气温-16.1℃。 1.5.4累年平均相对湿度：63% 1.5.5累年平均风速： 2.8m/s 1.5.6最大冻土深度：32cm 1.5.7地下水位变幅：0.56~3m 1.5.8安装条件：室内安装 1.5.9电源条件：380V，50HZ。 2、通用技术要求 2.1设计、制造、试验及验收标准 2.1.1设备的设计、制造、试验及验收和材料应符合各设备相应的标准、规范、规程的

某电力公司网络安全技术规范书

5.1 附件1 华能电力网络安全项目技术规书

华能电力网络安全解决方案 (1) 1.背景介绍 (3) 1.1.项目总述 (3) 1.2.网络环境总述 (3) 1.3.信息安全方案的组成 (4) 1.3.1.信息安全产品的选型原则 (4) 1.3.2.网络安全现状 (5) 1.3.3.典型的黑客攻击 (5) 1.3.4.网络与信息安全平台的任务 (7) 1.3.5.网络安全解决方案的组成 (7) 1.3.6.超高安全要求下的网络保护 (9) 2.安全架构分析与设计 (11) 2.1.网络整体结构 (11) 2.2.集中管理和分级管理 (12) 2.3.华能电力网络安全系统管理中心网络 (13) 2.4.各地方公司和电厂网络设计 (13) 2.5.和I NTERNET相连的外部网络设计 (14) 3.产品选型 (15) 3.1.防火墙的选型 (15) 3.1.1.方正数码公司简介 (15) 3.1.2.产品概述 (16) 3.1.3.系统特点 (16) 3.1.4.方正方御防火墙功能说明 (20) 3.2.入侵检测产品选型 (27) 3.2.1.启明星辰公司介绍 (28) 3.2.2.入侵检测系统介绍 (28) 3.2.3.天阗(tian)黑客入侵检测系统功能特点 (29) 3.3.防病毒产品的选型 (31) 3.3.1.病毒介绍 (31) 3.3.2.为何使用CA公司的Kill2000网络防病毒 (35) 3.3.3.KILL的技术和优势 (36) 3.3.4.KILL与其他同类产品的比较的相对优势 (38) 3.3.5.KILL所获得的权威机构认证 (39) 3.3.6.KILL病毒防护系统部署方案 (39)

换热设备技术规范书

第二部分赤峰市中心城区供热管网二期工程设备材料技术要求第一包整体换热机组序号设备名称单位数量 1整体换热机组（5万m2)套2 2整体换热机组(10万ｍ２)套6 3整体换热机组（１５万m2）套7 ４整体换热机组(20万m２)套4 5整体换热机组(25万m2）套2 6整体换热机组(３０万m2）套1 小计套２2 １。总则 1。1 概述本工程为赤峰市中心城区供热管网二期工程，以京能（赤峰）能源发展有限责任公司 2×135MW供热机组为热源，对赤峰市松山及桥北区进行集中供热。本工程建设地点位于赤峰市松山区。本工程热网管道的输送介质为热水，最高工作温度为120℃，最高工作压力为1．6ＭPa。本工程热力站采用间接连接方式，站内全部设置板式换热机组。在本技术规范书中规定了换热机组中主要设备的制造商、主要设备材质和性能等方面的要求.本技术规范书所述内容和要求是买方认为必须满足的最低要求，供货商提供的全套设备应满足技术先进、安全可靠、运行稳定及安装维护方便的要求，并应对所供设备的整体技术性能和安全性能向买方负责。但并不仅局限于此。如供货商对所提供货物的技术性能有更优化的替代方案时，供货商有义务提出并说明其优越性，同时若本技术规范书存在任何错误或遗漏之处,供货商应及时通知买方，以寻求解决。１．２供货范围供货范围应包括产品的设计、制造、检验、包装、发货、运输、现场指导安装及对业主的安装与维修人员进行培训。本技术规范书要求的内容只对供货范围内的主要设备和附件进行了描述。对于本技术规范书中没有提及的内容和项目,但又是满足设备使用功能和安全稳定运行所需要的任何内容和项目均应包括在供货范围之内.所有设备运行和检修维护所必须的任何附件、配件、器具和特殊工具和随机备件均应包括在供货范围之内。买方有权拒绝任何不符合本技术规范书要求的设备和材料。换热机组数量共2２套。换热机组所属热力站名称及热负荷详见技术附件1:赤峰富龙热力有限责任公司2００9年热力站换热机组数据表;换热机组主要设备配置清单及系统图、原理图等从下列电子邮箱中自行下载后，在CＡD制图软件条件下查看，（邮箱地址为：;密码为８369762zfcg），如果有问题请与赤峰市政府采购中心乌文超联系:. 供货范围应包括：

常见网络安全设备

Web应用防火墙（WAF）为什么需要WAF？ WAF（web application firewall）的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。什么是WAF？ WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对HTTP访问的Web程序保护。 WAF部署在Web应用程序前面，在用户请求到达Web 服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。通过检查HTTP流量，可以防止源自Web应用程序的安全漏洞（如SQL注入，跨站脚本（XSS），文件包含和安全配置错误）的攻击。与传统防火墙的区别 WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。 WAF不是全能的 WAF不是一个最终的安全解决方案，而是它们要与其他网络周边安全解决方案（如网络防火墙和入侵防御系统）一起使用，以提供全面的防御策略。入侵检测系统（IDS）什么是IDS？ IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

跟防火墙的比较假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。部署位置选择因此，对IDS的部署唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：尽可能靠近攻击源；这些位置通常是：服务器区域的交换机上； Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置！主要组成部分事件产生器，从计算环境中获得事件，并向系统的其他部分提供此事件；事件分析器，分析数据；响应单元，发出警报或采取主动反应措施；事件数据库，存放各种数据。主要任务主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；

变电站二次设备简介

变电站二次设备简介 1P远动通信及GPS对时屏：内含远动通信装置、规约转换装置和GPS对时装置。远动通信装置负责将站内信息上传至调度监控系统，规约转换装置负责将不同厂家（规约不同）的设备信息转换成本站监控系统可读取的信息，并通过远动通信装置传输至跳读监控系统。GPS对时装置是依靠GPS系统对全站装置进行实时对时。 2P公用测控屏：内含公用测控装置。负责测量直流系统和母线电压（多未35kV变电站）等公用信息。 3P低频低压减载屏：内含低频低压减载装置。它是安自设备，负责在母线电压过低或者频率过低是减载负荷。 4P继电保护试验电源屏：内涵继电保护试验电源。负责在开展保护装置实验时，提供可控的直流电源。 5P 35kV#2主变保护测控屏：内涵主变非电量保护装置、主变差动保护装置、主变高后备保护装置、主变低后备保护装置和主变测控装置。通过采集主变区域的非电气量和电气量，对一侧设备进行实时监控和保护。 7P 35kV线路保护测控屏：内涵线路保护测控装置。通过采集线路区域的电气量，对一侧设备进行实时监控和保护，在线路发生故障致，及时切除故障，从而保护人身、设备和电网安全。

10P 10kV线路电度表屏：内涵电度表。负责实时监控各间隔的计量信息。 11P 直流系统充电屏：内涵直流充电模块和直流监控装置。充电模块负责将交流站用交流电转换为直流电供站内保护测控装置使用。直流监控装置负责监控各条直流馈线是否正常。 12P 直流系统馈线屏：内含直流馈线回路空开，负责向各条直流回路提供可靠直流电。 13P 蓄电池屏：内含蓄电池组。当站用变停电时，为各条直流回路提供可靠直流电，保持保护测控装置等能够正常运行。 15P UPS及通信电源馈线柜：内涵UPS装置。负责向后台监控系统、五方系统和视频监控系统等提供交流不间断电源。 17P 所用电进线柜：负责提供站内所需的交流电。 19P 通信机柜：负责站内与站外的通信互联。 20P视频监控屏：按规定在站内布置摄像头，对站内设备和环境进行实时监控。