采购标段信息

公告内容

• 2023年新能源某光伏场站安全防护设备采购

  项目 询价 公告

  甘肃方达招标咨询有限公司受甘肃能通科技有限责任公司的委托， 对 2023年新能源某光伏场站安全防护设备采购项目 以 邀请询价 方式进行采购 ， 确定邀请厦门熙重电子科技有限公司、陕西拓安信息科技有限公司、浙江齐安信息科技有限公司参与本项目投标 。现将相关事宜公告如下：

  一、项目编号： GSF D（2023） 187 - TBXGGFCZ 号

  二 、 招标 内容 ：向新能源某光伏场站提供必要 USB安全隔离保护系统及移动运维网关及物资附带的服务要求，保障站内网络安全高效运行，满足关于电力监控系统的网络安全防护要求。(具体参数详见附件）。

  序号	产品名称	单位	数量	备注
  1	新能源场站移动运维网关	项	1	含 1次上门使用和调试培训
  2	USB 安全隔离保护系统	项	1	含 1次上门使用和调试培训
  3	物资附带服务要求	项	1	服务内容详见附件 3

  三、 采购预算金额： ￥ 175000.00 元 ， 大写： 壹拾柒万伍仟元整 。

  四、 招标办法 ：最低价 中 标法。

  五、投标人资格要求

  1. 供应商须 提供合法有效的营业执照、税务登记证、组织机构代码证或三证合一证件；

  2. 提供法定代表人身份证明 或法定代表人授权委托书 ；

  3.未被列入信用中国网站（www.creditchina.gov.cn）记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为记录名单

  4.不处于中国政府采购网（www.ccgp.gov.cn）政府采购严重违法失信行为记录中的禁止参加政府采购活动期间；

  5.未被列入信用甘肃（www.gscredit.gov.cn）记录失信被执行人或财政性资金管理使用领域相关失信责任主体、统计领域严重失信企业及其有关人员等。

  6. 本项目不接受联合体投标。

  六、报名时间及资质上传时间

  报名及资质上传时间： 202 3 年 12 月 19 日 9 : 00 时至 202 3 年 12 月 20 日 9 : 00 时为止，请供应商登录 甘肃省 公共资源交易网（ http://ggzyjy.gansu.gov.cn/ ）阳光招标采购平台进行投标报名活动。

  竞价开始时间： 202 3 年 12 月 20 日 9 : 00 时 （北京时间）

  竞价截止时间： 202 3年12 月 20 日 11 : 00 时 （北京时间）

  七、联系人姓名及电话：

  采购人： 甘肃能通科技有限责任公司

  联系人 : 孙剑 联系电话： 18993113697

  联系地址： 甘肃能通科技有限责任公司

  代理机构：甘肃方达招标咨询有限公司

  联系人： 陈燕 联系电话： 13321295557

  联系人：方海玲 联系电话: 18919377288

  联系地址：酒泉市肃州区成林大厦 1号楼(圣富家园)1-10-3号

  甘肃方达招标咨询有限公司

  202 3 年 12 月 19 日

  附件一：新能源场站移动运维网关技术参数

  1.技术参数表

  序号	参数名称	单位	招标人要求
  1	认证管理	项	支持采用静态口令、指纹特征信息方式实现人员认证，并支持两种因子组合认证方式；支持采用 USB Key（安全专用密盾内置数字证书）方式，利用数字证书实现运维终端与便携式运维网关之间的认证；
  2	权限管理	项	支持三权分立的角色管理方式，根据不同权限可分为管理员、工作负责人和审计员 1）系统管理员权限 a. 系统管理员具备账号配置权限，包含配置工作负责人、审计管理员账号； b. 支持账号信息导入 /导出； c. 支持账号信息备份 /还原，包括指纹、密码等身份鉴别信息； d. 系统管理员具备高风险指令配置、高危端口黑白名单配置权限； e. 系统管理员具备软件升级、恶意代码库升级等权限。 2）工作负责人权限 a. 工作负责人具备启动、结束运维任务等权限； b. 工作负责人具备对现场运维工作二次授权的权限。 c. 不同工作负责人之间的运维任务不能共享操作，仅允许对自己创建的任务有查看和操作的权限。 3）审计管理员权限 f. 审计管理员具备查看运维工作记录、设备运行日志等权限； g. 审计管理员具备运维工作记录导出权限； h. 审计管理员具备基于检修任务的审计信息管理能力。 i. 审计员具备将审计日志上传至第三方平台的权限。
  3	USB Key	项	USB Key应内置数字证书及Agent软件安装程序； Agent软件支持违规外联检测、屏幕录制等功能； Agent软件支持与移动运维安全装置的心跳检测，心跳间隔1秒，心跳检测失败时支持断开运维通信； 支持 Usb Key在便携式运维网关上绑定及解绑，且同一个Usb Key无法绑定至多个网关。 支持自动识别运维终端硬件信息；
  4	运维界面	项	支持 4种运维模式可视化展示及图形化参数配置。 支持运维终端、运维网关与被运维对象之间通信连接状态实时监测并显示。
  5	网络接口运维模式	项	支持运维时所用协议的通信转发； 支持 SSH、Telnet、SFTP、FTP、SCP协议进行透明代理，识别操作指令和传输文件； 支持透明代理方式识别操作指令和传输文件； 支持对 Q/GDW 273、DL/T 634.5104、DL/T 860、Modbus、IEC104、IEC61850通讯规约、Modbus协议通信进行实时解析，对控制类信令进行识别； 支持通过 USB Key内置Agent软件配置运维终端网卡信息，并进行IP冲突检测的功能; 支持基于检修任务授权运维终端的访问规则，包括 IP、端口号和传输协议； 支持便携式运维网关不需要配置 IP，支持多网段，跨网段访问被运维对象。
  6	串行接口运维模式	项	支持通过 RS232串行接口方式串接在运维终端与被运维对象之间，对通信报文进行转发； 支持字符指令的解析，并识别高风险操作指令；支持对 DL/T 634.5101和Modbus协议转发，识别控制类指令； 支持串口运维模式下运维协议的自动识别；
  7	USB接口运维模式	项	支持 USB映射功能，检修作业安全运维系统通过USB连线串接在外部移动存储介质与被运维对象之间，实现被运维对象对外部移动存储介质的读写操作； 支持对拷入和拷出的文件进行恶意代码检查； 支持移动存储介质的文件系统格式包括系 NTFS，FAT32,exFAT，Ext4。
  8	KVM运维模式	项	支持通过 HDMI线连接被运维对象，获取并显示屏幕操作信息；支持通过视频连线串接在屏幕与被运维对象之间，获取屏幕操作信息；支持通过USB连线串接在鼠标、键盘与被运维对象之间，获取键盘、鼠标操作信息，通过触摸屏或键鼠实现简单运维操作；
  9	检修任务管理	项	支持检修任务的增删查改； 支持基于任务的授权管理和审计管理； 支持导出运维任务模板，支持离线、在线方式导入工单生成运维任务； 支持通过 OCR识别纸质工单的方式生成运维任务； 支持对各变电站二次系统资产信息的存储和积累； 支持任务开始 /结束时间的管控、任务结束时间到期提醒及任务工作票延期授权。
  10	授权管理	项	支持基于任务进行授权管理； 支持授权规则的新增、删除、修改等； 支持针对运维模式、被运维对象 IP地址、协议类型和通信端口等授权规则的配置； 支持单个、多个和范围等多种方式的端口输入； 支持常用协议的快速配置。
  11	运维终端管理	项	支持通过网关对运维终端进行授权管理； 支持运维网关对运维终端硬件信息进行验证，禁止未授权的运维终端通过运维网关连接至被运维目标网络中。
  12	外设管理	项	支持通过网关对外部接入的移动存储介质进行授权管理； 支持对接入运维终端和运维网关的移动存储介质硬件信息进行验证，禁止未授权的移动存储介质使用。
  13	旁路模式	项	支持运维终端无法接入 USB Key运行时，可启用旁路模式进行正常运维工作； 支持旁路模式下运维终端无需与网关进行证书认证即可开启运维链路； 支持旁路模式下进行网络运维时，仅允许的运维终端可进行运维作业
  14	违规外联控制	项	支持运维终端违规外联检测，包括 WiFi、蓝牙、双网卡等方式； 支持运维终端违规外联处置，包括实时阻断和告警； 支持运维终端网络被阻断后一键恢复的功能；
  15	高风险指令阻断	项	支持 SSH、Telnet协议和RS232串行接口通信高风险指令的阻断和告警；支持IEC104、IEC61850通讯规约、Modbus协议通信中控制类指令的阻断和告警；支持高风险指令的增删改查，支持按照正则表达式配置指令；支持对高风险指令进行分级设置和执行策略设置，包括：敏感指令、高危指令，其中敏感指令默认直接放过执行并产生告警，高危指令需申请确认，指令申请超时未确认时当按照默认禁止策略执行，禁止策略支持可配，包括：默认指令阻断、默认会话阻断。
  16	攻击行为阻断	项	支持 ARP攻击以及SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、DNS Flood、NTP Flood、RST Flood和ACK Flood等DoS攻击的阻断和告警； 支持 IP地址、通信端口扫描等行为的阻断和告警； 支持攻击行为检测阈值的配置； 支持高危端口通信的阻断和告警。
  17	二次授权	项	支持高风险操作指令的二次授权； 支持 DL/T 634.5101、Q/GDW 273、DL/T 634.5104、DL/T 860、Modbus协议通信中控制类指令的二次授权； 支持现场渗透等工作场景下的二次授权； 支持疑似恶意代码文件解除隔离时的二次授权； 支持通过 FTP、SFTP、SCP、移动存储介质、DL/T 634.5104和DL/T 860等方式从被运维对象拷出文件时的二次授权； 支持开启 USB Key旁路模式的二次授权； 支持开启高危端口通信的二次授权。
  18	恶意代码查杀	项	支持 FTP、SFTP、SCP、外部移动存储介质等文件传输过程中的恶意代码查杀；支持疑似恶意代码文件进行自动隔离、告警；支持通过在线、离线方式对恶意代码特征库进行升级更新；
  19	语音提醒	项	支持语音方式对违规外联、高风险指令、攻击行为、恶意代码等安全风险进行提醒； 支持运维电脑及网关插入未授权的移动存储介质，网关支持语音提醒；
  20	操作审计记录	项	支持记录人员认证登录信息；支持记录运维终端 USB Key认证信息；支持记录账号增、删、改信息；支持记录传输文件的操作人员、时间、文件名称、类型、路径、大小等摘要信息；
  21	文件传输记录	项	支持记录传输文件的操作人员、时间、文件名称、类型、路径、大小等摘要信息； 支持备份小于 300MB的文件，存储空间剩余不足10%时应能对传输文件滚动覆盖；
  22	通信报文记录	项	支持记录运维过程中的完整通信报文； 支持以 pcap格式保存网络通信报文； 支持以文本格式保存串口通信报文； 支持记录 SSH、Telnet、RS232字符指令；支持留存不少于100GB通信报文数据包，存储空间剩余不足10%时应能对报文文件滚动覆盖；
  23	图像记录	项	支持对运维终端上运维操作全过程进行屏幕录像； 支持 KVM模式下保留完整屏幕录像； 支持将屏幕录像保存成 MP4格式，并实时存放在网关中； 支持留存不少于 500小时屏幕录像，存储空间剩余不足10%时应能对视频文件滚动覆盖； 支持本地查看并播放视频录像； 支持拍照记录纸质工作票及工作班成员信息；
  24	风险管控记录	项	支持记录违规外联事件告警及阻断信息； 支持记录高风险指令告警及阻断信息； 支持记录攻击行为告警及阻断信息； 支持记录恶意代码查杀信息并备份恶意代码文件； 支持记录移动存储介质接入事件告警及阻断信息 支持记录二次授权行为信息；；
  25	接口使用记录	项	支持对网口、 USB、视频等接口线缆接入、拔出等操作记录；KVM模式下支持对鼠标、键盘的操作记录；
  26	运维工作报告	项	支持导出运维工作记录和运维工作报告，并将导出行为生成日志 支持运维工作记录的本地查看 支持运维工作报告的本地预览
  27	运维工作记录上传	项	支持运维工作记录上传至第三方审计日志管理平台；
  28	告警信息上传	项	支持将运维过程中产生的违规外联、高风险指令、攻击行为、恶意代码等告警信息通过被运维对象 Agent或网络安全监测装置上传至调度主站网络安全管理平台。
  29	硬件安全	项	采用非 x86硬件架构设计；禁止配备WiFi、蓝牙等无线通信硬件模块；具备开机硬件检测功能，在发现硬件被非法更换后禁止系统启动；
  30	操作系统	项	操作系统应不内置后门，不存在缓冲区溢出等安全漏洞；操作系统应关闭默认共享、高危端口等通用服务及不必要的系统服务。
  31	应用软件安全 数据安全	项	具备检测并抵御常见网络攻击及渗透攻击的能力；具备进程守护机制，保证程序本身的安全可靠运行。支持采用国密算法保证鉴别信息和重要业务数据等敏感信息存储的保密性；支持采用硬件加密的方式实现数据加密存储。
  32	账号安全	项	不应存在空口令、默认口令，首次登录应支持强制修改口令； 口令长度不得小于 8位，且为字母、数字或特殊字符的混合组合，用户名和口令不得相同； 口令应支持过期提醒，更换周期应小于 90天；具备连续登录失败账号锁定策略；
  33	恶意代码库	项	支持国网电力监控系统恶意代码监测系统入围厂家引擎适配及恶意代码库升级；
  34	处理器	项	采用非 x86硬件架构设计，国产芯片
  35	内存	项	≥4GB DDR4
  36	硬盘	项	≥500GB SSD
  37	网卡	项	≥2个千兆以太网电口
  38	电源	项	交流电源电压： 100-240V, 应允许偏差－20%～＋15%； 交流电源频率： 50/60Hz，应允许偏差±5%。
  39	接口	项	≥2个HDMI口； ≥2个DB9 RS232串行接口； ≥4个USB接口；
  40	摄像头	项	≥1200万像素
  41	指纹识别模块	项	1个
  42	扬声器	项	1个
  43	屏幕	项	≥10寸触摸显示屏
  44	尺寸	项	≤280*190*45mm
  45	重量	项	≤2.5kg
  46	性能要求	项	开机时长应低于 1分钟；运维操作延迟低于200ms；高风险指令、违规外联、攻击行为识别及阻断响应时间应低于1s；支持不低于5人同时操作。
  47	时间同步要求	项	支持通过 NTP网络服务方式进行统一对时。
  48	附件	项	提供电源适配器、 HDMI线、串口线、网线等附件
  49	销售许可证	项	产品必须提供中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》并提供证书的复印件
  50	软件著作权	项	产品具有中华人民共和国国家版权局颁发的《计算机软件著作权登记证书》
  51	专利证书	项	产品具有相关技术专利证书
  52	检测报告	项	产品具有第三方检测机构出具的检测报告

  附件二： USB 安全隔离保护系统技术参数

  1. 硬件 标准技术参数表

  序号	参数名称	技术参数
  1	CPU	≥六核 ARM 处理器
  2	内存	≥4GB DDR4
  3	硬盘	≥128GB
  4	接口	≥4个USB3.0接口，≥4个USB2.0接口，≥1个千兆网口、百兆网口、异步串口且均为RJ45接口
  5	电源	12V DC电源接口（配220VAC专12V DC 4A适配器）
  6	尺寸	≤178*127*66mm
  7	重量	≤1.3KG

  2.软件 技术参数表

  序号	参数名称	招标人要求
  1	安全登录	B/S架构，登录链接支持安全传输协议
  2	身份认证	执行安全功能前都要进行身份鉴别。若采用口令方式鉴别，应支持对口令强度进行检查，如口令长度、是否需包含数字、字母、特殊字符等，提高访问的安全性；
  3	超时注销	支持当已通过身份认证的用户空闲操作的时间超过规定值时，在该用户执行管理功能前，应重新进行身份认证；
  4	访问 IP限制	支持设置访问 IP白名单
  5	移动存储认证	支持禁止非信任移动存储设备自动识别；支持添加成功的存储设备进行杀毒操作；同时设计了系统自动杀毒功能。
  6	移动存储命名	支持管理员首次授权移动存储设备给用户时，对移动存储设备进行命名；
  7	共享存储	支持将文件存储在设备硬盘中，多台工业主机（或电脑）同时进行文件下载和上传文件进行共享
  8	访问方式	支持 WEB、SFTP方式进行交换数据
  9	权限管理	支持对不同用户组及用户对不同存储文件设定编辑、删除、下载、查看等权限；
  10	移动存储删除	用户使用完 U盘后，可以从设备列表中删除该存储介质，用户无法继续查看该移动存储设备中的文件信息。
  11	可信白名单	具备白名单库，支持对白名单进行增、删、查；
  12	病毒库	病毒库数量 ≥630万；
  13	病毒库更新	安全升级：将病毒样本通过安全硬件升级； 本地升级：将病毒样本通过管理界面升级；
  14	一机多杀	支持多台工业主机（或电脑）同时进行多个 USB移动存储（如U盘）病毒查杀
  15	威胁隔离	支持自动对染毒和可疑文件采取隔离操作；
  16	隔离还原	支持管理员还原被隔离文件；
  17	离线分析	支持管理员下载被隔离文件进行威胁分析；
  18	告警消息	支持对文件上传、下载、 U盘杀毒、隔离区变化、非法设备等事件进行告警提示，且支持进行告警行为筛选事件进行查看
  19	通知消息	对 USB存储介质使用及系统升级维护等事件进行筛选查看
  20	分组管理	支持分组管理用户功能，支持对分组进行权限划分。
  21	用户管理	可创建临时用户，临时用户可设置存活时间； 支持对用户状态进行启用停用。
  22	时间同步	支持手动设置和 NTP自动同步管理系统时间；
  23	一键还原	支持一键恢复出厂设置；
  24	系统升级	支持系统软件离线升级；
  25	系统日志导出	支持一键导出系统运行日志信息；
  26	设备诊断	支持一键诊断设备运行状态；
  27	事件审计	支持记对用户操作移动存储事件审计，记录插拔行为和具体文件操作；
  28	日志检索	支持按一定的条件进行选择、搜索、分类和排序的功能，所得结果应以用户友好的、便于理解的形式提供报告或打印；
  29	便携式部署	方便携带，即插即用（盒式独立硬件设备）；
  30	免驱动	不需要在主机上安装驱动程序；

  附件三： 物资附带服务要求

  投标人还需完成以下现场服务工作：

  1、USB 安全隔离保护系统提供探针

  2、USB 安全隔离保护系统接入场站非实时网络安全监测装置，并根据现场要求完成装置调试及告警消缺工作。

  3、完成 USB 安全隔离保护系统及便携式运维网关系统加固，满足电厂网络安全加固要求。（包含但不仅限于以下要求：）

  3.1设备安全计算环境应满足以下要求：

  3.1.1身份鉴别

  3.1.1.1应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

  3.1.1.2应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

  3.1.1.3当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

  3.1.1.4应采用口令、密码技术、生物技术等两种或两种及以上组合的鉴别技术对用户身份进行身份鉴别，其中一种鉴别技术至少应使用密码技术来实现。

  3.1.2访问控制

  3.2.2.1应对登录的用户分配账户和权限；

  3.2.2.2应重命名或删除默认账户，修改默认账户的默认口令；

  3.2.2.3应及时删除或停用多余的、过期的账户，避免共享账户的存在；

  3.2.2.4应授予管理用户所需的最小权限，实现管理用户的权限分离。

  3.2.2.5应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

  3.2.2.6访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

  3.2.2.7应对重要主体和客体设置安全标记，并控制主体对由安全标记的信息资源的访问

  完成场站相关人员对 USB 安全隔离保护系统及便携式运维网关的使用，保证场站人员对装置的使用。

  3.2 安全区域边界应满足以下要求：

  3.2.1边界防护：

  3.2.1.1应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行

  通信；

  3.2.1.2应能够对非授权设备私自联到内部网络的行为进行检查或限制；

  3.2.1.3应能够对内部人员非授权联到外部网络的行为进行检查或限制；

  3.2.1.4应限制无线网络的使用，保证无线网络通过受控的边界设备接入内

  部网络。

  3.2.2 访问控制：

  3.2.2.1应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

  3.2.2.2应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；

  3.2.2.3应对源地址、目的地址、源端口、目的端口、协议等进行检查，以允许/拒绝数据包进出；

  3.2.2.4应能够根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。

  3.2.2.5应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

  3.2.3 入侵防范

  3.2.3.1应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

  3.2.3.2应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

  3.2.3.3应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；

  3.2.3.4当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。

  3.2.4安全审计

  3.2.4.1应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

  3.2.4.2审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

  3.2.4.3应对审计记录进行保护、定期备份，避免受到未预期的删除、修改或覆盖等。

  3.2.4.4应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

  3.2.5 数据备份恢复

  3.2.5.1应提供重要数据的本地备份与恢复功能；

  3.2.5.2应提供异地实时数据备份功能， 利用通信网络将重要数据实时备份至备用场地。

  3.2.5.3应提供重要数据系统的热冗余，保证系统的高可用性。