纵向加密装置技术要求满足电网公司要求

硬件要求

最大并发加密隧道数：2048条；

1000MLAN环境下，加密隧道建立延迟＜1S；

明文数据包吞吐量：⅛1900Mbps； 密文数据包吞吐量：⅛1000Mbps； 数据包转发延迟：Vims； 满负荷丢包率；0；

投标时需提供官网参数截图或产品彩页证明满足硬件要求;

服务工期

合同签订后10个工作日完成。

工程量清单

单价（不含序号 名称 网络安全设备\\纵向单位 数量 税） 总价（含税） 备注 1 加密装置∖Netkeper-2000 辅材（网线、电源套 3 2 线等） 合计金额（不含税）： 合计金额（含税）： 套 3 元，大写： 元，大写： / / 实现主要功能

1、数据加密与认证保护

产品满足《电力系统专用纵向加密认证装置技术规范V3.0»的技术要求，支持对电力调度证书服务系统颁发基于PKI体系的RSA,SM2算法数字证书进行管理，包括导入根证书、设备证书、管理员证书以及导出设备证书与管理员证书等证书管理功能。证书格式符合X509证书规范，设备之间基于证书认证完成远程管理和会话密钥协商工作，通过根证书验证实现证书的交叉认证。

装置协商的会话密钥采用国电专用对称密码算法芯片预置的SSF09算法，装置通过该会话密钥对电力调度业务报文进行保护，在保证下行控制数据保护强度的同时，保证了上行状态数据的实时性。

同时装置可对不同类型的证书认证完成后的有效时间、会话密钥的存活时间均可通过远程管理中心、内网监控审计平台以及本地配置方式进行配置。

2、具备完整的网络设备功能

纵向加密认证装置可作为接入型网络设备不改变原有网络环境实现业务数据保护。装置具有如下的网络设备功能与特点：

D接入型设备，不改变原有网络环境； 2）适应各种基本的网络环境；

3）支持VLAN、网络地址、网桥、ARP绑定、ARP代理以及路由等多种网络配置方式； 4）可应用于30位掩码网络环境中。 3、支持流量控制功能

设备利用trafficcontrol模块实现QOS管理功能，通过输出端口建立队列的方式进行基于网段的流量控制。

4、具备网络诊断功能

设备具备基本的网络诊断功能，提供包括tcpdumpping、netstat>

traceroute等常用网络工具命令。

5、具备抗DDOS攻击功能

纵向加密装置能够一定程度防御常见的网络攻击，包括

ARPAttack.PingAttack>PingofDeathAttack^SmurfAttack>UnreachableHostAttack>LandAttack、TeardropAttack>TCPSynAttack、UDPFloodAttCk等。

设备可通过抗iptables+netfilter+limit对DDOS攻击报文进行频率控制，丢弃大于频率阈值的DDOS数据包；通过直接对内核源码修改对畸形报文进行识别丢弃。在丢弃数据包之前对数据包进行统计并记录日志。

6、具备完善的管理功能

装置支持设备管理、证书管理、安全配置、日志管理等功能，同时可对运行状态进行本地与远程的监控管理。

7、设备管理 1）系统备份

装置支持备份当前配置文件和设备私钥文件，此操作只能由系统管理员通过身份验证后进行，备份前需输入备份口令以及管理员USBkey的PIN口令。备份口令可对备份文件进行加密，保证配置的私密性，装置私钥将以密文形式保存在USBkey中。

a）纵向加密装置支持整机配置备份及恢复，实现配置回滚和装置灾难恢复； b）纵向加密装置支持支持隧道、策略保存导出，方便隧道策略规则存档及排查； C）纵向加密装置支持支持本地设备证书、远端设备证书、管理中心设备证书保存导

出；

d）纵向加密装置支持日志保存导出，便于进行日志审计。 2）系统恢复

装置支持通过系统备份文件，快速恢复之前的配置（包括：网络、证书、隧道、安全策略、IP报文过滤策略、防火墙、QOS策略、设备参数等）。

3）灾难恢复

在装置毁坏无法修复时，还可通过系统备份内容对参数配置文件以及公私钥文件进行恢复。

8、证书管理

纵向加密装置支持根证书、远端设备证书、管理中心管理员证书、管理中心设备证书的添加、删除、修改。

导入远程装置设备证书和管理中心设备证书时装置还将对根证书完整性证书链验证。

9、安全配置

管理员可通过命令行或管理界面进行安全配置，安全配置包括隧道配置、安全策略配置以及IP报文过滤配置。

其中隧道配置支持添加隧道、删除隧道、修改隧道、重置隧道、探测隧道、获取隧道列表以及导出隧道配置等功能。

安全策略配置支持添加安全策略、删除安全策略、修改安全策略、获取安全策略列表以及导出安全策略配置等功能。

IP报文过滤配置支持对规则号、规则所属隧道号、规则类型、规则名、源起始地址、

源终止地址、目的起始地址、目的终止地址以及源、目的起始与终止端口等属性进行配置。

10、管理角色三权分立

装置支持系统管理员、配置管理员、审计管理员管理。由系统管理员、安全管理员和审计管理员分别担任系统的常规管理、与安全有关的管理以及审计管理三个角色，三个角色间相互制约，防止权限过于集中。同时各管理员需持有表征用户身份信息的硬件装置

(USBKEY),与登录口令相结合方可实现双因子认证登录系统。

11、日志审计

装置支持对管理员本地管理所执行的操作行为，记录详细的操作日志，便于安全事件审计和追踪。同时日志对不符合安全策略的非法访问和DDOS攻击数据包进行统计，并及

时将日志信息上报至内网监控平台。日志格式满足《电力系统专用纵向加密认证装置技术规范V3.0》的要求，并可生成日志报表，即可对日志数目与内容进行审计，报表形式为

excel格式。

12、运行状态监控

纵向加密装置CPU、内存、运行状态每分钟自检一次，并记录口志。日志以syslog形式发送至内网监控平台审阅监控。

纵向加密装置同时提供装置运行状态查询功能，系统管理员可实时查看装置运行状态。

13、远程监控与管理

产品满足《电力系统专用纵向加密认证装置技术规范V3.0»的技术要求，支持管理中心远程管理、支持内网监控平台远程监控。

14、投标方负责纵向加密设备在省调注册和安装调试等服务，以调度验收通过为进行

质保期的时间节点。质保期三年，质保期内设备出现任何问题，投标方免费负责更换，直至问题解决。