詢價單名稱羊場灣二號井網絡安全防護系統

采 購 人：點擊登錄查看

擬邀請供應商：中煤科工集團南京設計研究院有限公司

供應商的資格要求：

1、響應人注冊于中華人民共和國境內，具有獨立承擔民事責任能力的法人或其他組織。

2、具有良好的商業信譽和健全的財務會計制度。

3、具有履行合同所必需的設備和專業技術能力。

4、最近三年內，在經營活動中沒有重大違法、違紀、欺騙、欺詐的行為或不良記錄行為。

5、參與談判供應商為設備生產廠家或具備原廠銷售許可及授權證明，分項系統具體要求詳見技術協議。

一、總則

本次系統工程范圍：

三部架空乘人器的現場集中控制功能完善，為了實現根據人員乘坐情況自動啟停架空乘人器，以及實現調度中心的遠控功能，進行如下改造：

1、在需要上下人的位置增加礦用紅外傳感器，實時感應架空乘人器人員上下情況。

2、在就地控制臺附近增加1臺礦用串口服務器，通過串口服務器讀取原三菱PLC控制器內部的運行參數，并通過修改PLC程序。

3、增加架空乘人裝置至附近工業環網交換機的8芯光纜。

通過本次項目改造，實現輔助進風巷架空乘人器、輔助行人斜巷架空乘人器和六煤行人下山架空乘人器三部架空乘人器實現紅外感應自動啟停，遠程集中控制和視頻監控（接入礦視頻系統）。實時監視架空乘人裝置運行狀態、實時顯示架空乘人裝置各電氣保護的保護狀態，實現在線修改架空乘人裝置電氣參數。在機頭、機尾及中中間制定上下人點安裝攝像頭，并接入到礦視頻監控系統。

二、系統主要實現功能

羊場灣二號井設置網絡安全軟硬件設備，具備抵御病毒、木馬和惡意代碼對網絡與應用系統的破壞和攻擊，阻止內部人員的非法訪問，提高關鍵業務數據的可用性、機密性、完整性。

同時，根據《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》，在生產管理層與生產控制層之間設立DMZ工業安全隔離區。

按照“一個中心、三重防護”的技術要求，從安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等層面，在各層之間分別設立工控網安全隔離網閘、工業防火墻等設備，實現工業控制系統網絡縱向的層間邊界安全防護，通過在各業務系統服務器、上位機上部署主機加固軟件，實現主機計算環境的安全，同時建設安全管理中心，通過部署堡壘機、入侵檢測、網絡審計等監測分析類設備，建立從主機到網絡再到應用的縱深防御體系。

三、系統主要設備參數

1、工控互聯防火墻

網絡串聯，部署在生產執行層和DMZ區邊界

冗余雙電源；萬兆光口≥4，千兆電口≥6，千兆光口≥6，可擴展，USB接口≥2。光電口全BYPASS

標準機架式設備，冗余雙電源；支持硬件BYPASS，最大支持 組BYPASS；支持靜態和動態多播路由，動態多播路由支持PIM-SM（稀疏模式） ；支持全面的NAT轉換配置，包括一對一，一對多，多對一的源、目的地址轉換，并至少支持FULL_CONE模式和SYMMETRIC模式 ；支持80種工業協議識別；支持間諜軟件防護功能，同時將間諜軟件特征庫分類，至少包括木馬后門、病毒蠕蟲、僵尸網絡等三種分類;支持在防火墻間諜軟件簽名庫直接查閱攻擊的名稱、嚴重性、描述等信息；支持設備的集中統一管理，有專用的統一管理平臺。

2、安全隔離裝置

性能：5Gbps；并發連接數70000，系統吞吐量6Gbps。采用“2+1”模塊結構設計，即包括外網主機模塊、內網主機模塊和隔離交換模塊，內外端機為網絡協議終點，徹底阻斷各種網絡協議；支持U-KEY+密碼、數字證書+密碼等多種雙因子認證方式；無客戶端方式同步由網閘主動發起并完成，不需要第三方軟件支持（無需在數據庫安全任何第三方軟件），支持windows、linux等多種數據庫操作系統類型；支持雙機熱備及超過雙機的多機熱備功能，內外網主機分別具備獨立的HA口；支持云查殺模式，可聯動云端文件查殺防止惡意文件通過網閘進入內網。

3、日志審計

日志審計系統至少保留6個月以上的日志數據，產品為2U機架式結構，千兆電口≥6個，千兆光口≥4個，≥4T硬盤，冗余電源，日志源授權許可≥50,綜合采集處理均值≥3000EPS；采用B/S模式，無需安裝客戶端，使用WEB瀏覽器訪問管理中心，瀏覽器端無需安裝Java運行環境。支持chrome瀏覽；能夠對企業和組織的IT資源中構成業務信息系統的各種網絡設備、安全設備、安全系統、主機操作系統、虛擬化、云計算、數據庫、中間件以及各種應用系統的日志、事件、告警等安全信息進行全面的審計。

4、工控安全主機衛士

工業主機安全防護系統網絡版：工業主機白名單防護、外設管控、漏洞防御、網絡防護、資產管理、集中管理、告警與日志審計，支持微軟32位/64位 Windows2000、Windows XP SP2及以上、Redhat、Centos、Ubuntu和Fedora等系統。

支持離線安裝、靜默安裝，遠程卸載；支持病毒掃描功能，全盤掃描和自定義掃描；支持一鍵處理病毒文件及查看詳情；支持離線升級工具進行病毒庫升級；支持告警提示功能及針對同一個可執行文件多次告警次數統計和實時展現；告警、防護、關閉三種工作模式，支持一鍵切換；支持一鍵處理病毒文件及查看詳情；支持恢復區一鍵恢復和刪除；支持一鍵追加白名單、一鍵追加外設權限；支持白名單報警、外設管控報警、網絡防護報警、主機加固報警。

5、工控安全監測與審計系統

旁路鏡像，部署在生產控制層核心交換機;根據骨干、匯聚、接入情況選配相應性能指標《吞吐量、包轉發率、并發量)的流量監測審計。

配置RJ45監測審計業務端口≥6個10/100/1000M速率,千兆光口監測審計業務端口≥8個；最大吞吐量≥1Gbps，最大并發連接數（TCP）≥100萬，每秒新建TCP連接數≥10000，數據包平均時延<200us；支持旁路鏡像的部署方式；支持非掃描方式的資產漏洞無損識別，支持CVE、CNVD、補天、ICS-CERT幾大漏洞庫，支持無損識別資產服務端口；可以手動添加IP-MAC地址對，進行手動綁定，同一個MAC地址，可以同時對應個IP地址；支持通過選擇接口和pcap文件的方式對數據包進行回放；支持基于日志級別發送，級別分為8種，包括緊急、警報、嚴重、錯誤、告警、通知、信息、調試。

6、隔離網閘

網絡串聯，無線接入交換機至生產控制層核心交換機:當無線系統具有雙向數據交互業務時，采用雙向隔離網閘，應具有工業深度解功能。硬件配置：2U機箱，單電源；支持液晶面板

內網接口：6個10/100/1000Base-T端口，4個SFP插槽,2個SFP+插槽，1個Console口，2個USB口；支持1個擴展槽位;

外網接口：6個10/100/1000Base-T端口，4個SFP插槽,2個SFP+插槽，1個Console口，2個USB口；支持1個擴展槽位;功能模塊：數據庫同步、文件交換、數據庫訪問、視頻模塊、郵件訪問、安全瀏覽、安全FTP、定制模塊、工控訪問等；

當無線系統具有雙向數據交互業務時，采用雙向隔離網閘，應具有工業深度解析功能；采用基于linux內核的多核并行安全操作系統SecOS2；支持文件傳輸方向控制：單向傳輸和雙向同步；支持Oracle、SQL Server等多種主流數據庫同步；同步由網閘主動發起并完成，不需要第三方軟件支持（無需在數據庫安全任何第三方軟件），支持windows、linux、unix等多種數據庫操作系統類型；提供告警，支持聲音告警、郵件告警等告警方式。

7、入侵監測系統

旁路銳像部署，DMZ區****

8、VPN設備

6*10/100/1000電口，2個SFP接口，標配無硬盤，可選配；支持客戶端安全性檢查，可以檢測客戶端進程、文件、注冊表、服務、模塊、端口、mac地址、系統補丁、操作系統等信息，并且能夠檢查用戶是否安裝殺毒軟件和防火墻，判斷殺毒軟件病毒庫是否過期，凡是不符合檢查規則的，均不允許用戶登錄訪問。 支持與終端安全管理軟件聯動，可以檢查終端安全管理軟件進程，并根據是否安裝來判斷用戶接入情況，并能自動彈出IE鏈接提示客戶下載安裝；支持主流加密算法；支持帶寬管理，能夠針對IP、IP組設置帶寬上限，針對五元組設置帶寬管理策略。

9、堡壘機

標準1U機架式；6個千兆電口；支持2個接口擴展槽位；內置4TB硬盤；單電源；支持液晶屏；最大支持150路圖形會話或400路字符會話并發；最大可選300授權許可；支持配置登錄頁面展示的默認登錄方式，其他登錄方式用戶可點擊“更多登錄方式”按鈕進入；支持按模塊和功能自定義角色權限，便于管理，用于復雜的業務場景需求；支持按模塊和功能自定義角色權限，便于管理，用于復雜的業務場景需求；支持運維過程中邀請其他用戶參與、協助操作；不限操作系統類型，無需安裝任何客戶端插件，使用瀏覽器通過H5方式即可直接運維SSH、RDP、Telnet、VNC資源。

10、集中審計設備

千兆電口≥6個，可擴展；USB≥2、console≥1個，帶液晶屏、硬盤≥2T；支持對網絡中的各種設備與終端通過SNMP方式進行統一監控。包括邊界安全設備、網絡監測審計設備、終端設備、網絡設備、工控設備等，監控內容除在線狀態、CPU利用率、內存利用率外，還支持用戶自定義監控參數。支持對網絡中的安全設備進行集中統一管理。可實現網絡中的邊界安全設備、終端安全軟件、網絡監測審計設備等集中管理；支持ISD系統升級、特征庫升級和設備及功能授權；支持對采集的數據多維度統計分析，形成報表。

11、統一安全監測平臺

旁路部署：支持通過流量鏡像的方式旁路部署在虛擬化網絡中，實現網絡流量數據采集、威脅檢測和日志外發，支持通過重置會話的方式阻斷TCP威脅會話連接，支持通過流量被動識別資產。

流量識別與解析：支持精準識別通訊類、語音類、視頻類、更新類、下載類、郵件類、金融類、理財類等多類別的應用識別，應用識別庫3000+。

支持空載荷過濾，支持對采集的流量的上下行載荷長度設置；支持離線采集，可通過手動PCAP導入或FTP等協議批量上傳導入等方式對離線流量進行采集；具有自定義解析流量能力，支持基于正則表達式、TLV格式、固定長度等提取模式對應用流量解析；通信模式支持但不限于KAFKA、ZMQ、SYSLOG等協議，需支持多路外發，并支持外發多地址的負載均衡處理；支持失陷主機、惡意文件檢測、漏洞攻擊檢測的數量統計；接口支持IPv4、IPv6配置，支持IPv4、IPv6流量接入，支持對IPv4路由監控和對IPv6路由監控；支持解密后的明文流量鏡像至下游設備；本地集成威脅情報庫，支持實現基于威脅情報的失陷主機檢測，情報不少于200萬。

四、其他要求。

詳見技術協議書

五、商務要求

1、付款要求：參與談判供應商應響應或優于甲方提出的與最終業主方相同的付款方式及比例進度，即“背靠背”付款模式

2、結算方式：可接受不超過12個月的銀行承兌（中標單位需具備承兌找零能力，且找零承兌為非黑名單銀行承兌）。

3、交貨要求：需響應甲方最終要求；交貨地點：需響應甲方最終要求。

4、質保期要求：系統驗收合格之日起12個月或貨到現場簽收確認（含視同簽收確認）之日起18個月，以先到為準。

商務聯系人：點擊登錄查看 電話：****