标准规范下载简介
Q/GDW 46 10042-2020 抽水蓄能电站网络建设技术导则.pdfQ/GDW4610042—2020
(管理信息大区/互联网大区部分)
穿越徐淮高速管道施工方案国网新源控股有限公司 发布
Q/GDW46100422020
范围. 规范性引用文件 3术语和定义... 4符号、代号和缩略语. 5总则... 6项目前期网络建设要求 7基建期网络建设要求. 8生产期网络建设要求. 9网络安全要求, 编制说明.
范围. 2规范性引用文件. 3术语和定义... 4符号、代号和缩略语. 5总则. 6项目前期网络建设要求 7基建期网络建设要求. 8生产期网络建设要求. 1 9网络安全要求. 编制说明.
Q/GDW 46 100422020
为适应国家电网公司泛在电力物联网建设要求,提高抽水蓄能电 和统一性,特制定本标准。 本标准由国网新源控股有限公司科技信息部提出并负责解释。 本标准由国网新源控股有限公司科技信息部归口。 本标准起草单位:国网新源控股有限公司、河北丰宁抽水蓄能有限公司、北京易用视点科技有限公 司、北京希嘉万维科技有限公司。 本标准主要起草人:张正平、尚栋、曹旭、阎峻、田锋、李晋先、李耕、陈磊、温佩佩、梁廷婷、 任伟、李海涛、陈尊杰、秦晓宇、王凯、常龙。 本标准首次发布。 本标准在执行过程中的意见或建议反馈至国网新源控股有限公司科技信息部。
Q/GDW 46100422020
抽水蓄能电站网络建设导则
本标准规定了国网新源控股有限公司各电站信息网络的建设内容、网络架构、网络性能与网络安全 管理要求。 本标准适用于抽水蓄能电站和常规水电站管理信息大区、互联网大区网络建设项目的规划设计、工 程施工、安装调试、运行管理
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件,
生产控制大区productioncontrolzone 由控制区(安全区I)和非控制区(安全区I)组成。控制区指具有实时监控功能,纵向联结使用 电力调度数据网的实时子网或专用通道的各业务系统所构成的安全区域;非控制区指在生产控制范围内 由在线运行但不直接参与控制,纵向联结使用电力调度数据网的非实时子网的各业务系统所构成的安全 区域。
基站base station
Q/GDW 46100422020
抽水蓄能电站项目前期、基建期、生产期信息网络应作为一个整体进行统筹规划与建设,遵循经济 性原则,采用统一的技术路线、技术体制与接口标准,实现网络接入与数据转发服务的规范一致性。结 合国网新源控股有限公司业务管控对网络基础设施需求,保障网络信息系统能够为电站业务系统提供基 出支撑,充分挖掘现有通信技术和资源潜力,各层级间协调发展、资源共享,防止网络重复建设和资源 浪费。
6项目前期网络建设要求
筹建单位与未建设永久机房的基建单位
6.2网络建设工作内容要求
a)完成抽水蓄能电站业主临时营地管理信息大区、互联网大区网络建
Q/GDW46100422020 b)协调相关设计、建设单位现场勘查,完成抽水蓄能电站基建期管理信息大区、互联网大区网络 建设方案的设计、评审及预算造价等工作。
6.3管理信息大区有线网络建设技术要
图1项目前期管理信息大区有线网络拓扑图
6. 3. 2带宽要求
Q/GDW46100422020
a)核心层设备互联链路应不低于千兆带宽,核心层设备与接入层设备互联链路应不低于千兆带 宽,接入层设备与终端PC采用千兆带宽接入。 b)出口带宽应不低于50兆。
6.3.3网络设备要求
a)出口路由器要求转发性能不低于50MppS,整机交换容量不低于120GbpS,支持IPV6协议,配 置元余电源。 核心交换机要求交换容量不小于300GbpS,包转发率不小于150MppS,支持IPV6协议,支持静 态路由、OSPF路由协议,配置余电源。 C 接入交换机要求交换容量不小于100GbpS,包转发率不小于64MppS,支持IPV6协议,配置穴余 电源。
6.3.4安全设备要求
a)出口防火墙要求吞吐量不小于2GbpS,新建会话数不小于3万,并发数量不小于300万,配置 几余电源,支持基于接口、区域、地址、时间、服务等多维度的安全策略,支持IPV6协议, 支持源地址转换、目的地址转换、双向地址转换等多种NAT方式。 IPS入侵防御系统/IDS入侵检测系统要求吞吐量不小于2GbpS,新建连接不小于3万,会话并 发数不低于200万并发,具有完善的攻击特征库,包含多类多种的入侵检测特征。能抵御各种 网络层、应用层的攻击、蠕虫、木马及后门程序。 网络准入控制系统要求具有身份数据源管理、IP/MAC绑定、终端类型接入认证、接入控制、 访客管理、一键式安全修复、安全准入策略检查、离线策略、策略权限管理、办公终端异常流 量阻断、策略分级管理及级联策略推送、防病毒软件强制管理、监控软件黑白名单、监控进程、 检查账号安全、检查元余账号、监控网络连接、监控非法外联、监控多网卡、监控网络应用程 序、监控进程、在线用户管理、WEB推送、新设备发现、新设备接入告警、卸载代理告警、泛 终端接入控制等功能。 d)防病毒软件要求具有病毒查杀、实时监控、木马查杀、文件监控、U盘监控实时防护功能。 e)日志审计设备日志处理量不低于3000EPS(约合每天120GB),至少支持50个审计对;支持 SNMPTrap、Syslog、ODBCVJDBC、文件\文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方 式完成日志收集功能
6.4互联网大区有线网络建设技术要求
Q/GDW 46 100422020
图2项目前期互联网大区有线网络拓扑图
6. 4. 2 带宽要求
核心层设备互联链路不低于千兆带宽,核心层设备与接入层设备互联链路不低于干兆带宽,接 入层设备与终端PC采用千兆接入。 b)出口带宽应不低于20兆
6.4.3网络设备要求
a 核心交换机要求交换容量不小于300GbpS;包转发率不小于150MppS;支持静态路由、0SPF路 由协议,支持IPV6协议,配置穴余电源。 D 接入交换机要求交换容量不小于100GbpS;包转发率不小于64Mpps;支持IPV6协议,配置穴余 电源。
6.4.4安全设备要求
出口防火墙要求吞吐量不小于2GbpS,新建会话数不小于3万,并发数量不小于300万,配 元余电源,支持基于接口、区域、地址、时间、服务等多维度的安全策略,支持IPV6协议 支持源地址转换、目的地址转换、双向地址转换等多种NAT方式。
Q/GDW4610042—2020 IPS入侵防御系统/IDS入侵检测系统要求吞吐量不小于2GbpS,新建连接数不小于3万,会话 并发数不低于200万,具有完善的攻击特征库,包含多类多种的入侵检测特征。能抵御各种网 络层、应用层的攻击、蠕虫、木马及后门程序。 网络准入控制系统要求具有身份数据源管理、IP/MAC绑定、终端类型接入认证、接入控制、 访客管理、一键式安全修复、安全准入策略检查、离线策略、策略权限管理、办公终端异常流 量阻断、策略分级管理及级联策略推送、防病毒软件强制管理、监控软件黑白名单、监控进程、 检查账号安全、检查允余账号、监控网络连接、监控非法外联、监控多网卡、监控网络应用程 序、监控进程、在线用户管理、WEB推送、新设备发现、新设备接入告警、卸载代理告警、泛 终端接入控制等功能。 d) 防病毒软件:具有病毒查杀、实时监控、木马查杀、文件监控、U盘监控实时防护功能。 上网行为管理设备要求吞吐量不小于250MbpS;并发会话数不小于30。支持URL库和2500 多种应用的应用特征识别库,支持P2P智能流控技术,并通过控制上行流量达到抑制下行流量 的目的,保障核心业务运行
IPS入侵防御系统/IDS入侵检测系统要求吞吐量不小于2GbpS,新建连接数不小于3万,会话 并发数不低于200方,具有完善的攻击特征库,包含多类多种的入侵检测特征。能抵御各种网 络层、应用层的攻击、蠕虫、木马及后门程序。 网络准入控制系统要求具有身份数据源管理、IP/MAC绑定、终端类型接入认证、接入控制、 访客管理、一键式安全修复、安全准入策略检查、离线策略、策略权限管理、办公终端异常流 量阻断、策略分级管理及级联策略推送、防病毒软件强制管理、监控软件黑白名单、监控进程 检查账号安全、检查允余账号、监控网络连接、监控非法外联、监控多网卡、监控网络应用程 序、监控进程、在线用户管理、WEB推送、新设备发现、新设备接入告警、卸载代理告警、泛 终端接入控制等功能。 d 防病毒软件:具有病毒查杀、实时监控、木马查杀、文件监控、U盘监控实时防护功能。 e 上网行为管理设备要求吞吐量不小于250MbpS;并发会话数不小于30万。支持URL库和2500 多种应用的应用特征识别库,支持P2P智能流控技术,并通过控制上行流量达到抑制下行流量 的目的,保障核心业务运行。
已完成永久机房建设的基建单位
已完成永久机房建设的基建单位
7.2网络建设工作内容要求
a)完成抽水蓄能电站基建期网络建设。 应分期完成电站主干光缆,支路光缆敷设。覆盖包括进厂交通洞、通风兼安全洞、泄洪洞、引 水洞、尾水隧洞、施工支洞、业主临时营地。 在上/下水库、地下洞室群、地面区域根据业务系统对网络接入服务要求随施工进度完成管理 信息大区有线网络、无线专网。 d 应按照生产期网络建设要求完成抽水蓄能电站网络建设方案的设计、评审及预算造价等工作。
7.3管理信息大区有线网络建设技术要求
Q/GDW 46 100422020
图3基建期管理信息大区有线网络拓扑图
3一一管理信息大区出口就近选取所在省公司或地市公司为接入点,部署专用CE或MCE设备,接入所在省、市公司的 数据通信网节点PE设备,IP地址使用省、市公司所分配的IP地址,
a)核心层设备互联链路应不低于千兆带宽,核心层设备与接入层设备互联链路应不低于千兆带 宽,接入层设备与终端PC采用千兆带宽接入。 b)出口带宽应不低于50兆。
7.3.3网络设备要求
a)出口路由器要求转发性能不低于6000MppS,整机交换容量不低于120GbpS,支持IPV6协议, 配置元余电源。 D 核心交换机要求交换容量不小于16TbpS,包转发率不小于1200MppS,支持IPV6协议,支持静 态路由、OSPF路由协议,配置余电源。 C 接入交换机要求交换容量不小于300GbpS,包转发率不小于150MppS,支持IPV6协议,配置元 余电源。
7.3.4安全设备要求
出口防火墙要求吞吐量不小于5GbpS,新建会话数不小于15万,并发数量不小于300万,配 置亢余电源,支持基于接口、区域、地址、时间、服务等多维度的安全策略,支持IPV6协议, 支持源地址转换、目的地址转换、双向地址转换等多种NAT方式。 IPS入侵防御系统/IDS入侵检测系统要求吞吐量不小于5GbpS,新建连接数不小于15万,会 话并发数不低于300万,具有完善的攻击特征库,包含多类多种的入侵检测特征。能抵御各种 网络层、应用层的攻击、蠕虫、木马及后门程序。 网络准入控制系统要求具有身份数据源管理、IP/MAC绑定、终端类型接入认证、接入控制、 访客管理、一键式安全修复、安全准入策略检查、离线策略、策略权限管理、办公终端异常流 量阻断、策略分级管理及级联策略推送、防病毒软件强制管理、监控软件黑白名单、监控进程、 检查账号安全、检查穴余账号、监控网络连接、监控非法外联、监控多网卡、监控网络应用程 序、监控进程、在线用户管理、WEB推送、新设备发现、新设备接入告警、卸载代理告警、泛 终端接入控制等功能。 d 防病毒软件要求具有病毒查杀、实时监控、木马查杀、文件监控、U盘监控实时防护功能。 e 日志审计设备日志处理量不低于6000EPS(约合每天120GB),至少支持50个审计对;支持 SNMPTrap、Syslog、ODBCVJDBC、文件\文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方 完成日志收集功能
7.4互联网大区有线网络建设技术要求
Q/GDW 46 100422020
图4基建期互联网大区网络拓扑图
7. 4. 2 带宽要求
a)核心层设备互联链路不低于千兆带宽佛山市某工业区树脂厂区建筑工程施工组织设计,核心层设备与接入层设备互联链路不低于千兆带宽,接 入层设备与终端PC采用千兆接入。 b)出口带宽应不低于50兆。
7.4.3网络设备要求
核心交换机要求交换容量不小于10TbpS,包转发率不小于600MppS,支持IPV6协议,支持静 路由、OSPF路由协议,配置穴余电源。
Q/GDW46100422020
b)接入交换机要求交换容量不小于300Gbps,包转发率不小于150MppS,支持IPV6协议,配置元 余电源。
7.4.4安全设备要求
a)出口防火墙要求吞吐量不小于2GbpS,新建会话数不小于3万,并发数量不小于300万,配置 几余电源,支持基于接口、区域、地址、时间、服务等多维度的安全策略,支持IPV6协议, 支持源地址转换、目的地址转换、双向地址转换等多种NAT方式。 IPS入侵防御系统/IDS入侵检测系统要求吞吐量不小于2GbpS,新建连接数不小于3万,会话 并发数不低于200万,具有完善的攻击特征库,包含多类多种的入侵检测特征。能抵御各种网 络层、应用层的攻击、端虫、木马及后门程序。 网络准入控制系统要求具有身份数据源管理、IP/MAC绑定、终端类型接入认证、接入控制、 访客管理、一键式安全修复、安全准入策略检查、离线策略、策略权限管理、办公终端异常流 量阻断、策略分级管理及级联策略推送、防病毒软件强制管理、监控软件黑白名单、监控进程、 检查账号安全、检查余账号、监控网络连接、监控非法外联、监控多网卡、监控网络应用程 序、监控进程、在线用户管理、WEB推送、新设备发现、新设备接入告警、卸载代理告警、泛 终端接入控制等功能。 d 防病毒软件:具有病毒查杀、实时监控、木马查杀、文件监控、U盘监控实时防护功能。 上网行为管理设备要求吞吐量不小于500MbpS;并发会话数不小于80方。支持URL库和2500 多种应用的应用特征识别库,支持P2P智能流控技术,并通过控制上行流量达到抑制下行流量 的的,保障核心业务运行。
7.5无线专网建设技术要求
各抽水蓄能电站可根据电站实际情况及无线网络应用需求综合考虑是否建设无线专网连续性箱梁预应力张拉安全专项施工方案,如需建设可 参考如下两种方案: