6. 4 绝缘性能要求

绝缘电阻满足如下要求： a）在正常试验大气条件下绝缘电阻的要求见表2： b）温度为十40℃土2℃，相对湿度为（93±3）%

表3湿热条件下绝缘电阻和要求

变电站标准规范范本6.4.2介质强度的要求

介质强度的要求见表4。

在正常试验大气条件下装置的电源输入回路、交流信号输入回路、信号输出触点等各回路对地、以 及回路之间，应能承受1.2/50us的标准雷电波的短时冲击电压试验，当额定绝缘电压大于60V时，开 路试验电压为5kV；当额定绝缘电压不大于60V时，开路试验电压为1kV。试验后装置应无绝缘损坏和 器件损坏。

电磁兼容应满足GB/T17626标准，具体要求见表5。

D/GDW119142018

表5电磁兼容试验要求

机械振动性能应满足如下要求 正弦稳态振动、冲击的参数等级见GB/T2423.10中规定； b）装置防护性能：符合GB/T4208规定的IP20级要求

面板布局应满足如下要求： I型网络安全监测装置包括运行监视区域、通信接口区域、厂家标识区域、装置型号区域及 牌标识区域等，I型网络安全监测装置面板布局参考图A.1： Ⅱ型网络安全监测装置包据运行监视区域、网口监视区域、厂家标识区域、装置型号区域及 牌标识区域等，II型网络安全监测装置面板布局参考图A.3。

应具备5个LED运行指示灯，指示灯定义见表6

Q/GDW 119142018

Q/GDW 119142018

数据采集应满足如下要求： a）支持对服务器、工作站、网络设备、安全防护设备、数据库等监测对象进行数据采集； b） 支持采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、异常网络访 问等事件信息； 支持采集数据库的操作信息、运行状态等事件信息： 支持采集网络设备的用户登录、操作信息、配置变更信息、流量信息、网口状态信息等事件信 息； e） 支持采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息： 支持触发性事件信息的采集和周期性上送的状态类信息的采集； g 支持对资产参数配置以外的监测对象进行数据采集； 支持通过GB/T31992协议等其他方式兼容无法按照本规范采集方式进行改造的监测对象； I型网络安全监测装置支持的具体采集信息见B.1，II型网络安全监测装置支持的具体采集信 息见附录B.2，采集信息格式详见附录F。

数据处理应满足如下要求： a）支持以分钟级统计周期，对重复出现的事件进行归并处理； b 支持根据参数配置，对采集到的CPU利用率、内存使用率、网口流量、用户登录失败、磁盘空 间使用率等信息进行分析处理，根据处理结果决定是否形成新的上报事件。具体参数见表7：

表7数据处理涉及的参数

）支持对网络设备 备日志信息进行分析处理 事件信息（如用户添加事件） d I型网络安全监测装置支持对网络设备、安全防护设备的采集信息做格式化处理，形成符合网 络安全管理平台消息总线的数据格式：

能形成外设接入事件、用户登录事件、危险操作事件、状态异常事件、异常网络访问事件等 传事件，详见附录C。

网络安全监测装直以服务代理的形式提供服务供网络安全管理平合调用，服务代理应满定如下要 支持远程调阅采集信息、上传事件等数据信息，支持根据时间段、设备类型、事件等级、事件 记录个数等条件综合过滤远程调阅数据信息； 支持对被监测系统内的资产进行远程管理，包括资产信息的添加、删除、修改、查看等： 支持参数配置的远程管理，包括系统参数、通信参数、事件处理参数、资产参数及证书参数： 支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用： 支持通过代理方式实现对服务器、工作站等设备主动断网命令的调用： 支持通过代理方式实现对服务器、工作站等监测对象的参数管理，包括网络连接白名单、服务 端口白名单、关键文件/目录清单、存在光驱设备检测周期、非法端口检测周期、危险操作合 令清单等参数的查看与设置： 支持通过网络安全管理平台对网络安全监测装置进行远程程序升级； 支持通过代理方式实现对服务器、工作站等设备漏洞扫描功能的调用； 1 支持通过网络安全管理平台对网络安全监测装置进行版本管理： 支持通过代理方式实现对服务器、工作站等设备版本管理功能的调用； K 支持通过代理方式实现对服务器、工作站等设备中漏洞扫描等模块特征数据的更新； 支持对网络安全管理平台访问网络安全监测装置的权限进行划分，包括查询权限、监测装置自 身参数设置权限、监测对象参数设置与命令控制权限等： 通过服务代理远程进行的修改、更新、升级等操作自动生效，无须重启装置； 支持通过网络安全管 全监测装置的配置进行备份和恢复。

8.4.1与监测对象通信

8.4.1.1与服务器、工作站设备通信

网络安全监测装置与服务器、工作站设备通信应满足以下要求： I型网络安全监测装置支持通过消息总线功能接收服务器、工作站等设备事件信息： II型网络安全监测装置支持采用基于TCP的私有协议与服务器、工作站等设备进行通信，实现 对服务器、工作站等设备的信息采集与命令控制。报文格式包括报文头、报文体和报文尾三部 分，具体报文格式见表8，报文类型定义见表9：

Q/GDW119142018

Q/GDW 119142018

8.4.1.2与数据库通信

益测装置与数据库通信应支持通过消息总线采集数

8.4.1.3与网络设备通信

网络安全监测装置与网络设备通信应满足以下要求： a 支持通过SNMP协议主动从交换机获取所需事件信息 支持通过SNMPTRAP协议被动接收交换机事件信息： C) 采用SNMP、SNMPTRAPV2c及以上版本与交换机进行通信； d）支持通过日志协议采集交换机事件信息

8.4.1.4与安全防护设备通信

8.4.2与管理平台通信

事件上传通信应满足如下要求： 采用DL/T634.5104通信协议，网络安全管理平台作为服务端，网络安全监测装置作为客户端 报文格式定义见表10，报文类型定义见表11，具体通信格式见附录D；事件上传通信的TCF 连接建立后，首先进行基于调度数字证书的双向身份认证，认证请求由网络安全监测装置发起 只有认证通过后才能进行事件上传：

表10事件上传通信报文格式定义

表11事件上传通信报文类型定义

b）与同一个网络安全管理平台IP只建立一条TCP连接用于事件上传通信 C） I型网络安全监测装置还支持通过消息总线与网络安全管理平台进行事件上传通信。 d 支持同时向不少于4个网络安全管理平台上传事件信息： 支持主备链路功能，主备链路能自动切换，主备链路切换时，保证上送主站的数据不漏发，主 站已确认的数据不重发。

8.4.2.2服务代理通信

服务代理通信应满足如下要求： a 采用基于TCP的私有通信协议，网络安全监测装置作为服务端，网络安全管理平台作为客户端 报文格式包括报文头和报文体，下行报文格式见表12，上行报文格式见表13，报文类型见表 14，具体通信格式见附录E： b）支持同时向不少于4个网络安全管理平台提供服务代理功能； c）对未配置的网络安全管理平台IP地址发来的TCP连接请求拒绝响应

表12服务代理下行报文格式定义

表13服务代理上行报文格式定义

表14服务代理报文类型定义

Q/GDW 119142018

应提供本地图形化界面对网络安全监测装置进行管理，满足如下要求： a 具备自诊断功能，至少包括进程异常、通信异常、硬件异常、CPU占用率过高、存储空间剩余 容量过低、内存占用率过高等，检测到异常时提示告警，诊断结果记录日志； 具备用户管理功能，基于三权分立原则划分管理员、操作员、审计员等不同角色，并为不同角 色分配不同权限；满足不同角色的权限相互制约要求，不存在拥有所有权限的超级管理员角色； 具备资产管理功能，包括资产信息的添加、删除、修改、查看等，资产信息包括：设备名称、 设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等； 支持采集信息、上传信息的本地查看，支持根据时间段、设备类型、事件等级、事件条数等综 合过滤条件进行信息查看： 支持对监视对象数量、在离线状态的统计展示，支持从设备类型、事件等级等维度对采集信息 上传信息进行统计展示； 具备日志审计功能，日志类型至少包括登录日志、操作日志、维护日志等； g 日志内容包括日志级别、日志时间、日志类型、日志内容等信息，日志具备可读性； h) 支持通过本地管理对服务器、工作站等设备的基线核查功能进行调用： 1 支持对CA根证书、网络安全管理平台证书的导入与管理； J 通过本地管理进行的修改、更新等操作自动生效，无须重启装置； k 支持对网络安全监测装置的配置进行备份和恢复。

8. 6. 1基本要求

通信参数、事件处理参数、资产参数及证书参 支持参数配置导出功能及同产品的参数配置备份导入功能，即达到同类产品的参数配置的互换性。

8. 6. 2 系统参数

表15网卡参数配置表

表16路由参数配置表

表17NTP对时参数配置表

通信参数的配置见表18

表18通信参数配置表

8.6.4事件处理参数

事件处理参数的配置见表19

表19事件处理参数配置表

Q/GDW 119142018

资产参数的配置见表20。

表20资产参数配置表

8. 6. 6 证书参数

证书参数的配置见表21。

表21证书参数配置表

装置性能应满足如下要求： a）I型网络安全监测装置采集信息吞吐量≥4000条/秒；II型网络安全监测装置采集信息吞吐量 ≥2000条/秒；

装置性能应满足如下要求： I型网络安全监测装置采集信息吞吐量≥4000条/秒；I型网络安全监测装置采集信息吞吐 ≥2000条/秒

网络安全监测装置自身应具备基本的安全性，应满足如下要求： ）不得内置后门、不存在缓冲区溢出等安全漏洞： b）具备检测并抵御各种常见网络攻击的能力及抵御渗透攻击的能力； C）关闭通用的网络服务及端口； 不使用http、https协议进行通信； e) 采用基于调度数字证书的认证技术保证基线核查、命令控制、配置管理、软件升级等服务代理 功能的安全性，详见附录E.3.2。

装置命名由装置型号和版本信息组成，其中装置型号包括厂家硬件代码、厂家装置系列代码，版本 信息包括基础软件版本、基础软件生成日期和程序校验码，描述方法见图2

装置软件版本信息包含版本号、生成日期和校验码，应能查询软件版本。

件版本信息包含版本号、生成日期和校验码，应能

12标志、包装、运输、贮存

图2装置命名规范要求示意图

Q/GDW 119142018

Q/GDW 119142018

每台装置应在机箱的显著 持人明晰的铭牌或一维码，标识下列内容： a）产品型号、名称； b） 制造厂全称及商标： 主要参数： d） 对外端子及接口标识； e）出厂日期及编号。

12.1.2包装箱标记

包装箱上应以不易洗刷或脱落的涂料作如下标记： 发货厂名、产品型号、名称： b） 收货单位名称、地址、到站； C 包装箱外形尺寸（长×宽×高）及毛重； 包装箱外面书写“防潮”、“向上”、“小心轻放”等字样； e 包装箱外面规定叠放层数。 以上标志标识，应符合GB/T191一2008的规定。产品执行的标准应明示。安全设计标志参照GB 4598.27—2008的规定明示。

12.2.1产品包装前的检查

产品包装前的检查应满足如下要求： a）产品合格证书和装箱清单中各项内容齐全： b）产品外观无损伤； c）产品表面无灰尘。

12.2.2包装的一般要求

产品应有内包装和外包装，插件插箱的可动部分应锁紧扎牢，包装应有防尘、防雨、防水、防潮、 防震等措施。

包装完好装置应满足贮存运输要求。贮存场所应无酸、碱、盐及腐蚀性、爆炸性气体和灰尘以及下 雪的侵害。

型网络安全监测装置面板

型网络安全监测装置面板布局参见图A.1

D/GDW 119142018

附录A （资料性附录） 装置外观接口规范

1型网络安全监测装置背板布局参见图A.2

图A.1|型网络安全监测装置面板布局示意图

A.2II型网络安全监测装置面板布局

玻璃钢管标准图A.2I型网络安全监测装置背板布局示意图

II型网络安全监测装置背板布局参见图A.4。

图A.3IⅡI型网络安全监测装置面板布局示意图

Q/GDW 119142018

图A.4Ⅱ型网络安全监测装置背板布局示意图

B.1I型网络安全监测装置采集信息列表

服务器、工作站设备采集信息见表B.1。

岩土工程服务器、工作站设备采集信息见表B.1。