Q／GDW 46 10042-2020  抽水蓄能电站网络建设技术导则

6.3.4安全设备要求

a）出口防火墙要求吞吐量不小于2GbpS，新建会话数不小于3万，并发数量不小于300万，配置 几余电源，支持基于接口、区域、地址、时间、服务等多维度的安全策略，支持IPV6协议， 支持源地址转换、目的地址转换、双向地址转换等多种NAT方式。 IPS入侵防御系统/IDS入侵检测系统要求吞吐量不小于2GbpS，新建连接不小于3万，会话并 发数不低于200万并发，具有完善的攻击特征库，包含多类多种的入侵检测特征。能抵御各种 网络层、应用层的攻击、蠕虫、木马及后门程序。 网络准入控制系统要求具有身份数据源管理、IP/MAC绑定、终端类型接入认证、接入控制、 访客管理、一键式安全修复、安全准入策略检查、离线策略、策略权限管理、办公终端异常流 量阻断、策略分级管理及级联策略推送、防病毒软件强制管理、监控软件黑白名单、监控进程、 检查账号安全、检查元余账号、监控网络连接、监控非法外联、监控多网卡、监控网络应用程 序、监控进程、在线用户管理、WEB推送、新设备发现、新设备接入告警、卸载代理告警、泛 终端接入控制等功能。 d）防病毒软件要求具有病毒查杀、实时监控、木马查杀、文件监控、U盘监控实时防护功能。 e）日志审计设备日志处理量不低于3000EPS（约合每天120GB），至少支持50个审计对；支持 SNMPTrap、Syslog、ODBCVJDBC、文件文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方 式完成日志收集功能

6.4互联网大区有线网络建设技术要求

Q/GDW 46 100422020

农业标准图2项目前期互联网大区有线网络拓扑图

6. 4. 2 带宽要求

核心层设备互联链路不低于千兆带宽，核心层设备与接入层设备互联链路不低于干兆带宽，接 入层设备与终端PC采用千兆接入。 b）出口带宽应不低于20兆

6.4.3网络设备要求

a 核心交换机要求交换容量不小于300GbpS；包转发率不小于150MppS；支持静态路由、0SPF路 由协议，支持IPV6协议，配置穴余电源。 D 接入交换机要求交换容量不小于100GbpS；包转发率不小于64Mpps；支持IPV6协议，配置穴余 电源。

6.4.4安全设备要求

出口防火墙要求吞吐量不小于2GbpS，新建会话数不小于3万，并发数量不小于300万，配 元余电源，支持基于接口、区域、地址、时间、服务等多维度的安全策略，支持IPV6协议 支持源地址转换、目的地址转换、双向地址转换等多种NAT方式。

Q/GDW4610042—2020 IPS入侵防御系统/IDS入侵检测系统要求吞吐量不小于2GbpS，新建连接数不小于3万，会话 并发数不低于200万，具有完善的攻击特征库，包含多类多种的入侵检测特征。能抵御各种网 络层、应用层的攻击、蠕虫、木马及后门程序。 网络准入控制系统要求具有身份数据源管理、IP/MAC绑定、终端类型接入认证、接入控制、 访客管理、一键式安全修复、安全准入策略检查、离线策略、策略权限管理、办公终端异常流 量阻断、策略分级管理及级联策略推送、防病毒软件强制管理、监控软件黑白名单、监控进程、 检查账号安全、检查允余账号、监控网络连接、监控非法外联、监控多网卡、监控网络应用程 序、监控进程、在线用户管理、WEB推送、新设备发现、新设备接入告警、卸载代理告警、泛 终端接入控制等功能。 d） 防病毒软件：具有病毒查杀、实时监控、木马查杀、文件监控、U盘监控实时防护功能。 上网行为管理设备要求吞吐量不小于250MbpS；并发会话数不小于30。支持URL库和2500 多种应用的应用特征识别库，支持P2P智能流控技术，并通过控制上行流量达到抑制下行流量 的目的，保障核心业务运行

IPS入侵防御系统/IDS入侵检测系统要求吞吐量不小于2GbpS，新建连接数不小于3万，会话 并发数不低于200方，具有完善的攻击特征库，包含多类多种的入侵检测特征。能抵御各种网 络层、应用层的攻击、蠕虫、木马及后门程序。 网络准入控制系统要求具有身份数据源管理、IP/MAC绑定、终端类型接入认证、接入控制、 访客管理、一键式安全修复、安全准入策略检查、离线策略、策略权限管理、办公终端异常流 量阻断、策略分级管理及级联策略推送、防病毒软件强制管理、监控软件黑白名单、监控进程 检查账号安全、检查允余账号、监控网络连接、监控非法外联、监控多网卡、监控网络应用程 序、监控进程、在线用户管理、WEB推送、新设备发现、新设备接入告警、卸载代理告警、泛 终端接入控制等功能。 d 防病毒软件：具有病毒查杀、实时监控、木马查杀、文件监控、U盘监控实时防护功能。 e 上网行为管理设备要求吞吐量不小于250MbpS；并发会话数不小于30万。支持URL库和2500 多种应用的应用特征识别库，支持P2P智能流控技术，并通过控制上行流量达到抑制下行流量 的目的，保障核心业务运行。

已完成永久机房建设的基建单位

已完成永久机房建设的基建单位

7.2网络建设工作内容要求

a）完成抽水蓄能电站基建期网络建设。 应分期完成电站主干光缆，支路光缆敷设。覆盖包括进厂交通洞、通风兼安全洞、泄洪洞、引 水洞、尾水隧洞、施工支洞、业主临时营地。 在上/下水库、地下洞室群、地面区域根据业务系统对网络接入服务要求随施工进度完成管理 信息大区有线网络、无线专网。 d 应按照生产期网络建设要求完成抽水蓄能电站网络建设方案的设计、评审及预算造价等工作。

7.3管理信息大区有线网络建设技术要求

Q/GDW 46 100422020

图3基建期管理信息大区有线网络拓扑图

3一一管理信息大区出口就近选取所在省公司或地市公司为接入点，部署专用CE或MCE设备，接入所在省、市公司的 数据通信网节点PE设备，IP地址使用省、市公司所分配的IP地址，

a）核心层设备互联链路应不低于千兆带宽，核心层设备与接入层设备互联链路应不低于千兆带 宽，接入层设备与终端PC采用千兆带宽接入。 b）出口带宽应不低于50兆。

7.3.3网络设备要求

a）出口路由器要求转发性能不低于6000MppS，整机交换容量不低于120GbpS，支持IPV6协议， 配置元余电源。 D 核心交换机要求交换容量不小于16TbpS，包转发率不小于1200MppS，支持IPV6协议，支持静 态路由、OSPF路由协议，配置余电源。 C 接入交换机要求交换容量不小于300GbpS，包转发率不小于150MppS，支持IPV6协议，配置元 余电源。

7.3.4安全设备要求

出口防火墙要求吞吐量不小于5GbpS，新建会话数不小于15万，并发数量不小于300万，配 置亢余电源，支持基于接口、区域、地址、时间、服务等多维度的安全策略，支持IPV6协议， 支持源地址转换、目的地址转换、双向地址转换等多种NAT方式。 IPS入侵防御系统/IDS入侵检测系统要求吞吐量不小于5GbpS，新建连接数不小于15万，会 话并发数不低于300万，具有完善的攻击特征库，包含多类多种的入侵检测特征。能抵御各种 网络层、应用层的攻击、蠕虫、木马及后门程序。 网络准入控制系统要求具有身份数据源管理、IP/MAC绑定、终端类型接入认证、接入控制、 访客管理、一键式安全修复、安全准入策略检查、离线策略、策略权限管理、办公终端异常流 量阻断、策略分级管理及级联策略推送、防病毒软件强制管理、监控软件黑白名单、监控进程、 检查账号安全、检查穴余账号、监控网络连接、监控非法外联、监控多网卡、监控网络应用程 序、监控进程、在线用户管理、WEB推送、新设备发现、新设备接入告警、卸载代理告警、泛 终端接入控制等功能。 d 防病毒软件要求具有病毒查杀、实时监控、木马查杀、文件监控、U盘监控实时防护功能。 e 日志审计设备日志处理量不低于6000EPS（约合每天120GB），至少支持50个审计对；支持 SNMPTrap、Syslog、ODBCVJDBC、文件文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方 完成日志收集功能

7.4互联网大区有线网络建设技术要求

Q/GDW 46 100422020

图4基建期互联网大区网络拓扑图

7. 4. 2 带宽要求

a）核心层设备互联链路不低于千兆带宽，核心层设备与接入层设备互联链路不低于千兆带宽，接 入层设备与终端PC采用千兆接入。 b)出口带宽应不低于50兆。

7.4.3网络设备要求

核心交换机要求交换容量不小于10TbpS，包转发率不小于600MppS，支持IPV6协议，支持静 路由、OSPF路由协议，配置穴余电源。

Q/GDW46100422020

b）接入交换机要求交换容量不小于300Gbps，包转发率不小于150MppS，支持IPV6协议，配置元 余电源。

7.4.4安全设备要求

a）出口防火墙要求吞吐量不小于2GbpS，新建会话数不小于3万，并发数量不小于300万，配置 几余电源，支持基于接口、区域、地址、时间、服务等多维度的安全策略，支持IPV6协议， 支持源地址转换、目的地址转换、双向地址转换等多种NAT方式。 IPS入侵防御系统/IDS入侵检测系统要求吞吐量不小于2GbpS，新建连接数不小于3万，会话 并发数不低于200万，具有完善的攻击特征库，包含多类多种的入侵检测特征。能抵御各种网 络层、应用层的攻击、端虫、木马及后门程序。 网络准入控制系统要求具有身份数据源管理、IP/MAC绑定、终端类型接入认证、接入控制、 访客管理、一键式安全修复、安全准入策略检查、离线策略、策略权限管理、办公终端异常流 量阻断、策略分级管理及级联策略推送、防病毒软件强制管理、监控软件黑白名单、监控进程、 检查账号安全、检查余账号、监控网络连接、监控非法外联、监控多网卡、监控网络应用程 序、监控进程、在线用户管理、WEB推送、新设备发现、新设备接入告警、卸载代理告警、泛 终端接入控制等功能。 d 防病毒软件：具有病毒查杀、实时监控、木马查杀、文件监控、U盘监控实时防护功能。 上网行为管理设备要求吞吐量不小于500MbpS；并发会话数不小于80方。支持URL库和2500 多种应用的应用特征识别库，支持P2P智能流控技术，并通过控制上行流量达到抑制下行流量 的的，保障核心业务运行。

7.5无线专网建设技术要求

各抽水蓄能电站可根据电站实际情况及无线网络应用需求综合考虑是否建设无线专网，如需建设可 参考如下两种方案：

各电站参照各地运营商建设方案并完成无线网络建设，专网号码段采用国网新源控股有限公司统 标识。

7.5.2自建无线专网

各电站自行建设无线专网时应采用LTE、5G技术为主，不得采用WIFI等技术组建无线专网，自建 无线专网应采用LTE230MHz频段、LTE1.8GHz频段、5G网络频段等。

7.5.3无线专网技术要求

GDW4610042—2020 无线专网采用信息加密和完整性保护、双向认证鉴权等安全防护机制，支持VPN隔离、频 率隔离等方式实现不同安全分区业务的承载。 2） 移动式无线通信终端视业务终端的设备形态及运维管理要求，可选用嵌入式或独立式形态 （终端设备及模块上线前须通过中国电力科学研究院的测试）。 3 在管理信息大区有线网络和无线专网的边界处设置安全接入区，部署防火墙，并使用公司 安全接入网关进行终端身份认证，阻止非法移动式无线通信终端接入。 4 安全接入网关与移动式无线通信终端之间的传输通道，对传输中的数据进行加密保护，防 止数据被纂改、听、泄露。 5 核心网与业务系统的连接按照业务的不同经过安全接入区或安全接入网关，无线专网按照 国家发改委（2014）14号令（电力监控系统安全防护规定）、国能安全（2015）36号文 要求进行安全防护设计。

a）移动式无线通信终端通过无线专网与管理信息大区的业务信息系统实时交互时，所有业务流程 在管理信息大区内完成，仅供电站内部作业人员使用：使用专控移动式无线通信终端作为载体， 以无线专网作为通道，通过安全接入网关接入公司信息内网，由公司统一权限系统（ISC）进 行身份认证，由内网移动应用平台提供运行支撑 b 移动式无线通信终端与互联网大区的业务信息系统实时交互时，业务流程在外网完成，主要用 于服务电站内部作业人员及外部人员的移动作业类应用；以互联网为通道，通过安全接入网关 接入公司信息外网，由外网移动交互平台提供运行支撑。移动作业如需开展外网应用，须履行 相应报批手续。 在管理信息大区有线网络和无线专网的边界处、互联网大区有线网络与无线公网的边界处设置 安全接入区，部署防火墙，并使用公司安全接入网关进行终端身份认证，阻止非法移动式无线 通信终端接入。 d 安全接入网关与移动式无线通信终端之间的传输通道，对传输中的数据进行加密保护，防止数 据被篡改、窃听、泄露。 e 其他可参照国家电网信通（2018）529号文件《国家电网有限公司关于印发移动作业应用安全 防护方案和移动作业终端分类配置规范的通知》、《国家电网有限公司关于移动终端及应用整 合实施的指导意见》国家电网互联（2019）440号执行

投入生产运营的抽水蓄能电站。

8.2网络建设工作内容要求

该阶段主要是参照基建期管理信息大区、互联网大区网络、无线专网进行网络优化，满足 业务系统对于网络接入服务的需求

8.3管理信息大区有线网络建设技术要求

生产期管理信息大区网

说明： 1一一生产期管理信息大区网络在网络架构、网络性能要求方面与基建期一致，需要在有线网络、无线专网覆盖范 围进行补优、补盲，在网络安全、网络管理方面进行优化

8.4互联网大区有线网络建设技术要求

参照“7.4互联网大区有线网络建设技术要求”执行

“7.4互联网大区有线网络建设技术要求”执行

8.5无线专网建设技术要求

参照“7.5无线专网建设技术要求”执行。

a）应在网络流量关键出口处加强安全审计和监控，及时发现安全异常情况。 b）对管理信息大区与生产控制大区之间的边界，采用经国家指定部门检测认证的电力专用横向单 向安全隔离装置进行安全隔离；管理信息大区与互联网大区通过信息网络安全隔离装置进行逻 辑强隔离，互联网大区与互联网通过防火墙、IDS、IPS等常用安全防护设备进行逻辑隔离。 C 边缘物联代理、物联网终端（含移动终端、机器人）等设备，在接入管理信息大区时，应结合 业务应用需求采用相应的泛在电力物联网安全接入网关、信息网络安全隔离装置实现双向认证 和加密传输；在接入互联网大区时，应采用公司泛在电力物联网安全接入网关实现双向认证和 加密传输。 d）无法满足c）条接入要求的设备：在接入管理信息大区时，应在管理信息大区外设置安全接入 区，通过安全接入区实现和管理信息大区的交互；在接入互联网大区时，应在互联网大区外部 部署前置服务器进行协议转换和数据归集，前置服务器通过公司泛在电力物联网安全接入网关 实现和互联网大区的数据传输。 e 银行、政府以及其他企业或第三方机构需要与公司进行网络连接的，必须设置第三方网络接入 区，并采取网络防火墙或网络加密设备等防护措施。 f 不同等级安全域之间的互联边界，采用硬件防火墙等设备进行网络隔离。 g）边界处防火墙根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口 级，对源地址、目的地址、源端口、目的端口和协议等进行检查，以充许/拒绝数据包进出， 默认情况下除允许通信外受控接口拒绝所有通信。 网络设备关闭不需要的网络端口，关闭不需要的网络服务。如需使用SNMP服务，采用安全性 增强版本；并设定复杂的Community控制字段，禁止使用Public、Private等默认字段。 当对网络设备进行远程管理时，采用HTTPS、SSH等安全远程管理方式并设定终端接入方式或 网络地址范围对通过网络进行管理的管理终端进行限制

a）采用Windows系列操作系统的服务器和桌面终端，需安装网络版防病毒软件、桌面终端管理系 统或服务器专用防病毒软件。 在管理信息大区部署网络准入控制系统对接入的终端IP/MAC地址绑定等技术手段进行接入认 证和控制，防止违规外联。 C 互联网大区遵照互联网出口统一管理的要求严格控制互联网出口，禁止私设或设置多个互联网 出口。 d) 采用安全移动存储介质在信息内外网计算机间进行非涉密数据交换，严禁办公计算机及外设在 信息内外网交叉使用。 e 加强用户真实身份准入管理。为用户办理网络接入、终端接入、信息发布和服务开通等业务， 在与用户签订协议或确认提供服务时，要求用户提供真实身份信息。

，禁正多八兴用一不账号 6 具有登录失败处理功能，配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出 等相关措施。 设置系统管理员、审计管理员和安全管理员等岗位，并实现三权分立账号登录。 d） 公司内部部署和使用的系统，当采用数字证书进行身份鉴别时，使用国网CA系统签发的数字 证书。涉及第三方业务的系统，采用国家主管机构认证的第三方数字证书。

Q/GDW46100422020

e）身份鉴别信息防止冒用，口令复杂度满足要求并定期更换；修改默认用户和口令，不得使用缺 省口令；口令长度不得小于8位，且为字母、数字或特殊字符的混合组合，用户名和口令不得 相同：禁止明文存储口令。

9. 5 安全审计要求

a）通过日志审计设备对全网重要网络设备、应用系统进行安全审计，网络设备开启日志审计功能， 并配置日患服务器统一采集设备日志信息，留存相关日患不少于六个月，避免受到未预期的删 除、修改或覆盖等。 b 通过堡垒机设备对管理员进行身份鉴别，并对管理员操作进行审计，做到事中、事后的问题追 溯，记录网络与信息系统运行状态、安全事件

9. 6 安全管理要求

应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对 这些操作进行审计。 b 指定专门的部门或人员负责机房安全，定期对机房供配电、空调、温湿度控制、消防等设施进 行维护管理。 加强机房出入管理，对机房建筑采取门禁、值守等措施，防止非法进入。加强机房登记管理 外来人员进入机房应由相关管理人员全程陪同，相关操作有审计和监控。 d 编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。 e） 对各种设备（包括备份和穴余设备）、线路等指定专门的部门或人员定期进行维护管理。 f 对配套设施，软硬件维护管理做出规定，包括明确维护人员的责任、维修和服务的审批、维修 过程的监督控制等。 名 由检修公司通过漏扫或其他设备统一定期对所有单位网络进行安全扫描，各单位对发现的安全 漏洞和隐惠及时进行修补。 遵循公司制定的相关网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理 日常操作、升级与打补丁、口令更新周期等方面作出规定。 1 制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等。 详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。 K 加强远程运维管理，管理信息大区不得通过互联网或信息外网远程运维方式进行设备和系统的 维护及技术支持工作。内网远程运维应履行审批程序，并对各项操作进行监控和记录。 记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本补 丁信息、各个设备或软件组件的配置参数等。 提供重要数据的本地数据备份与恢复功能，定期对数据进行备份，已有数据备份可完全恢复至 备份执行时状态，备份介质场外存放。 互联网大区禁止存储公司商秘数据，禁止长期存储企业重要数据，禁止在互联网企业平台春初 公司重要数据。 在每次更新网络设备或安全设备配置信息后及时备份配置文件。 对系统运行的影响，制定数据的备份策略和恢复策略，备份程序和恢复程序等。

Q/GDW 46 100422020

Q/GDW46100422020

2编制主要原则. 3与其他标准的关系 4主要工作过程.. 5标准结构和内容. 6条文说明 19

狮制育 2编制主要原则. .18 3与其他标准的关系， 4主要工作过程. 5标准结构和内容. 6条文说明。 19

建设工程标准规范范本Q/GDW46100422020

随着“大云物移智”等现代信息新技术的不断发展和广泛应用，传统电站向智能型电站、传统企业 向智慧型企业转换升级已经成为必然。这些新技术的应用均与网络载体息息相关，综合考虑应用新技术 建设的各系统数据传输方式、安全管理要求，如何规划确定网络建设方案，有线、无线、技术路线等成 为各项目单位面临的突出问题。为了更好的推进“两型两化”建设，了解国网新源公司各电站筹建期、 基建期、生产期各阶段信息化系统建设应用需求，对各阶段对网络建设技术路线、规模等内容进行研究。

综合考虑网络建设对于新源公司抽水蓄能电站的重大意义，确保后续能持续发挥全网的示范效应和 应用能力，在编制抽水蓄能电站网络建设导则过程中遵循如下原则： a安全 安全是新源公司抽水蓄能电站网络运行的基础，网络系统本身要有较高的安全性，关键设备和模块 应该有穴余备份；在技术上提供先进的、可靠的、全面的安全认证方案和应急措施，确保系统万无一失； 能够安全承载主要网络应用。 b）可靠 新源公司抽水蓄能电站网络设计采用亢余连接，保证重要设备和线路在故障发生时能自动切换。系 统结构设计、设备选型、系统建设、网络管理需要充分考虑网络整体可靠性、可用性以及可维护性，确 保网络是一个不间断的运行系统。 c）技术先进 新源公司抽水蓄能电站网络的规划要长远，要具有科学性、先进性，同时，网络设备等的选择也要 考虑其先进性，要具有较长的生命周期。系统硬件和软件平台要先进，要具有很强的扩展能力。 d）技术开放 充分考虑系统中选用的技术和设备的协同运行能力，保护新源公司抽水蓄能电站现有资源和系统投 资的长期效应以及系统不断扩展的需要。

综合考虑网络建设对于新源公司抽水蓄能电站的重大意义，确保后续能持续发挥全网的示 应用能力，在编制抽水蓄能电站网络建设导则过程中遵循如下原则： a)安全 安全是新源公司抽水蓄能电站网络运行的基础，网络系统本身要有较高的安全性，关键设 应该有余备份；在技术上提供先进的、可靠的、全面的安全认证方案和应急措施，确保系统万 能够安全承载主要网络应用。

由于通信技术的飞速发展，变化日新月异，新源公司抽水蓄能电站网络设计不但要保证目前业务的 要求，也要考虑今后网络的发展，满足当前以及今后相当一段时间内的业务需求，便于向新技术的升级 和衔接，同时又需要保护原有的投资。系统要留有足够的扩容能力。 f）良好的性价比 新源公司抽水蓄能电站整个网络系统能与现有网络资源良好融合，需在先进性绿色建筑标准规范范本，安全性，实用性 可靠性和稳定性以及系统投资上进行综合平衡，要求具有较优的系统性价比。

相关技术领域的国家现行法律、法规和政策保打 涉及专利、软件著作权等使用间题

Q/GDW 46100422020