老河口追日光伏发电有限公司

网络安全设备应接尽接工作询比价采购公告（二次）

1.采购条件

老河口追日光伏发电有限公司光伏发电项目服务，采购人为老河口追日光伏发电有限公司，项目资金为企业自筹，现已具备采购条件。现对该项目组织询比价采购。

2.采购范围及相关要求

2.1项目概况：老河口追日光伏发电有限公司项目总装机容量43MW一期20MW于2017年6月27日并网，二期23MW于2019年6月26日已并网发电，并网电压等级35KV。项目地址位于湖北省襄阳市老河口市仙人渡镇，具有良好的发电条件。本项目为老河口追日光伏发电有限公司（调度命名一期仙人渡光伏、二期杜家河光伏）的网络安全技术服务项目。为进一步落实国调中心电力监控系统网络安全监测能力验证评估工作要求，提升湖北电网电力监控系统网络安全监测水平，决定开展电力监控系统网络安全设备应接尽接工作。

为保障电站的正常运行，依据电力主管部门管理要求，老河口追日光伏发电有限公司需完成：电力监控系统网络安全设备应接尽接工作并得到当地电网认可。

2.2 采购范围：本项目依据湖北电力调度控制中心要求整改通知相关要求：并网电厂涉网部分主机设备、网络设备（含调度数据网接入交换机）和安防设备接入至监测装置，按最小化要求配置主机探针白名单，完成接入资产告警触发测试，实现监测装置主备双链路接入（无双链路先按单链路接入），满足地调供电安全要求。并且提供一年网安告警处理服务。服务单位须在2024年2月28日前完成本单位电力监控系统网络安全设备应接尽接工作，逾期未报国网电力公司按照未开展纳入考核。

本项目招标范围包含但不限于以下内容所发生的所有费用（用户变涉网部分主机设备、网络设备（含调度数据网接入交换机）和安防设备接入至网安监测装置，按最小化要求配置主机探针白名单，完成接入资产告警触发测试、技术服务费、所有税费、调度协调费、主机网络设备探针，运杂费和保险费以及本工程范围内所应收取的全部费用）。

2.2.1供货范围

2.2.2电力监控系统网络安全设备应接尽接工作

遵循落实省调电力监控系统网络安全监测能力验证评估工作要求，提升老河口追日光伏电力控系统网络安全监测水平，进行电力监控系统网络安全设备应接尽接工作，要求如下：

（1）电力监控系统网络拓扑图

根据现场实际情况绘制本厂站电力监控系统网络拓扑图

（2）网络安全监测对象接入范围

生产控制大区的涉网站控层主机设备、网络设备和安全防护设备（含生产控制大区边界的安全防护设备），均需接入监测装置。

（3）网络安全监测装置接入网安平台要求

监测装置配置网关时禁止采用目的ip0.0.0.0/0的配置，应采用点对点路由添加方式。

（4）监测装置信息统计及功能测试

具体内容包括所属区域、厂站名称、安全区域、电压等级、厂站是否存在对时源、监测装置投运年/月、监测装置厂商、监测装置型号、装置版本（升级并校验成功后版本）、对上接入数据网IP地址（包含省/地调接入网IP）、是否上报厂站资产清单和拓扑（包括厂站应接资产清单和拓扑图）、依据网络拓扑图是否做到《应接尽接》等信息。

（5）网安装置对时是否满足要求

对比Ⅱ型监测装置系统时间与标准时间，时间偏差不能大于3秒。

（6）网安装置是否接地

检查厂站的Ⅱ型监测装置是否可靠接地。

（7）网安装置是否双独立电源

检查厂站的Ⅱ型监测装置是否采用双路独立电源供电。

（8）网安装置调阅是否正常

配合主站测试，确保厂站Ⅱ型监测装置调阅信息成功。

（9）网安装置版本是应为过检版本

厂站监测装置版本应为中国电科院过检版本。

（10）数据修改测试

配合主站测试，在网安平台中修改Ⅱ型监测装置的接入对象名称后，再次调阅确认是否修改成功，同时在厂站侧Ⅱ型监测装置上查看是否修改成功，且响应时间是否小于5秒。

（11）平台证书是否由所属调度机构签发

打开监测装置导入的平台证书，查看是否为所属调度机构签发。

（12）厂站主机设备接入要求

厂站应统计接入主机资产信息及功能验证情况并填入具体信息包括：

类型（厂站类型）、厂站名称、安全区域、设备名称、业务类型（说明所属业务系统）、设备类型、设备厂商（所属业务的厂商）、IP地址（接入监测装置的IP地址）、设备型号、操作系统及版本（需明确说明操作系统型号及版本号，包括位数，如《RedHat6.8（64位）》）、探针厂家及版本、是否接入网安装置、主机网络访问白名单配置是否规范、主机agent的关键目录、文件配置是否规范、未接入网安装置原因（说明：如未接入网安装置，需说明未接入原因）等。

（13）主机探针接入要求及告警验证要求如下

主机应安装中国电科院过检版本探针，中国电科院过检版，核查是否根据厂站业务需要最小化配置Agent白名单，核查主机agent的关键目录、文件配置是否规范，关键目录。

（14）告警测试

（a）登录成功及退出成功

现场对受控主机通过ssh协议进行登录和退出操作，核查网络安全监测装置是否有告警。

（b）USB设备插入及拔出

插入不在白名单里的USB设备，核查监测装置是否收到主机外设接入告警。

（c）主机非法网络访问

依据主机配置的白名单规则，对目标主机执行相应的违规网络访问。测试办法：主机通过tcp/udp协议访问不在白名单内的主机IP或者测试主机通过ssh协议被其他主机访问，核查网络安全监测装置是否有告警。

（d）主机关键目录、文件篡改行为测试

更改厂站主机关键目录下的文件权限，核查监测装置是否上送告警。

（e）危险操作命令

在可控范围内，执行匹配清单规则的某条高危指令，查看监测装置是否上送高危命令告警。

（f）单个IP开放端口扫描

在可控范围内，模拟单个IP开放端口扫描，核查平台是否产生扫描告警。例如：某源IP地址60s内访问一个ip的端口数量超过30个时产生端口扫描告警。

（g）口令爆破告警

可控范围内，模拟登陆口令爆破，模拟单台设备15分钟内用户连续登陆失败5次以上，核查平台是否生成口令爆破告警。

（h）告警上送时标准确性

核查主机设备触发的告警信息时标是否与标准时间一致，时间偏差是否不超过3秒钟。

（i）告警上送及时性

核查平台接收告警时间与告警实际触发时间的时间差是否小于3秒。

（15）厂站网络设备接入要求

厂站应统计接入网络设备信息及告警验证情况具体内容如下：

类型（厂站类型）、厂站名称、安全区域、设备名称、设备类型、设备厂商、IP地址、设备型号、固件版本、SNMP版本、是否接入网安装置、未接入网安装置原因等。

网络设备告警验证要求如下：

交换机网口接入/外设接入

使用专用移动调试终端接入测试交换机的测试端口，核实网安平台是否接收到交换机外设接入告警。

网口UP/DOWN测试

对交换机测试端口进行UP/DOWM操作，核实网安平台是否收到相应告警。

交换机登录、退出测试

进行交换机登录、退出操作，核实网安平台是否收到交换机用户登录日志。

实时记录网络设备配置变更安全事件

对厂站侧交换机配置进行变更，核实网安平台是否收到交换机配置变更的事件。

告警上送及时性

核查平台接收告警时间与告警实际触发时间的时间差是否小于3秒。

（16）厂站安防设备接入要求

统计接入安防设备信息及告警验证情况，具体内容如下：

类型（厂站类型）、厂站名称、安全区域、设备名称、设备类型、设备厂商、IP地址、设备型号、版本、是否接入网安装置、未接入网安装置原因等。

安防设备告警验证要求如下：

登录、退出测试

使用管理工具或web页面登录安防设备，然后退出，核查网安平台是否收到相关信息。

不符合安全策略访问

在Ⅱ区接入扫描测试设备，在可控范围内，模拟开展IP扫描。例如：某源IP地址60s内访问的IP数量超过15个时产生IP扫描告警，核查网安平台是否收到相关信息。

告警上送及时性

核查平台接收告警时间与告警实际触发时间的时间差是否小于3秒。

（17）纵向加密认证装置调试要求

规范化路由配置

配置网关时禁止采用目的ip0.0.0.0/0的配置，应采取精确路由添加方式。

规范化证书配置

隧道协商及管控证书需使用sm2算法。

日志上送及管控地址

省调接入网纵向加密装置日志上送及管理中心需分别添加对应省调主备采集服务器的数据网地址。具体IP请咨询湖北省调。

地调接入网纵向加密装置日志上送及管理中心需分别添加对应地调采集服务器的数据网地址。具体IP请咨询相应地调。

隧道、策略规范化配置

根据业务需求配置密通隧道，确保所有隧道状态为协商成功，原则上禁止配置明文隧道。按业务需求配置点到点最小化策略，禁止配置明文策略。

厂站纵向加密配置需通过网安平台纵向核查。

2.2.5技术要求

必须遵循但不限于以下法律法规《中华人民共和国网络安全法》、《电力监控系统安全防护规定》（国家发展改革委员会2014第14号令）、国网湖北省电力有限公司部室调控〔2023〕57 号文件的要求开展我司涉网部分电力监控系统网络安全监测能力验证评估工作。按照襄阳地调关于推进电力监控系统网络安全监测能力验证评估工作的通知，并按照国家级行业相关要求完成网安应接尽接网络安全监测能力验证评估工作。

2.3服务期限：自服务合同生效之日起至2025年2月28日

2.4服务地点：老河口追日光伏发电有限公司

2.5服务要求或服务质量标准：符合采购方要求

2.6采购控制价：7.5万元

3.供应商资格要求：

3.1具有独立承担民事责任能力的法人或其他组织，在中华人民共和国境内注册的法人；具有独立法人资格，依法取得营业执照，营业执照在有效期内；营业范围涵盖我司本次招标项目；具有履行合同所必需的设备和专业技术能力。

3.2 业绩要求：近三年内须具有类似服务业绩，不少于3项；

3.3供应商不得被市场监督管理机关在“国家企业信用信息公示系统”（www.gsxt.gov.cn）中列入“严重违法失信名单（黑名单）”（事业单位除外）；供应商不得被最高人民法院在“信用中国”网站（www.creditchina.gov.cn）被列入“严重失信主体名单 ”；

3.4单位负责人为同一人或者存在控股、管理关系的不同单位，不得同时参加同一标段或者未划分标段的同一项目的采购活动；

3.5本项目不允许联合体。

4.报名时间和响应文件要求

4.1报名时间：2024年12月30日17时30分至2025年1月4日17时30分（5天）

4.2响应文件递交方式：凡有意参加者，请于公告后评审前，将响应资料完整密封于档案袋中，封面标注项目名称，并在封口处加盖公司公章，递交至：山西省晋中市榆次区广安东街533号晋能光伏技术有限责任公司门卫处；

或邮寄至：山西省晋中市榆次区广安东街533号晋能光伏技术有限责任公司。收件人：评审委员会，电话：131*****639

4.3 公告结束后开始组织评审小组评审。

5.评审方式

5.1经评审的最低价法：由我司评审委员会进行综合评审，综合价格最低者为成交供应商。

6．响应文件要求：（一式三到五份）

所必须需提交的响应文件资料（全部加盖公章）至少包括：1、报价函；2、企业联系人、联系方式及身份证复印件，如非法人本人，需法定代表人授权委托书；3、企业营业执照（副本）复印件；4、近三年的公司业绩；5、提供质量保证及服务承诺书，并提交切实可行的方案及合理化建议；6、“国家企业信用信息公示系统”（www.gsxt.gov.cn）未列入“严重违法失信名单（黑名单）”（事业单位除外）；和 “信用中国”网站（www.creditchina.gov.cn）未列入“严重失信主体名单”的截图。7、提供资质要求的复印件。

7．报价函格式：

老河口追日光伏发电有限公司网络安全项目服务采购的报价函

老河口追日光伏发电有限公司：

我方己仔细研究了老河口追日光伏发电有限公司电力监控系统网络安全设备应接尽接工作服务采购文件的全部内容，愿意以人民币（大写）******元整（￥***** 元）的报价（未税金额***元，税金***元，含***的增值税）按甲方要求或质量标准完成本项目服务/工程，并按合同约定履行义务。

付款条件：********

供应商：***公司（盖单位公章）

法定代表人（单位负责人）或其委托代理人：（签字或盖章）

202* 年*月*日

8.监督部门

监督部门名称：晋能清洁能源科技股份公司党群工作部

监督电话：035*****117

9.业务联系方式

联系人：刘宁

联系电话：131*****920

采购人：老河口追日光伏发电有限公司

（签章）