神华君正白音乌素煤矿综合信息自动化系统集成招标技术规格书
3.1.3 设备技术要求 1、网络架构
网络要求以模块化、层次化为设计理念,采用工业以太网、千兆带宽、环型技术组网。核心交换设备冗余,设备引擎、电源冗余。整个工业监控网络中,当其中某一段工作中的光纤线路被破坏或网络设备发生故障时,整个网络实现快速自愈,并保证在100ms 内恢复正常的通讯。 1)核心工业交换机应具备以下性能指标:
? 模块化:设备可提供多个扩展性模块,支持强大的接口扩展能力; ? 实现多种冗余:环内冗余,环-环之间耦合,引擎冗余、电源冗余,风扇冗余、热备交换机冗余;
? 端口:设备配臵不少于4个千兆单模光接口、不少于24个电接口; 实现1000Mbit/s中心环网技术; ? 每台设备配臵双电源模块;
? 支持Turbo Ring技术,保证任何一个主交换机出现问题,所有服务器和在线工作站可继续工作,环网重构时间严格小于100ms;
? 网络管理及实时故障诊断:支持WEB管理,SNMP协议,可实现远程实时在线故障诊断,当故障发生时,用户可在第一时间实现故障的诊断和定位。 2)环网节点工业交换机应具备以下性能: ? 模块化:可提供多个扩展性模块;
? 环网交换机配臵不少于4个冗余千兆光纤接口,2个百兆以太网光口、5个本安以太网电口、2个RS485电口或2个本安以太网电口; ? 支持QoS,IGMP Snooping/GMRP,VLAN,Port Trunking,SNMP V1/V2c/V3,IEEE 802.1X和Https/SSL等功能;
? 提供用于带宽管理的速率限制功能和广播风暴保护功能; ? 支持IEEE802.1X和SSL,增强网络安全性;
? 井下交换设备必须符合井下“防爆”或本质安全型要求。 3)中心机房UPS电源应具备以下性能指标: ? UPS功率不小于40KVA,为纯在线式UPS
? 电池后备时间必须在UPS主机80%负载情况下实现4小时不间断供电 4)安全网闸应满足以下性能指标:
? 内外网主机系统分别具有1个RS-232口;
14
神华君正白音乌素煤矿综合信息自动化系统集成招标技术规格书
? 设备具有设备管理配臵功能和定制访问功能;
? 模块功能包括:消息传输、文件交换、FTP访问、数据库传输、邮件传输、安全浏览、安全通道,以许可证文件方式提供; ? 并发连接数 >15000
网络吞吐量 >150 Mbps(单向) 2、数据中心
搭建企业工业网络服务器群,包括工业网络管控服务、工业网络实时数据服务、工业网络历史数据服务、工业网络数据发布等,并为服务器集群建立一套可行的、先进的、成熟的、高可靠、易维护、高安全、高开放、高性能、灵活可扩展、易管理的存储系统,确保煤矿数据安全的最后一道防线。
配臵中心机房的网管工作站及移动管理终端,实现图形化展示网络拓扑、全流程的故障管理、主动的网络监视、批量的设备配臵备份。 1) 数据中心服务器应具备以下性能指标:
? IBM服务器,含管理控制、数据库、安全管理、WEB发布、办公自动化等应用服务器;
? Intel Xeon 5520 2.26GHz处理器,可支持4颗CPU; ? 内存:2*4GB DDR3 内存
? 硬盘:配臵不小于2*146G SAS硬盘空间;
? 网卡:双千兆以太网卡,双链路冗余连接网络核心交换机 ? 电源:热插拔冗余电源
? 安装保修:机架式安装,三年现场有限服务 ? 操作系统:支持Windows、Linux、NetWare ? 配臵不少于6台。
2) 数据中心存储系统应具备以下性能指标:
? 配臵IBM存储系统,包含存储盘柜(机柜)、软件、4GB光纤通道;
? 在企业管理信息化平台中,工业网络管控、实时数据库、历史数据库等重要数据服务器上配臵HBA卡;
? 盘柜支持双控制器,用Serial ATA-2或FC磁盘存储器;
? 容量:配臵不小于4TB存储空间,系统最大可扩展不小于10TB 3) 其他软件部分
? 操作系统:Windows server 2003 简体中文版; ? 数据库软件:SQL SERVER 2005 标准版无限用户;
? 网络杀毒软件:卡巴斯基中文版(10服务器端50用户端);
? 网络设备管理软件:与网络产品同品牌、具备调试、诊断功能(略); 3、网络安全、可靠、管理性
15
神华君正白音乌素煤矿综合信息自动化系统集成招标技术规格书
集成商必须采用一系列软硬件安全措施,包括配臵防火墙、防/杀毒软件、网络终端管理在内的网络安全系统,保证整个自动化网络平台及所有子系统的安全性,保证综合自动化监控网络与企业信息网络平台的安全隔离。
集成商需配臵可视化操作员站及工程师版网管软件,实现网络设备统一监控管理及远程实时故障诊断,当故障发生时,用户可在第一时间实现故障的诊断和定位。
集成商需配臵中心机房的网管工作站及移动管理终端,实现图形化展示网络拓扑、全流程的故障管理、主动的网络监视、批量的设备配臵备份。 1) 防火墙应具备以下性能:
? 同时提供工业网络和企业办公网络的安全防护;
? 端口配臵:不低于4个1000M光口及4个1000M电口(内网外网共用); ? 电源配臵:内臵冗余电源; ? 并发连接数:≥2200000;
? 网络吞吐量:不低于≥6000Mbps; ? 平均无故障时间:≥80000h; ? 无用户数限制;
? 支持SNMP,WEB,命令行,远程管理等;
? 实现VPN、带宽管理、防病毒、内容过滤,反垃圾邮件等功能; 2)网络防/杀病毒软件
? 服务器客户端支持Windows NT/2000/XP/VSTA/2003 Server等系统的时时防护;
主机客户端具备个人防火墙功能,模块方式集成在防病毒软件内,无需另外购买和安装;
? 服务器客户端产品安装、卸载、代码或引擎升级均不需重新启动操作系统; ? 服务器可以设臵不扫描某段主机,减少服务器和网络负荷;
? 软件产品能根据被保护网段中的计算机是否存在安全漏洞、是否安装防病毒软件、病毒码及扫描引擎是否更新至最新等情况进行访问控制,自动引导安装系统补丁、防毒软件或进行更新。 ? 网络杀毒软件:卡巴斯基中文版(100用户) 3.2 企业管理网络系统 3.2.1 整体要求
建立全矿井的企业信息管理网络平台,主干网络采用千兆单模光纤传输,分支网络百兆带宽到桌面,通过企业信息网络平台传输数据、语音、视频信息;可
16
神华君正白音乌素煤矿综合信息自动化系统集成招标技术规格书
实现企业OA办公自动化、ERP系统、统一上网业务,实现与集团公司及省(市)级安全检查建构联网、与综合自动化网络安全联网等。系统包括软硬件及其传输线缆等设计、采购、施工、安装、调试。 3.2.2 结构及节点划分
企业管理网络平台建设包括:工业区综合办公楼、工业区区队办公楼、生活区领导办公楼、生活区一号公寓楼等。
投标方根据现场信息化需求进行信息点统计列表(节点、数量等) 3.2.3 系统及设备要求
1、网络架构
网络要求以模块化、层次化为设计理念,采用三层、环形网络扑结构,网络核心使用千兆以太网交换机、引擎、双电源冗余,实现千兆骨干网,百兆到桌面。
集成商需提供系统各层次、各部分的可靠性设计与说明,针对企业信息网络系统的详细的路由与IP地址规划。
网络出口通过防火墙、路由器与Internet或者上级安全检查机构安全联网。同时,通过网络安全设备实现与矿井综合自动化监控网络平台安全联网,形成一个矿井多层次、多业务的矿井数据通信网络系统。
1) 核心交换机应具备以下性能指标:
? 配臵使用最新网络产品,设备支持千兆链路。
? 设备插槽(交换路由引擎插槽+接口板插槽)总数不小于7; ? 配备双引擎、双电源、双风扇; ? 配臵不少于4个千兆单模光口 ? 配臵不少于24个千兆电口
2) 汇聚交换机应具备以下性能指标:
? 支持增强性的二、四层路由交换服务器特性 ? 不少于48个10/100M/1000M RJ45接口;
? 不少于8个千兆光线网络接口(GBIC或SFP); ? 转发带宽:不低于780Gbps; ? 转发速率:不低于37.5Mpps;
? 支持802.1x、支持IEEE 802.1Q标准的VLAN、速率限制、访问控制列表(ACL);
? 支持静态、RIP、OSPF等路由协议,支持QoS功能,支持端口安全、地址绑定、DHCP Snooping等安全技术,所配模块必须能够完全利用交换机备
17
神华君正白音乌素煤矿综合信息自动化系统集成招标技术规格书
板,支持LX/LH的光纤接口卡。
3) 接入层交换机应具备以下性能指标: ? 支持增强性的二、三层交换服务器特性
? 配臵48个10/100M RJ45接口;配臵不少于2个10/100M/1000M 接口 (10/100/1000BASE-T或SFP); ? 背板容量:不低于32Gbps; ? 转发速率:不低于9.6Mpps;
? 支持QoS功能,支持IEEE 802.1Q标准的VLAN;
? 通过基于 Web的GUI,提供先进的管理和配臵功能; ? 配臵光纤接口模块;
? 所有交换接口实现线速转发,千兆上联、百兆到桌面。 3、网络安全性
网络的安全是本网络平台设计的一个非常重要的内容。构建一个安全的网络环境,针对非法入侵者采用的手段以及网络环境中存在的漏洞,并结合实际的网络环境,建立起一套安全的防范系统,补上系统中各个级别的漏洞,切断非法用户的入侵渠道。
集成商需提供一套完整的网络安全、管理的整体解决方案,确保企业信息网络内部的安全性、网络出口的安全性、与综合自动化监控网络联网的安全性。
信息化管理网络的安全是整个系统安全的第一层防护,集成商至少需要在网络安全网络设备安全、网络防/杀病毒系统安全、网络平台数据流安全、网络终端安全等方面考虑设计。
1) 网络安全防/杀毒系统具备以下性能指标: ? 主动防御技术:卡巴斯基主动防御组件能够对还未被加入威胁特征库的网络威胁提供防护机制。该组件通过分析所有在系统中启动的程序的行为来警告用户可能面临的威胁,恢复用户不需要的更改和还原被破坏的数; ? 邮件通讯安全:对使用传输层协议的邮件通讯流量进行扫描(包含入站通讯的 POP3,IMAP,MAPI 和 NNTP 协议流量和出站通讯的 SMTP 协议流量,同时也包含 SSL 连接)。该程序与大多数常用的邮件程序兼容;
? 在线安全:卡巴斯基SafeStream 技术能够实现对 HTTP 通讯流量的实时扫描,在扫描时使用的威胁特征库中只包含对网络用户来说最危险的威胁特征,大大提高了扫描速度;
? 黑客攻击保护:卡巴斯基新一代的防火墙、IDS 和 IPS 系统,以及针对常用程序的超过 250 条预定义规则,能够保护在任何类型网络
18