采 购 人：天地（常州）自动化股份有限公司

拟邀请供应商：中煤科工集团南京设计研究院有限公司

供应商的资格要求：

1、响应人注册于中华人民共和国境内，具有独立承担民事责任能力的法人或其他组织。

2、具有良好的商业信誉和健全的财务会计制度。

3、具有履行合同所必需的设备和专业技术能力。

4、最近三年内，在经营活动中没有重大违法、违纪、欺骗、欺诈的行为或不良记录行为。

5、参与谈判供应商为设备生产厂家或具备原厂销售许可及授权证明，分项系统具体要求详见技术协议。

一、总则

本次系统工程范围：

三部架空乘人器的现场集中控制功能完善，为了实现根据人员乘坐情况自动启停架空乘人器，以及实现调度中心的远控功能，进行如下改造：

1、在需要上下人的位置增加矿用红外传感器，实时感应架空乘人器人员上下情况。

2、在就地控制台附近增加1台矿用串口服务器，通过串口服务器读取原三菱PLC控制器内部的运行参数，并通过修改PLC程序。

3、增加架空乘人装置至附近工业环网交换机的8芯光缆。

通过本次项目改造，实现辅助进风巷架空乘人器、辅助行人斜巷架空乘人器和六煤行人下山架空乘人器三部架空乘人器实现红外感应自动启停，远程集中控制和视频监控（接入矿视频系统）。实时监视架空乘人装置运行状态、实时显示架空乘人装置各电气保护的保护状态，实现在线修改架空乘人装置电气参数。在机头、机尾及中中间制定上下人点安装摄像头，并接入到矿视频监控系统。

二、系统主要实现功能

羊场湾二号井设置网络安全软硬件设备，具备抵御病毒、木马和恶意代码对网络与应用系统的破坏和攻击，阻止内部人员的非法访问，提高关键业务数据的可用性、机密性、完整性。

同时，根据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》，在生产管理层与生产控制层之间设立DMZ工业安全隔离区。

按照“一个中心、三重防护”的技术要求，从安全通信网络、安全区域边界、安全计算环境、安全管理中心等层面，在各层之间分别设立工控网安全隔离网闸、工业防火墙等设备，实现工业控制系统网络纵向的层间边界安全防护，通过在各业务系统服务器、上位机上部署主机加固软件，实现主机计算环境的安全，同时建设安全管理中心，通过部署堡垒机、入侵检测、网络审计等监测分析类设备，建立从主机到网络再到应用的纵深防御体系。

三、系统主要设备参数

1、工控互联防火墙

网络串联，部署在生产执行层和DMZ区边界

冗余双电源；万兆光口≥4，千兆电口≥6，千兆光口≥6，可扩展，USB接口≥2。光电口全BYPASS

标准机架式设备，冗余双电源；支持硬件BYPASS，最大支持 组BYPASS；支持静态和动态多播路由，动态多播路由支持PIM-SM（稀疏模式） ；支持全面的NAT转换配置，包括一对一，一对多，多对一的源、目的地址转换，并至少支持FULL_CONE模式和SYMMETRIC模式 ；支持80种工业协议识别；支持间谍软件防护功能，同时将间谍软件特征库分类，至少包括木马后门、病毒蠕虫、僵尸网络等三种分类;支持在防火墙间谍软件签名库直接查阅攻击的名称、严重性、描述等信息；支持设备的集中统一管理，有专用的统一管理平台。

2、安全隔离装置

性能：5Gbps；并发连接数70000，系统吞吐量6Gbps。采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块，内外端机为网络协议终点，彻底阻断各种网络协议；支持U-KEY+密码、数字证书+密码等多种双因子认证方式；无客户端方式同步由网闸主动发起并完成，不需要第三方软件支持（无需在数据库安全任何第三方软件），支持windows、linux等多种数据库操作系统类型；支持双机热备及超过双机的多机热备功能，内外网主机分别具备独立的HA口；支持云查杀模式，可联动云端文件查杀防止恶意文件通过网闸进入内网。

3、日志审计

日志审计系统至少保留6个月以上的日志数据，产品为2U机架式结构，千兆电口≥6个，千兆光口≥4个，≥4T硬盘，冗余电源，日志源授权许可≥50,综合采集处理均值≥3000EPS；采用B/S模式，无需安装客户端，使用WEB浏览器访问管理中心，浏览器端无需安装Java运行环境。支持chrome浏览；能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、虚拟化、云计算、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。

4、工控安全主机卫士

工业主机安全防护系统网络版：工业主机白名单防护、外设管控、漏洞防御、网络防护、资产管理、集中管理、告警与日志审计，支持微软32位/64位 Windows2000、Windows XP SP2及以上、Redhat、Centos、Ubuntu和Fedora等系统。

支持离线安装、静默安装，远程卸载；支持病毒扫描功能，全盘扫描和自定义扫描；支持一键处理病毒文件及查看详情；支持离线升级工具进行病毒库升级；支持告警提示功能及针对同一个可执行文件多次告警次数统计和实时展现；告警、防护、关闭三种工作模式，支持一键切换；支持一键处理病毒文件及查看详情；支持恢复区一键恢复和删除；支持一键追加白名单、一键追加外设权限；支持白名单报警、外设管控报警、网络防护报警、主机加固报警。

5、工控安全监测与审计系统

旁路镜像，部署在生产控制层核心交换机;根据骨干、汇聚、接入情况选配相应性能指标《吞吐量、包转发率、并发量)的流量监测审计。

配置RJ45监测审计业务端口≥6个10/100/1000M速率,千兆光口监测审计业务端口≥8个；最大吞吐量≥1Gbps，最大并发连接数（TCP）≥100万，每秒新建TCP连接数≥10000，数据包平均时延<200us；支持旁路镜像的部署方式；支持非扫描方式的资产漏洞无损识别，支持CVE、CNVD、补天、ICS-CERT几大漏洞库，支持无损识别资产服务端口；可以手动添加IP-MAC地址对，进行手动绑定，同一个MAC地址，可以同时对应个IP地址；支持通过选择接口和pcap文件的方式对数据包进行回放；支持基于日志级别发送，级别分为8种，包括紧急、警报、严重、错误、告警、通知、信息、调试。

6、隔离网闸

网络串联，无线接入交换机至生产控制层核心交换机:当无线系统具有双向数据交互业务时，采用双向隔离网闸，应具有工业深度解功能。硬件配置：2U机箱，单电源；支持液晶面板

内网接口：6个10/100/1000Base-T端口，4个SFP插槽,2个SFP+插槽，1个Console口，2个USB口；支持1个扩展槽位;

外网接口：6个10/100/1000Base-T端口，4个SFP插槽,2个SFP+插槽，1个Console口，2个USB口；支持1个扩展槽位;功能模块：数据库同步、文件交换、数据库访问、视频模块、邮件访问、安全浏览、安全FTP、定制模块、工控访问等；

当无线系统具有双向数据交互业务时，采用双向隔离网闸，应具有工业深度解析功能；采用基于linux内核的多核并行安全操作系统SecOS2；支持文件传输方向控制：单向传输和双向同步；支持Oracle、SQL Server等多种主流数据库同步；同步由网闸主动发起并完成，不需要第三方软件支持（无需在数据库安全任何第三方软件），支持windows、linux、unix等多种数据库操作系统类型；提供告警，支持声音告警、邮件告警等告警方式。

7、入侵监测系统

旁路锐像部署，DMZ区核心交换机，检测在DMZ区内，来自外部网络的入侵攻击行为系统性能:IDS吐率:≥10Gbps;硬件配置:千兆电口≥6个，千兆光口≥4个，可扩展双电源。共最大支持14接口，2USB, 8G内存,1T硬盘，3G网络（三层）吞吐量；支持旁路镜像的部署方式；支持工业协议漏洞攻击工业控制应用漏洞攻击、工业控制设备漏洞攻击、操作系统漏洞攻击的监测；支持威胁情报匹配，识别内网失陷主机、展示IOC详情；支持对网络流量进行抓包，包括指定接口、指定五元组方式；支持基于日志级别发送，级别分为8种，包括紧急、警报、严重、错误、告警、通知、信息、调试；支持不同的日志类型发送到不同的syslog服务器。

8、VPN设备

6*10/100/1000电口，2个SFP接口，标配无硬盘，可选配；支持客户端安全性检查，可以检测客户端进程、文件、注册表、服务、模块、端口、mac地址、系统补丁、操作系统等信息，并且能够检查用户是否安装杀毒软件和防火墙，判断杀毒软件病毒库是否过期，凡是不符合检查规则的，均不允许用户登录访问。 支持与终端安全管理软件联动，可以检查终端安全管理软件进程，并根据是否安装来判断用户接入情况，并能自动弹出IE链接提示客户下载安装；支持主流加密算法；支持带宽管理，能够针对IP、IP组设置带宽上限，针对五元组设置带宽管理策略。

9、堡垒机

标准1U机架式；6个千兆电口；支持2个接口扩展槽位；内置4TB硬盘；单电源；支持液晶屏；最大支持150路图形会话或400路字符会话并发；最大可选300授权许可；支持配置登录页面展示的默认登录方式，其他登录方式用户可点击“更多登录方式”按钮进入；支持按模块和功能自定义角色权限，便于管理，用于复杂的业务场景需求；支持按模块和功能自定义角色权限，便于管理，用于复杂的业务场景需求；支持运维过程中邀请其他用户参与、协助操作；不限操作系统类型，无需安装任何客户端插件，使用浏览器通过H5方式即可直接运维SSH、RDP、Telnet、VNC资源。

10、集中审计设备

千兆电口≥6个，可扩展；USB≥2、console≥1个，带液晶屏、硬盘≥2T；支持对网络中的各种设备与终端通过SNMP方式进行统一监控。包括边界安全设备、网络监测审计设备、终端设备、网络设备、工控设备等，监控内容除在线状态、CPU利用率、内存利用率外，还支持用户自定义监控参数。支持对网络中的安全设备进行集中统一管理。可实现网络中的边界安全设备、终端安全软件、网络监测审计设备等集中管理；支持ISD系统升级、特征库升级和设备及功能授权；支持对采集的数据多维度统计分析，形成报表。

11、统一安全监测平台

旁路部署：支持通过流量镜像的方式旁路部署在虚拟化网络中，实现网络流量数据采集、威胁检测和日志外发，支持通过重置会话的方式阻断TCP威胁会话连接，支持通过流量被动识别资产。

流量识别与解析：支持精准识别通讯类、语音类、视频类、更新类、下载类、邮件类、金融类、理财类等多类别的应用识别，应用识别库3000+。

支持空载荷过滤，支持对采集的流量的上下行载荷长度设置；支持离线采集，可通过手动PCAP导入或FTP等协议批量上传导入等方式对离线流量进行采集；具有自定义解析流量能力，支持基于正则表达式、TLV格式、固定长度等提取模式对应用流量解析；通信模式支持但不限于KAFKA、ZMQ、SYSLOG等协议，需支持多路外发，并支持外发多地址的负载均衡处理；支持失陷主机、恶意文件检测、漏洞攻击检测的数量统计；接口支持IPv4、IPv6配置，支持IPv4、IPv6流量接入，支持对IPv4路由监控和对IPv6路由监控；支持解密后的明文流量镜像至下游设备；本地集成威胁情报库，支持实现基于威胁情报的失陷主机检测，情报不少于200万。

四、其他要求。

详见技术协议书

五、商务要求

1、付款要求：参与谈判供应商应响应或优于甲方提出的与最终业主方相同的付款方式及比例进度，即“背靠背”付款模式

2、结算方式：可接受不超过12个月的银行承兑（中标单位需具备承兑找零能力，且找零承兑为非黑名单银行承兑）。

3、交货要求：需响应甲方最终要求；交货地点：需响应甲方最终要求。

4、质保期要求：系统验收合格之日起12个月或货到现场签收确认（含视同签收确认）之日起18个月，以先到为准。

商务联系人：梁旭     电话：15906120515