《电厂工控系统网络信息安全技术监督检查表电气专业.doc》由会员分享,可在线阅读,更多相关《电厂工控系统网络信息安全技术监督检查表电气专业.doc(28页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、电厂工控系统网络信息安全技术监督检查表电气专业序号检查类别检查对象检查内容 标准与要求整改意见整改时间计划整改责任人监督责任人1物理安全机房1)抽查重要设备安装环境,检查是否满足防窃、防火、 防破坏等物理安全防护要求;2)抽查该重要区域门禁系统的出入记录(如检查电子门禁记录);检查该重要区域门禁系统是否对出入人员有明确的鉴别功能(如检查电子门禁系统的定期巡检和维护记录)。1、检查电子间、继保间、网控机房等门窗锁具、消防系统是否完善,是否配置门禁系统(无门禁系统须有钥匙管理制度并执行);2、检查门禁系统能够记录出入人员身份并按要求保存一定时间并能在后台查阅(无门禁系统须在钥匙保管处有借用记录);
2、3、门禁系统允许进入人员有针对性,无关人员不允许进入相关区域,进入相关区域的人员应经过厂内批准;4、通讯机房物理安全检查要求:a)访谈物理安全负责人,采取了哪些防止设备、介质等丢失的保护措施;b)访谈机房维护人员,询问主要设备放置位置是否做到安全可控,设备或主要部件是否进行了固定和标记,通信线缆是否铺设在隐蔽处;是否对机房安装的防盗报警设施进行定期维护检查;c)访谈资产管理员,在介质管理中,是否进行了分类标识,是否存放在介质库或档案室中;d)检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内;检查主要设备或设备的主要部件的固定情况,是否不易被移动或被搬走,是否设置明显的无法除去的标
3、记;e)检查通信线缆铺设是否在隐蔽处(如铺设在地下或管道中等);f)检查机房防盗报警设施是否正常运行,并查看运行和报警记录;g)检查介质的管理情况,查看介质是否有正确的分类标识,是否存放在介质库或档案室中;h)检查是否有设备管理制度文档,通信线路布线文档,介质管理制度文档,介质清单和使用记录,机房防盗报警设施的安装测评/验收报告。电源1)抽查供电设施及场所,检查是否满足防窃、防火、 防破坏等物理安全防护要求;2)抽查机房供电线路上是否配置稳压器和过电压防护设备、设置冗余或并行的电力电缆线路为计算机系统供电;抽查机房建立备用供电系统,提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求
4、。1.查验远动装置、计算机监控系统及其测控单元等自动化设备应采用冗余配置的不间断电源或站内直流电源供电;2. 检查防雷和过电压防护能力应满足电力系统通信站防雷和过电压防护要求;3. 检查监控网络设备应采用独立的自动空气开关供电,禁止多台设备共用一个分路开关。各级开关保护范围应逐级配合,避免出现分路开关与总开关同时跳开,导致故障范围扩大的情况发生;4、柴发小室、UPS间、直流电源设备间、厂用配电室门窗锁具、消防系统是否完善;5、厂用电、UPS电源、柴油发电机工作电压满足计算机工作要求220V10%,供电回路交流供电电源应采用两路来自不同电源点供电,具备双电源模块的装置或计算机,两个电源模块应由不
5、同电源供电;6、通讯机房防静电要求:a) 应访谈物理安全负责人,询问机房是否采用必要的接地防静电措施,是否有控制机房湿度的措施;b) 应访谈机房维护人员,询问是否经常检查机房湿度,并控制在GB2887中的规定的范围内;询问机房是否存在静电问题或因静电引起的故障事件;c) 应检查机房是否有防静电设计/验收文档;d) 应检查机房是否有安全接地,查看机房的相对湿度是否符合GB2887中的规定,查看机房是否明显存在静电现象。7、通讯机房电磁防护要求a) 应访谈物理安全负责人,询问是否有防止外界电磁干扰和设备寄生耦合干扰的措施(包括设备外壳有良好的接地、电源线和通信线缆隔离等);b) 应访谈机房维护人员
6、,询问是否对设备外壳做了良好的接地;是否做到电源线和通信线缆隔离;是否出现过因外界电磁干扰等问题引发的故障;通讯1)抽查重要设备安装环境,检查是否满足防窃、防火、 防破坏等物理安全防护要求;2)抽查通信设备是否具备N-1安全运行要求;3)抽查大楼不同的冗余的通信通道是否从不同的电缆沟道分设。1、通信光缆或电缆应采用不同路由的电缆沟(竖井)进入通信机房和主控室;避免与一次动力电缆同沟(架)布放,并完善防火阻燃、阻火分隔、防小动物封堵等各项安全措施,绑扎醒目的识别标志;如不具备条件,应采取电缆沟(竖井)内部分隔离等措施进行有效隔离;2、应访谈机房维护人员,询问是否对设备外壳做了良好的接地;是否做到
7、电源线和通信线缆隔离;3、应检查通信机房布线,查看是否做到电源线和通信线缆隔离;4、应检查通信线缆铺设是否在隐蔽处(如铺设在地下或管道中等);5、应检查是否有通信线路布线文档/验收文档,和实际布线是否一致。2系统本体安全主机硬件1)查看相关安全检测证明;现场记录设备型号及固件版本号,比较国家披露信息确认是否存在安全隐患。 2)现场检查设备空闲端口是否关闭;3)现场检查主机USB、光驱等接口封闭情况。1、检查远动装置、相量测量装置、电能量终端、时间同步装置、五防装置、计算机监控系统及其测控单元、变送器及安全防护设备等自动化设备(子站)必须是通过具有国家级检测资质的质检机构检验合格的产品;2、禁止
8、选用经国家相关管理部门检测存在信息安全漏洞的设备,安全四级主要设备应满足电磁屏蔽的要求,全面形成具有纵深防御的安全防护体系。1、现场调度专网路由器与现场设备接口按指定接口连接;空闲端口应从系统设置关闭;3、现场与调度专网连接设备主机USB、光驱等接口应采用封条予以封闭,如不需要使用应予以拆除;4、查验空闲网络端口是否关闭并贴上封条;5、现场查验S主机、操作站USB、电脑终端、光驱等接口封闭并贴上封条。现场使用的网线及接头应具备屏蔽功能。 操作系统、关系数据库等基础软件1)身份鉴别信息不易被冒用,口令复杂程度满足要求并定期更换;2)应修改默认用户和口令,不得使用缺省口令;3)口令长度不得小于8位
9、,且为字母、数字或特殊符号的混合组合,用户名和口令不得相同;4)禁止明文储存口令。5)windows系统应使用正版操作系统,并加装防范计算机病毒和网络攻击、网络入侵的软件,及时更新。DCS操作员站安装杀毒软件应该根据厂家意见进行,避免引起操作系统异常1、检查故障录波系统、厂用电保护后台、安全自动装置、远动装置、相量测量装置、电能计量终端、时间同步装置、RTU装置、五防闭锁设备主机系统口令长度不得小于8位,且为字母、数字或特殊符号的混合组合,用户名和口令不得相同;2、检查设备系统口令至少每三个月进行一次更新;3、检查操作系统、数据库管理员口令是否由专人管理,禁止明文传输,口令须加密保存;4、检查
10、主要服务器操作系统和主要数据库管理系统,查看是否提供了身份鉴别措施(如用户名和口令等),其身份鉴别信息是否具有不易被冒用的特点,检查账户密码策略设置,例如,口令足够长,口令复杂(如规定字符应混有大、小写字母、数字和特殊字符),口令生命周期,新旧口令的替换要求(如规定替换的字符数量)或为了便于记忆使用了令牌;5、检查主要服务器操作系统和主要数据库管理系统,查看身份鉴别是否采用两个及两个以上身份鉴别技术的组合来进行身份鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合);6、检查主要服务器操作系统是否有弱口令现象。3全方位安全管理人员管
11、理1)现场检查运维人员和厂家技术人员维护活动的相关管理制度;2)现场检查维护记录,掌握相关安全防护措施。1、检查现场检查运维人员和厂家技术人员维护活动的相关管理制度;2、检查运维人员和厂家技术人员现场维护活动记录,厂家技术人员现场维护要有检修人员陪同监督;3、访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日常管理工作的负责人、系统管理员、网络管理员和安全员,询问其岗位职责包括哪些内容及相关管理制度;4、检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确机构内各部门的职责和分工,部门职责是否涵盖物理、网络和系统等各个方面;查看文件是否明确设置安全主管、安全管
12、理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全员等各个岗位,各个岗位的职责范围是否清晰,否明确岗位人员应具有的技能要求,人员是否备案。全生命周期管理1)检查设备软件升级及改造的安全管理记录;2)检查密码产品退役淘汰的销毁情况。1、检查故障信息子站、AVC装置、远动装置、相量测量装置、电能计量终端、时间同步装置、五防装置、计算机监控系统及其测控单元、变送器及安全防护设备等自动化设备(子站)是否满足电力监控系统安全防护规定(国家发改委令2014年第14号令)及配套方案中的要求及调度安全防护整体方案的要求;2、检查远动装置、相量测量装置、电能计量终端、时间同步装置、五防装置、计算机监控
13、系统及其测控单元、变送器及安全防护设备等自动化设备(子站)软件目前软件版本号要有专人管理并记录升级情况;3、检查密码产品退役淘汰由专人销毁并保留记录。外部设备接入管理1)检查外部计算机的接入是否具有相应的安全管理制度;2)核查移动介质的接入是否具有相应的安全管理制度和记录。1、检查故障录波装置、故障信息子站、AVC装置、厂用电保护后台、远动装置、相量测量装置、电能量终端、时间同步装置等现场与调度专网连接设备数据转移是否采用专用移动介质;2、检查专用移动介质是否具有安全防护功能;3、检查是否具有移动介质的接入管理制度和使用记录。移动介质管理1)检查安全区I、安全区II服务器USB端口是否关闭;2
14、)检查安全区III区移动介质安全接入情况。检查是否具有移动介质的安全管理制度和移动介质使用记录。冗余备用SCADA、AGC、AVC数据采集等核心应用服务器是否冗余。记录电源、存储系统、RAID、I/O卡、PCI、CPU等冗余部件配置情况。4安全应急措施应急预案及演练1)现场查看是否网络与信息安全的应急预案;2)现场查看是否应急管理制度;3)现场查看是否有应急演练记录。1、现场查看是否故障信息子站、AVC装置、远动装置、相量测量装置、电能计量终端、时间同步装置、五防装置、计算机监控系统及其测控单元、变送器及安全防护设备等自动化设备(子站)的应急预案;2、现场查看是否有应急演练记录;3、系统对错误的AVC、AGC指令有拒绝执行的能力,定期与调度核对AVC、AGC指令是否一致。