《电力二次系统安全防护管理制度汇编12316.docx》由会员分享,可在线阅读,更多相关《电力二次系统安全防护管理制度汇编12316.docx(39页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 电力二次系统安全防护管理制度制度名称电力二次系系统安全全防护管管理制度度制度分层业务指导书书责任编写人人编写日期2011年年4月11日制度分级公司级责任修订人人修订日期2011年年5月33日制度分类检修类审核人审核日期2011年年5月66日风控索引审定人审定日期2011年年5月112日 批准人: 乔智 生效效日期: 220111 年 5 月月 122 日1 目的的 编制本规定定的目的的是建立立七台河河宝泰隆隆煤化工工有限公公司干熄熄焦电厂厂电力二二次系统统与信息息安全管管理体系系,进一一步规范范和指导导电厂电电力二次次系统与与信息安安全的管管理。2 适用用范围 本管理办法法适用于于干熄焦焦电
2、厂电力力二次系系统的运运行管理理、日常常巡检、维维护及系系统改造造等工作作。包括括干熄焦焦电厂二二次系统统网络与与信息安安全规划划设计、项项目审查查、工程程实施、系系统改造造、运行行维护管管理。干干熄焦电电厂及外外来施工工调试人人员等从从事电力力二次系系统网络络与安全全防护专专业管理理和运行行维护管管理的相相关人员员,均应应遵守本本规定。3 释义义 3.1 电力二次系系统 在本规定所所指电力力二次系系统包含含电力监监控系统统、电力力调度管管理信息息系统、电电力通信信及调度度数据网网络等。 3.2 电力监控系系统 在本规定是是指用于于监视和和控制电电网及电电厂生产产运行过过程的、基基于计算算机和
3、网网络技术术的业务务处理系系统及智智能设备备等。包包括电力力数据采采集与监监控系统统、调度度管理系系统、NNCS系系统、FFECSS系统、DDCS系系统、微微机继电电保护和和安全稳稳控装置置、广域域相量测测量系统统、负荷荷控制系系统、发发电曲线线下载系系统、电电能量计计量计费费系统和和继电保保护管理理信息系系统等。 3.3 电力调度数数据网络络 指电力调度度专用广广域数据据网络、电电力生产产专线网网络等。 3.4 电力专用安安全防护护设备 指横向正向向隔离装装置、纵纵向加密密认证装装置、纵纵向加密密认证装装置管理理系统、安安全拨号号服务器器、防火火墙等。 3.5 网络与信息息安全事事件 指电力
4、二次次系统受受到入侵侵或攻击击、感染染病毒或或恶意代代码,导导致系统统主要功功能失效效或引发发发电机机“误调”或“误控” ,以以及系统统被非法法用户访访问、关关键数据据被篡改改、丢失失或泄密密等。 3.6 运行维护部部门 干熄焦电厂厂负责电电力二次次系统运运行维护护的运行行部、检检修部。 3.7 网络与信息息安全兼兼职人员员 指干熄焦电电厂负责责电力二二次系统统网络与与信息安安全工作作的网络络系统管管理员、网网络系统统安全审审计员。 3.8 要害岗位人人员 指干熄焦电电厂负责责电力二二次系统统运行维维护工作作的网络络系统管管理员、应应用开发发人员、系系统维护护人员、业业务操作作人员。 3.9
5、第三方人员员 指干熄焦电电厂电力力二次系系统的软软件开发发商,硬硬件供应应商,系系统集成成商,设设备维护护商和服服务提供供商的人人员。4 相关关文件 下列标准和和文献中中的条款款通过本本规定的的引用而而成为本本规定的的条款。凡凡是注明明日期的的引用文文件,其其随后的的所有修修改单(不不包括勘勘误的内内容)或或修订版版本均不不适用于于本规定定。凡是是不注明明日期的的引用文文件,其其最新版版本适用用于本规规定。 4.1 引用文件 中华人民共共和国国国务院令令1477号中华华人民共共和国计计算机信信息系统统安全保保护条例例 公通字220077433 号号信息安安全等级级保护管管理办法法 国家电力监监
6、管委员员会 55 号令令 电电力二次次系统安安全防护护规定 电监安全20006334 号号 电电力二次次系统安安全防护护总体方方案 GB178859-19999 计算机机信息系系统安全全保护等等级划分分准则 GB/T 222239-20008 信息系系统安全全等级保保护基本本要求 GB/T 222240-20008 信息系系统安全全等级保保护定级级指南 GB/T2202669-220066 信信息安全全技术信信息系统统安全管管理要求求 GB/T2202770-220066 信信息安全全技术网网络基础础安全技技术要求求 GB/T2202771-220066 信信息安全全技术信信息系统统通用安安全
7、技术术要求 GB/T2202772-220066 信信息安全全技术操操作系统统安全技技术要求求 GB/T2202773-220066 信信息安全全技术数数据库管管理系统统安全技技术要求求 GB/T2202882-220066 信信息安全全技术信信息系统统安全工工程管理理要求 GB/T 197715-1.22 20005 /ISSO/IIEC TR 133335:20000 信息技技术安全全管理指指南 GB/T 197716-20005/IISO/IECC 1777999:20000 信息息安全管管理实用用规则 GB/T 183336-20001 /ISOO/IEEC 1154008-11999
8、9 信信息技术术安全性性评估准准则 4.2 应用文件 黑龙江电网网电力二二次系统统安全防防护实施施规范 黑龙江电电力二次次系统网网络与信信息安全全管理规规定5 职责责 5.1 厂级领导导5.1.1 审批干熄焦焦电厂电电力二次次系统网网络与信信息安全全防护技技术措施施和管理理规定。5.1.2 审批电力二二次系统统网络与与信息安安全应急急预案。5.1.3 审批电厂电电力二次次系统网网络与信信息安全全防护建建设或改改造项目目。5.1.4 督导电力二二次系统统安全防防护总体体结构、网网络边界界安全设设备及其其安全策策略的运运行维护护管理。5.1.5 负责干熄焦焦电厂电电力二次次系统突突发事故故及安全全
9、隐患的的处理、指指挥,二二次系统统安全防防护应急急机制的的启动,系系统网络络与信息息重大安安全事件件调查。5.2 策划部 5.2.1 负责组织干干熄焦电电厂电力力二次系系统安全全评估、监监督和检检查。5.2.2 参与干熄焦焦电厂电电力二次次系统网网络与信信息安全全防护系系统建设设规划,技技改和新新建项目目评审。5.2.3 组织干熄焦焦电厂电电力二次次系统网网络与信信息重大大安全事事件调查查。5.2.4 组织实施电电力二次次系统网网络与信信息安全全应急预预案的演演练,提提出应急急预案的的改进建建议。5.2.5 负责组织、落落实各专专业直接接运管范范围内二二次系统统网络与与信息的的安全检检查、安安
10、全评估估和特殊殊时期的的安全保保卫工作作;组织织员工二二次系统统安全防防护的培培训。5.2.6 负责管理信信息大区区二次系系统的日日常维护护、巡检检、管理理和故障障处理。5.2.7 负责制定管管理信息息大区二二次系统统重大缺缺陷处理理的安全全措施。5.2.8 负责管理信信息大区区二次系系统安全全防护策策略新增增、改动动制定和和初审。5.2.9 负责和上级级技术对对口主管管部门的的协调,向向相应调调度机构构的主管管部门报报送电力力二次系系统网络络与信息息安全统统计分析析报表、审审批申请请和备案案材料。5.2.10 负责部门人人员的信信息安全全专业知知识和技技能培训训。5.3 检修部5.3.1 负
11、责执行和和贯彻国国家、电电力行业业和上级级颁布的的有关电电力二次次系统网网络信息息安全防防护技术术和管理理标准。5.3.2 负责实施、提提出和审审核生产产控制大大区二次次系统建建设或改改造项目目,设备备选型,工工程安装装调试和和验收的的管理。5.3.3 负责生产控控制大区区二次系系统的日日常维护护、巡检检、管理理和故障障处理。5.3.4 参与电厂电电力二次次系统网网络与信信息重大大安全事事件调查查。5.3.5 编制和审核核干熄焦焦电厂电电力二次次系统电电力二次次系统网网络与信信息安全全防护技技术措施施和管理理规定。5.3.6 负责部门人人员的信信息安全全专业知知识和技技能培训训。5.3.7 负
12、责和上级级技术对对口主管管部门的的协调,向相应调度机构的主管部门报送电力二次系统网络与信息安全统计分析报表、审批申请和备案材料。5.4 运行部5.4.1 负责干熄焦焦电厂电电力二次次系统安安全防护护设备的的运行管管理,发发现异常常及时通通知有关关人员。5.4.2 负责在二次次安全防防护系统统处理缺缺陷时配配合,加加强系统统监视的的工作。5.4.3 参与电厂电电力二次次系统网网络与信信息重大大安全事事件调查查。5.4.4 负责和上级级调度部部门的协协调、汇汇报。5.4.5 负责部门人人员的电电力二次次系统安安全防护护知识和和技能培培训。5.4.6 负责向本单单位电力力二次系系统信息息安全工工作组
13、报报告二次次系统网网络与信信息安全全事件。6 内容容 6.1 电力二次系系统网络络与信息息安全组组织机构构成立由厂级级领导为为组长的的二次系系统安全全防护工工作组,工工作组成成员名单单报相应应上级省省网公司司及电监监会。干熄焦电厂厂电力二二次系统统网络与与信息安安全组织织机构图图厂级领导检修部负责人策划部负责人运行部负责人安监主任信息中心电气主任热控主任值长网络管理员安全管理员热控工程师继保工程师调通系统管理员运行值班员干熄焦电厂厂电力二二次系统统网络与与信息安安全工作作小组组组成如下下:组 长:乔智副组长:任任军 成 员:检修、运运行、安安监部门门若干人人员 成员中包包括安全全管理员员,系统
14、统管理员员,网络络管理员员。6.2 电力二次系系统网络络与信息息人员管管理 6.2.1 网络与信息息安全专专(兼)职职人员管管理 6.2.1.1 范围:包括括网络安安全工程程师、设设备工程程师6.2.1.2 干熄焦电厂厂与受聘聘的网络络与信息息安全专专(兼)职职人员签签署任期期内保密密协议。 6.2.1.3 网络与信息息安全专专(兼)职职人员调调离岗位位,必须须严格办办理调离离手续,并并与其签签署调离离后的保保密协议议。涉及及单位核核心技术术的信息息安全人人员调离离单位,必必须进行行离岗审审计。 6.2.1.4 网络与信息息安全专专(兼)职职人员的的配备和和变更情情况,应应向上一一级单位位信息
15、安安全主管管部门报报告、备备案。 6.2.1.5 网络与信息息安全专专(兼)职职人员调调离岗位位,必须须严格办办理调离离手续,并并与其签签署调离离后的保保密协议议。涉及及单位核核心技术术的信息息安全人人员调离离单位,必必须进行行离岗审审计。6.2.1.6 网络与信信息安全全专(兼兼)职人人员离岗岗后,必必须即刻刻更换有有关的操操作密码码并注销销其用户户。 6.2.1.7 必须实行“权限分分散、不不得交叉叉覆盖”的原则则。系统统管理人人员、网网络管理理人员、系系统开发发人员、系系统维护护人员不不得兼任任业务操操作员;系统开开发人员员不应兼兼任系统统管理员员。6.2.2 第三方人员员管理 6.2.
16、2.1 第三方人员员的现场场工作或或远程维维护工作作内容应应在合同同中明确确规定,如如工作涉涉及机密密或秘密密信息内内容,应应要求其其签署保保密协议议。 6.2.2.2 对第三方人人员的物物理访问问和逻辑辑访问应应实施访访问控制制,根据据其在系系统中完完成工作作的时间间、性质质、范围围、内容容等方面面的需要要给予最最低授权权。 6.2.2.3 第三方人员员自带设设备接入入二次系系统必须须得到现现场运行行维护部部门负责责人的特特别授权权,笔记记本电脑脑、掌上上电脑接接入前应应经由现现场运行行维护部部门安全全管理人人员对其其进行杀杀毒处理理,且必必须在指指定区域域、指定定端口、通通过指定定方式接接
17、入。带带有无线线网络的的设备禁禁止接入入二次系系统。 6.2.2.4 第三方人员员的现场场工作应应在二次次系统运运行维护护部门指指定人员员的陪同同和监督督下进行行。 6.2.2.5 第三方人员员工作结结束后,运运行维护护部门应应对其操操作进行行审计,并并及时更更换有关关的操作作密码。 6.3 电力二次系系统信息息安全等等级保护护管理 6.3.1 干熄焦电厂厂依据国国家颁布布的信信息安全全等级保保护管理理办法和和国家电电力监管管委员会会电力力行业信信息系统统安全等等级保护护定级工工作指导导意见对对电力二二次系统统进行安安全保护护定级。 6.3.2 安全保护等等级为第第二级及及以上的的系统,应应当
18、在系系统投入入运行后后 300 日内内到所在在地的公公安机关关办理备备案手续续。安全全保护等等级为三三级及以以上系统统办理备备案手续续前,其其系统备备案材料料必须报报上级主主管部门门审核批批准。 6.3.3 电力二次系系统应按按相应信信息安全全等级保保护的要要求,落落实安全全保护措措施。 6.3.4 等级为三级级的电力力二次系系统应当当每年至至少进行行一次等等级测评评,等级级为四级级的信息息系统应应当每半半年至少少进行一一次等级级测评。对对其它等等级的信信息系统统每年开开展一次次安全检检查。 6.3.5 信息系统等等级测评评工作应应由具有有国家相相关技术术资质和和安全资资质的测测评单位位承担。
19、 6.4 电力二次系系统安全全防护管管理 6.4.1 电力二次系系统安全全防护基基本要求求 6.4.1.1 干熄焦电厂厂电力二二次系统统安全防防护必须须遵守国国家电力力监管委委员会2000455 号令令发布的的电力力二次系系统安全全防护规规定和和2000634 号文印印发的电电力二次次系统安安全防护护总体方方案的的规定,并并符合东北电网电力二次系统安全防护实施规范的要求。6.4.1.2 新建机组在在并入黑黑龙江电电网前须须完成电电力二次次系统网网络信息息安全防防护建设设。6.4.1.3 当不满足电电力二次次系统安安全防护护规定的的,应实实施技术术改造。6.4.2 电力二次系系统安全全防护工工程
20、实施施管理 6.4.2.1 电力二次系系统安全全防护应应随电力力二次系系统同步步设计、同同步施工工、同步步验收、同同步投运运。 6.4.2.2 电力二次系系统网络络信息安安全防护护设施的的基建、运运行、改改造、检检修、投投退等流流程参照照电力二二次系统统有关规规定执行行。 6.4.2.3 电力二次系系统安全全防护实实施方案案必须经经过上级级主管部部门和相相应调度度机构的的审核,方方案实施施完成后后应当由由上述机机构参与与的验收收。6.4.2.4 电力二次系系统安全全防护工工程由第第三方实实施时,工工程建设设单位必必须与第第三方签签署保密密协议。6.4.3 电力二次系系统设备备和应用用系统接接入
21、管理理 6.4.3.1 电力二次系系统网络络与信息息安全防防护设备备选型应应根据国国家电力力行业有有关规定定选择经经过国家家有关权权威部门门的测评评和认证证的产品品,并须须获得南南方电网网公司颁颁发的入入网许可可,在许许可的范范围内使使用。 6.4.3.2 在购买网络络与信息息安全防防护产品品时,应应在合同同中要求求产品供供应商承承诺对其其所提供供产品的的安全功功能有效效性负责责。 6.4.3.3 新建或改造造的应用用系统接接入二次次系统前前,应委委托公正正的第三三方测试试单位对对系统进进行安全全性测试试,系统统安全测测试过程程应详细细记录,并并根据测测试结果果,出具具安全性性测试报报告。系系
22、统的责责任单位位应指定定或授权权相关部部门负责责系统安安全测试试管理,并并组织相相关部门门和相关关人员对对系统测测试报告告进行审审定。 6.4.3.4 电力二次系系统设备备和应用用系统接接入电力力调度数数据网前前,其接接入技术术方案和和安全控控制措施施须经直直接负责责的电力力调度机机构核准准。 6.5 电力二次系系统运维维安全管管理 6.5.1 机房环境安安全管理理 6.5.1.1 机房应配置置自动监监控设施施(包括括机房温温湿度监监控、消消防监控控、防水水监控、录录像监控控、机房房供配电电系统监监控),监监控设施施应能准准确反映映机房物物理环境境的变化化情况,具具备记录录异常情情况以及及自动
23、报报警功能能。 6.5.1.2 机房应配置置电子门门禁系统统,鉴别别、控制制和记录录进入机机房的人人员。 6.5.1.3 机房安全监监控记录录保存期期至少为为三个月月。 6.5.1.4 严禁进入机机房人员员携带易易燃、易易爆等危危险品及及与工作作无关的的物品(包包括个人人手提包包等)。 6.5.1.5 持有进入机机房磁卡卡的人员员不得携携带其他他无关人人员进入入机房;对经过过检修部部负责人人批准进进入机房房的来访访人员,必必须由检检修部指指派专人人全程陪陪同;机机房的值值班人员员应检查查来访者者是否佩佩带临时时出入证证,并做做好来访访人员登登记(增增加登记记表)。 6.5.1.6 未经运行维维
24、护部门门负责人人批准,任任何人不不得移动动、拆毁毁和插接接机房各各种用电电设备。6.5.1.7 二次系统防防护中心心设备场场所如通通信机房房、DCCS电子子间、机机组保护护室、EECS、NNCS工工程师站站、励磁磁控制室室及信息息中心等等处未经经当值运运行值长长同意或或主管部部门同意意,并履履行登记记手续不不得入内内。进入入后,不不得随意意接触网网络设备备,如因因操作不不当,造造成严重重后果,需需承担全全部责任任。6.5.1.8 全厂重要服服务器及及操作员员站的UUSB接接口和光光驱设备备必须拆拆除或禁禁用。只只保留工工程师站站光驱(UUSB口口也拆除除或采取取隔离措措施),组组态软件件备份在
25、在此站由由光驱刻刻盘完成成,除此此之外严严禁采用用其他手手段完成成。6.5.1.9 除规定外,严禁任何人使用自带的笔记本电脑连接各系统服务器及操作员站,也禁止通过网上邻居等其它形式对计算机进行软件操作访问。6.5.1.10 所有电子间间、工程程师站门门平时必必须锁上上,故障障处理或或日常维维护方可可打开。6.5.2 信息资产管管理 6.5.2.1 电力二次系系统信息息资产范范围包括括但不限限于: (a) 域名、网络络拓扑结结构、IIP 地地址及分分配规则则、企业业标准编编码。 (b) 投资开发的的(或具具有独立立知识产产权的)程程序软件件的源代代码、支支持程序序软件、外外购软件件的使用用许可证
26、证记录、系系统平台台基础数数据等。 (c) 系统配置数数据、系系统授权权信息、口口令文件件、密钥钥及算法法文件、系系统说明明文档、用用户手册册等系统统基础数数据。 (d) 各类专业系系统的应应用数据据库及数数据文件件、业务务报表等等系统业业务数据据。 (e) 各类专业系系统的运运行方案案、运行行记录、变变更记录录等系统统运行数数据以及及应急计计划。 (f) 各类专业的的规划、方方案与策策略、业业务流程程、业务务规范、操操作规程程等管理理数据。 (g) 技术图纸、技技术文档档、工程程资料等等项目数数据。 (h) 电力二次系系统其他他相关纸纸介质的的重要办办公文件件(信件件)、图图像、影影像、录录
27、音和照照片等非非结构化化办公资资料。 (i) 单个员工拥拥有的专专家技能能和经验验等隐性性数据。 6.5.2.2 电力二次系系统信息息资产按按信息的的敏感度度分为机机密信息息、秘密密信息、对对内公开开信息、对对外公开开信息。信信息资产产管理人人员应按按资产的的密级对对信息资资产实施施访问控控制和数数据的保保护。各各类别资资产的访访问控制制要求见见附录 1黑黑龙江电电力二次次系统信信息资产产分类、密密级及访访问控制制表 ;数据据保护要要求见附附录 22黑龙龙江电力力二次系系统信息息资产的的数据保保护方式式表。 6.5.3 设备安全管管理 6.5.3.1 设备维护人人员应按按设备运运维规程程,定期
28、期对设备备进行保保养、维维修;对对设备缺缺陷应进进行分析析,提出出反事故故措施。 6.5.3.2 重要设备发发生故障障,应立立即启动动相应的的应急预预案,并并按照应应急预案案设定流流程操作作。对不不能处理理或无把把握处理理的设备备故障,硬硬件设备备维护人人员应报报运行维维护部门门负责人人后再做做处置。 6.5.3.3 硬件设备维维护人员员在对设设备进行行维修、变变更作业业时,全全程工作作必须有有两人以以上参加加,工作作完成后后应及时时做好维维修记录录。 6.5.3.4 设备委托外外部单位位保修的的,应签签订设备备保修合合同,保保修合同同应明确确保修单单位的安安全责任任;保修修单位必必须具备备相
29、应的的资质和和技术力力量。 6.5.3.5 对需要报废废、拆除除、改为为它用或或送出单单位维修修的设备备,必须须对其有有敏感(内内部以上上)信息息的存储储部件进进行安全全地覆盖盖或物理理销毁,并并进行维维修、报报废登记记。 6.5.3.6 对硬件设备备的技术术支持,原原则上不不使用远远程登录录方式。 6.5.3.7 二次防护各各相关系系统日常常维护如如需进行行操作调调整时,必必须由各各系统设设备专责责工程师师来进行行,属于于生产控控制大区区的设备备操作调调整必须须要办理理相关操操作的工工作票,做做好安全全措施和和危险点点分析与与控制。执执行过程程完成后后,各系系统专责责工程师师要认真真、详细细
30、填写操操作纪及及操作人人和操作作时间。6.5.4 数据安全管管理 6.5.4.1 运行维护部部门应制制定干熄熄焦电厂厂电力二二次系统统数据备备份与恢恢复策略略,策略略包括备备份时间间、备份份周期、备备份套数数、备份份方式和和恢复方方式以及及工作流流程。 6.5.4.2 数据的备份份、恢复复必须指指定专人人负责,在在负责备备份、恢恢复的主主要人员员不在场场的情况况下,应应有其他他人能代代替工作作。 6.5.4.3 对数据的转转入、转转出、备备份、恢恢复等操操作权限限只赋予予指定的的人员。 6.5.4.4 对于重要而而敏感的的数据,在在存储和和传送时时应考虑虑进行加加密。 6.5.4.5 备份介质
31、存存放环境境空间必必须满足足防窃、防防磁干扰扰、防火火、防腐腐等要求求。 6.5.4.6 系统升级前前,应进进行全备备份。 6.5.4.7 对重要数据据应准备备两套以以上备份份,其中中异地存存放一份份。 6.5.4.8 对二次防护护所涉及及的各系系统数据据库应由由各系统统设备专专责工程程师进行行定期备备份,应应每年拷拷贝一次次。备份份数据应应不少于于两份,并并分级管管理,由由各系统统所属部部门和设设备部各各保存一一份,数数据保存存应采用用光盘,存放在无强电磁干扰、无高温、清洁干燥的两个不同的地点,分类保存保存周期不少于5年。6.5.4.9 备份结束后后,在备备份件上上正确标标明备份份编号、名名
32、称、备备份时间间等内容容;对备备份进行行读出质质量检查查,应无无介质损损坏或不不能读出出等现象象发生,备备份的内内容、文文件大小小和日期期等应正正确。6.5.5 介质安全管管理 6.5.5.1 介质包括用用于电力力二次系系统的计计算机磁磁盘、磁磁带、软软盘、光光盘、UU盘等。 6.5.5.2 对介质应按按其所载载信息资资产进行行分类和和标识管管理。并并根据信信息资产产规定的的范围控控制权限限确定介介质的使使用者。 6.5.5.3 使用者要对对介质的的物理实实体和数数据内容容负责,使使用后应应及时交交还介质质管理员员。 6.5.5.4 介质管理人人员应建建立介质质清单,对对介质的的交接、变变更进
33、行行记录,每每月对保保管的介介质进行行一次清清点。 6.5.5.5 不能正常记记录数据据的介质质,必须须由介质质管理人人提出报报废介质质申请,并并经由使使用者所所在部门门负责人人提出处处理意见见,报批批后需由由双人对对报废介介质进行行物理销销毁,并并做好销销毁纪录录。 6.5.5.6 未经过特殊殊清除的的介质,不不应视为为空白介介质。 6.5.5.7 未按单位保保密规定定进行审审批,含含有内容容的介质质不得外外借。不不得挪出出机房或或办公地地点。6.5.5.8 各系统备份份存储介介质必须须是本计计算机控控制系统统专用存存储介质质,不允允许与其其它计算算机系统统交换使使用,存存储介质质必须由由专
34、人妥妥善保管管。6.5.6 网络安全管管理 6.5.6.1 网络管理员员负责日日常网络络的运行行维护管管理。系系统安全全审计员员负责对对网络设设备的登登录和操操作进行行审计。 6.5.6.2 电力二次系系统生产产控制大大区局域域网与管管理信息息大区局局域网的的互联边边界应部部署电力力专用隔隔离装置置。 6.5.6.3 电力调度数数据网是是电力二二次系统统生产控控制大区区专用的的广域数数据网络络,应在在物理层层面上实实现与企企业其它它数据网网及外部部公共信信息网的的安全隔隔离。 6.5.6.4 网络设备的的口令设设置和管管理应满满足本规规定关于于账户、口口令和权权限管理理的要求求。 6.5.6.
35、5 网络管理员员应根据据厂家提提供的软软件升级级版本和和实际需需要对网网络设备备软件进进行更新新。 6.5.6.6 网络拓扑、网网络参数数、网络络路由、网网络安全全过滤规规则的变变更应当当得到检检修部负负责人的的批准,由由网络管管理员具具体负责责实施或或监督实实施。 6.5.6.7 网络设备软软件升级级或参数数变更前前,必须须对运行行的配置置进行备备份。 6.5.6.8 调度数据网网络的网网管应使使用调度度数据网网的网管管专用VVPN,网网管专用用网络不不得与其其它网络络互联。 6.5.6.9 网络管理员员应对网网络拓扑扑、网络络流量、网网络设备备CPUU和内存存的负载载率、告告警信息息等进行
36、行均时监监控,每每周形成成报表。 6.5.6.10 当发生网络络拥塞或或网络瘫瘫痪等重重大安全全事件时时,运行行维护部部门应立立即启动动应急处处理程序序进行处处置。并并向相应应调度机机构安全全组织和和上级安安全主管管部门报报告。 6.5.6.11 电力二次系系统网络络设备禁禁止采用用远程拨拨号接入入方式进进行设备备远程维维护。6.5.7 电力专用安安全防护护设备管管理 6.5.7.1 电力专用安安全设备备运行维维护部门门安全管管理员负负责运行行维护。 6.5.7.2 电力专用安安全防护护设备应应使用操操作员卡卡登录,操操作员卡卡必须由由专人保保管。6.5.7.3 电力专用安安全防护护设备操操作
37、员卡卡不得使使用缺省省或者容容易猜测测的PIIN码,必必须采用用 6 位 PPIN码码。PIIN码由由非纯数数字或字字母组成成。 6.5.7.4 二次系统与与调度数数据网边边界的纵纵向加密密认证装装置安全全策略的的配置和和变更必必须报请请相应调调度机构构审核,经经批准后后方可实实施。 6.5.7.5 设备变更前前后均必必须对其其配置信信息进行行备份。 6.5.8 调度数字证证书系统统安全管管理 6.5.8.1 中调自动化化部负责责直调电电厂数字字证书的的签发和和管理。调调度数字字证书系系统的运运行维护护部门应应指定专专人负责责调度数数字证书书的审核核、签发发、发放放及备案案。 6.5.8.2
38、电力调度数数字证书书的生成成、发放放、管理理以及密密钥的生生成、管管理必须须脱离网网络,独独立运行行。 6.5.8.3 调度数字证证书系统统在非使使用状态态时,加加密卡的的读卡器器、管理理人员的的智能卡卡电子钥钥匙等都都必须置置于金属属保险箱箱中保存存,并由由专人负负责,保保险箱的的钥匙与与密码必必须分人人保管。 6.5.9 防火墙安全全管理 6.5.9.1 防火墙由检检修部安安全管理理员负责责运行维维护,由由检修部部安全审审计员负负责运行行日志审审计。 6.5.9.2 防火墙的口口令设置置和管理理应满足足本规定定关于账账户、口口令和权权限管理理的要求求。 6.5.9.3 在防火墙上上禁止开开
39、通 ttelnnet、fftp、hhttpp等高风风险服务务。 6.5.9.4 防火墙设备备应启用用抗攻击击和端口口扫描等等功能。 6.5.9.5 防火墙的部部署不得得出现网网络旁路路现象,以以保证安安全策略略的有效效性。 6.5.9.6 跟踪厂家发发布的防防火墙补补丁程序序,及时时修补防防火墙操操作系统统的漏洞洞,并做做好升级级记录。 6.5.9.7 厂内防火墙墙安全策策略及路路由的配配置和变变更必须须报请相相应调度度机构审审核,经经批准后后方可实实施。 6.5.9.8 防火墙配置置变更前前后均必必须对其其配置信信息进行行备份。 6.5.9.9 系统安全管管理员对对防火墙墙的告警警信息应应动
40、态跟跟踪处理理,发现现安全事事件应立立即启动动应急处处理程序序。 6.5.10 操作系统安安全管理理 6.5.10.1 操作系统安安全管理理的主要要责任人人是系统统管理员员。 6.5.10.2 操作系统口口令设置置和管理理应满足足本规定定关于账账户、口口令和权权限管理理的要求求。 6.5.10.3 操作系统应应遵循最最小安装装的原则则,仅安安装需要要的组件件。 6.5.10.4 按照最小授授权原则则,分别别授予不不同角色色用户权权限。 6.5.10.5 跟踪系统厂厂商发布布的安全全补丁;及时修修补系统统安全漏漏洞。 6.5.10.6 关闭非必要要的服务务,设置置关键配配置文件件的访问问权限,开
41、开启系统统的日志志审计功功能。 6.5.10.7 限制管理员员权限使使用,一一般操作作中,尽尽量采用用一般权权限用户户,仅在在必要时时切换至至管理员员账号进进行操作作。 6.5.10.8 及时删除多多余的、过过期的账账户,避避免共享享账户的的存在。 6.5.11 数据库安全全管理 6.5.11.1 数据库由数数据库管管理员负负责安全全管理,由由检修部部安全审审计员负负责运行行日志审审计。 6.5.11.2 数据库环境境安全配配置应满满足以下下要求: (a) 数据库服务务器应当当置于单单独的服服务器区区域,其其他区域域对这些些数据库库服务器器的物理理访问均均应受到到控制。 (b) 数据库服务务器
42、所在在的服务务器区域域边界应应部署防防火墙或或其它逻逻辑隔离离设施。 (c) 数据库系统统的宿主主操作系系统除提提供数据据库服务务外,不不得提供供其它网网络服务务,如:WWWW、FTTP、DDNS等等。 (d) 应在宿主操操作系统统中设置置本地数数据库专专用账户户,并授授予该账账户除了了运行各各种数据据库服务务外的最最低权限限。 (e) 应对数据库库系统安安装目录录及相应应文件访访问权限限进行控控制,如如:禁止止除专用用账户外外的其它它账户修修改、删删除、创创建子目目录或文文件。 6.5.11.3 数据库系统统安装、启启动与更更新应满满足以下下要求: (a) 生产数据库库系统应应与开发发数据库
43、库系统物物理分离离。 (b) 仅开启必要要的数据据库系统统服务。 (c) 启用数据库库日志审审计功能能。 6.5.11.4 数据库账户户口令设设置和管管理应满满足本规规定关于于账户、口口令和权权限管理理的要求求。 数据库对象象安全应应满足以以下要求求: (a) 应当对数据据文件访访问权限限进行控控制,如如:禁止止除专用用账户外外的其它它账户访访问、修修改、删删除数据据文件。 (b) 删除不需要要的示例例数据库库,对允允许存在在的示例例数据库库应控制制数据库库账户的的权限。 (c) 应删除或禁禁用不需需要的数数据库存存储过程程。 (d) 对于数据库库中的敏敏感字段段,如:口令等等,应加加密保存存
44、。 6.5.12 应用系统安安全管理理 6.5.12.1 应用系统安安全管理理的主要要责任人人是应用用系统管管理员。 6.5.12.2 依据最小化化原则对对用户赋赋予适当当的权限限。 6.5.12.3 对应用系统统应进行行数据输输入的合合法性和和参数配配置的正正确性检检验。 6.5.12.4 应用系统源源代码应应保存在在专用的的开发系系统中,不不应与运运行系统统同机存存放。 6.5.12.5 发现应用系系统的安安全漏洞洞应及时时修复。 6.5.13 病毒、恶意意代码防防护管理理 6.5.13.1 设专人负责责二次系系统的病病毒、恶恶意代码码防护管管理。6.5.13.2 防病毒责任任人应及及时更
45、新新毒特征征码,每每日查看看防病毒毒系统的的告警信信息,跟跟踪防病病毒信息息,对防防病毒系系统运行行日志进进行统计计和分析析。 6.5.13.3 对生产控制制大区防防病毒系系统应采采用专用用 U 盘进行行病毒特特征码的的离线更更新。更更新前必必须对病病毒特征征码进行行测试,确确保其代代码无误误后,方方可更新新。 6.5.13.4 当有计算机机设备、应应用系统统、移动动存贮介介质需要要接入电电力二次次系统时时,必须须经过病病毒检测测。 6.5.13.5 当发现连接接调度数数据网的的计算机机设备带带有通过过调度数数据网传传播的病病毒时,应应立即断断开该带带毒机器器,并立立即向相相应调度度机构报报告
46、。 6.5.13.6 未清除病毒毒的计算算机不得得接入电电力二次次系统网网络。 6.5.14 补丁安全管管理 6.5.14.1 系统安全员员负责跟跟进安全全漏洞信信息和产产品厂商商发布的的安全补补丁信息息。 6.5.14.2 补丁必须由由产品厂厂商直接接提供,通通过正规规渠道获获取。 6.5.14.3 补丁加载前前必须经经过严格格的测试试,并做做好重要要文件(系系统配置置、系统统用户数数据等)备备份工作作,严禁禁未经测测试直接接在运行行的系统统上加载载补丁。 6.5.14.4 补丁加载必必须安排排在业务务比较空空闲的时时间进行行,对补补丁加载载的操作作过程必必须详细细记录。 6.5.14.5 对核心业务务主机的的补丁加加载,应应要求厂厂商工程程师现场场支持。 6.5.14.6 补丁加载后后的一周周内,必必须对系系统性能能和事件件进行密密切的监监控,确确保补丁丁加载后后不影响响系统的的性能和和正常运运行。