《河南电网电力监控系统安全防护专项检查工作方案(终版)》由会员分享,可在线阅读,更多相关《河南电网电力监控系统安全防护专项检查工作方案(终版)(31页珍藏版)》请在金锄头文库上搜索。
1、河南电网电力监控系统安全防护专项检查工作方案河南电力调度控制中心河南电力调度控制中心二二一六年三月一六年三月内部资料妥善保管河南电网电力监控系统安全防护专项检查工作方案为深刻吸取乌克兰因网络攻击造成大面积停电事件的教训,国家能源局下发国家能源局综合司关于开展电力监控系统安全防护专项检查工作的通知(国能综安全201692号),要求各单位依据电力监控系统安全防护规定(国家发改委2014年第14号令)、电力监控系统安全防护总体方案(国能安全201536号)及相关配套文件,全面开展电力监控系统安全防护专项检查工作,排查及消除安全防护体系中存在的问题和隐患,提高电力监控系统安全防护水平。国调中心于2月2
2、4日召开电力监控系统安全防护专题会议,对开展电力监控系统安全防护专项检查工作做出全面部署,为切实做好此次检查工作,制定工作方案如下:一、组织机构1领导组组组长:长:安军副组长:副组长:代飞、李海星、张道乾、刘韶林成成员:员:省检修公司分管领导、各市供电公司分管领导、各发电厂分管领导领导组职责:依据国家能源局、国调中心相关要求,组织开展河南电网电力监控系统安全防护专项检查工作。2工作组组组长:长:代飞、司学振副组长:副组长:张太升、郭为民、各市调控中心负责人、各发电厂业务主管部门负责人成成员:员:阎东、张树森、陈涛、张劲光、孙永亮、董泉、范斗、畅广辉、王丹、荣金萍、各有关单位安全防护专业管理人员
3、工作组职责:在领导组的统一领导下,按照工作分工具体开展检查工作,对检查结果进行汇总、分析、评价、整改,并形成书面报告。二、工作目标通过电力监控系统安全防护专项检查活动,深入贯彻和落实国家发改委、能源局相关安全防护要求,发现和整改电力监控系统安全防护工作中存在的短板与不足,提升河南电网电力监控系统的安全防护水平,确保系统安全、稳定运行。三、工作要求1 1落实责任,全面深入开展电力监控系统安全检查落实责任,全面深入开展电力监控系统安全检查电力监控系统安全防护是电力安全生产管理体系的有机组成部分,各单位应严格按照“谁主管谁负责,谁运营谁负责”的原则,成立本单位电力监控系统安全防护专项检查组织机构,全
4、面深入开展电力监控系统安全检查工作。请各单位对照附件表格认真开展自查,认真检查梳理电力监控系统物理场所、网络边界、系统本体、运行数据等层面的技术漏洞,检查规章制度、技术手段、人员管理、联合防护、应急处置等安全管理方面的薄弱环节,对存在的问题制定切实可行的整改方案,立即组织整改。2 2加强保密管理,严格执行保密工作规定加强保密管理,严格执行保密工作规定各单位应按照相关保密要求,加强电力监控系统保密管理,重点防范电力监控系统网络拓扑图、安全防护方案、安全防护设备配置、网络及地址规划、本次安全专项检查活动相关资料等敏感信息泄密;加强相关人员的教育和培训,提高保密意识,强化保密观念,落实保密责任,提高
5、保密管理水平。四、检查范围1.1.省调省调主要包括智能电网调度控制系统(D5000)、能量管理系统(Open3000)、电能量计量系统、河南电力调度数据专网等。2.2.市、县供电公司市、县供电公司主要包括智能电网调度控制系统(D5000)、传统电网调度自动化系统、配电自动化系统、地区调度数据专网、集控站监控系统、负荷控制系统,所辖各变电站监控系统、微机继电保护和安全自动装置、故障录波装置、调度专网接入设备等。3.3.省检修公司省检修公司主要包括所辖各变电站(换流站)监控系统、微机继电保护和安全自动装置、广域相量测量装置、故障录波装置、调度专网接入设备等。4.4.发电厂(含风电场、光伏电站)发电
6、厂(含风电场、光伏电站)主要包括发电厂计算机监控系统(SIS等)、机组分散控制系统(DCS、CCS等)、调度专网接入设备、微机继电保护和安全自动装置、广域相量测量装置、故障录波装置等。五、检查重点1.1.基础设施安全基础设施安全检查电力监控系统配套基础设施是否满足国家信息安全等级保护物理安全相关要求。(1)检查机房环境、供电、消防、门禁是否满足要求;(2)检查通信设备及其线缆沟道是否满足安全可靠运行要求。2.2.体系结构安全体系结构安全检查“安全分区、网络专用、横向隔离、纵向认证”的要求是否全面落实到位。(1)检查所有远方控制功能是否部署在安全I区;(2)检查生产控制大区是否存在非法外联情况;
7、(3)检查不同安全区之间是否采用相应的横向安全隔离措施;(4)检查生产控制大区是否已全面部署纵向加密认证装置;(5)检查安全防护装置的策略设置、调度数字证书系统的安全管理是否规范;(6)检查采用公网通信的配电自动化系统、负荷控制系统是否设置安全接入区;是否支持基于非对称密钥技术的单向认证功能。3.3.系统本体安全系统本体安全检查各类电力监控系统自身的安全防护是否到位。(1)检查发电厂和变电站监控系统、故障录波装置、安全自动装置、控制保护设备是否采用安全操作系统;(2)检查服务器、交换机、路由器等设备是否关闭空闲网络端口;(3)检查非安全操作系统设备是否已采取有效防护手段(如病毒防护、主机加固、
8、移动介质安全管理等);(4)检查远方控制功能(调控远方操作)是否采用调度数字证书;(5)检查系统内部是否存在弱口令和供应商缺省账号;(6)检查系统用户权限管理是否合理。4.4.全方位安全管理全方位安全管理检查安全防护管理是否覆盖全部人员、全部设备,是否贯穿设备的全寿命周期。(1)检查针对现场运维人员和厂家技术支持人员安全管理制度及防护措施是否到位;(2)检查外部计算机、移动介质的接入是否具有相应的安全管理制度和记录;(3)检查控制系统和主要设备的开发、检测、招标、安装、验收、运维、升级、退役等环节安全管理制度及相应记录是否完善;(4)检查厂站内五防设备接入监控系统是否符合相关安全防护要求。5.
9、5.安全应急措施安全应急措施检查电力监控系统安全应急措施是否落实到位。(1)检查备用调度是否满足数据、系统、场所、人员、业务等五个层面的备用要求;(2)检查核心服务器是否满足冗余要求;(3)检查内网安全监视功能是否具备安全事件的告警能力(现场测试检查);(4)检查内网安全事件的告警是否纳入自动化值班范畴;(5)检查网络与信息安全的应急预案是否编制并演练;(6)检查安全应急制度是否健全。六、进度安排本次专项检查工作分为三个阶段,时间安排如下:1 1自查阶段:自查阶段:20162016年年3 3月月7 7日至日至20162016年年3 3月月2020日日省调对照调控机构安全防护检查表完成本单位自查
10、,各市、县供电公司分别对照调控机构安全防护检查表和厂站安全防护检查表(每个变电站一张表)对本单位及所辖变电站进行自查;省检修公司对照厂站安全防护检查表(每个变电站一张表)对所辖变电站(换流站)进行自查;各电厂对照厂站安全防护检查表完成本单位自查;郑州供电公司和鹤壁供电公司还应对照配电网安全防护检查表对配电网自动化系统进行自查。2 2现场核查阶段:现场核查阶段:20162016年年3 3月月2121日至日至20162016年年4 4月月1 1日日在各单位开展自查的基础上,安排现场检查。省调将组织对各地、县调、变电站、发电厂进行现场抽查,各单位应提前准备相关资料(电力监控系统安全防护工作开展情况、
11、本次安全自查和整改情况),做好抽查配合工作。3 3问题整改阶段:问题整改阶段:20162016年年3 3月月2020日至日至20162016年年4 4月月1010日日对于自查和抽查阶段发现的问题,各单位应高度重视,立即制定相应整改方案,限期完成整改工作。对于暂时无法完成整改的问题,应制定科学有效的应对措施,消除安全隐患。七、信息反馈1.自查完成后应逐项填写检查表(附件1-3),同时完成自查及整改情况报告(附件4),并加盖公章以书面形式反馈。2.各县级调控中心、各电厂应将检查结果于3月25日前书面报送至所在地市供电公司调控中心。3.各市公司调控中心负责收集汇总相关县调及电厂检查结果并于3月28日
12、前报送至省调。省调联系人:王 丹932123756、2492037167903756、67902492杨 益932123761、2346037167903761、67902346二一六年三月附 1:调控机构安全防护检查表附 2:厂站安全防护检查表附 3:配电网安全防护检查表附 4:自查及整改情况报告附 1调控机构安全防护检查表单位名称:检查时间:检查类型检查类型检查要点检查要点检查点检查点检查方法检查方法检查结果检查结果备注备注检查人检查人基础设施基础设施物理安全物理安全机房1.机房等基础设施是否具有防窃、防火、防 水、防破坏等物理安全防护措施;2.是否对重要区域配置第二道电子门禁系 统,控制
13、、鉴别和记录人员的进出情况;3.是否对涉及敏感数据的业务系统或关键区 域实施电磁屏蔽;1)检查重要设备安装环境是否满足防窃、防 火、防破坏等物理安全防护要求;2)检查重要区域门禁系统的出入记录(如检査电 子门禁记录);3)检查门禁系统是否对出入人员有明确的鉴别 功能(如检查电子门禁系统的定期巡检和维护记 录);电源4.供电可靠性是否满足系统运行要求;5.电源电缆布设是否满足安全要求;6.UPS 电源负载是否合理;1)检查 UPS 设备间等重要场所是否满足防窃、 防火、防破坏等物理安全防护要求;2)检查机房供电线路上是否配置稳压器和过电 压防护设备、设置冗余或并行的电力电缆线路 为计算机系统供电
14、;3)检查机房备用供电系统,至少应满足设备在 断电情况下的正常运行要求;4)UPS 负载是否满足 35%以下的条件。通信7.通信设备及其线缆沟道(含局域网配线间)是 否满足安全可靠运行要求;1)检查设备安装环境,检査是否满足防窃、防 火、防破坏等物理安全防护要求;2)检查通信设备是否具备 N-1 安全运行要求;3)检查大楼不同的冗余的通信通道是否从不同 的电缆沟道分设。2体系结构体系结构 安全安全安全分区8.电力监控系统是否存在网络非法外联情 况;9.运维、技术支持人员是否将接入生产控制 大区的计算机设备与互联网相连混用;10.所有业务功能是否按安全分区的原则部 署;11.远方控制功能是否在安
15、全 I 区;1)现场检查电力监控系统是否存在网络非法外 联情况;2)现场检查运维、技术支持人员是否将接入生 产控制大区的计算机设备与互联网相连混用;3)现场检查保护远方操作功能和互联网信息接 入功能是否按安全分区的原则实施部署。网络专用12.调度数据网络是否基于专用通信通道(时分 复用或波分复用),是否采用了统计复用的 PTN 或租用的虚拟专网(VPN)等;13.抽查调度数据网网络设备,查看其安全配 置是否符合要求;1)确定是否存在 PTN 网络和租用 VPN 网络;2)现场检查调度数据网网络设备的安全配置, 包括关闭或限定网络服务、避免使用默认路 由、关闭网络边界 OSPF 路由功能、采用安
16、全增 强的 SNMPv2 及以上版本的网管协议、设置受信任的网络地址范围、记录设备日志、设置高 强度的密码、开启访问控制列表、封闭空闲的 网络端口等。横向隔离14.安全大区的横向边界是否采用正反向隔离 装置,并是否配置正确;1)检查网络拓扑,查看系统横向边界安全防护 是否采用正反向隔离装置;2)查看正向隔离装置配置,检查是否配置了不 必要的规则策略。纵向认证15.调度数据网纵向边界是否部署电力专用纵 向加密认证装置或者加密认证网关及相应设施;16.安全区是否采用纵向加密认证装置替代 防火墙;1)查看电力监控系统的网络拓扑结构,是否在 生产控制大区与广域网边界设置国家指定部门 检测认证的电力专用纵向加密认证装置;2)检查纵向加密装置,检查隧道是否处于密 通;查看安全策略是否按照实际业务细化到相 关业务系统具体的 IP 地址(段)、业务端口号和连接方向;3)登录到纵向加密装置,查看是否仅仅开放了 业务端口及 ICMP,对其它端口均关闭;4)查看安全 II 区是否已采用纵向加密认证装置 替代防
