《电力监控系统安全防护管理制度》由会员分享,可在线阅读,更多相关《电力监控系统安全防护管理制度(9页珍藏版)》请在金锄头文库上搜索。
1、构思新颖,品质一流,适合各个领域,谢谢采纳电力监控系统安全防护管理制度1范围为了加强公司电力监控系统的信息安全管理,防范黑客及恶意代码等对电力监控系统的攻击及侵害,保障电力监控系统及电力调度数据网络的安全,特制定本制度。1.1本制度包括:门禁和人员管理,权限和访问控制管理,电力监控系统安全防护和设备运维管理,数据和系统的备份管理,用户口令密钥及数字认证书的管理,审计管理,恶意代码防范管理,电力监控系统安全防护培训管理、电力监控系统安全评估管理、电力监控系统机房管理。2规范性引用文件下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或
2、修订版均不适用于本制度,然而,鼓励根据本制度达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本制度。电力监控系统安全防护规定(国家发展和改革委员会2014年第14号令)电力监控系统安全防护总体方案国能安全(2015)36号文发电厂监控系统安全防护方案国能安全(2015)36号文变电站监控系统安全防护方案国能安全(2015)36号文电力监控系统安全防护评估规范国能安全(2015)36号文中华人民共和国网络安全法(2017年6月)3术语和定义3.1 电力监控系统:是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支
3、撑的通信及数据网络等。具体包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、电能量计量系统、实时电力市场的辅助控制系统、电力调度数据网络等。3.2 电力调度数据网络:是指各级电力调度专用广域数据网络、电力生产专用拨号网络等。3.3 控制区:是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或者专用通道的各业务系统构成的安全区域。3.4 非控制区:是指在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网
4、的各业务系统构成的安全区域。3.5 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。4职责构思新颖,品质一流,适合各个领域,谢谢采纳技术支持部是本制度的归口管理部门,技术支持部、发电部、检修公司是电力监控系统安全防护和运维管理的责任部门,EHS部是组织电力监控系统安全防护事故、异常进行分析的责任部门,综合部是公司内部落实考核的责任部门。另根据上级文件要求成立公司电力监控系统安全防护组织机构,负责电力监控系统安全防护工作的领导和组织管理。4.1 电力监控系统二次安全防护组织机构
5、及职责4.1.1 公司电力监控系统安全防护组织机构划为两级,分设领导组和工作组,工作组在领导组的授权和指挥下开展具体工作。4.1.2 领导小组组成:组长:生产副总经理副组长:技术支持部部长成员:发电部部长、检修公司经理、EHS部部长4.1.3 领导小组职责4.1.3.1 负责组织建立、健全公司电力监控系统安全防护管理的组织机构;负责组织制定、完善公司电力监控系统二次安全防护管理分级负责的责任制。4.1.3.2 负责组织公司电力监控系统总体设计方案的安全审查和完善;负责组织各专业电力监控系统安全防护管理制度的审查和完善,保证公司电力监控系统安全防护组织机构有效运转;负责组织公司电力监控系统安全防
6、护方案的制定和实施;组织制定公司电力监控系统安全评估制度。4.1.3.3 负责建立公司电力监控系统安全联合防护机制和应急机制;当公司电力监控系统受到攻击、病毒感染或发生严重故障时负责宣布应急预案的启动。4.1.4 工作小组组成:组长:技术支持部部长副组长:技术支持部分管副部长、检修公司分管副总经理、值长成员:电气、热控、信息、安全专业主管和工程师,电气、热控班组人员,运行值班员4.1.5 工作小组职责4.1.5.1 负责组织公司电力监控系统安全防护总体方案设计;负责组织公司电力监控系统安全防护方案的制定、完善和实施;负责组织制定和完善公司电力监控系统安全评估管理和应急预案。4.1.5.2 根据
7、设备划分,分别由各专业主管作为本专业的安全防护第一责任人,具体制定本专业电力监控系统安全防护的有关安全管理制度;负责本专业电力监控系统安全防护方案的落实;负责本专业方面的电力监控系统安全防护应急预案的编写及演练;对在电力监控系统中发生的安全技术事故和安全事件,按照相关预案采取妥善措施,防止事件扩大;严格执行二次安全防护事件通报要求,对有关安全问题做好记录;做好相关数据的备份工作,妥善保管重要软件、参数;定期对本专业的电力监控系统进行安全风险评估,及时进行自查整改,定期升级网络防病毒软件或防火墙软件版本。4.2 各部门职责4.2.1 技术支持部职责负责本制度的制定和修改,并监督制度的实施;电气、
8、热控、信息专业工程师负责组织本专业范围内电力监控系统设备安全防护管理、运维管理和安全评估工作。4.2.2 检修公司职责负责分管范围内电力监控系统安全防护设备的安装调试、日常维护、安全评估等工作;对电力监控系统运行情况进行定期检查,消除缺陷,落实整改措施。4.2.3 发电部职责负责公司电力监控系统设备的运行管理工作;值长负责查看河北电力调度控制中心调度管理系统”构思新颖,品质一流,适合各个领域,谢谢采纳下发的文件,并按照文件类别分发到责任部门,报综合部备案及公文流转。4.2.4 环境健康和安全部(EHS部)职责负责组织各部门对公司电力监控系统设备运行中发生的事故、异常、障碍等问题进行分析,提出考
9、核意见,上报公司生产副总经理批准后提交综合部。4.2.5 综合部职责负责落实公司电力监控系统二次安全防护设备系统管理中的各项考核;负责上级部门下发的相关公文备案和流转。5风险辨识5.1 关键控制点电力监控系统安全防护工作应当落实国家信息安全等级保护制度,按照国家信息安全等级保护的有关要求,坚持安全分区、网络专用、横向隔离、纵向认证”的原则,保障电力监控系统的安全。关键控制点是电力监控系统安全防护的完备性和网络安全。5.2 风险分析发电厂监控系统安全防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的
10、过程。发电厂监控系统的防护目标是抵御黑客、病毒、恶意码等通过各种形式对发电厂监控系统发起的恶意破坏和攻击,以及其它非法操作,防止发电厂电力监控系统瘫痪和失控,并由此导致的发电厂一次系统事故。发电厂安全防护的重点是强化发电厂监控系统的边界防护,同时加强内部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统维护的管理,提高系统整体安全防护能力,保证电力监控系统及重要数据的安全。当遭受网络攻击,生产控制大区的电力监控系统出现异常或者故障时,应当立即向公司领导和上级电力调度机构以及当地国家能源局派出机构报告,并联合采取紧急防护措施,防止事态扩大,同时应当注意保护现场,以便
11、进行调查取证。6管理内容与要求6.1 门禁和人员管理6.1.1 电气二次电子间、220KV升压站继保间、DCS电子间、工程师站、通信机房等重要区域应安装电子门禁;门禁系统应有出入记录,对出入人员有明确的鉴定功能。6.1.2 重要区域机房应安装有视频监控,并有合格的防火灾、防漏水、防雷等物理安全防护设施。6.1.3 进入电气二次电子间、220KV升压站继保间、DCS电子间、工程师站、通信机房等重要区域,必须执行门禁管理和机房出入登记管理。6.1.4 电气、热控、信息专业人员负责检查所辖机房的环境、设备与网络系统的运行情况;负责完成规定的日常操作和告警监测记录、故障和隐患的排除,机房内设备的日常巡
12、视;认真履行机房的各项管理规定,并督促进入机房的人员严格遵守。6.1.5 机房人员应熟悉电力监控系统安全防护设备,有一定的应变和事故判断能力;应在第一时间发现故障和事故隐患,具有快速处理故障和事故隐患的能力,并及时向上级领导报告。6.1.6 定期对电力监控系统网络设备进行防入侵检测,保护网络不受攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。6.1.7 进行系统检修(维护)和操作,必须执行工作票或安全措施票手续。构思新颖,品质一流,适合各个领域,谢谢采纳6.1.8 机房谢绝参观学习,无关人员禁止入内;特殊情况必须由公司领导批准,由相关专业人员带领,按指定路线参观。6.1.9
13、不得私自提供任何记录给无关人员,拷贝、打印记录只能提供给公司规定人员;采取加密技术保密手段;系统指令和电脑密码保护不得随意透漏。6.2 权限和访问控制管理6.2.1 按照专业设备分工,电气、热控、信息专业应对所辖电力监控系统设备的账户、业务权限和访问控制进行严格管理,满足相关安全防护要求。6.2.2 发电厂管理信息大区中的业务系统应对业务权限的分配和使用进行严格限制。6.2.3 关键业务系统的账户与权限管理应满足如下要求:6.2.3.1 业务系统应具备正式的授权功能,对权限分配进行控制和管理;6.2.3.2 权限的分配满足最小特权要求,即任意用户/角色仅具有完成其业务操作的最小权限;6.2.3
14、.3 业务系统应该具有对权限分配和取消情况的记录能力;6.2.3.4 具有对临时用户权限的独立管理能力,例如系统调试与维护权限;6.2.3.5 业务系统应实现特权分立,例如:系统管理权限、安全管理权限、网络管理权限相互分立,相互制约,互不重叠;6.2.3.6 业务系统具有正式的账户/口令管理功能,可进行账户/口令的分配、取消等管理工作;6.2.3.7 业务系统应采取加密措施确保账户/口令控制与管理过程的安全性;6.2.3.8 业务系统具有账户/口令更新控制、质量控制机制,确保用户定期按照口令质量要求更改账户口令;6.2.3.9 用户忘记口令时,必须通过业务系统外的途径实现用户身份识别,以便系统
15、管理员恢复用户口令;6.2.3.10 业务系统的实现应禁止在终端用户设备上以无保护的形式存储口令;6.2.3.11 关键业务系统应考虑采用更强的身份认证与鉴别机制,例如证书、动态口令。6.2.4 重要业务系统的账户与权限管理应满足如下要求:6.2.4.1 业务系统具有多种权限划分,能够根据用户其角色定义其可使用的系统菜单功能;6.2.4.2 业务系统具有正式的账户/口令管理功能,可进行账户/口令的分配、取消等管理工作;6.2.4.3 用户忘记口令时,必须通过业务系统外的途径实现用户身份识别,以便系统管理员恢复用户口令;6.2.4.4 业务系统的实现应禁止在终端用户设备上以无保护的形式存储口令。6.3 电力监控系统安全防护和设备运维管理6.3.1 实行安全分级负责制,本着“谁主管谁负责,谁运营谁负责”的原则,落实电力监控系统的各专业的安全责任。安全防护组组长负责公司电力监控系统网络的安全管理,是安全管理第一负责人。6.3.2 电气、热控、信息专业主管和工程师负责所属范围内电力监控系统的安全管理;电气、热控班组负责所辖电力监控系统设备(包括服务器、计算机、终端设备和数据网络等)的安全防护和日常维护管理,是设
