收藏
下载资源

电力监控系统安全防护专项检查大纲

上传人:pu****.1 文档编号:486985726 上传时间:2024-01-16 格式:DOC 页数:11 大小:78.50KB
返回 下载 相关 举报
电力监控系统安全防护专项检查大纲_第1页
第1页 / 共11页
电力监控系统安全防护专项检查大纲_第2页
第2页 / 共11页
电力监控系统安全防护专项检查大纲_第3页
第3页 / 共11页
电力监控系统安全防护专项检查大纲_第4页
第4页 / 共11页
电力监控系统安全防护专项检查大纲_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《电力监控系统安全防护专项检查大纲》由会员分享,可在线阅读,更多相关《电力监控系统安全防护专项检查大纲(11页珍藏版)》请在金锄头文库上搜索。

1、.电力监控系统安全防护专项检查大纲自查日期: 自查单位: 检查人 :检查类别检查要点检查点检查方法检查补充说明检查结果存在的问题整改措施基础设施安全机房1.机房等基础设施是否具有防窃、防火、防水、 防破坏等物理安全防护措施;1检查重要设备安装环境,检查是否满足防窃、防火、防水、防鼠害、防破坏等物理安全防护要求;2检查机房重要区域是否有门禁系统3查机房重要区域是否有视频监控系统4检查机房重要区域门禁系统是否对出入人有明确的鉴别功能如检查电子门禁系统的记录、定期巡检和维护记录;5检查温、湿度变化是否在设备运行允许范围内。1.防窃:专人职守、电子围栏、视频监控2、防火:灭火器配备齐全、类型适合、在保

2、值期内,有定期维护记录。3、防水:查看有无水禁传感器、墙壁有无渗透痕迹。4、防鼠害:查看有无挡板、有无粘鼠贴、电子猫。5、防破坏:门窗是否坚固。6、门禁:重要场所是否布点齐全。7、视频监控:布点是否无死角。1是 否 不适用2是 否 不适用3是 否 不适用4是 否 不适用5是 否 不适用电源2.供电可靠性是否满足系统运行要求;3.电源电缆布设是否满足安全要求;4.UPS电源负载是否合理;1检查UPS设备间等重要场所,检查是否满足防窃、防火、防破坏等物理安全防护要求;2检查机房供电线路上是否配置稳压器和过电压防护设备、设置冗余或并行的电力电缆线路为计算机系统供电;3检查机房是否建立冗余备用供电系统

3、,提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;4UPS负载是否满足35%以下条件。1、检查开关柜的空开标签是否清晰,对应的自动化设备是否齐全。2、ABC三相负载是否平衡。3、部分电厂存在单套UPS现象。4、去蓄电池室查看物理环境。1是 否 不适用2是 否 不适用3是 否 不适用4是 否 不适用未设置UPS专用设备间通信5.通信设备及其线缆沟道含局域网配线间是否满足安全可靠运行要求;1检查重要设备安装环境,检查是否满足防窃、防火、防破坏等物理安全防护要求;2检查通信设备是否具备N-1安全运行要求;3检查机房不同的冗余的通信通道是否从不同的电缆沟道分设。1、检查电缆沟,强电、弱

4、电是否分离。2、检查光端机设备、SDH设备、核心网络交换机、路由器、以及其他重要网络通信设备是否满足冗余配置要求。1是 否 不适用2是 否 不适用3是 否 不适用安全分区6.电力监控系统是否存在网络非法外联情况;7.运维、技术支持人员是否将接入生产控制大区的计算机设备与互联网相连混用;8.所有业务功能是否按安全区的原则部署;9.远方控制功能是否在安全I 区。1检查电力监控系统是否存在网络非法外联情况双网卡跨接生产大区和外部网络;2检查风光功率预测等服务器非法外连外部网络、3检查生产控制大区设备或业务系统是否通过外部网络远程运维或升级工作。4检查集团公司设备厂商等建立的远程监视中心是否采用非电力

5、专用网络实现与生产控制大区的直接数据传输。5生产控制大区内除安全接入区外违规使用无安全防护措施的无线通信设备6检查保护远方操作功能和互联网信息接入功能是否按照安全分区的原则实施部署。7检查全厂网络拓扑图,查看安全分区是否合理;1是 否 不适用2是 否 不适用3是 否 不适用4是 否 不适用5是 否 不适用6是 否 不适用7是 否 不适用网络专用10. 检查调度数据网网络设备,查看其安全配置是否符合要求;1检查调度数据网网络设备的安全配置情况,是否关闭或限定网络服务;2是否未使用默认路由;3是否关闭网络边界OSPF路由功能;4是否采用安全增强的SNMPv2及以上版本的网管协议;5是否设置受信任的

6、网络地址范围;6是否有设备日志记录;7是否设置高强度的密码;8是否开启访问控制列表;9是否封闭空闲的网络端口。10电力监控系统中数据通信采用非安全通信方式。1、网络配置基本都满足要求。2、非安全通信方式主要指没有采用电力通讯网、没有配置加密装置等。1是 否 不适用2是 否 不适用3是 否 不适用4是 否 不适用5是 否 不适用6是 否 不适用7是 否 不适用8是 否 不适用9是 否 不适用10是 否 不适用恶意代码防范管理11.是否部署了防病毒软件并定期更新、查杀?1检查安全操作系统是否部署了防病毒系统,并全覆盖。2检查非安全操作系统是否部署了防病毒系统,并全覆盖。3检查防病毒系统是否定期更新

7、。4检查防病毒系统是否定期查杀,并检查查杀记录。1是 否 不适用2是 否 不适用3是 否 不适用4是 否 不适用防病毒软件未更新体系结构安全横向隔离12.安全大区的横向边界是否采用正反向隔离装置,并是否配置正确1查看网络拓扑,检查系统横向边界安全防护是否采用正反向隔离装置;2查看正反向隔离装置配置,检查是否无不必要的规则策略。检查正反向隔离装置策略配置情况:a是否修改了默认口令;b是否限定端口,端口不能全开;c策略配置是否备份。1是 否 不适用2是 否 不适用纵向认证13. 调度数据网纵向边界是否部署电力专用纵向加密认证装置或者加密认证网关及相应设施;1查看电力监控系统的网络拓扑结构,是否在生

8、产控制大区与广域网边界设置国家认定部门检测认证的电力专用纵向加密认证装置;2检查纵向加密装置,检查隧道是否处于密通;3检查纵向加密装置,查看安全策略是否按照实际业务细化到相关业务系统具体的 IP 地址段、业务端口号和连接方向;4查看纵向加密装置是否产生告警。5检查装置操作卡是否直接插在设备上1、 带上纵向加密配置软件和配置线缆,登录查看。1是 否 不适用2是 否 不适用3是 否 不适用4是 否 不适用5是 否 不适用防火墙和入侵监测14. 防火墙是否仅开通应用所需的数据通道,IDS 入侵监测策略是否合理;1应检查访问控制策略是否使用白名单方式,是否存在源地址、目的地址或端口为空或any的情况;

9、2应检查访问控制策略地址、端口配置范围是否过宽,是否对地址段、 端口段进行了定义。3应该查看防火墙配置,明确访问控制规则是否应用到端口或者安全域中。4检查一二区之间是否采用防火墙进行逻辑隔离。1是 否 不适用2是 否 不适用3是 否 不适用4是 否 不适用 边界完整性管理15. 是否采取技术或相关措施防止生产控制大区的非法外联;1是否从技术上采取了防止私自内联、外联的措施。2检查是否在管理上制定了禁止私自内联、外联的行为规定。3私自将设备或系统接入电力调度数据网络。访谈方式1是 否 不适用2是 否 不适用3是 否 不适用系统本体安全主机硬件16. 计算机、存储设备、路由器、交换机等关键设备是否

10、存在经过国家有关部门的安全检测,是否存在安全隐患或恶意芯片;1查看相关安全检测证明;现场记录设备型号及固件版本号,比较国家披露信息确认是否有安全隐患。查看相关安全检测证明;现场记录设备型号及固件版本号, 比较国家披露信息确认是否存在安全隐患:检查厂家证书a按照国家披露信息确认是否存在安全隐患的设备信息及工控产品漏洞清单,要求被检查单位提前一周向检查组提供现场设备及工控产品资产信息清单。如下表所示:序号 设备类型 设备名称 所属业务 所在区域 厂家 型号版本号 工作站 PC04 保护省调自动化机房 联想 D30v2331b根据安全隐患信息库和现场设备资产信息清单进行比对,检查是否存在安全隐患的装

11、置;c现场抽查被检查单位提供的设备资产信息清单准确。1是 否 不适用 17. 其空闲网络端口是否已关闭;生产控制大区是否采取禁止USB、光驱等移动介质接入措施;1检查设备空闲端口是否关闭;2检查主机USB、光驱等接口是否封闭。现场检查主机USB、光驱等接口封闭情况:除必须使用的鼠标键盘、USB KEY端口外,主机 USB 端口均已封闭,光驱设备已经封闭。1是 否 不适用2是 否 不适用操作系统、关系数据库等基础软件18. 发电厂、变电站、换流站的实时监控系统,安全自动装置、 控制保护设备等是否采用国家有关部门检测认证的安全操作系统;核查非安全操作系统设备是否已采取有效安全加固防护手段;1检查主

12、站使用的操作系统是否为安全加固操作系统,是否有效加固。2核查非安全操作系统设备是否已采取有效安全加固防护手段;抽查现场操作系统,登录后记录操作系统基本信息,终端输入uname-a, 参考是否为麒麟或凝思操作系统,判断是否为安全操作系统。现场核查非安全操作系统设备是否已采取加固:a关闭不需要的系统通用服务,见检查项44;b部署防止恶意代码软件功能, 病毒库、木马库规则库应经过安全检测并应离线进行更新,见检查项44;c检查用户及密码情况,不存在系统无关的用户名,密码满足安全要求,见检查项49-52。1是 否 不适用2是 否 不适用存在非安全操作系统情况,未部署防止恶意代码软件19.核查操作系统、插

13、件或应用系统是否存在高危漏洞1现场核查电力控制系统业务主机,操作系统、插件或应用系统是否存在高危漏洞;使用专业漏扫软件,采用抽查、单机模式扫描。1是 否 不适用20. 生产控制大区是否按要求关闭通用网络服务;1检查操作系统是否关闭了E-Mail、 Web、 Rlogin、 telnet、http、smb、FTP 等不必要的通用网络服务。 1检查是否非 root 帐号启动;2由SCADA系统提供必要服务和端口信息;抽查现场操作系统,输入chkconfig-listwindows:netstat命令查看当前主机是否开启了必要的 E-Mail、Web、 FTP20、21、telnet23、rlogi

14、n23等服务1是 否 不适用21. 检查操作系统是否存在恶意后门,是否采取防止恶意代码的安全措施;1检查操作系统是否具有防止恶意代码软件功能,病毒库、木马库以及IDS规则库应经过安全检测并应离线进行更新;2系统涉及的专用终端是否经过安全加固,加固内容不限于系统补丁、账户与口令、安全防护措施、日志与审计等。通过访谈系统管理员,检查主站系统操作系统是否具有防止恶意代码软件功能,病毒库、木马库以及IDS规则库应经过安全检测并应离线进行更新:a主站系统操作系统具有防止恶意代码软件功能;b病毒库、木马库以及 IDS 规则库应经过安全检测并应离线进行更新,并查看更新。系统涉及的专用终端是指控制室内那些OPS、双细则、OMS以及后台监控系统的工作站。1是 否 不适用2是 否 不适用22. 检查是否存在供应商缺省帐户;1管理员掌握用户分配

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号