《40网络和软件安全防护检查管理制度》由会员分享,可在线阅读,更多相关《40网络和软件安全防护检查管理制度(8页珍藏版)》请在金锄头文库上搜索。
1、网络和软件安全防护检查管理制度1. 电子间物理安全1.1电子间防火安全1.1.1吊顶、隔墙、通风管道等均采用阻燃烧材料制作;1.1.2电子间不准使用易燃材料装修;1.1.3禁止携带食品进入电子间,并定期灭鼠;1.1.4电子间应设置火灾自动报警系统和灭火器,并有工作 人员负责日常维护;1.1.5在电子间明细位置张贴防火标识;1.1.6制订消防管理制度和消防员,并定期开展消防培训。1.2机房动力环境监测1.2. 1设置电子间供电报警系统,保证不间断供电;1.2.2对电子间温度、湿度、漏水等实时监测,一旦出现异 常应立即报警。1.2.3采取防水防潮措施,保证无水渍受潮痕迹。2. 门禁系统2.1设置电
2、子间门禁系统,对出入机房人员进行登记及身份 鉴别并只允许运维人员及相关专业管理人员进入。3. 供电可靠性3.1供电电源管理3.1.1网络继电器室设备应有两路交流供电(一路UPS、一 路市电)或一路交流一路直流供电;3.1.2制定供电电源管理制度,包括一体化电源、UPS、蓄电 池等的运维、检修管理制度;3.1.3定期开展UPS切换和蓄电池充放电试验,并记录;3.1. 4配备电源主接线图.3.2UPS及蓄电池配置3.2.1独立配置UPS,采用冗余配置且备用容量不低于60%;3.2.2为每套UPS配置独立的蓄电池组,且配置容量满足满 负荷运行不少于1小时;3.2.3容量大于200Ah的蓄电池营设置专
3、业蓄电池室。3.3供电安全3.3.1不间断电源交流进线柜进线处和配电柜电源进线处应 加装防雷电击装置;3.3.2不间断电源应由两端不同母线供电;3.3.3不间断电源输出应采取单母线分段接线,配电柜分列 配置,相互冗余;3.3.4机柜供电应采用PDU,双电源供电设备两路电源应取 子不同配电柜不同电源开关,单电源供电设备应采用STS切 涣装置供电;3.3.5具备直流电源模块的自动化设备应采用两路直流供 电。3.3.6自动化设备供电电源进出线贿赂应配置空气开关,每 路空气开关的额定电流应与上下级机柜输入、输出开关匹 配;3.3.7配电室负荷应平均分配至三相母线4. 通信传输通道4.1通信可靠性4.1
4、.1通信设备应具备N-1安全运行要求:光端机设备、SDH 设备等重要网络通信设备应满足冗余配置要求;4.1.2冗余的通信通道应从不同的电缆沟道分设。5. 安全分区5.1安全分区合理性和规范性5.1.1对照系统网络拓扑图核查安全分区的合理性,应符合 发电厂监控系统安全防护方案或变电站监控系统安全 防护方案的要求;5.1.2各安全区系统设备部署与系统网络拓扑图应一致;5.1.3在线监测服务器、OMS工作站、综合数据网关服务器 等设备不应存在跨区直连或纵向交叉互联;5.1.4现场应部署气象信息服务器,部署方式应符合安全分 区要求;5.1.5现场不应存在使用互联网或其他类型的公共网络;5.1.6现场不
5、应存在远程拨号装置,应与各安全区直连实现 远程维护。6. 网络专用6.1调度数据网络使用通信传输通道(由通信部门提供), 确定存在运行商传输通道、租用VPN网络、电力通信PTN通 道。7横向隔离7.1安全隔离装置部署和配置7.1.1正反向隔离装置策略配置应修改默认口令,限定端口;7.1.2正反向隔离装置策略配置应备份;7.1.3正反向隔离装置策略配置与业务需求一一对应;7.1.4安全三区气象服务器应部署反向隔离装置。8. 纵向认证8.1纵向加密认证装置部署和及配置8.1. 1系统纵向边界应启用加密认证装置,装置运行正常; 8.1.2操作员卡妥善保管。9. 防火墙和入侵检测9.1防火墙部署和配置
6、9.1.1电子间内部安全区之间应配置具有访问控制功能的网 络设备、防火墙或者相当功能的设施;9.1.2电子间的安全一区与安全二区之间应部署防火墙设 备,且设备粘贴有“中华人民共和国公安部监制计算机信息 系统安全专用产品”字样的标识;9.1.3网络、安全设备严格禁止Email、WEB、Telnet、Rlogin、 FTP等安全风险高的通用网络服务。防火墙、纵向加密装置 以及电力专用横向单向安全隔离装置的安全策略应细化至 IP地址(段)、端口级;9.1. 4操作系统应开启系统自带防火墙功能。10. 边界完整性管理10.1系统边界防护完整性检查10.1.1应能够对内部网络用户私自联到外部网络的行为进
7、 行检查,准确定出位置,并对其进行有效阻断;10.1.2查看现场生产控制大区、管理信息大区交换机MAC地 址表,应不存在违规地址;11. 硬件安全11.1硬件安全检测情况11.1.1查看硬件设备清单,现场随机抽查各安全区设备,厂 家、型号、物理位置等信息应与清单保持一致;11.1.2查看硬件设备相关安全检测证明,主要包括国家认可 的检测机构出具的设备形式试验报告,安全产品还应有公安 部出具的销售许可证明。11.2硬件安全配置检测11.2.1现场查看生产控制大区硬件设备应采取有效措施封 闭空闲端口(包括USB、光驱、网络、串口、AUX等); 11.2.2硬件设备应安装牢固;11.2.3非国产硬件
8、应存在安全防护设备。12. 平台软件安装12.1操作系统安全检查12.1.1场站自动化系统使用的操作系统应为非安全操作系 统;12.2数据库平台安全检查12.2.1场站系统数据库平台应使用国产数据库;12.2.2数据库平台权限管理、口令管理应符合规范;12.2.3数据库应开启日志管理。13. 应用软件安全13.1应用系统账号权限管理制度及其落实情况13.1.1制定账号管理相关流程、规定或制度;13.1.2值班员应清楚制度与流程内容;13.1.3账号权限的申请、变更等操作应有相关纸质记录。13.1.4.应能对应用系统重要业务数据进行备份和恢复,应 能恢复应用系统重要业务数据。13.2检查系统账号
9、权限分配及清理情况13.2.1应用系统各类账号权限应符合最小化分配原则;13.2.2定期开展账号权限清理;13.2.3制定防特权账号滥用的管理要求及应急处置方案。13.2.4具备针对涉网厂站电力监控系统工作票制度;13.2.5具备针对涉网厂站电力监控系统工作许可制度;13.2.6具备针对涉网厂站电力监控系统工作监护制度; 13.2.7具备电力监控系统安全防护方案。13.3检查账号权限管理的审计情况13.3.1应用系统应开启对账号增删改、权限调整、业务报表 到处等操作的审计日志记录;13.3.2应存在第三方日志审计系统对日志进行统一分析处 理并生成第三方日志审计系统安全测试报告;13.3.3审计
10、日志记录应包括:用户的添加和删除、审计功能 的启动和关闭、审计策略的调整、重要的系统操作(如用户 登录、退出)等重要的相关事件。14. 调度数字证书14.1检查调度数字证书系统部署和配置情况14.1.1调度数字证书设备应放置在专用保险柜中;14.1.2系统申请员、审核员和签发员的Key应由专人保管;14.1.3证书算法应升级到了 SM2算法,系统关键数据应备份14.1.4签发的人员证书和设备证书应使用SM2算法。14.2检查调度数字证书系统使用情况14.2.1系统遥控功能应使用调度数字证书系统实现双因子 认证;14.2.2系统重要服务器应使用调度数字证书进行强身份认 证。15. 人员管理15.
11、1人员安全管理及防护措施15.1.1应有专门的运维人员负责系统运维管理;15.1.2建立厂家技术人员联系方式表;15.1.3签署保密协议。16. 设备管理16.1设备安全管理16.1.1现场查看电力监控系统所包含的安全设备所涉及的 安全管理制度;16.1.2同步时钟、UPS等辅助设备应纳入安全管理范畴。 16.2设备运维管理16.2.1对设备进行定期巡视、检修及消缺,并记录;16.2.2具备必要的备品备件。17. 全生命周期管理17.1控制系统和主要设备全生命周期管理17.1.1电力系统应进行等级保护测评;17.1.2应用系统工程应具有系统设计方案、建设方案、实施 方案、验收文档、运维制度;17.1.3具备系统和设备建设、升级、改造方面的管理制度;17.1.4系统和设备退役应履行必要的审批手续。18. 移动介质管理18.1移动介质管理制度和记录18.1.1有专门人员负责移动介质的接入管理,重点检查三种 工作站的移动介质接入痕迹,操作系统记录信息应与审批记 录信息成对应关系;18.1.2按制度落实移动介质接入管理工作;18.1.3移动介质的接入应具有相应的安全管理制度和记录。19. 应急管理19.1网络与信息安全应急管理19.1.1具备网络与信息安全的应急预案;19.1.2具备应急管理制度;19.1.3具备应急演练记录。国电电力三塘湖上湖风电一场
