发电厂二次系统安全防护方案模版
- 格式:docx
- 大小:24.05 KB
- 文档页数:16
和瑞电厂二次系统安全防护即处置措施一、总则(一)为了加强我厂二次系统安全防护,确保电力监控系统及电力调度数据网络的安全,依据国家电力监管委员会第 5 号令《电力二次系统安全防护规定》和原国家经贸委第 30 号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,电监会印发的《电力二次系统安全防护总体方案》、《发电厂二次系统安全防护方案》(电监安全〔2006〕34号)文件精神制定本方案。
(二)发电厂二次系统的防护目标是抵御黑客、病毒、恶意码等通过各种形式对发电厂二次系统发起的恶意破坏和攻击,以及其它非法操作,防止发电厂电力二次系统瘫痪和失控,并由此导致的发电厂一次系统事故。
(三)发电厂安全防护的重要措施是强化发电厂二次系统的边界防护。
二、安全分区(一)本发电厂的控制区主要包括以下业务系统和功能模块:CBZ-8000电气综合系统;热控DCS;燃气发动机组ET系统;继电保护系统。
(二)本发电厂的非控制区主要包括以下业务系统和功能模块:调度管理网络;OMS;JSP;OPS;双细则考核系统;电能量采集装置;故障录波系统;故障子站。
(四)依照电力二次系统安全防护的总体原则,对现有应用系统的安全分区划分如下表所示:三、安全防护的总体部署根据《电力二次系统安全防护规定》的要求,我厂二次系统原则上为生产控制大区,生产控制大区可分为控制区(安全区 I)和非控制区(安全区II)。
安全防护的重点是保证电厂监控系统的安全可靠。
(一)生产控制大区内部安全防护要求1、禁止生产控制大区内部的Email服务,禁止控制区内通用的 WEB服务。
2、允许非控制区内部业务系统采用 B/S结构,但仅限于业务系统内部使用。
运行提供纵向安全的 WEB服务,可以采用经安全加固且支持 HTTPS 的安全 WEB服务器和WEB浏览工作站。
3、生产控制大区重要业务的远程通信采用加密认证机制,对已有系统应逐步改造。
4、生产控制大区内的业务系统间采取 VLAN 和访问控制等安全措施,限制系统间的直接互通。
5、生产控制大区的拨号访问服务,服务器和客户端均应使用经国家指定部门认证的安全加固的操作系统,并采取加密、认证和访问控制等安全措施。
6、生产控制大区边界上部署入侵监测系统 IDS。
7、生产控制大区应部署安全审计措施,把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登陆认证和授权、应用访问权限相结合。
8、生产控制大区统一部署恶意代码防护系统,采取防范恶意代码措施。
病毒库、木马库以及IDS规则库的更新应离线进行。
(二)安全防护实施基本原则系统性原则(木桶原理)简单性和可靠性原则实时、连续、安全相统一的原则需求、风险、代价相平衡的原则实用与先进相结合的原则方便与安全相统一的原则全面防护、突出重点的原则分层分区、强化边界的原则整体规划、分步实施的原则责任到人、分组管理、联合防护的原则(四)安全防护实施总体策略安全分区:根据系统中业务的重要性和对一次系统的影响程度进行分区,所有的系统都必须置于相应的安全区内;对实时控制系统等关键业务采用认证、加密等技术实施重点保护。
网络专用:建立调度专用数据网络,实现与其它数据网络物理隔离。
并以技术手段在专网上形成多个相互逻辑隔离的子网,以保障上下级各安全区的纵向互联在相同的安全区进行,避免安全区纵向交叉。
横向隔离:采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将实时监控系统与管理信息系统等实行有效安全隔离,隔离强度应接近或达到物理隔离。
纵向认证:采用认证、加密、访问控制等手段实现数据的安全传输以及纵向界的安全防护。
四、二次系统安全防护管理制度第 I 条管理制度1. 管理职责. 我厂根据国家电监会《电力二次系统安全防护总体方案》要求,按照“谁主管谁负责,谁运营谁负责”的原则,建立电力二次系统安全管理制度,明确运行、检修、调试和信息化等部门相关人员的安全职责。
. 发电厂内涉及到电力调度的生产控制系统和装置,如发电厂的输变电二次系统、电能量采集装置、故障录波装置、继电保护装置和安全自动控制装置等,由电力调度机构和我公司主管单位共同实施技术监督,我公司其它二次系统安全防护可由其上级主管单位实施技术监督。
.二次系统安全防护技术监督的单位对管辖范围内的技术方案负责审核,对涉及电力二次系统安全防护的产品选用提出指导意见。
. 成立由主管生产安全领导为组长的电力二次系统安全防护工作组,工作组成员名单并报相应电力调度部门、电监会备案。
2. 技术管理. 我公司电力二次系统安全防护工作必须坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全。
. 涉及电力二次系统安全防护的产品应具备国家网络与信息安全主管部门(国家电监会信息中心)认可的有关证明。
. 未完成电力二次系统安全防护措施前应制订安全防护改造应急措施。
. 在对电力二次系统进行安全检查过程中,如发现部分应用系统及网络未按照电力二次系统安全防护规定执行的应限期整改,若限期之内还不能完成,则对责任人进行通报批评并依据相关规定进行处罚。
3. 应急管理. 制定本单位电力二次系统安全防护应急预案,内容包括突发事件发现、应急安全隔离措施、事件上报、安全处理、事件反馈等几个方面并定期开展演练。
. 应急预案的制定和修改必须履行一定的审核手续,存放在规定的地方,并根据演习的结果不断完善应急预案。
. 对在电力二次系统中发生的安全技术事故和安全事件,要采取妥善措施,防止事件扩大,保护好现场,并在立即向山西省电力调度通信中心、山西省电监办报告,并在8小时内提供书面报告。
对隐报、缓报、谎报或未在上述时间内报告的将按国家有关规定,追究相关单位和当事人的责任。
4. 培训与评估. 每年需举办电力二次系统安全防护知识培训,提高电力二次系统安全防护技能和意识。
. 在进行安全评估和监督检查中应严格控制风险,确保电力系统安全稳定运行。
参加评估的人员应将遵守有关保密规定。
. 对电力二次系统安全防护工作监督检查专家组对本公司单位电力二次安全防护实施情况进行监督检查,提出整改意见进行整改。
5.附则. 本管理办法由自发布之日起执行。
第 II 条权限密码管理制度1. 为确保继电保护装置及网络安全运行,保护公司权益不受侵害,特制订此管理制度。
2. 服务器密码及口令管理. 监控机、网络路由器以及继电保护装置的口令和密码,由安生部门负责人和系统管理员商议确定,必须两人同时在场设定。
. 监控机、网络路由器以及继电保护装置的口令须部门负责人在场时要由系统管理员记录封存。
. 密码及口令要定期更换(视网络具体情况),更换后系统管理员要销毁原记录,将新密码或口令记录封存(方式同). 如发现密码及口令有泄密迹象,系统管理员要立刻报告部门负责人,经生产经理批示后再更换密码和口令。
3. 用户密码及口令的管理. 对于要求设定密码和口令的用户,由用户方指定负责人与系统管理员商定密码及口令,由系统管理员登记并请用户负责人确认(签字或电话通知),之后系统管理员设定密码及口令,并保存用户档案。
. 当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向网络服务管理部门提交申请单,由部门负责人或系统管理员核实后,履行本条1款所规定的手续,并对用户档案做更新记载。
. 如果网络提供用户自我更新密码及口令的功能,用户应自己定期更换密码及口令,并设专人负责保密和维护工作。
4. 附则. 本管理办法由自发布之日起执行。
第 III 条日常维护制度1. 总则. 为确保计算机网络系统安全、高效运行和各类设备处于良好状态,真确使用和维护各种设备,管理有章、职责明确,特制定本制度。
本制度分为5个部分:2. 值班制度. 机房实行24小时值班制度. 值班人员要遵守值班守则. 值班守则3. 巡视制度. 网络运行设备的巡视网站的工作状况网络交换机的工作状况客户端的网络运行速度认真做好记录. 机房环境的巡视. 机房设备的巡视SF6检漏系统的工作状况。
查看所有机房设备的报警记录。
认真做好巡视记录。
4. 日常管理制度. 每日清理机房的环境卫生。
. 到机房工作的人员要听从值班人员管理. 到机房工作的人员进入机房前需换上机房专用工作服和工作鞋,并定期清理自己的装用工作服和工作鞋。
. 到机房工作的人员不得在机房内吃食品,饮水,吸烟或其他与工作无关的事宜。
. 到机房工作的人员严禁携带与工作无关的物品,特别是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房。
. 到机房工作的人员应严格遵守岗位责任制,不能乱动与自己工作无关的设备。
. 机房内不能存放任何食品。
. 严禁在机房内使用其他用电器。
. 严禁在机房内存放杂物. 严禁在机房大声喧哗、玩电子游戏、聊天等. 严禁在机房的服务器上浏览INTERNET的网页和接收电子邮件。
. 在机房工作必须按操作规程正确操作、使用各类设备。
5. 运行维护制度. 配电柜一年进行至少2次维护检查。
维护内容:清扫灰尘、检查各接点、触电的温升,松紧。
注:双路供电还应检查互投开关的吃否可靠. UPS一年进行2次巡检。
维护内容:清扫灰尘、检查UPS逆变器工作状况及UPS整机的工作状况、检查电池组机每节电池的状况并对电池进行放电。
. 机房专用空调每月进行一次巡检。
维护内容:清扫及更换各过滤网、清洗或更换加湿罐、清扫室外机、测量工作压力、测量工作电压、电流,检查下水管道是否畅通及漏水报警是否正常、进行软化水更换。
. 机房防雷设施每年检查一次。
维护内容:检测个防雷器的可靠性、检查接地状况、. 机房每年进行两次专业保洁。
维护内容:对机房的地板进行调整和清洁、对底板下、天棚板上进行清洁。
6. 安全制度防雷、防火、防水、防盗、防虫害. 防雷:需按国家的规定对机房的设备进行接地,对进出机房的电力线,网络线需要加装防雷器。
每年要按国家的规定对防雷设施及设备接地进行检测. 防火:需按国家的规定在计算机机房进行消防设施的安装。
消防报警及灭火设施要7*24小时工作。
设施每年要按国家规定对消防报警及灭火设施进行检测. 防水:要经常检查机房的防漏水情况,空调、门窗及屋顶。
. 防虫害:经常检查机房的顶棚上和地板下的封闭情况。
不得在机房内存放食品,不得在机房内堆放杂物。
. 网络运行安全管理. 系统设备安全管理7. 附则. 本管理办法由自发布之日起执行。
第IV条计算机系统管理办法为保证我厂生产办公用计算机设备本身和计算机网络系统的安全稳定运行,以及相关工作的正常开展,保证存储在计算机中的信息和数据不被破坏,防止操作系统程序及应用软件系统不被非法更改或破坏,特制定本办法,加强计算机系统管理。
一.监控系统计算机的管理1.变电站监控系统计算机除主管领导、系统管理员外,禁止任何人对此计算机的操作。