电厂电力监控系统网络安全防护管理制度1docWord文档格式.docx
《电厂电力监控系统网络安全防护管理制度1docWord文档格式.docx》由会员分享,可在线阅读,更多相关《电厂电力监控系统网络安全防护管理制度1docWord文档格式.docx(7页珍藏版)》请在冰豆网上搜索。
《电力监控系统安全防护总体方案》国能安全(2015)36号文
《发电厂监控系统安全防护方案》国能安全(2015)36号文
《变电站监控系统安全防护方案》国能安全(2015)36号文
《配电监控系统安全防护方案》国能安全(2015)36号文
《电力监控系统安全防护评估规范》国能安全(2015)36号文
《关于印发补充内容(电力监控系统信息安全事件有关规定)的通知》(南方电网安监〔2016〕12号)
《中华人民共和国网络安全法》(2017年6月)
《国家能源局关于加强电力行业网络安全工作的指导意见》(国能发安全〔2018〕72号)
《中国南方电网电力调度管理规程》(Q/CS212045-2017)
《中国南方电网电力监控系统网络安全管理办法》(Q/CSG212001)
《中国南方电网电力监控系统网络安全技术规范》(Q/CSG1204009)
《中国南方电网有限责任公司保密工作管理办法》(Q/CSG221008)
3术语和定义
3.1电力监控系统:
是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等。
具体包括电力数据采集与监控系统、能量管理系统、发电厂自动化系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、相
量测量系统、负荷控制系统、电能量计量系统、实时电力市场的辅助控制系统、电力调度数据网络等。
3.2电力调度数据网络:
是指各级电力调度专用广域数据网络、电力生产专用拨号网络等。
3.3控制区(I区):
是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或者专用通道的各业务系统构成的安全区域。
3.4非控制区(II区):
是指在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。
3.5综合数据网(III区):
是指**公司办公自动化系统与**公司、*****公司联网的网络,部分办公电脑需通过路由配置登录中调网址。
3.6网络安全:
是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
4职责
生产技术部(信息管理部)是本制度的归口管理部门,生产技术部(信息管理部)、运行部、维护部是电力监控系统安全防护和运维管理的责任部门,安全保卫部是组织电力监控系统安全防护事故、异常进行分析的责任部门。
另根据上级文件要求成立公司电力监控系统网络安全防护组织机构,负责电力监控系统网络安全防护工作的领导和组织管理。
4.1电力监控系统网络安全防护组织机构及职责
4.1.1公司电力监控系统网络安全防护组织机构划为两级,分设领导组和工作组,工作组在领导组的授权和指挥下开展具体工作。
4.1.2领导小组组成:
组长:
生产副总经理
副组长:
生产技术部(信息管理部)主任、副主任;
安全保卫部主任、副主任。
成员:
办公室主任、运行部主任、维护部主任。
小组成员按照岗位职务确定,如出现岗位变更,成员随职务变更。
4.1.3领导小组职责
4.1.3.1负责组织建立、健全公司电力监控系统安全防护管理的组织机构;
负责组织制定、完善公司电力监控系统二次安全防护管理分级负责的责任制。
4.1.3.2负责组织公司电力监控系统总体设计方案的安全审查和完善;
负责组织各专业电力监控系统安全防护管理制度的审查和完善,保证公司电力监控系统网络安全防护组织机构有效运转;
负责组织公司电力监控系统安全防护方案的制定和实施;
组织制定公司电力监控系统安全评估制度。
4.1.3.3负责建立公司电力监控系统安全联合防护机制和应急机制;
当公司电力监控系统受到攻击、病毒感染或发生严重故障时负责宣布应急预案的启动。
4.1.4工作小组组成:
生产技术部(信息管理部)副主任
副组长:
生产技术部(信息管理部)电气专责
信息专责
热控专责
灰硫专责
维护部:
电气专责、安全专责
运行部:
维护部电气二次班、热控板成员及部门各信息员。
运行部值长、单元长、部门各信息员。
4.1.5工作小组职责
4.1.
5.1负责组织公司电力监控系统安全防护总体方案设计;
负责组织公司电力监控系统安全防护方案的制定、完善和实施;
负责组织编制和完善公司电力监控系统安全评估管理和应急预案。
5.2根据设备划分,分别由各专业主管作为本专业的安全防护第一责任人,具体制定本专业电力监控系统安全防护的有关安全管理制度;
负责本专业电力监控系统安全防护方案的落实;
负责本专业方面的电力监控系统安全防护应急预案的编写及演练;
对在电力监控系统中发生的安全技术事故和安全事件,按照相关预案采取妥善措施,防止事件扩大;
严格执行二次安全防护事件通报要求,对有关安全问题做好记录;
做好相关数据的备份工作,妥善保管重要软件、参数;
定期对本专业的电力监控系统进行安全风险评估,及时进行自查整改,定期升级网络防病毒软件或防火墙软件版本。
4.2各部门职责
4.2.1生产技术部(信息管理部)职责
负责本制度的制定和修改,并监督制度的实施;
负责接收“贵州电力调度控制中心自动化专业、网络安全专业下发的文件,并按照文件类别分发到责任部门,报办公室备案及公文流转。
负责电气、热控、信息专业专责负责组织本专业范围内电力监控系统设备安全防护管理、运维管理和安全评估工作。
生产技术部(信息管理部)信息专责负责综合数据网、办公自动化系统的设备安全防护管理、运维管理和安全评估工作。
4.2.2维护部职责
负责分管范围内电力监控系统安全防护设备的安装调试、日常维护、安全评估等工作;
对电力监控系统运行情况进行定期检查,消除缺陷,落实整改措施。
负责网络安全事故的应急处理。
4.2.3运行部职责
负责公司电力监控系统设备的运行管理工作;
值长、单元长负责查看“贵州电力调度控制中心调度管理系统”下发的文件,并按照文件类别分发到责任部门,报办公室备案及公文流转。
负责配合维护部进行电力监控系统安全防护设备的安装调试、日常维护、安全评估等工作;
负责配合配合网络安全事故处理。
4.2.4安全保卫部职责
负责组织各部门对公司电力监控系统设备运行中发生的事故、异常、障碍等问题进行分析,提出考核意见,上报公司生产副总经理批准后提交考核部门落实考核。
4.2.5办公室职责
负责上级部门下发的相关公文备案和流转。
5风险辨识
5.1关键控制点
电力监控系统网络安全防护工作应当落实国家信息安全等级保护制度,按照国家信息安全等级保护的有关要求,坚持“安全分区、网络专用、横向隔离、纵向认证”的原则,保障电力监控系统的安全。
关键控制点是电力监控系统安全防护的完备性和网络安全。
5.2风险分析
发电厂监控系统安全防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。
发电厂监控系统的防护目标是抵御黑客、病毒、恶意码等通过各种形式对发电厂监控系统发起的恶意破坏和攻击,以及其它非法操作,防止发电厂电力监控系统瘫痪和失控,并由此导致的发电厂一次系统事故。
发电厂安全防护的重点是强化发电厂监控系统的边界防护,同时加强内部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统维护的管理,提高系统整体安全防护能力,保证电力监控系统及重要数据的安全。
当遭受网络攻击,生产控制大区的电力监控系统出现异常或者故障时,应当立即向公司领导和上级电力调度机构以及当地公安机关网络安全机构报告,并联合采取紧急防护措施,防止事态扩大,同时应当注意保护现场,以便进行调查取证。
6管理内容与要求
6.1门禁和人员管理
6.1.1电气继电保护室、500kV升压站网控室、DCS电子间、工程师站、行政办公楼通信机房、中心机房等重要区域应安装电子门禁;
门禁系统应有出入记录,对出入人员有明确的鉴定功能。
6.1.2重要区域机房应安装有视频监控,并有合格的防火灾、防漏水、防雷等物理安全防护设施。
6.1.3进入电气继电保护室、500kV升压站网控室、DCS电子间、工程师站、通信机房、中心机房等重要区域,必须执行门禁管理和机房出入登记管理。
6.1.4电气、热控、信息专业人员负责检查所辖机房的环境、设备与网络系统的运行情况;
负责完成规定的日常操作和告警监测记录、故障和隐患的排除,机房内设备的日常巡视;
认真履行机房的各项管理规定,并督促进入机房的人员严格遵守。
6.1.5机房人员应熟悉电力监控系统安全防护设备,有一定的应变和事故判断能力;
应在第一时间发现故障和事故隐患,具有快速处理故障和事故隐患的能力,并及时向上级领导报告。
6.1.6定期对电力监控系统网络设备进行防入侵检测,保护网络不受攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。
6.1.7进行系统检修(维护)和操作,必须执行检修申请、工作票或安全措施票手续。
6.1.8机房谢绝参观学习,无关人员禁止入内;
特殊情况必须由公司领导批准,由相关专业人员带领,按指定路线参观。
6.1.9不得私自提供任何记录给无关人员,拷贝、打印记录只能提供给公司规定人员;
采取加密技术保密手段;
系统指令和电脑密码保护不得随意透漏。
6.2权限和访问控制管理
6.2.1按照专业设备分工,电气、热控、信息专业应对所辖电力监控系统设备的账户、业务权限和访问控制进行严格管理,满足相关安全防护要求。
6.2.2发电厂管理信息大区中的业务系统应对业务权限的分配和使用进行严格限制。
6.2.3关键业务系统的账户与权限管理应满足如下要求:
6.2.3.1业务系统应具备正式的授权功能,对权限分配进行控制和管理;
6.2.3.2权限的分配满足最小特权要求,即任意用户/角色仅具有完成其业务操作的最小权限;
6.2.3.3业务系统应该具有对权限分配和取消情况的记录能力;
6.2.3.4具有对临时用户权限的独立管理能力,例如系统调试与维护权限;
6.2.3.5业务系统应实现特权分立,例如:
系统管理权限、安全管理权限、网络管理权限相互分立,相互制约,互不重叠;
6.2.3.6业务系统具有正式的账户/口令管理功能,可进行账户/口令的分配、取消等管理工作;
6.2.3.7业务系统应采取加密措施确保账户/口令控制与管理过程的