高井热电厂电力二次系统安全防护管理制度汇编.docx
《高井热电厂电力二次系统安全防护管理制度汇编.docx》由会员分享,可在线阅读,更多相关《高井热电厂电力二次系统安全防护管理制度汇编.docx(19页珍藏版)》请在冰豆网上搜索。
高井热电厂电力二次系统安全防护管理制度汇编
大唐国际发电股份有限厂北京高井热电厂
电力二次系统安全防护管理制度汇编
批准:
审批:
编制:
大唐国际发电股份有限厂北京高井热电厂20XX年2月
第一条电力二次系统安全防护管理制度
1.总则
1.1为了防范黑客及恶意代码等对电力二次系统的攻击侵害,保障我厂电力二次系统的安全可靠、稳定运行,提高电力二次系统的安全管理水平,根据国家电监会颁布的《电力二次系统安全防护规定》(电监会5号令)及《电力二次系统安全防护总体方案》(电监安全[2006]34号),特制定本管理办法。
1.2我厂电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则。
1.3我厂电力二次系统安全防护工作以“安全第一、预防为主,管理和技术并重、综合防范”为方针,遵循“统一领导、统一规划、统一标准、统一组织开发”的原则。
1.4本管理办法适用于我厂电力二次系统,所有涉及电力二次系统的规划、设计、系统改造、工程实施、运行管理等均应符合本管理办法的要求。
1.5引用标准及规范:
1.5.1《电网和电厂计算机监控系统及调度数据网络安全防护规定》国家经贸委30号令
1.5.2《电力二次系统安全防护规定》国家电监会5号令
1.5.3《电力二次系统安全防护总体方案》国家电监会电监安全[2006]34号文
2.管理职责
2.1我厂根据国家电监会《电力二次系统安全防护总体方案》要求,按照“谁主管谁负责,谁运营谁负责”的原则,建立电力二次系统安全管理制度,明确运行、检修、调试和信息化等部门相关人员的安全职责。
2.2电力调度机构负责直接调度范围内的下一级电力调度机构和调度专网的二次系统安全防护的技术监督。
发电厂内涉及到电力调度的生产控制系统和装置,如发电厂的输变电二次系统、故障录波装置、继电保护装置和安全自动控制装置等,由电力调度机构和我厂主管单位共同实施技术监督,我厂其它二次系统安全防护可由其上级主管单位实施技术监督。
2.3二次系统安全防护技术监督的单位对管辖范围内的技术
2.3方案负责审核,对涉及电力二次系统安全防护的产品选用提出指导意见。
2.4成立由主管生产安全领导为组长的电力二次系统安全防护工作组,工作组成员名单并报相应电力调度部门、电监会备案。
3.技术管理
3.1我厂电力二次系统安全防护工作必须坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全。
3.2根据各自二次系统情况制定电力二次系统安全防护方案,防护方案应每年滚动修订、完善。
3.3涉及电力二次系统安全防护的产品应具备国家网络与信息安全主管部门(国家电监会信息中心)认可的有关证明。
3.4未完成电力二次系统安全防护措施前应制订安全防护改造应急措施。
3.5在对电力二次系统进行安全检查过程中,如发现部分应用系统及网络未按照电力二次系统安全防护规定执行的应限期整改,若限期之内还不能完成,则对责任人进行通报批评并依据相关规定进行处罚。
4.应急管理
4.1制定本单位电力二次系统安全防护应急预案,内容包括突发事件发现、应急安全隔离措施、事件上报、安全处理、事件反馈等几个方面并定期开展演练。
4.2应急预案的制定和修改必须履行一定的审核手续,存放在规定的地方,并根据演习的结果不断完善应急预案。
4.3对在电力二次系统中发生的安全技术事故和安全事件,要采取妥善措施,防止事件扩大,保护好现场,并在立即向上级厂、华北电监局报告,并在8小时内提供书面报告。
对隐报、缓报、谎报或未在上述时间内报告的将按国家有关规定,追究相关单位和当事人的责任。
5.培训与评估
5.1.每年需举办电力二次系统安全防护知识培训,提高电力二次系统安全防护技能和意识。
5.2在进行安全评估和监督检查中应严格控制风险,确保电力系统安全稳定运行。
参加评估的人员应将遵守有关保密规定。
5.3对电力二次系统安全防护工作监督检查专家组对本厂电力二次安全防护实施情况进行监督检查,提出整改意见进行整改。
6.附则
6.1本管理办法由自发布之日起执行。
第二条二次系统权限密码管理制度
1.总则
1.1为确保继电保护装置及网络安全运行,保护我厂权益不受侵害,特制订此管理制度。
2.服务器密码及口令管理
2.1监控机、网络路由器以及继电保护装置的口令和密码,由设备部负责人和系统管理员商议确定,必须两人同时在场设定。
2.2监控机、网络路由器以及继电保护装置的口令须部门负责人在场时要由系统管理员记录封存。
2.3密码及口令要定期更换(视网络具体情况),更换后系统管理员要销毁原记录,将新密码或口令记录封存(方式同2.2)
2.4如发现密码及口令有泄密迹象,系统管理员要立刻报告部门负责人,经生产副厂长批示后再更换密码和口令。
3.用户密码及口令的管理
3.1对于要求设定密码和口令的用户,由用户方指定负责人与系统管理员商定密码及口令,由系统管理员登记并请用户负责人确认(签字或电话通知),之后系统管理员设定密码及口令,并保存用户档案。
3.2当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向信息中心或设备负责人提交申请单,由部门负责人或系统管理员核实后,履行本条1款所规定的手续,并对用户档案做更新记载。
3.3如果网络提供用户自我更新密码及口令的功能,用户应自己定期更换密码及口令,并设专人负责保密和维护工作。
4.附则
4.1本管理办法由自发布之日起执行。
第三条二次系统门禁管理和机房人员登记制度
1.总则
1.1.为确保二次系统安全、高效运行和各类设备处于良好状态,真确使用和维护各种设备,管理有章、职责明确,特制定本制度。
本制度分为5个部分:
1.1.1值班制度
1.1.2巡视制度
1.1.3日常管理制度
1.1.4运行维护制度
1.1.5安全保密制度
2.值班制度
2.1机房实行24小时值班制度
2.2值班人员要遵守值班守则
2.3值班守则
2.3.1要培养值班人员有一定的综合素质,有一定的应变和事故判断能力。
2.3.2值班人员的主要职责是要在第一时间发现故障和故障隐患,并及时报告,使相关管理人员能及时赶到现场尽最大可能缩短故障恢复时间。
2.3.3熟知工作内容和责任规范。
值班时间内不得作与工作、业务无关的任何私事,不得擅自离开岗位。
2.3.4值班人员负责机房的安全和机房环境卫生。
认证履行机房的各项规定,并督促进入机房人员严格遵守。
2.3.5负责机房的环境设备与网络系统的安全运行;负责完成规定的日常操作和故障监测记录,简单故障的排除,负责环境设备的日常巡视。
2.3.6值班人员必须以严肃、严格的态度,认证执行机房巡视制度负责每日对机房网络设备、机房设备、机房环境的巡视、认真填写巡视记录表,发现问题及时向相关管理人员反映。
2.3.7值班人员要定时对网络管理监控机进行巡视并认真进行记录。
2.3.8当遇到故障报警时,应及时判断处故障点,并立即通知相关的系统管理员现场排除故障。
发生重大故障时,还应及时报告直接领导。
2.3.9值班人员应按时到岗,认真交接,双方签字后交班人员方可离岗。
2.3.10必须严格遵守各项相关管理规定和消防管理规定。
3.巡视制度
3.1.网络运行设备的巡视
3.1.1各服务器的CPU和内存的工作状况
3.1.2防火墙的工作状况
3.1.3网站的工作状况
3.1.4邮件服务器的工作状况
3.1.5网络交换机的工作状况
3.1.6客户端的网络运行速度
3.1.7认真做好记录
3.2机房环境的巡视
3.2.1机房门窗的关闭情况
3.2.2机房的卫生状况
3.2.3机房的灯光状况
3.2.4机房的温度、湿度及空气状况
3.2.5认真做好记录
3.3机房设备的巡视
3.3.1对机房的UPS、空调、消防报警等系统的运行情况进行经常性巡视,密切注意工作负荷、电池容量、室内温湿度等数值,以保证网络安全、正常的运行
3.3.2主配电柜的供电电压、电流。
3.3.3UPS的输出电压、电流和负载功率。
3.3.4UPS电池的状况。
3.3.5空调的工作状况。
3.3.6新市调和空气净化器的工作状况。
3.3.7消防报警系统的工作状况。
3.3.8查看所有机房设备的报警记录。
3.3.9认真做好巡视记录。
4.日常管理制度
4.1每日清理机房的环境卫生。
4.2到机房工作的人员要听从值班人员管理
4.3到机房工作的人员进入机房前需换上机房专用工作服和工作鞋,并定期清理自己的装用工作服和工作鞋。
4.4到机房工作的人员不得在机房内吃食品,饮水,吸烟或其他与工作无关的事宜。
4.5到机房工作的人员严禁携带与工作无关的物品,特别是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房。
4.6到机房工作的人员应严格遵守岗位责任制,不能乱动与自己工作无关的设备。
4.7机房内不能存放任何食品。
4.8严禁在机房内使用其他用电器。
4.9严禁在机房内存放杂物
4.10严禁在机房大声喧哗、玩电子游戏、聊天等
4.11严禁在机房的服务器上浏览INTERNET的网页和接收电子邮件。
4.12在机房工作必须按操作规程正确操作、使用各类设备。
5.运行维护制度
5.1配电柜一年进行至少2次维护检查。
维护内容:
清扫灰尘、检查各接点、触电的温升,松紧。
5.2UPS一年进行2次巡检。
维护内容:
清扫灰尘、检查UPS逆变器工作状况及UPS整机的工作状况、检查电池组机每节电池的状况并对电池进行放电。
5.3机房专用空调每月进行一次巡检。
维护内容:
清扫及更换各过滤网、清洗或更换加湿罐、清扫室外机、测量工作压力、测量工作电压、电流,检查下水管道是否畅通及漏水报警是否正常、进行软化水更换。
5.4新市调每年进行两次维护。
维护内容:
更换过滤网,检查电机的工作状况
5.5空气净化每季度要进行一次维护。
维护内容:
对设备进行清洗、跟换活性炭。
5.6.机房消防系统每年进行一次检测。
维护内容:
检查个监测点及报警设备的可靠性、检查消防设备的电池、喷头。
5.7机房防雷设施每年检查一次。
维护内容:
检测个防雷器的可靠性、检查接地状况、
5.8机房每年进行两次专业保洁。
维护内容:
对机房的地板进行调整和清洁、对底板下、天棚板上进行清洁。
6.安全保密制度
6.1门禁管理
6.1.1机房必须设有门禁,机房的工作人员需登记进入机房。
非机房工作人员不能随意进入机房。
非机房工作人员进入机房必须登记和服从值班人员管理。
6.1.2防雷、防火、防水、防盗、防虫害
6.1.2.1防雷:
需按国家的规定对机房的设备进行接地,对进出机房的电力线,网络线需要加装防雷器。
每年要按国家的规定对防雷设施及设备接地进行检测
6.1.2.2防火:
需按国家的规定在计算机机房进行消防设施的安装。
消防报警及灭火设施要7*24小时工作。
设施每年要按国家规定对消防报警及灭火设施进行检测
6.1.2.3防水:
要经常检查机房的防漏水情况,空调、门窗及屋顶。
6.1.2.4防盗:
严格机房进出管理,门禁要24*7小时工作,严格执行进出机房的登记制度、严格执行进出机房不得携带其他物品的规定
6.1.2.5防虫害:
经常检查机房的顶棚上和地板下的封闭情况。
不得在机房内存放食品,不得在机房内堆放杂物。
6.2网络运行安全管理
6.2.1对涉密网和内部办公网要与INTERNET网物理隔离,所用服务器要安装在屏蔽机柜内,网络线、网络插座、插头都要屏蔽。
6.2.2对INTERNET网的进口要加装防火墙,如必要可装多级防火墙。
防火墙的设置要经常根据需要进行调整以防入侵。
6.2.3对所有服务器要安装防病毒软件,要经常对防病毒软件进行升级。
经常对计算机病毒进行检测。
6.3系统设备安全管理
6.3.1进入机房不得带拷贝工具和便携机
6.3.2机房内所有服务器应设有开机密码、系统登陆密码
6.3.3机房内所有服务器都应设有带密码的屏幕保护
6.3.4网管人员操作后应将服务器处于锁定状态
6.3.5非网管人员不得私自操作任何服务器
6.4认真遵守国家的各项保密制度
6.4.1严格遵守党和国家的保密制度。
有关打印结果、存储介质及原始数据必须有本人保管。
带有密级的媒体应及时锁入保险柜中,收、发要登记。
定期集中销毁废弃的涉密纸、物。
6.4.2需要于正常工作日、时之外使用机房加班的人员,应得到主管处领导的批准,并向运行值班人员办理登记手续。
机房的值班人员必须同时在长陪同
6.4.3严禁与机房工作无关的人员进入机房
6.4.4非机房工作人员在机房工作是必须有机房值班人员陪同
6.4.5机房内各类服务器应由专人分类管理
6.4.6建立设备、资料责任制。
7.附则
7.1本管理办法由自发布之日起执行。
第四条计算机系统管理办法
为保证我厂生产单元办公用计算机设备本身和计算机网络系统的安全稳定运行,以及相关工作的正常开展,保证存储在计算机中的信息和数据不被破坏,防止操作系统程序及应用软件系统不被非法更改或破坏,特制定本办法,加强计算机系统管理。
1.监控系统计算机的管理1.1华北调度专网监控系统计算机
除主管领导、系统管理员外,禁止任何人对此计算机的操作。
查看、调用数据,须经当值值班长同意或授权。
如遇调度专网正常倒闸操作或事故处理,则由有权限进入该系统的操作人员,严格按《安规》、《运规》、《调规》及相关规定和要求进行操作。
1.2市调监控系统计算机
任何人不得随意退出市调监控系统,不得改动计算机设置和运行参数,不得打开、移动、删除计算机内所有程序、文件及文件夹,不得进行与市调无关的工作,禁止使用市调监控机光驱和软驱,所有在市调监控机上进行的市调启、停或调用、查看、打印相关运行数据,都必须由场领导或当值值班长允许和授权方可进行。
2.工程师站及单元办公用计算机的管理
2.1工程师站计算机
有权限进入调度专网微机防误系统的操作人员,应严格按变电运行规定及规程要求在微机防误系统下,模拟操作及填写、上传、打印操作票。
查看、填写当日发电日报表、月报表及相关数据,必须经当值值班长同意或授权,禁止打开、移动、删除计算机目录下的所有文件夹及文件,未经系统管理员批准,禁止进行数据拷贝或外来磁盘、光盘的插入和操作,严禁进行与工作无关的任何操作。
2.2单元办公用计算机使用单元办公用计算机,必须经当值值班长或系统管理员同意,并且详细登记、记录后方可使用。
自己所建文件或文档必须归类到各自所属磁盘的文件夹内,不准将文档、文件或文件夹乱摆乱放,不得随意打开、移除、更改与自己无关的程序及文件。
除上网上传报表数据外,未经系统管理员同意或授权,严禁更改计算机的所有设置,严禁安装和删除所有程序,严禁更改、删除、移动计算机内所有文件夹及文件,严禁外来磁盘以及光盘的插入和操作。
3.调度计算机数据管理每日接班人员,在接班前必须检查计算机设置有无改变,系统文件及程序有无丢失,计算机系统是否稳定。
第五条高井热电厂病毒防护安全管理制度
为加强二次系统的病毒防范管理,确保系统遭受病毒危害的影响最小化,实现内部统一的病毒防护策略要求,特制订本制度。
本制度适用于信息中心及信息技术相关部门、本地合作的第三方等所有人员使用。
一、管理要求
1.1产品选型要求
1.应采用国家许可的正版防病毒软件,保证软件的长期有效支持。
2.防病毒体系的建立必须在防病毒厂商或专业安全厂内的帮助和指导下建立完善网络防病毒体系。
3.建设网络防病毒体系,客户端应部署至我厂所有PC的范围。
4.应采用成熟的网络防病毒系统,将服务器防毒、客户端防毒、群件防毒、网关防毒等防病毒体系整合在一起,形成多层次的病毒纵深防护体系,并制定全网的防病毒规划。
5.防病毒软件应具备根据病毒的危害程度进行分类报警的功能。
报警方式应至少包括界面报警、声音报警、E-mail报警、Windows消息报警、记录日志数据库等。
1.2配置策略要求
1.所有内部服务器和客户端必须安装统一部署的网络防毒软件,并在防病毒服务器配置统一升级策略。
2.防病毒服务器的安全策略配置应符合我厂发展的实际情况。
3.所有内部服务器和客户端必须启用防病毒系统的实时检测功能。
4.服务器及终端的病毒库的升级频率应不低于每3天1次。
1.3防病毒管理要求
1.各部门应指定信息员专职负责计算机病毒防范工作。
2.收到防病毒厂商严重病毒通告后,应及时通知员工。
3.系统管理员应及时检查防病毒软件以及病毒库的升级更新情况,重大安全通告发布后,应在1个工作日内完成病毒库的检查更新。
4.新二次系统安装前必须进行病毒例行检测。
5.对于外来的(如:
网络下载、可移动磁盘等介质)程序和文档,应在运行或打开前进行计算机病毒的检测和清除。
6.对于电子邮件附件所带的程序和文档,不得直接运行或打开,应在运行或打开之前先存盘,并进行计算机病毒的检测和清除后,再打开或运行。
7.禁止进行任何计算机病毒的制作和故意传播。
8.如果有因为病毒造成的损失,应该立即隔离将受到病毒感染的计算机与内部网隔离开。
9.重要部门的计算机要做到专人专用专管,避免交叉使用。
10.信息中心应每2周对整网进行计算机病毒的检测和清除,并将检测和清除的结果记录备案。
11.信息中心应至少1月进行一次全网的病毒综合分析报告,为病毒防护策略调整做依据。
12.发现可疑的病毒现象时,应及时进行计算机病毒的诊断和分析,并采取适当措施进行计算机病毒的清除和系统的恢复。
当发现新病毒时,应保留原始记录并立即报告安全管理员,安全管理员应尽快提交给防病毒厂商。
13.对于因计算机病毒引起的计算机二次系统的瘫痪、程序和数据严重破坏等重大事故,应做好现场保护工作,并向安全管理员报告。
14.当计算机感染病毒并被查杀后,计算机管理或使用人员应及时从以下方面确定感染原因,以便从根本上解决问题:
操作系统和IE是否补丁更新至最新;
是否具有空口令或弱口令;
是否开放了非认证共享;
是否是非法行为(点击非法电子邮件附件、点击非法网站等)。
第六条高井热电厂新二次系统建设安全管理规范
为加强新上线系统的安全性,保证与原二次系统安全策略的一致性,特制订本规范。
本规范适用于信息中心负责管理和维护二次系统网络设备、服务器的安全管理员、网络管理员、系统管理员、应用管理员以及本地实施的第三方使用。
三、管理要求
3.1网络安全建设要求
1.网络管理员应对所有新增网络设备进行资产登记。
2.新的网络设备的接入应首先由相关部门提出申请,信息中心根据实际业务需要进行审核,确定最佳接入方案,才可以进行实施,禁止私自安装或移动网络设备。
网络管理员应对任何新的网络设备的接入进行记录备案,记录内容应包括:
接入人、接入时间、接入原因等。
3.新上线系统必须明确定义网络安全边界,如果是重要业务或敏感系统应同其他系统以防火墙或者划分VLAN的方式进行隔离。
4.新上线系统应结合原二次系统,合理设计网络路由,不得影响其他业务的网络连通性、可达性。
5.充分考虑不可信网络特别是Internet的接入问题,防止出现多Internet接入点,Internet出口必须设计部署防火墙的访问控制设备;对外服务器系统与内网分离,并单独接入在边界防火墙的独立保护区域(DMZ);跨公网访问的情况,应采取VPN等加密手段在公网上进行通信传输。
6.充分考虑电源、网络设备和通信链路的冗余问题,防止出现单点故障,以及对今后网络变更或扩充产生不利的影响。
7.合理设计网络地址,充分考虑地址的连续性管理以及业务流量分布的均衡性。
8.新二次系统的网络建设应有详细的实施计划,包括:
时间进度计划、设备和软件采购计划、人力资源分配计划、应急响应计划;应充分考虑网络建设时对原有网络的影响,并制定详细的应急计划,避免因网络建设出现意外情况造成原有网络的损失。
9.在网络建设完成投入使用前,应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试,并做详细记录,最终形成测试报告。
10.在网络建设完成,测试通过投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化配置。
11.在网络建设完成后,应立即更改相关网络设备默认的配置和策略,并进行备份。
12.由任何网络设备、服务器、终端接入导致的网络变更后,网络管理员应及时调整相关访问控制设备的安全策略,安全管理员应确认网络是否具有清晰的网络拓扑结构,网络边界安全是否控制严格。
13.新的网络设备在正式上架运行后,应经过一段时间的试运行,在试运行阶段,应严密监控其运行情况,以及对网络是否带来影响;当发现网络运行不稳定或者出现明显可疑情况时,应立即启动应急预案。
3.2系统安全建设要求
1.系统管理员应对所有新增服务器情况进行资产登记。
2.新服务器的接入应首先由相关部门提出申请,信息中心根据实际业务需要进行审核,确定最佳接入方案,才可以进行实施,禁止私自安装或移动服务器。
系统管理员应对任何新的服务器的接入进行记录备案,记录内容应包括:
接入人、接入时间、接入原因等。
3.新二次系统服务器硬件采购必须考虑:
新设备在满足功能需要的同时,应有优秀的性能和足够的容量,以避免影响数据处理;数据必须有适当的保护策略,以避免丢失或意外/不可预测的破坏;系统必须有较大的冗余(电源、CPU以及其他组件)来避免出现突然的意外事件。
4.新二次系统服务器操作系统应选用正版软件并且遵守软件规定的最终用户使用协议,禁止使用盗版软件。
5.新二次系统服务器系统安装完成,测试通过投入使用前,应删除测试用户和口令,最小化授权用户的权限,最优化安全配置。
6.新的服务器在正式上架运行前应由系统管理员进行功能测试,由安全管理员进行安全检查并确认后方能正式运行使用。
严禁在不测试或测试不成功的情况下接入网络。
安全管理员需要检查的内容如下:
a)查看硬件和软件系统的运行情况是否正常、稳定;
b)查看OS版本和补丁是否最新;
c)OS是否存在已知的系统漏洞或者病毒、木马等其他安全缺陷;
d)是否安装了厂内统一要求的防病毒软件,病毒库是否升级至最新。
7.新的服务器在正式上架运行后,应经过一段时间的试运行,在试运行阶段,应严密监控其运行情况,以及对网络是否带来影响;当发现网络运行不稳定或者出现明显可疑情况时,应立即启动应急预案。
3.3应用安全建设要求
1.数据库管理员、应用系统管理员应对所有应用系统(数据库系统、业务应用系统)新增情况进行资产登记。
2.新的应用系统的接入应首先向相关部门提出申请,信息中心根据实际业务需要进行审核,确定最佳接入方案,禁止私自在主机上安装或接入应用系统。
任何新的应用系统的接入都应进行记录备案,记录内容应包括:
接入人,接入时间,接入原因等。
3.新的应用系统在正式上架运行前应由系统维护人员进行功能测试,由安全管理员进行安全测试并确认后方能正式运行使用。
严禁在不测试或测试不成功的情况下接入网络。
安全管理员需要测试的内容如下:
1)查看硬件和软件系统的运行情况是否正常、稳定;
2)查看应用系统的软件版本和补丁是否最新;
3)应用系统软件是否存在已知的系统漏洞或者其他安全缺陷。
4.新的应用系统在正式上架运行前,应经过一段时间的试运行,在试运行阶段,应严密监控其运行情况;当发现系统运行不稳定或者出现明显可疑情况时,应立即启动应急
升级会员 