电力监控系统二次安全防护管理方案计划解决方法规范标准.docx

1、电力监控系统二次安全防护管理方案计划解决方法规范标准神华神东电力重庆万州港电有限责任公司电力监控系统安二次全防护管理标准第一条 范围本标准规定了神华万州港电公司电力监控系统二次安全防护系统设备分工、运维的管理内容与要求、检查与考核。本标准适用于神华万州港电公司电力监控系统二次安全防护设备的运维管理。本标准所称的电力监控系统，是指发电厂内通过对生产控制系统（单元机组DCS、输煤DCS、辅网等控制系统，热工专业监控系统）以及涉及到电力调度的生产控制、信息传输系统（单元机组涉及到的输变电监控系统、NCS系统、自动发电控制装置、无功电压控制装置、电能量采集装置、同步功角向量采集装置、保护信息子站等系统

2、，电气专业监控系统），统称为电力监控系统；电力监控系统的功能是对实时数据进行信息采集、计算、存储、传输、检索等处理，建全厂内各生产系统实时信息显示，机组的性能计算与经济性分析，机组在线性能监测与分析，机组及线路在线保护和性能监测与分析，预测与预防性维护等。另外包括公司内部办公信息网络等系统。第二条 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。电网和电厂计算机监控系统及调度

3、数据网络安全防护规定国家经贸委 200230号令电力监控系统安全防护规定国家电监会5号令电力监控系统安全防护总体方案国家电监会电监安全200634号文中华人民共和国计算机信息系统安全保护条例中华人民共和国国务院令147号第三条 管理职能3.1 设备维护部是本标准的归口部门，设备维护部、综合办公室、发电运行部、生产技术部是公司电力监控系统二次安全防护系统设备的管理责任部门，负责职责范围内工作的组织实施。设备维护部、综合办公室是公司电力监控系统二次安全防护系统设备的运维管理责任部门，负责分管范围内公司电力监控系统二次安全防护系统设备的运维管理工作，安全监察部是本标准实施的监督部门，人力资源部是公司

4、内部落实考核的责任部门。另根据上级主管部门要求成立公司电力监控系统二次安全防护组织机构，加强公司电力监控系统二次安全防护工作的领导和规划管理。 3.2 各部门职责3.2.1 设备维护部、综合办公室职责（设备管理）依据本标准，负责分管范围内公司电力监控系统二次安全防护系统设备的维护和管理工作。3.2.2发电运行部、生产技术部、设备维护部、综合办公室依据本标准，负责分管范围内公司电力监控系统二次安全防护系统设备的运行管理工作。3.2.3安全监察部（监督管理） 负责监督公司电力监控系统二次安全防护系统设备的各管理部门正常履行设备管理职责，依据本标准对公司电力监控系统二次安全防护设备管理过程中的推委、

5、扯皮的现象进行提出考核意见，上报公司生产副生技理批准后提交人力资源部。3.2.4 人力资源部（考核管理） 负责落实公司电力监控系统二次安全防护设备系统管理中的各项考核。3.3 电力监控系统二次安全防护组织机构及职责3.3.1 公司电力监控系统二次安全防护组织机构划为两级，分设领导组和工作组，工作组在领导组的授权和指挥下开展具体工作。3.3.2领导小组组成：组 长：总工程师副组长：生产技术部经理成 员：设备维护部经理、发电运行部经理、综合办公室经理3.3.3领导小组职责3.3.3.1负责组织建立、健全公司电力监控系统二次安全防护管理的组织机构；负责组织制定、完善公司电力监控系统二次安全防护管理分

6、级负责的责任制。3.3.3.2负责组织公司电力监控系统总体设计方案的安全审查和完善；负责组织各专业电力监控系统二次安全防护管理制度的审查和完善，保证公司电力监控系统二次安全防护组织机构有效运转；负责组织公司电力监控系统二次安全防护方案的制定和实施；组织制定公司电力监控系统安全评估制度。3.3.3.3负责建立公司电力监控系统安全联合防护机制和应急机制；当公司电力监控系统受到攻击、病毒感染或发生严重故障时负责宣布应急预案的启动。3.3.4工作小组组成：组 长：生产技术部经理副组长: 设备维护部经理、发电运行部经理、生产技术部副经理成 员：热工专业主管、电气二次专业主管、发电运行部电气主管、热工班班

7、长、电二班班长、通信远动专责、热工专业SIS系统专责、信息中心专责、电量上报主管3.3.5工作小组职责3.3.5.1负责组织公司电力监控系统二次安全防护总体设计；负责组织公司电力监控系统二次安全防护方案的制定、完善和实施；负责组织制定和完善公司电力监控系统安全评估管理和应急预案。3.3.5.2根据设备划分，分别由各专业主管作为本专业方面的二次安全防护第一责任人，具体制定本专业方面电力监控系统二次安全防护的有关安全管理制度；负责本专业方面的电力监控系统二次安全防护方案的落实；负责本专业方面的电力监控系统二次安全防护应急预案的编写及演练；对在电力监控系统中发生的安全技术事故和安全事件，按照相关预案

8、采取妥善措施，防止事件扩大；严格执行二次安全防护事件通报要求，有关安全问题做好记录；做好相关数据的备份工作，妥善保管重要软件、参数；定期对本专业方面的电力监控系统进行安全风险评估，及时进行自查整改，定期升级网络防病毒软件或防火墙软件版本。第四条 管理内容与要求4.1 各部门之间的电力监控系统二次安全防护系统设备的分工4.1.1 设备范围及分工原则4.1.1.1 电力监控系统二次安全防护设备范围具体划分如下：A、应用、接口计算机：包括生产现场各控制系统的采集接口计算机、应用计算机、后台维护计算机等；B、服务器：实时数据库服务器、镜像服务器、计算服务器、管理服务器等、应用及数据库服务器等；C、网络

9、传输设备：交换机、路由器、网管工作站、光电转换装置；D、二次防护设备：防火墙、物理隔离装置、纵向加密认证装置、防入侵检测装置等；E、存储设备：磁盘阵列、外部存储设备（U盘、移动硬盘、光盘等）。F、备品备件：系统正常运行需要的备件等。G、系统软件：计算机应用系统，防病毒软件、网管软件、服务器、接口机操作系统，防入侵检测软件等；H、应用软件：实时工况系统，性能计算系统，耗差分析系统、RTU系统，AVC系统，PMU系统、电能量采集系统等。电力监控系统二次安全防护设备本着谁使用谁负责管理的原则。4.1.2 设备维护部电二专业负责我厂生产现场电气专业二次安全防护设备的维护，包括#1、#2机组的自动发电控

10、制装置、无功电压控制装置、远动RTU、PMU、电能量采集装置、故障录波装置、继电保护装置和安全自动控制装置、保护信息子站和调度数据专网网络交换机、路由器、纵向加密认证装置、防火墙等设备及系统的软、硬件的维护和管理；4.1.3 设备维护部热工专业负责我厂现场#1、#2机组DCS采集接口机、辅网接口机及其硬件防火墙和采集交换机、现场正向隔离装置、II区防入侵检测装置、SIS中所涉及的eDNA数据库（应用程序）等设备及系统的软、硬件的维护和管理。4.1.4 综合办公室信息中心负责办公区域SIS系统硬件和网络等所有设备的维护工作，包括实时数据库服务器、核心交换机、III区交换机、磁盘阵列、备份服务器及

11、磁带机、计算服务器、WEB服务器、III区防入侵检测装置、镜像服务器的维护管理、软件备份和升级。操作系统、ORACLE数据库、系统备份病毒库升级等工作。并负责公司电力市场系统服务器硬件及应用系统终端电脑的维护工作。对调度数据专网系统的网络设备提供技术支持和帮助。另外，综合办公室作为电力市场系统应用计算机的使用部门之一，对我厂电力市场系统的公文收发应用计算机负责，指定专人专用并对使用人员进行管理，签署保密协议，同时负责对违规使用人员进行考核管理，并上报公司电力监控系统二次安全防护领导小组。4.1.5 发电运行部作为电力市场系统应用计算机的使用部门之一，对我厂电力市场系统的厂网调度应用计算机负责，

12、有义务对计算机使用人员进行权限管理，同时负责对违规使用人员进行考核管理，并上报公司电力监控系统二次安全防护领导小组。4.1.6 生产技术部作为电力市场系统应用计算机的使用部门之一，同时也是公司电力调度系统数字证书管理系统的管理责任部门；对我厂电力市场系统的电量统计上报应用计算机负责，同时对公司电力调度系统数字证书管理系统负责，指定专人专用并对使用人员进行管理，签署保密协议，同时负责对违规使用人员进行考核管理，并上报公司电力监控系统二次安全防护领导小组。4.2 权限密码管理4.2.1电力监控系统、服务器密码及口令管理4.2.1.1监控机、网络交换机、路由器、服务器以及二次设备主机等设备的口令和密

13、码，由我厂电力监控系统二次安全防护工作组各专业主管和各专业系统管理员商议确定，必须两人同时在场设定。4.2.1.2监控机、网络交换机、网络路由器、远动RTU、AVC、PMU、电厂报价终端、电能量采集装置、故障录波装置、继电保护装置和安全自动控制装置等电控专业负责维护的二次设备，其口令和密码必须电控专业主管在场时，由系统管理员记录封存。4.2.1.3密码及口令要定期更换（视网络具体情况），更换后系统管理员要销毁原记录，将新密码或口令记录封存。4.2.1.4如发现密码及口令有泄密迹象，系统管理员要立刻报告部门负责人，经生产副总批示后再更换密码和口令。4.2.2用户密码及口令的管理4.2.2.1对于

14、要求设定密码和口令的用户，由用户方指定负责人与系统管理员商定密码及口令，由系统管理员登记并请用户负责人确认（签字或电话通知），之后系统管理员设定密码及口令，并保存用户档案。4.2.2.2当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下，需向网络服务管理部门提交申请单，由部门负责人或系统管理员核实后，对用户档案做更新记载。4.2.2.3如果网络提供用户自我更新密码及口令的功能，用户应自己定期更换密码及口令，并设专人负责保密和维护工作。4.3 门禁和机房人员登记管理4.3.1人员管理4.3.1.1 管理人员应具有一定的综合素质，有一定的应变和事故判断能力。4.3

15、.1.2 管理人员的主要职责是要在第一时间发现故障和故障隐患，具有快速处理故障和故障隐患的能力，并及时向上级领导报告。4.3.1.3熟知工作内容和责任规范。工作时间内不得作与工作、业务无关的任何私事，不得擅自离开岗位。4.3.1.4 管理人员负责机房的安全和环境卫生。认证履行机房的各项管理规定，并督促进入机房的人员严格遵守。4.3.1.5 负责检查机房的环境设备与网络系统的安全运行；负责完成规定的日常操作和告警监测记录，故障和隐患的排除，负责机房内设备的日常巡视。 4.3.1.6管理人员必须以严肃、严格的态度，认真执行机房巡视制度，负责每日对机房网络设备、机房设备、机房环境的巡视、认真填写巡视

16、记录表，发现问题及时向主管领导反映。4.3.1.7管理人员要定时对监控机、网络交换机、路由器等设备进行巡视并认真进行记录。4.3.1.8当遇到故障报警时，应及时判断出故障点，并立即通知相关的系统管理员到现场共同排除故障。发生重大故障时，还应及时报告主管领导。4.3.1.9管理人员必须严格遵守各项相关管理规定和消防管理规定。4.3.2 网络巡视管理 4.3.2.1网络运行设备的巡视4.3.2.2各服务器的CPU和内存的工作状况4.3.2.3防火墙的工作状况4.3.2.4网管设备的工作状况4.3.2.5数据库服务器的工作状况4.3.2.6网络交换机、路由器的工作状况4.3.2.7客户端的网络运行速

17、度4.3.2.8认真做好记录4.3.3 机房环境的巡视管理4.3.3.1机房门窗的关闭情况4.3.3.2机房的卫生状况4.3.3.3机房的灯光状况4.3.3.4机房的温度、湿度及空气状况4.3.3.5认真做好记录4.3.4机房设备的巡视管理4.3.4.1对机房的UPS、空调、消防报警等系统的运行情况进行经常性巡视，密切注意工作负荷、电池容量、室内温湿度等数值，以保证网络设备安全、正常的运行 4.3.4.2主配电柜的供电电压、电流。4.3.4.3UPS的输出电压、电流和负载功率。4.3.4.4UPS电池的状况。4.3.4.5空调的工作状况。4.3.4.6空气净化器的工作状况。4.3.4.7消防报

18、警系统的工作状况。4.3.4.8查看所有机房设备的报警、日志记录。4.3.4.9认真做好巡视记录。4.4 日常管理4.4.1每日检查机房的环境卫生，至少一周清扫一次。4.4.2到机房工作的人员要听从机房专业负责人员管理。4.4.3到机房工作的人员进入机房前需换上机房专用工作服和工作鞋，并定期清理自己的工作服和工作鞋。4.4.4到机房工作的人员不得在机房内吃食品，饮水，吸烟或其他与工作无关的事宜。4.4.5到机房工作的人员严禁携带与工作无关的物品，特别是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房。4.4.6到机房工作的人员应严格遵守岗位责任制，不能乱动与自己工作无关的设备。4.4.7机房内不

19、能存放任何食品。4.4.8严禁在机房内使用其他用电器。4.4.9严禁在机房内存放杂物。4.4.10严禁在机房大声喧哗、玩电子游戏、聊天等。4.4.11严禁在机房的服务器上浏览INTERNET的网页和接收电子邮件。 4.4.12在机房工作必须按操作规程正确操作、使用各类设备。4.5 运行维护管理4.5.1配电柜一年进行至少2次维护检查。维护内容：清扫灰尘、检查各接点、触点的温度，松紧。注：双路供电还应检查互投开关的可靠性。 4.5.2UPS一年进行2次巡检。维护内容：清扫灰尘、检查UPS逆变器工作状况及UPS整机的工作状况、检查电池组机每节电池的状况并对电池进行放电试验。4.5.3机房专用空调每

20、月进行一次巡检。巡检内容：检查过滤网是否积灰、检查室外机积尘、测量工作电压、电流，检查下水管道是否畅通及漏水报警是否正常。4.5.4机房专用空调每年进行两次维护。维护内容：清扫或更换过滤网 ，清扫空调机柜及风机、清扫室外机并检查电机的工作状况。 4.5.5机房消防系统每年进行一次检测。维护内容：检查个监测点及报警设备的可靠性、检查消防设备的电池、喷头。4.5.6机房防雷设施每年检查一次。维护内容：检测个防雷器的可靠性、检查接地状况、4.5.7机房每年进行两次专业保洁。维护内容：对机房的地板进行调整和清洁、对底板下、天棚板上进行清洁。 4.6 安全保密管理4.6.1门禁安全管理 4.6.1.1机

21、房必须设有门禁，机房的工作、管理人员需登记进入机房。非机房工作人员不能随意进入机房。非机房工作人员进入机房前，必须先申请，经主管领导同意批准，履行登记手续后方可在机房管理人员的陪同下进入机房，并且服从机房管理人员的管理。4.6.2防雷、防火、防水、防盗、防虫害管理 4.6.2.1防雷：需按国家的规定对机房的设备进行接地，对进出机房的电力线，网络线需要加装防雷器。每年要按国家的规定对防雷设施及设备接地进行检测。4.6.2.2防火：需按国家的规定在机房进行消防设施的安装。消防报警及灭火设施要7*24小时工作。设施每年要按国家规定对消防报警及灭火设施进行检测。 4.6.2.3防水：要经常检查机房的防

22、漏水情况，空调、门窗及屋顶。 4.6.2.4防盗：严格机房进出管理，门禁要24*7小时工作，严格执行进出机房的登记制度、严格执行进出机房不得携带危险物品的规定。4.6.2.5防虫害：经常检查机房的顶棚上和地板下的封闭情况。不得在机房内存放食品，不得在机房内堆放杂物。 4.6.3网络运行安全管理 4.6.3.1对涉密网和内部办公网要与INTERNET网物理隔离，所用服务器要安装在屏蔽机柜内，网络线、网络插座、插头都要屏蔽。 4.6.3.2对INTERNET网的进口要加装防火墙，如必要可装多级防火墙。防火墙的设置要经常根据需要进行调整以防入侵。 4.6.3.3对所有服务器要安装防病毒软件，要经常对

23、防病毒软件进行升级。经常对计算机进行病毒检测。 4.6.4系统设备安全管理 4.6.4.1进入机房不得带拷贝工具和便携机。 4.6.4.2机房内所有服务器应设有开机密码、系统登陆密码。4.6.4.3机房内所有服务器都应设有带密码的屏幕保护。 4.6.4.4专业管理人员操作后应将服务器处于锁定状态。 4.6.4.5非专业管理人员不得私自操作任何服务器。4.6.5保密管理 4.6.5.1严格遵守党和国家的保密制度。有关打印结果、存储介质及原始数据必须由专人保管。带有密级的媒体应及时锁入保险柜中，收、发要登记。定期集中销毁废弃的涉密纸、物。4.6.5.2严禁与机房工作无关的人员进入机房。4.6.5.

24、3非机房工作人员在机房工作时，必须有专业负责人员陪同监护。 4.6.5.4机房内各类服务器应由专人分类管理。 4.6.5.5指定设备、资料管理责任人。4.7 计算机系统管理 4.7.1 电力监控系统计算机的管理 除主管领导、系统管理员外，禁止任何人对此计算机进行访问控制和操作。查看、调用数据，须经当值值长同意或授权。如遇正常倒闸操作或事故处理，则由有权限进入该系统的操作人员，严格按安规、运规、调规及相关规定和要求进行操作。4.7.2 工程师站计算机的管理： 有权限进入电厂微机防误、DCS系统计算机的操作人员，应严格按变电运行规定及规程要求在微机防误、DCS系统下，模拟操作、查看、修改参数和填写

25、、上传、打印操作票。模拟操作、查看、修改参数必须经专业主管同意或授权，查看、填写当日发电日报表、月报表及相关数据，必须经当值值班长同意或授权，禁止私自打开、移动、删除计算机目录下的所有文件夹及文件，未经系统管理员批准，禁止进行数据拷贝或外来磁盘、光盘的插入和操作，严禁进行与工作无关的任何操作。4.7.3 生产办公用计算机的管理 使用办公用计算机，必须经当值值长或系统管理员同意，并且详细登记、记录后方可使用。自己所建文件或文档必须归类到各自所属磁盘的文件夹内，不准将文档、文件或文件夹乱摆乱放，不得随意打开、移除、更改与自己无关的程序及文件。除上网向电网公司上传报表数据外，未经系统管理员同意或授权

26、，不得上网做与电网公司报表无关的事。严禁更改计算机的所有设置，严禁安装和删除所有程序，严禁更改、删除、移动计算机内所有文件夹及文件，严禁外来存储介质，如：移动硬盘、U盘以及光盘的插入和操作。4.7.4 计算机数据管理： 每日接班人员，在接班前必须检查计算机设置有无改变，系统文件及程序有无丢失，计算机系统是否稳定。并且检查和核对前一日报表是否正确、完整，上报数据是否成功报出，月报表必须填写合格，打印后交由场领导审核批准后，方可上报。4.8 电力监控系统安全评估管理4.8.1电力监控系统安全评估采取以自评估为主、联合评估为辅的方式，将安全评估纳入电力系统安全评价体系，掌握基本的评估技术和方法。4.

27、8.2 电力监控系统在投运前、升级改造之后必须进行安全评估。4.8.3 对已投入运行的系统，根据国家及国家电力监管委员会，关于电力监控系统安全评估的相关规定，进行定期安全评估。4.8.4对于电力监控系统，根据国家及国家电力监管委员会，关于电力监控系统安全评估的相关规定，每年进行一次安全评估。评估方案及结果应及时向上级主管部门汇报、备案。4.8.5 参与评估的机构及人员必须稳定、可靠、可控，并与公司签署长期保密协议。4.8.6对电力生产大区安全评估的所有记录、数据、结果等均不得以任何形式携带出公司，并按国家和公司有关要求做好保密工作。4.8.7 电力监控系统安全评估必须严格控制实施风险，确保评估

28、工作不影响电力监控系统的安全稳定运行。4.8.8评估前应根据国家及国家电力监管委员会，关于电力监控系统安全评估的相关规定，制定相应的应急预案，实施过程应符合电力监控系统的相关管理规定。4.9 电力监控系统二次安全防护系统的维护管理4.9.1 严格遵守劳动纪律，在工作期间对机房内设备安全运行全面负责。4.9.2 系统管理人员应熟悉机房内设备的运行情况，能熟练操作维护系统和处理设备的一些异常和缺陷，保证机房内设备安全运行。4.9.3 系统管理人员应定期巡视所管辖的二次设备运行工况，检查机房内服务器、交换机、监控主机等设备的运行情况，并将设备的运行情况记录于巡检记录中。4.9.4 设备运行期间，发现

29、设备故障应及时处理，在经过判断和处理后确认故障为：系统非常故障；现场的检测手段不能处理；完成时限不允许；应通知专业主管，并向上级主管领导报告处理的情况，在专业技术人员的指导下进行处理。4.9.5 系统管理人员在进行维护操作前，应向专业主管领导申请或办理工作票，待专业主管领导或当值值长同意批准后，在工作负责人的监护下，方可进行相关操作。4.9.6 严格遵守安全保密管理标准。4.9.7 不允许在机房内从事影响设备安全运行的活动。4.9.8 做好机房、电力监控系统及设备的卫生工作。4.10 电力监控系统恶意代码（病毒及木马等）的二次安全防护管理4.10.1 定期更新带恶意代码的网站清单，屏蔽该部分网

30、站，并禁止网络内用户访问陌生的非工作相关站点。4.10.2 统一设置浏览器中的Internet选项中的 Internet区域的安全级别，设定为高等级。并禁止用户修改。4.10.3 一般情况下，不通过服务器直接登录公共站点访问，如有必要，须事先在其他电脑中登记访问网站，确保该网站的安全性。4.10.4 在所有服务器中，如非必需，禁止开启ActiveX插件和控件、JAVA脚本等。4.10.5 确保各服务器及工作站安装并及时更新网络防火墙，并确保“实时监控功能”的开启状态。4.10.6 做好Windows 相关注册表的备份工作。4.10.7 网络管理员要对IE或其他网络浏览器进行定期得打补丁或更新工

31、作。4.11 电力监控系统数据及系统的备份管理4.11.1 各专业系统管理员应定期对电力监控系统设备应用系统、信息数据等进行备份管理。4.11.2 提高数据备份的自动化运行管理水平，做好本地数据冷备份，减少人的操作与干预，或制定严格的管理规范，避免误操作。4.11.3 计算机信息数据备份包括服务器全部数据及相关服务器数据的备份工作，各工作站上的数据库及其它数据文件。4.11.4 信息数据的备份包括定期备份和临时备份两种。定期备份指按照规定的日期定期对数据进行备份；临时备份指在特殊情况（如软件升级、设备更换、感染病毒等）下，临时对信息数据进行备份。4.11.5 信息数据根据系统情况和备份内容，可以采取以下备份方式：4.11.5.1 完全备份：对备份的内容进行整体备份。4.11.5.2 增量备份：仅对备份相对于上一次备份后新增加和修改过的数据。4.11.5.3差分备份：仅备份相对于上一次完全备份之后新增加和修改过的数据。4.11.5.4 按需备份：仅备份应用系统需要的部分数据。4.11.6 为保证所备份的内容可再现系统运行环境，数据备份内容应包括网络系统的所有关键数据。