EHPPSM电力二次系统安全防护管理制度.doc

EHPP-SM-电力二次系统安全防护管理制度———————————————————————————————— 作者：———————————————————————————————— 日期： EHPP-SM-26电力二次系统平安防护管理制度第一章 总那么第一条 为防范黑客及恶意代码等对电力二次系统的攻击侵害，建立电力二次系统平安防护体系，保证电厂和电网的平安稳定运行，依据?中华人民共和国计算机信息系统平安保护条例?、?电力二次系统平安防护规定?、?电力二次系统平安防护总体方案?、?电力行业信息系统平安等级保护定级工作指导意见?、?电网和电厂计算机监控系统及调度数据网络平安防护规定?、?计算机病毒防治管理方法?等相关法律法规及公司?计算机信息系统平安保密暂行方法?、?雅砻江流域调度自动化系统运行维护管理规程?，特制定本制度第二条 本制度包括：防护原那么、组织机构及职责、技术管理、应急管理、平安评估、检查与考核第三条 本制度适用于二滩水力发电厂第二章 防护原那么第四条 电力二次系统平安防护工作坚持以“平安第一、预防为主、管理和技术并重、综合防范〞为方针第五条 电力二次系统平安防护工作坚持“平安分区、网络专用、横向隔离、纵向认证〞的原那么。

第三章 组织机构及职责第六条 根据国家电监会?电力二次系统平安防护总体方案?要求，按照“谁主管谁负责，谁运营谁负责〞的原那么，成立电力二次系统平安防护工作小组第七条 工作小组组织机构〔一〕组长：总工程师〔二〕副组长：平安生产技术部、检修部、运行部、水工部及综合办公室负责人〔三〕成员：平安生产技术部二次专责工程师、平安专责工程师，检修部和运行部负责二次专业的副主任及相关专业人员第八条 工作小组职责〔一〕负责电力二次系统平安防护管理任务，落实有关平安管理措施，实现电力二次系统平安防护管理目标〔二〕负责落实电力二次系统平安防护的日常检查、定期维护、技术改造等工作〔三〕负责实施电力二次系统平安防护自查，配合电监会、安监局组织的专项检查对检查中发现的突出问题、重大隐患提出整改意见并形成书面报告，并将整改结果报上级主管部门第九条 工作小组人员职责〔一〕组长职责电力二次平安防护第一责任人 电力二次系统的平安防护体系3.对接入电力二次系统的设备进展审核和批准4.电力二次系统应急预案的审核和批准5.检查平安防护的执行情况、审计结果6.定期组织开展电力二次系统平安防护演练，并进展平安评估7.负责及时组织处理所辖电力二次系统发生的平安事故。

8.组织人员对平安事故进展认真分析并及时向上级报告〔二〕副组长职责1.协助组长完成电力二次系统的平安防护体系管理工作检查平安防护的执行情况、审计结果3.负责及时组织处理所辖电力二次系统发生的平安事故4.组织人员进展日常平安评估、平安事故分析和学习〔三〕平安生产技术部二次专责工程师、平安专责工程师，检修部和运行部负责二次专业的副主任职责电力二次系统的平安防护体系的建立2.负责检查各专业电力二次系统软件、数据的备份及存档工作3.定期组织电力二次系统进展平安检测和评估4.参与处理所辖电力二次系统发生的平安事故根本平安知识的咨询及培训6.负责工作小组的日常工作〔四〕各班值专业人员职责1.负责对本专业维护的应用系统中已部署的平安产品的平安策略进展设置和调整2.负责各个平安区的横向边界和纵向边界部署的平安产品的日常运行和维护电力二次系统技术改造、“两措〞等技术方案及应急预案的编制和实施4.及时处理所管辖的电力二次系统发生的平安事故电力二次系统软件、数据进展备份并存档6.及时将检查结果向本部门负责人报告7.严格遵守各项平安管理制度，妥善保管个人平安设施 第四章 技术管理第十条 平安分区：根据电力二次系统各业务系统的特性和对一次系统的影响程度进展分区，原那么上划分为生产控制大区和管理信息大区，生产控制大区可分为控制区〔平安区Ⅰ〕和非控制区〔平安区Ⅱ〕。

所有系统都必须分置于相应的平安区内，纳入统一的平安防护，进展重点保护实时控制，其中主效劳器/工作站采用平安加固的操作系统第十一条 网络专用：建立专用电力调度数据网络，与电力企业数据网络实现物理隔离，在调度数据网上形成相互逻辑隔离的实时子网和非实时子网，各级平安区在纵向上应在一样平安区进展互连所有系统都必须置于相应的平安区内，纳入统一的平安防护第十二条 横向隔离：采用不同强度的平安设备隔离各平安区，尤其是在生产控制大区与管理信息大区之间实行有效平安隔离，隔离强度应接近或到达物理隔离分别建立内网、外网公共数据区，内网公共数据分布于数据接口效劳器，外网公共数据分布于数据交换平台第十三条 纵向认证：采用认证、加密、访问控制等技术措施实现数据的远方平安传输以及纵向边界的平安防护第十四条 平安区Ⅰ为控制区，包括计算机监控系统、励磁、调速器、辅控系统、同步量测量系统、继电保护装置、平安稳定控制装置〔至省调〕等实时控制系统平安区Ⅰ是电力二次系统中最为关键的局部，是平安防护的重点和核心，平安等级最高第十五条 平安区Ⅱ为非控制区，包括继电保护及故障录波管理信息系统〔无远方设置功能〕、电能量采集及报价系统、平安稳定控制装置〔至集控〕、故障录波装置、消防监控系统等。

第十六条 平安区Ⅲ为管理信息大区，包括工业电视系统、机组状态监测系统、大坝自动监测系统、气象信息系统、防汛信息系统、电力生产管理信息系统〔MAXIM0〕、管理信息系统〔MIS〕、综合信息管理平台〔OA〕第十七条 制止生产控制大区的E-Mail效劳，制止平安区Ⅰ的Web效劳第十八条 严禁E-Mail、Web、Telnet、Rlogin、FTP等平安风险高的通用网络效劳和以B/S或C/S方式的数据库访问穿越专用横向单向平安隔离装置，仅允许纯数据的单向平安传输第十九条 允许平安区Ⅱ内部采用B/S构造的业务系统，且只限于业务系统内部使用允许平安区Ⅱ纵向平安Web效劳，经过平安加固且支持Https的平安Web效劳器和Web浏览工作站应在专用网段，Web浏览工作站与平安区Ⅱ业务系统工作站不得共用，须由业务系统向Web效劳器单向主动传送数据第二十条 生产控制大区重要业务的远程通信必须采用加密认证机制，即生产控制大区通过广域网与电网调度系统、雅砻江流域集控中心的通信，必须加装经过国家指定部门检测认证的电力专用纵向加密认证装置，且链路两侧的纵向加密认证装置必须一致第二十一条 生产控制大区内的业务系统间应采取VLAN和访问控制等平安措施，限制系统间的直接互通。

平安区Ⅰ与平安区Ⅱ之间的连接采用硬件防火墙进展隔离，控制区与信息发布区之间的连接采用专用横向平安隔离装置进展隔离，生产控制大区与管理信息大区之间的连接采用正向平安隔离装置进展隔离第二十二条 生产控制大区进展拨号访问效劳，效劳器和用户端必须使用经国家指定部门认证的平安加固的操作系统，且采取加密、认证和访问控制等平安防护措施第二十三条 在生产控制大区边界上考虑部署威胁检测与智能分析系统〔TDS〕第二十四条 生产控制大区须部署平安审计措施，必须把平安审计与平安网络管理系统、威胁检测与智能分析系统〔TDS〕、敏感业务效劳器登录认证和授权、应用访问控制权限相结合第二十五条 生产控制大区必须统一部署代码防护系统，采取防恶意代码措施病毒库和木马库的更新必须离线进展，不得直接从外部互联网下载第二十六条 电力二次系统不能与管理信息系统〔MIS〕直接网络连接通信，以防止病毒的侵蚀和破坏如果需要网络通信，那么必须按照?电力二次系统平安防护规定?的要求，选用单向物理隔离装置进展平安隔离，按照?计算机病毒防治管理方法?进展病毒检测与防护管理，并定期对防病毒软件进展升级第二十七条 接入电力二次系统的专用工器具包括专业便携式计算机、专用移动存储介质〔软盘、移动硬盘、光盘、U盘〕等，必须设备专用、专人管理；严禁非专用工器具接入电力二次系统，严禁设备的专用工器具穿插使用。

第二十八条 具有远程访问功能的电力二次系统，在使用远程登录进展系统诊断和维护时必须处于受控状态，远程登录诊断和维护必须由相关电力二次系统平安防护工作组成员履行工作票许可手续后予以开放，工作完毕及时关闭远程登录访问功能第二十九条 加强对涉密人员、涉密场所、涉密载体的保密管理，严防网络涉密事件的发生第三十条 加强备份制作、备份恢复、程序安装管理，电力二次系统平安防护工作组成员为重要电力二次设备瘫痪的恢复责任人第五章 应急管理第三十一条 根据?二滩水电站电力二次系统平安防护应急处置方案?定期开展演练第三十二条 应急处置方案的制订和修改须履行审核批准手续，根据演练结果进展完善，并妥善保管第三十三条 电力二次系统平安防护中发生的平安技术事故和不平安事件,要采取防止事件扩大的措施，保护好现场,立即报告电力二次系统平安防护工作小组，并在8小时内提供书面报告第六章 平安评估第三十四条 电力二次系统平安防护工作小组每年进展一次平安评估，平安评估以自评估为主，评估结果做好备案第三十五条 在进展平安评估和专项检查中应严格控制风险，确保电厂电力二次系统平安稳定运行第三十六条 电力二次系统平安防护的相关技术方案需经电力二次系统平安防护工作小组组长审核，涉及到电力调度局部需报上级调度部门审核批准。

第三十七条 涉及电力二次系统平安防护的产品要具备国家网络与信息平安主管部门〔国家电监会信息中心〕认可的有关证明，选用时须征求上级调度部门的指导意见第七章 检查与考核第三十八条 本制度执行情况由平安生产技术部负责监视、检查第三十九条 依据本制度、电厂?绩效管理制度?和?不平安事件调查与考核管理制度?进展考核第八章 附那么第四十条 本制度由检修部制定，平安生产技术部负责解释第四十一条 本制度自2013年1月1日起执行本制度涉及的工作表单：软件、数据备份清单二滩水力发电厂电力二次系统软件、数据备份清单序号系统设备备份内容备份周期1监控系统现地控制单元数据库及程序源码1年操作员站系统配置、画面等1年2历史数据系统接口效劳器系统配置修改后数据库效劳器系统配置修改后报表站系统配置修改后WEB效劳器系统配置修改后ONCALL效劳器系统配置修改后横向隔离装置系统配置修改后硬件防火墙系统配置修改后交换机系统配置修改后3调度通信系统网关机系统配置修改后4集控边界二次安防系统交换机系统配置修改后路由器系统配置修改后纵向加密装置系统配置修改后硬件防火墙系统配置修改后5省调边界二次安防系统交换机系统配置修改后路由器系统配置修改后纵向加密装置系统配置修改后硬件防火墙系统配置修改后6机组控制系统励磁、调速器、压油装置应用软件、参数定期工作后7辅助设备控制系统闸门、泵站、空压机、工业电视、消防应用软件、参数修改后8保护装置机组、线路、G。