發(fā)電企業(yè)工控系統(tǒng)網(wǎng)絡(luò)信息安全技術(shù)監(jiān)督檢查表（電氣專業(yè)）

1、發(fā)電企業(yè)工控系統(tǒng)網(wǎng)絡(luò)信息安全技術(shù)監(jiān)督檢查表（電氣專業(yè)）序號檢查類別檢查對象檢查內(nèi)容 標(biāo)準(zhǔn)與要求整改意見整改時(shí)間計(jì)劃企業(yè)整改責(zé)任人科研院監(jiān)督責(zé)任人1物理安全機(jī)房1）抽查重要設(shè)備安裝環(huán)境，檢查是否滿足防竊、防火、 防破壞等物理安全防護(hù)要求；2）抽查該重要區(qū)域門禁系統(tǒng)的出入記錄（如檢查電子門禁記錄）；檢查該重要區(qū)域門禁系統(tǒng)是否對出入人員有明確的鑒別功能（如檢查電子門禁系統(tǒng)的定期巡檢和維護(hù)記錄）。1、檢查電子間、繼保間、網(wǎng)控機(jī)房等門窗鎖具、消防系統(tǒng)是否完善，是否配置門禁系統(tǒng)（無門禁系統(tǒng)須有鑰匙管理制度并執(zhí)行）；2、檢查門禁系統(tǒng)能夠記錄出入人員身份并按要求保存一定時(shí)間并能在后臺查閱（無門禁系統(tǒng)須在鑰匙保

2、管處有借用記錄）；3、門禁系統(tǒng)允許進(jìn)入人員有針對性，無關(guān)人員不允許進(jìn)入相關(guān)區(qū)域，進(jìn)入相關(guān)區(qū)域的人員應(yīng)經(jīng)過廠內(nèi)批準(zhǔn)；4、通訊機(jī)房物理安全檢查要求：a)訪談物理安全負(fù)責(zé)人，采取了哪些防止設(shè)備、介質(zhì)等丟失的保護(hù)措施；b)訪談機(jī)房維護(hù)人員，詢問主要設(shè)備放置位置是否做到安全可控,設(shè)備或主要部件是否進(jìn)行了固定和標(biāo)記，通信線纜是否鋪設(shè)在隱蔽處；是否對機(jī)房安裝的防盜報(bào)警設(shè)施進(jìn)行定期維護(hù)檢查；c)訪談資產(chǎn)管理員，在介質(zhì)管理中，是否進(jìn)行了分類標(biāo)識，是否存放在介質(zhì)庫或檔案室中；d)檢查主要設(shè)備是否放置在機(jī)房內(nèi)或其它不易被盜竊和破壞的可控范圍內(nèi)；檢查主要設(shè)備或設(shè)備的主要部件的固定情況，是否不易被移動或被搬走，是否設(shè)置

3、明顯的無法除去的標(biāo)記；e)檢查通信線纜鋪設(shè)是否在隱蔽處（如鋪設(shè)在地下或管道中等）；f)檢查機(jī)房防盜報(bào)警設(shè)施是否正常運(yùn)行，并查看運(yùn)行和報(bào)警記錄；g)檢查介質(zhì)的管理情況，查看介質(zhì)是否有正確的分類標(biāo)識，是否存放在介質(zhì)庫或檔案室中；h)檢查是否有設(shè)備管理制度文檔，通信線路布線文檔，介質(zhì)管理制度文檔，介質(zhì)清單和使用記錄，機(jī)房防盜報(bào)警設(shè)施的安裝測評/驗(yàn)收報(bào)告。電源1)抽查供電設(shè)施及場所，檢查是否滿足防竊、防火、 防破壞等物理安全防護(hù)要求；2)抽查機(jī)房供電線路上是否配置穩(wěn)壓器和過電壓防護(hù)設(shè)備、設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；抽查機(jī)房建立備用供電系統(tǒng)，提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情

4、況下的正常運(yùn)行要求。1.查驗(yàn)遠(yuǎn)動裝置、計(jì)算機(jī)監(jiān)控系統(tǒng)及其測控單元等自動化設(shè)備應(yīng)采用冗余配置的不間斷電源或站內(nèi)直流電源供電；2. 檢查防雷和過電壓防護(hù)能力應(yīng)滿足電力系統(tǒng)通信站防雷和過電壓防護(hù)要求；3. 檢查監(jiān)控網(wǎng)絡(luò)設(shè)備應(yīng)采用獨(dú)立的自動空氣開關(guān)供電，禁止多臺設(shè)備共用一個(gè)分路開關(guān)。各級開關(guān)保護(hù)范圍應(yīng)逐級配合，避免出現(xiàn)分路開關(guān)與總開關(guān)同時(shí)跳開，導(dǎo)致故障范圍擴(kuò)大的情況發(fā)生；4、柴發(fā)小室、UPS間、直流電源設(shè)備間、廠用配電室門窗鎖具、消防系統(tǒng)是否完善；5、廠用電、UPS電源、柴油發(fā)電機(jī)工作電壓滿足計(jì)算機(jī)工作要求220V10%，供電回路交流供電電源應(yīng)采用兩路來自不同電源點(diǎn)供電，具備雙電源模塊的裝置或計(jì)算機(jī)，

5、兩個(gè)電源模塊應(yīng)由不同電源供電；6、通訊機(jī)房防靜電要求：a) 應(yīng)訪談物理安全負(fù)責(zé)人，詢問機(jī)房是否采用必要的接地防靜電措施，是否有控制機(jī)房濕度的措施；b) 應(yīng)訪談機(jī)房維護(hù)人員，詢問是否經(jīng)常檢查機(jī)房濕度，并控制在GB2887中的規(guī)定的范圍內(nèi)；詢問機(jī)房是否存在靜電問題或因靜電引起的故障事件；c) 應(yīng)檢查機(jī)房是否有防靜電設(shè)計(jì)/驗(yàn)收文檔；d) 應(yīng)檢查機(jī)房是否有安全接地，查看機(jī)房的相對濕度是否符合GB2887中的規(guī)定，查看機(jī)房是否明顯存在靜電現(xiàn)象。7、通訊機(jī)房電磁防護(hù)要求a) 應(yīng)訪談物理安全負(fù)責(zé)人，詢問是否有防止外界電磁干擾和設(shè)備寄生耦合干擾的措施（包括設(shè)備外殼有良好的接地、電源線和通信線纜隔離等）；b)

6、應(yīng)訪談機(jī)房維護(hù)人員，詢問是否對設(shè)備外殼做了良好的接地；是否做到電源線和通信線纜隔離；是否出現(xiàn)過因外界電磁干擾等問題引發(fā)的故障；通訊1）抽查重要設(shè)備安裝環(huán)境，檢查是否滿足防竊、防火、 防破壞等物理安全防護(hù)要求；2）抽查通信設(shè)備是否具備N-1安全運(yùn)行要求；3）抽查大樓不同的冗余的通信通道是否從不同的電纜溝道分設(shè)。1、通信光纜或電纜應(yīng)采用不同路由的電纜溝(豎井)進(jìn)入通信機(jī)房和主控室；避免與一次動力電纜同溝(架)布放，并完善防火阻燃、阻火分隔、防小動物封堵等各項(xiàng)安全措施，綁扎醒目的識別標(biāo)志；如不具備條件，應(yīng)采取電纜溝(豎井)內(nèi)部分隔離等措施進(jìn)行有效隔離；2、應(yīng)訪談機(jī)房維護(hù)人員，詢問是否對設(shè)備外殼做了良

7、好的接地；是否做到電源線和通信線纜隔離；3、應(yīng)檢查通信機(jī)房布線，查看是否做到電源線和通信線纜隔離；4、應(yīng)檢查通信線纜鋪設(shè)是否在隱蔽處（如鋪設(shè)在地下或管道中等）；5、應(yīng)檢查是否有通信線路布線文檔/驗(yàn)收文檔，和實(shí)際布線是否一致。2系統(tǒng)本體安全主機(jī)硬件1）查看相關(guān)安全檢測證明；現(xiàn)場記錄設(shè)備型號及固件版本號，比較國家披露信息確認(rèn)是否存在安全隱患。 2)現(xiàn)場檢查設(shè)備空閑端口是否關(guān)閉；3)現(xiàn)場檢查主機(jī)USB、光驅(qū)等接口封閉情況。1、檢查遠(yuǎn)動裝置、相量測量裝置、電能量終端、時(shí)間同步裝置、五防裝置、計(jì)算機(jī)監(jiān)控系統(tǒng)及其測控單元、變送器及安全防護(hù)設(shè)備等自動化設(shè)備(子站)必須是通過具有國家級檢測資質(zhì)的質(zhì)檢機(jī)構(gòu)檢驗(yàn)合

8、格的產(chǎn)品；2、禁止選用經(jīng)國家相關(guān)管理部門檢測存在信息安全漏洞的設(shè)備，安全四級主要設(shè)備應(yīng)滿足電磁屏蔽的要求，全面形成具有縱深防御的安全防護(hù)體系。1、現(xiàn)場調(diào)度專網(wǎng)路由器與現(xiàn)場設(shè)備接口按指定接口連接；空閑端口應(yīng)從系統(tǒng)設(shè)置關(guān)閉；3、現(xiàn)場與調(diào)度專網(wǎng)連接設(shè)備主機(jī)USB、光驅(qū)等接口應(yīng)采用封條予以封閉，如不需要使用應(yīng)予以拆除；4、查驗(yàn)空閑網(wǎng)絡(luò)端口是否關(guān)閉并貼上封條；5、現(xiàn)場查驗(yàn)S主機(jī)、操作站USB、電腦終端、光驅(qū)等接口封閉并貼上封條?，F(xiàn)場使用的網(wǎng)線及接頭應(yīng)具備屏蔽功能。 操作系統(tǒng)、關(guān)系數(shù)據(jù)庫等基礎(chǔ)軟件1）身份鑒別信息不易被冒用，口令復(fù)雜程度滿足要求并定期更換；2）應(yīng)修改默認(rèn)用戶和口令，不得使用缺省口令；3）口

9、令長度不得小于8位，且為字母、數(shù)字或特殊符號的混合組合，用戶名和口令不得相同；4）禁止明文儲存口令。5）windows系統(tǒng)應(yīng)使用正版操作系統(tǒng)，并加裝防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵的軟件，及時(shí)更新。DCS操作員站安裝殺毒軟件應(yīng)該根據(jù)廠家意見進(jìn)行，避免引起操作系統(tǒng)異常1、檢查故障錄波系統(tǒng)、廠用電保護(hù)后臺、安全自動裝置、遠(yuǎn)動裝置、相量測量裝置、電能計(jì)量終端、時(shí)間同步裝置、RTU裝置、五防閉鎖設(shè)備主機(jī)系統(tǒng)口令長度不得小于8位，且為字母、數(shù)字或特殊符號的混合組合，用戶名和口令不得相同；2、檢查設(shè)備系統(tǒng)口令至少每三個(gè)月進(jìn)行一次更新；3、檢查操作系統(tǒng)、數(shù)據(jù)庫管理員口令是否由專人管理，禁止明文傳輸，口令須

10、加密保存；4、檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看是否提供了身份鑒別措施（如用戶名和口令等），其身份鑒別信息是否具有不易被冒用的特點(diǎn)，檢查賬戶密碼策略設(shè)置，例如，口令足夠長，口令復(fù)雜（如規(guī)定字符應(yīng)混有大、小寫字母、數(shù)字和特殊字符），口令生命周期，新舊口令的替換要求（如規(guī)定替換的字符數(shù)量）或?yàn)榱吮阌谟洃浭褂昧肆钆疲?、檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看身份鑒別是否采用兩個(gè)及兩個(gè)以上身份鑒別技術(shù)的組合來進(jìn)行身份鑒別（如采用用戶名/口令、挑戰(zhàn)應(yīng)答、動態(tài)口令、物理設(shè)備、生物識別技術(shù)和數(shù)字證書方式的身份鑒別技術(shù)中的任意兩個(gè)組合）；6、檢查主要服務(wù)器操作系統(tǒng)是否有弱口令現(xiàn)象。3全

11、方位安全管理人員管理1）現(xiàn)場檢查運(yùn)維人員和廠家技術(shù)人員維護(hù)活動的相關(guān)管理制度；2）現(xiàn)場檢查維護(hù)記錄，掌握相關(guān)安全防護(hù)措施。1、檢查現(xiàn)場檢查運(yùn)維人員和廠家技術(shù)人員維護(hù)活動的相關(guān)管理制度；2、檢查運(yùn)維人員和廠家技術(shù)人員現(xiàn)場維護(hù)活動記錄，廠家技術(shù)人員現(xiàn)場維護(hù)要有檢修人員陪同監(jiān)督；3、訪談安全主管、安全管理某方面的負(fù)責(zé)人、信息安全管理委員會或領(lǐng)導(dǎo)小組日常管理工作的負(fù)責(zé)人、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全員，詢問其崗位職責(zé)包括哪些內(nèi)容及相關(guān)管理制度；4、檢查部門、崗位職責(zé)文件，查看文件是否明確安全管理機(jī)構(gòu)的職責(zé)，是否明確機(jī)構(gòu)內(nèi)各部門的職責(zé)和分工，部門職責(zé)是否涵蓋物理、網(wǎng)絡(luò)和系統(tǒng)等各個(gè)方面；查看文件是否明確設(shè)

12、置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等各個(gè)崗位，各個(gè)崗位的職責(zé)范圍是否清晰，否明確崗位人員應(yīng)具有的技能要求，人員是否備案。全生命周期管理1）檢查設(shè)備軟件升級及改造的安全管理記錄；2）檢查密碼產(chǎn)品退役淘汰的銷毀情況。1、檢查故障信息子站、AVC裝置、遠(yuǎn)動裝置、相量測量裝置、電能計(jì)量終端、時(shí)間同步裝置、五防裝置、計(jì)算機(jī)監(jiān)控系統(tǒng)及其測控單元、變送器及安全防護(hù)設(shè)備等自動化設(shè)備(子站)是否滿足電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定(國家發(fā)改委令2014年第14號令)及配套方案中的要求及調(diào)度安全防護(hù)整體方案的要求；2、檢查遠(yuǎn)動裝置、相量測量裝置、電能計(jì)量終端、時(shí)間同步裝置、五

13、防裝置、計(jì)算機(jī)監(jiān)控系統(tǒng)及其測控單元、變送器及安全防護(hù)設(shè)備等自動化設(shè)備(子站)軟件目前軟件版本號要有專人管理并記錄升級情況；3、檢查密碼產(chǎn)品退役淘汰由專人銷毀并保留記錄。外部設(shè)備接入管理1）檢查外部計(jì)算機(jī)的接入是否具有相應(yīng)的安全管理制度；2）核查移動介質(zhì)的接入是否具有相應(yīng)的安全管理制度和記錄。1、檢查故障錄波裝置、故障信息子站、AVC裝置、廠用電保護(hù)后臺、遠(yuǎn)動裝置、相量測量裝置、電能量終端、時(shí)間同步裝置等現(xiàn)場與調(diào)度專網(wǎng)連接設(shè)備數(shù)據(jù)轉(zhuǎn)移是否采用專用移動介質(zhì)；2、檢查專用移動介質(zhì)是否具有安全防護(hù)功能；3、檢查是否具有移動介質(zhì)的接入管理制度和使用記錄。移動介質(zhì)管理1）檢查安全區(qū)I、安全區(qū)II服務(wù)器USB端口是否關(guān)閉；2）檢查安全區(qū)III區(qū)移動介質(zhì)安全接入情況。檢查是否具有移動介質(zhì)的安全管理制度和移動介質(zhì)使用記錄。冗余備用SCADA、AGC、AVC數(shù)據(jù)采集等核心應(yīng)用服務(wù)器是否冗余。記錄電源、存儲系統(tǒng)、RAID、I/O卡、PCI、CPU等冗余部件配置情況。4安全應(yīng)急措施應(yīng)急