EHPP-SM-26--電力二次系統(tǒng)安全防護(hù)管理制度

1、精品word文檔 值得下載 值得擁有EHPP-SM-26電力二次系統(tǒng)安全防護(hù)管理制度第一章 總則第一條 為防范黑客及惡意代碼等對(duì)電力二次系統(tǒng)的攻擊侵害，建立電力二次系統(tǒng)安全防護(hù)體系，保證電廠(chǎng)和電網(wǎng)的安全穩(wěn)定運(yùn)行，依據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、電力二次系統(tǒng)安全防護(hù)規(guī)定、電力二次系統(tǒng)安全防護(hù)總體方案、電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見(jiàn)、電網(wǎng)和電廠(chǎng)計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定、計(jì)算機(jī)病毒防治管理辦法等相關(guān)法律法規(guī)及公司計(jì)算機(jī)信息系統(tǒng)安全保密暫行辦法、雅礱江流域調(diào)度自動(dòng)化系統(tǒng)運(yùn)行維護(hù)管理規(guī)程，特制定本制度。第二條 本制度包括：防護(hù)原則、組織機(jī)構(gòu)及職責(zé)、技術(shù)管理、應(yīng)

2、急管理、安全評(píng)估、檢查與考核。第三條 本制度適用于二灘水力發(fā)電廠(chǎng)。第二章 防護(hù)原則第四條 電力二次系統(tǒng)安全防護(hù)工作堅(jiān)持以“安全第一、預(yù)防為主、管理和技術(shù)并重、綜合防范”為方針。第五條 電力二次系統(tǒng)安全防護(hù)工作堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的原則。第三章 組織機(jī)構(gòu)及職責(zé)第六條 根據(jù)國(guó)家電監(jiān)會(huì)電力二次系統(tǒng)安全防護(hù)總體方案要求，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，成立電力二次系統(tǒng)安全防護(hù)工作小組。第七條 工作小組組織機(jī)構(gòu)。（一）組長(zhǎng)：總工程師。（二）副組長(zhǎng)：安全生產(chǎn)技術(shù)部、檢修部、運(yùn)行部、水工部及綜合辦公室負(fù)責(zé)人。（三）成員：安全生產(chǎn)技術(shù)部二次專(zhuān)責(zé)工程師、安全專(zhuān)責(zé)工程師，檢修部

3、和運(yùn)行部負(fù)責(zé)二次專(zhuān)業(yè)的副主任及相關(guān)專(zhuān)業(yè)人員。第八條 工作小組職責(zé)。（一）負(fù)責(zé)電力二次系統(tǒng)安全防護(hù)管理任務(wù)，落實(shí)有關(guān)安全管理措施，實(shí)現(xiàn)電力二次系統(tǒng)安全防護(hù)管理目標(biāo)。（二）負(fù)責(zé)落實(shí)電力二次系統(tǒng)安全防護(hù)的日常檢查、定期維護(hù)、技術(shù)改造等工作。（三）負(fù)責(zé)實(shí)施電力二次系統(tǒng)安全防護(hù)自查，配合電監(jiān)會(huì)、安監(jiān)局組織的專(zhuān)項(xiàng)檢查。對(duì)檢查中發(fā)現(xiàn)的突出問(wèn)題、重大隱患提出整改意見(jiàn)并形成書(shū)面報(bào)告，并將整改結(jié)果報(bào)上級(jí)主管部門(mén)。第九條 工作小組人員職責(zé)。（一）組長(zhǎng)職責(zé)。1.工作小組組長(zhǎng)為電力二次安全防護(hù)第一責(zé)任人。 2.負(fù)責(zé)組織相關(guān)人員建立所轄電力二次系統(tǒng)的安全防護(hù)體系。3.對(duì)接入電力二次系統(tǒng)的設(shè)備進(jìn)行審核和批準(zhǔn)。4.電力二次系

4、統(tǒng)應(yīng)急預(yù)案的審核和批準(zhǔn)。5.檢查安全防護(hù)的執(zhí)行情況、審計(jì)結(jié)果。6.定期組織開(kāi)展電力二次系統(tǒng)安全防護(hù)演練，并進(jìn)行安全評(píng)估。7.負(fù)責(zé)及時(shí)組織處理所轄電力二次系統(tǒng)發(fā)生的安全事故。8.組織人員對(duì)安全事故進(jìn)行認(rèn)真分析并及時(shí)向上級(jí)報(bào)告。（二）副組長(zhǎng)職責(zé)。1.協(xié)助組長(zhǎng)完成電力二次系統(tǒng)的安全防護(hù)體系管理工作。2.定期檢查安全防護(hù)的執(zhí)行情況、審計(jì)結(jié)果。3.負(fù)責(zé)及時(shí)組織處理所轄電力二次系統(tǒng)發(fā)生的安全事故。4.組織人員進(jìn)行日常安全評(píng)估、安全事故分析和學(xué)習(xí)。（三）安全生產(chǎn)技術(shù)部二次專(zhuān)責(zé)工程師、安全專(zhuān)責(zé)工程師，檢修部和運(yùn)行部負(fù)責(zé)二次專(zhuān)業(yè)的副主任職責(zé)。1.參與所轄電力二次系統(tǒng)的安全防護(hù)體系的建設(shè)。2.負(fù)責(zé)檢查各專(zhuān)業(yè)電力二

5、次系統(tǒng)軟件、數(shù)據(jù)的備份及存檔工作。3.定期組織電力二次系統(tǒng)進(jìn)行安全檢測(cè)和評(píng)估。4.參與處理所轄電力二次系統(tǒng)發(fā)生的安全事故。5.負(fù)責(zé)基本安全知識(shí)的咨詢(xún)及培訓(xùn)。6.負(fù)責(zé)工作小組的日常工作。（四）各班值專(zhuān)業(yè)人員職責(zé)。1.負(fù)責(zé)對(duì)本專(zhuān)業(yè)維護(hù)的應(yīng)用系統(tǒng)中已部署的安全產(chǎn)品的安全策略進(jìn)行設(shè)置和調(diào)整。2.負(fù)責(zé)各個(gè)安全區(qū)的橫向邊界和縱向邊界部署的安全產(chǎn)品的日常運(yùn)行和維護(hù)。3.負(fù)責(zé)電力二次系統(tǒng)技術(shù)改造、“兩措”等技術(shù)方案及應(yīng)急預(yù)案的編制和實(shí)施。4.及時(shí)處理所管轄的電力二次系統(tǒng)發(fā)生的安全事故。5.定期對(duì)所轄電力二次系統(tǒng)軟件、數(shù)據(jù)進(jìn)行備份并存檔。6.及時(shí)將檢查結(jié)果向本部門(mén)負(fù)責(zé)人報(bào)告。7.嚴(yán)格遵守各項(xiàng)安全管理制度，妥善保

6、管個(gè)人安全設(shè)施。 第四章 技術(shù)管理第十條 安全分區(qū)：根據(jù)電力二次系統(tǒng)各業(yè)務(wù)系統(tǒng)的特性和對(duì)一次系統(tǒng)的影響程度進(jìn)行分區(qū)，原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，生產(chǎn)控制大區(qū)可分為控制區(qū)（安全區(qū)）和非控制區(qū)（安全區(qū)）。所有系統(tǒng)都必須分置于相應(yīng)的安全區(qū)內(nèi)，納入統(tǒng)一的安全防護(hù)，進(jìn)行重點(diǎn)保護(hù)實(shí)時(shí)控制，其中主服務(wù)器/工作站采用安全加固的操作系統(tǒng)。第十一條 網(wǎng)絡(luò)專(zhuān)用：建立專(zhuān)用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與電力企業(yè)數(shù)據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)物理隔離，在調(diào)度數(shù)據(jù)網(wǎng)上形成相互邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，各級(jí)安全區(qū)在縱向上應(yīng)在相同安全區(qū)進(jìn)行互連。所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)，納入統(tǒng)一的安全防護(hù)。第十二條 橫向隔離：采用不同強(qiáng)度的安全

7、設(shè)備隔離各安全區(qū)，尤其是在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間實(shí)行有效安全隔離，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。分別建立內(nèi)網(wǎng)、外網(wǎng)公共數(shù)據(jù)區(qū)，內(nèi)網(wǎng)公共數(shù)據(jù)分布于數(shù)據(jù)接口服務(wù)器，外網(wǎng)公共數(shù)據(jù)分布于數(shù)據(jù)交換平臺(tái)。第十三條 縱向認(rèn)證：采用認(rèn)證、加密、訪(fǎng)問(wèn)控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。第十四條 安全區(qū)為控制區(qū)，包括計(jì)算機(jī)監(jiān)控系統(tǒng)、勵(lì)磁、調(diào)速器、輔控系統(tǒng)、同步量測(cè)量系統(tǒng)、繼電保護(hù)裝置、安全穩(wěn)定控制裝置（至省調(diào)）等實(shí)時(shí)控制系統(tǒng)。安全區(qū)是電力二次系統(tǒng)中最為關(guān)鍵的部分，是安全防護(hù)的重點(diǎn)和核心，安全等級(jí)最高。第十五條 安全區(qū)為非控制區(qū)，包括繼電保護(hù)及故障錄波管理信息系統(tǒng)（無(wú)遠(yuǎn)方設(shè)置功能）、

8、電能量采集及報(bào)價(jià)系統(tǒng)、安全穩(wěn)定控制裝置（至集控）、故障錄波裝置、消防監(jiān)控系統(tǒng)等。第十六條 安全區(qū)為管理信息大區(qū)，包括工業(yè)電視系統(tǒng)、機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)、大壩自動(dòng)監(jiān)測(cè)系統(tǒng)、氣象信息系統(tǒng)、防汛信息系統(tǒng)、電力生產(chǎn)管理信息系統(tǒng)（MAXIM0）、管理信息系統(tǒng)（MIS）、綜合信息管理平臺(tái)（OA）。第十七條 禁止生產(chǎn)控制大區(qū)的E-Mail服務(wù)，禁止安全區(qū)的Web服務(wù)。第十八條 嚴(yán)禁E-Mail、Web、Telnet、Rlogin、FTP等安全風(fēng)險(xiǎn)高的通用網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)穿越專(zhuān)用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。第十九條 允許安全區(qū)內(nèi)部采用B/S結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)，且只限于業(yè)

9、務(wù)系統(tǒng)內(nèi)部使用。允許安全區(qū)縱向安全Web服務(wù)，經(jīng)過(guò)安全加固且支持Https的安全Web服務(wù)器和Web瀏覽工作站應(yīng)在專(zhuān)用網(wǎng)段，Web瀏覽工作站與安全區(qū)業(yè)務(wù)系統(tǒng)工作站不得共用，須由業(yè)務(wù)系統(tǒng)向Web服務(wù)器單向主動(dòng)傳送數(shù)據(jù)。第二十條 生產(chǎn)控制大區(qū)重要業(yè)務(wù)的遠(yuǎn)程通信必須采用加密認(rèn)證機(jī)制，即生產(chǎn)控制大區(qū)通過(guò)廣域網(wǎng)與電網(wǎng)調(diào)度系統(tǒng)、雅礱江流域集控中心的通信，必須加裝經(jīng)過(guò)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用縱向加密認(rèn)證裝置，且鏈路兩側(cè)的縱向加密認(rèn)證裝置必須一致。第二十一條 生產(chǎn)控制大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)間應(yīng)采取VLAN和訪(fǎng)問(wèn)控制等安全措施，限制系統(tǒng)間的直接互通。安全區(qū)與安全區(qū)之間的連接采用硬件防火墻進(jìn)行隔離，控制區(qū)與信息發(fā)

10、布區(qū)之間的連接采用專(zhuān)用橫向安全隔離裝置進(jìn)行隔離，生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的連接采用正向安全隔離裝置進(jìn)行隔離。第二十二條 生產(chǎn)控制大區(qū)進(jìn)行撥號(hào)訪(fǎng)問(wèn)服務(wù)，服務(wù)器和用戶(hù)端必須使用經(jīng)國(guó)家指定部門(mén)認(rèn)證的安全加固的操作系統(tǒng)，且采取加密、認(rèn)證和訪(fǎng)問(wèn)控制等安全防護(hù)措施。第二十三條 在生產(chǎn)控制大區(qū)邊界上考慮部署威脅檢測(cè)與智能分析系統(tǒng)（TDS）。第二十四條 生產(chǎn)控制大區(qū)須部署安全審計(jì)措施，必須把安全審計(jì)與安全網(wǎng)絡(luò)管理系統(tǒng)、威脅檢測(cè)與智能分析系統(tǒng)（TDS）、敏感業(yè)務(wù)服務(wù)器登錄認(rèn)證和授權(quán)、應(yīng)用訪(fǎng)問(wèn)控制權(quán)限相結(jié)合。第二十五條 生產(chǎn)控制大區(qū)必須統(tǒng)一部署代碼防護(hù)系統(tǒng)，采取防惡意代碼措施。病毒庫(kù)和木馬庫(kù)的更新必須離線(xiàn)進(jìn)

11、行，不得直接從外部互聯(lián)網(wǎng)下載。第二十六條 電力二次系統(tǒng)不能與管理信息系統(tǒng)（MIS）直接網(wǎng)絡(luò)連接通信，以防止病毒的侵蝕和破壞。如果需要網(wǎng)絡(luò)通信，則必須按照電力二次系統(tǒng)安全防護(hù)規(guī)定的要求，選用單向物理隔離裝置進(jìn)行安全隔離，按照計(jì)算機(jī)病毒防治管理辦法進(jìn)行病毒檢測(cè)與防護(hù)管理，并定期對(duì)防病毒軟件進(jìn)行升級(jí)。第二十七條 接入電力二次系統(tǒng)的專(zhuān)用工器具包括專(zhuān)業(yè)便攜式計(jì)算機(jī)、專(zhuān)用移動(dòng)存儲(chǔ)介質(zhì)（軟盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)、U盤(pán)）等，必須設(shè)備專(zhuān)用、專(zhuān)人管理；嚴(yán)禁非專(zhuān)用工器具接入電力二次系統(tǒng)，嚴(yán)禁設(shè)備的專(zhuān)用工器具交叉使用。第二十八條 具有遠(yuǎn)程訪(fǎng)問(wèn)功能的電力二次系統(tǒng)，在使用遠(yuǎn)程登錄進(jìn)行系統(tǒng)診斷和維護(hù)時(shí)必須處于受控狀態(tài)，遠(yuǎn)程登錄

12、診斷和維護(hù)必須由相關(guān)電力二次系統(tǒng)安全防護(hù)工作組成員履行工作票許可手續(xù)后予以開(kāi)放，工作結(jié)束及時(shí)關(guān)閉遠(yuǎn)程登錄訪(fǎng)問(wèn)功能。第二十九條 加強(qiáng)對(duì)涉密人員、涉密場(chǎng)所、涉密載體的保密管理，嚴(yán)防網(wǎng)絡(luò)涉密事件的發(fā)生。第三十條 加強(qiáng)備份制作、備份恢復(fù)、程序安裝管理，電力二次系統(tǒng)安全防護(hù)工作組成員為重要電力二次設(shè)備癱瘓的恢復(fù)責(zé)任人。第五章 應(yīng)急管理第三十一條 根據(jù)二灘水電站電力二次系統(tǒng)安全防護(hù)應(yīng)急處置方案定期開(kāi)展演練。第三十二條 應(yīng)急處置方案的制訂和修改須履行審核批準(zhǔn)手續(xù)，根據(jù)演練結(jié)果進(jìn)行完善，并妥善保管。第三十三條 電力二次系統(tǒng)安全防護(hù)中發(fā)生的安全技術(shù)事故和不安全事件,要采取防止事件擴(kuò)大的措施，保護(hù)好現(xiàn)場(chǎng),立即報(bào)告

13、電力二次系統(tǒng)安全防護(hù)工作小組，并在8小時(shí)內(nèi)提供書(shū)面報(bào)告。第六章 安全評(píng)估第三十四條 電力二次系統(tǒng)安全防護(hù)工作小組每年進(jìn)行一次安全評(píng)估，安全評(píng)估以自評(píng)估為主，評(píng)估結(jié)果做好備案。第三十五條 在進(jìn)行安全評(píng)估和專(zhuān)項(xiàng)檢查中應(yīng)嚴(yán)格控制風(fēng)險(xiǎn)，確保電廠(chǎng)電力二次系統(tǒng)安全穩(wěn)定運(yùn)行。第三十六條 電力二次系統(tǒng)安全防護(hù)的相關(guān)技術(shù)方案需經(jīng)電力二次系統(tǒng)安全防護(hù)工作小組組長(zhǎng)審核，涉及到電力調(diào)度部分需報(bào)上級(jí)調(diào)度部門(mén)審核批準(zhǔn)。第三十七條 涉及電力二次系統(tǒng)安全防護(hù)的產(chǎn)品要具備國(guó)家網(wǎng)絡(luò)與信息安全主管部門(mén)（國(guó)家電監(jiān)會(huì)信息中心）認(rèn)可的有關(guān)證明，選用時(shí)須征求上級(jí)調(diào)度部門(mén)的指導(dǎo)意見(jiàn)。第七章 檢查與考核第三十八條 本制度執(zhí)行情況由安全生產(chǎn)技術(shù)

14、部負(fù)責(zé)監(jiān)督、檢查。第三十九條 依據(jù)本制度、電廠(chǎng)績(jī)效管理制度和不安全事件調(diào)查與考核管理制度進(jìn)行考核。第八章 附則第四十條 本制度由檢修部制定，安全生產(chǎn)技術(shù)部負(fù)責(zé)解釋。第四十一條 本制度自2013年1月1日起執(zhí)行。本制度涉及的工作表單：1.電力二次系統(tǒng)軟件、數(shù)據(jù)備份清單二灘水力發(fā)電廠(chǎng)電力二次系統(tǒng)軟件、數(shù)據(jù)備份清單序號(hào)系統(tǒng)設(shè)備備份內(nèi)容備份周期1監(jiān)控系統(tǒng)現(xiàn)地控制單元數(shù)據(jù)庫(kù)及程序源碼1年操作員站系統(tǒng)配置、畫(huà)面等1年2歷史數(shù)據(jù)系統(tǒng)接口服務(wù)器系統(tǒng)配置修改后數(shù)據(jù)庫(kù)服務(wù)器系統(tǒng)配置修改后報(bào)表站系統(tǒng)配置修改后WEB服務(wù)器系統(tǒng)配置修改后ONCALL服務(wù)器系統(tǒng)配置修改后橫向隔離裝置系統(tǒng)配置修改后硬件防火墻系統(tǒng)配置修改后交換機(jī)系統(tǒng)配置修改后3調(diào)度通信系統(tǒng)網(wǎng)關(guān)機(jī)系統(tǒng)配置修改后4集控邊界二次安防系統(tǒng)交換機(jī)系統(tǒng)配置修改后路由器系統(tǒng)配置修改后縱向加密裝置系統(tǒng)配置修改后硬件防火墻系統(tǒng)配置修改后5省調(diào)邊界二次安防系統(tǒng)交換機(jī)