40网络和软件安全防护检查管理制度

网络和软件安全防护检查管理制度

1.电子间物理安全 1.1电子间防火安全

1.1.1吊顶、隔墙、通风管道等均采用阻燃烧材料制作； 1.1.2 电子间不准使用易燃材料装修； 1.1.3 禁止携带食品进入电子间，并定期灭鼠；

1.1.4 电子间应设置火灾自动报警系统和灭火器，并有工作人员负责日常维护；

1.1.5在电子间明细位置张贴防火标识；

1.1.6制订消防管理制度和消防员，并定期开展消防培训。 1.2机房动力环境监测

1.2.1设置电子间供电报警系统，保证不间断供电； 1.2.2对电子间温度、湿度、漏水等实时监测，一旦出现异常应立即报警。

1.2.3采取防水防潮措施，保证无水渍受潮痕迹。 2.门禁系统

2.1设置电子间门禁系统，对出入机房人员进行登记及身份鉴别并只允许运维人员及相关专业管理人员进入。 3.供电可靠性 3.1供电电源管理

3.1.1网络继电器室设备应有两路交流供电（一路UPS、一路市电）或一路交流一路直流供电；

3.1.2制定供电电源管理制度，包括一体化电源、UPS、蓄电池等的运维、检修管理制度；

3.1.3定期开展UPS切换和蓄电池充放电试验，并记录； 3.1.4配备电源主接线图. 3.2UPS及蓄电池配置

3.2.1配置UPS，采用冗余配置且备用容量不低于60%； 3.2.2为每套UPS配置的蓄电池组，且配置容量满足满负荷运行不少于1小时；

3.2.3容量大于200Ah的蓄电池营设置专业蓄电池室。 3.3供电安全

3.3.1不间断电源交流进线柜进线处和配电柜电源进线处应加装防雷电击装置；

3.3.2不间断电源应由两端不同母线供电；

3.3.3不间断电源输出应采取单母线分段接线，配电柜分列配置，相互冗余；

3.3.4机柜供电应采用PDU，双电源供电设备两路电源应取子不同配电柜不同电源开关，单电源供电设备应采用STS切换装置供电；

3.3.5具备直流电源模块的自动化设备应采用两路直流供电。

3.3.6自动化设备供电电源进出线贿赂应配置空气开关，每路空气开关的额定电流应与上下级机柜输入、输出开关匹配；

3.3.7配电室负荷应平均分配至三相母线

4.通信传输通道 4.1通信可靠性

4.1.1通信设备应具备N-1安全运行要求：光端机设备、SDH设备等重要网络通信设备应满足冗余配置要求； 4.1.2冗余的通信通道应从不同的电缆沟道分设。 5.安全分区

5.1安全分区合理性和规范性

5.1.1对照系统网络拓扑图核查安全分区的合理性，应符合《发电厂监控系统安全防护方案》或《变电站监控系统安全防护方案》的要求；

5.1.2各安全区系统设备部署与系统网络拓扑图应一致； 5.1.3在线监测服务器、OMS工作站、综合数据网关服务器等设备不应存在跨区直连或纵向交叉互联；

5.1.4现场应部署气象信息服务器，部署方式应符合安全分区要求；

5.1.5现场不应存在使用互联网或其他类型的公共网络； 5.1.6现场不应存在远程拨号装置，应与各安全区直连实现远程维护。 6.网络专用

6.1调度数据网络使用通信传输通道（由通信部门提供），确定存在运行商传输通道、租用VPN网络、电力通信PTN通道。 7.横向隔离

7.1安全隔离装置部署和配置

7.1.1正反向隔离装置策略配置应修改默认口令，限定端口； 7.1.2正反向隔离装置策略配置应备份；

7.1.3正反向隔离装置策略配置与业务需求一一对应； 7.1.4安全三区气象服务器应部署反向隔离装置。 8.纵向认证

8.1纵向加密认证装置部署和及配置

8.1.1系统纵向边界应启用加密认证装置，装置运行正常； 8.1.2操作员卡妥善保管。 9. 防火墙和入侵检测 9.1防火墙部署和配置

9.1.1电子间内部安全区之间应配置具有访问控制功能的网络设备、防火墙或者相当功能的设施；

9.1.2电子间的安全一区与安全二区之间应部署防火墙设备，且设备粘贴有“中华人民共和国监制计算机信息系统安全专用产品”字样的标识；

9.1.3网络、安全设备严格禁止Email、WEB、Telnet、Rlogin、FTP等安全风险高的通用网络服务。防火墙、纵向加密装置以及电力专用横向单向安全隔离装置的安全策略应细化至IP地址（段）、端口级；

9.1.4操作系统应开启系统自带防火墙功能。 10.边界完整性管理

10.1系统边界防护完整性检查

10.1.1应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断；

10.1.2查看现场生产控制大区、管理信息大区交换机MAC地址表，应不存在违规地址； 11.硬件安全

11.1硬件安全检测情况

11.1.1查看硬件设备清单，现场随机抽查各安全区设备，厂家、型号、物理位置等信息应与清单保持一致；

11.1.2查看硬件设备相关安全检测证明，主要包括国家认可的检测机构出具的设备形式试验报告，安全产品还应有出具的销售许可证明。 11.2硬件安全配置检测

11.2.1现场查看生产控制大区硬件设备应采取有效措施封闭空闲端口（包括USB、光驱、网络、串口、AUX等）； 11.2.2硬件设备应安装牢固；

11.2.3非国产硬件应存在安全防护设备。 12.平台软件安装 12.1操作系统安全检查

12.1.1场站自动化系统使用的操作系统应为非安全操作系统；

12.2数据库平台安全检查

12.2.1场站系统数据库平台应使用国产数据库； 12.2.2数据库平台权限管理、口令管理应符合规范； 12.2.3数据库应开启日志管理。 13.应用软件安全

13.1应用系统账号权限管理制度及其落实情况

13.1.1制定账号管理相关流程、规定或制度； 13.1.2值班员应清楚制度与流程内容；

13.1.3账号权限的申请、变更等操作应有相关纸质记录。 13.1.4.应能对应用系统重要业务数据进行备份和恢复，应能恢复应用系统重要业务数据。 13.2检查系统账号权限分配及清理情况

13.2.1应用系统各类账号权限应符合最小化分配原则； 13.2.2定期开展账号权限清理；

13.2.3制定防特权账号滥用的管理要求及应急处置方案。 13.2.4具备针对涉网厂站电力监控系统工作票制度； 13.2.5具备针对涉网厂站电力监控系统工作许可制度； 13.2.6具备针对涉网厂站电力监控系统工作监护制度； 13.2.7具备电力监控系统安全防护方案。 13.3检查账号权限管理的审计情况

13.3.1应用系统应开启对账号增删改、权限调整、业务报表到处等操作的审计日志记录；

13.3.2应存在第三方日志审计系统对日志进行统一分析处理并生成第三方日志审计系统安全测试报告；

13.3.3审计日志记录应包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、重要的系统操作（如用户登录、退出）等重要的相关事件。 14.调度数字证书

14.1检查调度数字证书系统部署和配置情况 14.1.1调度数字证书设备应放置在专用保险柜中；

14.1.2系统申请员、审核员和签发员的Key应由专人保管； 14.1.3证书算法应升级到了SM2算法，系统关键数据应备份 14.1.4签发的人员证书和设备证书应使用SM2算法。 14.2检查调度数字证书系统使用情况

14.2.1系统遥控功能应使用调度数字证书系统实现双因子认证；

14.2.2系统重要服务器应使用调度数字证书进行强身份认证。 15.人员管理

15.1人员安全管理及防护措施

15.1.1应有专门的运维人员负责系统运维管理； 15.1.2建立厂家技术人员联系方式表； 15.1.3签署保密协议。 16.设备管理 16.1设备安全管理

16.1.1现场查看电力监控系统所包含的安全设备所涉及的安全管理制度；

16.1.2同步时钟、UPS等辅助设备应纳入安全管理范畴。 16.2设备运维管理

16.2.1对设备进行定期巡视、检修及消缺，并记录； 16.2.2具备必要的备品备件。 17.全生命周期管理

17.1控制系统和主要设备全生命周期管理 17.1.1电力系统应进行等级保护测评；

17.1.2应用系统工程应具有系统设计方案、建设方案、实施方案、验收文档、运维制度；

17.1.3具备系统和设备建设、升级、改造方面的管理制度； 17.1.4系统和设备退役应履行必要的审批手续。 18.移动介质管理

18.1移动介质管理制度和记录

18.1.1有专门人员负责移动介质的接入管理，重点检查三种工作站的移动介质接入痕迹，操作系统记录信息应与审批记录信息成对应关系；

18.1.2按制度落实移动介质接入管理工作；

18.1.3移动介质的接入应具有相应的安全管理制度和记录。 19.应急管理

19.1网络与信息安全应急管理

19.1.1具备网络与信息安全的应急预案； 19.1.2具备应急管理制度； 19.1.3具备应急演练记录。

国电电力三塘湖上湖风电一场