電力監控系統安全防護管理制度

11　範圍

為了加強公司電力監控系統的資訊保安管理，防範黑客及惡意**等對電力監控系統的攻擊及侵害，保障電力監控系統及電力排程資料網路的安全，特制定本制度。

11.1　本制度包括：門禁和人員管理，許可權和訪問控制管理，電力監控系統安全防護和裝置運維管理,資料和系統的備份管理，使用者口令金鑰及數字認證書的管理，審計管理，惡意**防範管理，電力監控系統安全防護培訓管理、電力監控系統安全評估管理、電力監控系統機房管理。

12　規範性引用檔案

下列檔案中的條款通過本制度的引用而成為本制度的條款。凡是注日期的引用檔案，其隨後所有的修改單（不包括勘誤的內容）或修訂版均不適用於本制度，然而，鼓勵根據本制度達成協議的各方研究是否可使用這些檔案的最新版本。凡是不注日期的引用檔案，其最新版本適用於本制度。

《電力監控系統安全防護規定》（國家發展和改革委員會 2023年第14號令））

《電力監控系統安全防護總體方案》國能安全（2015）36號文

《發電廠監控系統安全防護方案》國能安全（2015）36號文

《變電站監控系統安全防護方案》國能安全（2015）36號文

《配電監控系統安全防護方案》國能安全（2015）36號文

《電力監控系統安全防護評估規範》國能安全（2015）36號文

《中華人民共和國網路安全法》（2023年6月）

13　術語和定義

3.1 電力監控系統：是指用於監視和控制電力生產及**過程的、基於計算機及網路技術的業務系統及智慧型裝置，以及做為基礎支撐的通訊及資料網路等。

具體包括電力資料採集與監控系統、能量管理系統、變電站自動化系統、換流站計算機監控系統、發電廠計算機監控系統、配電自動化系統、微機繼電保護和安全自動裝置、廣域相量測量系統、負荷控制系統、電能量計量系統、實時電力市場的輔助控制系統、電力排程資料網路等。

3.2 電力排程資料網路：是指各級電力排程專用廣域資料網路、電力生產專用撥號網路等。

3.3 控制區：是指由具有實時監控功能、縱向聯接使用電力排程資料網的實時子網或者專用通道的各業務系統構成的安全區域。

3.4 非控制區：是指在生產控制範圍內由**執行但不直接參與控制、是電力生產過程的必要環節、縱向聯接使用電力排程資料網的非實時子網的各業務系統構成的安全區域。

3.5 網路安全：是指通過採取必要措施，防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網路處於穩定可靠執行的狀態，以及保障網路資料的完整性、保密性、可用性的能力。

14　職責

技術支援部是本制度的歸口管理部門，技術支援部、發電部、檢修公司是電力監控系統安全防護和運維管理的責任部門，ehs部是組織電力監控系統安全防護事故、異常進行分析的責任部門，綜合部是公司內部落實考核的責任部門。另根據上級檔案要求成立公司電力監控系統安全防護組織機構，負責電力監控系統安全防護工作的領導和組織管理。

14.1　電力監控系統二次安全防護組織機構及職責

14.1.1　公司電力監控系統安全防護組織機構劃為兩級，分設領導組和工作組，工作組在領導組的授權和指揮下開展具體工作。

14.1.2　領導小組組成：

組長：生產副總經理

副組長：技術支援部部長

成員：發電部部長、檢修公司經理、ehs部部長

14.1.3　領導小組職責

14.1.3.1　負責組織建立、健全公司電力監控系統安全防護管理的組織機構；負責組織制定、完善公司電力監控系統二次安全防護管理分級負責的責任制。

14.1.3.

2　負責組織公司電力監控系統總體設計方案的安全審查和完善；負責組織各專業電力監控系統安全防護管理制度的審查和完善，保證公司電力監控系統安全防護組織機構有效運轉；負責組織公司電力監控系統安全防護方案的制定和實施；組織制定公司電力監控系統安全評估制度。

14.1.3.3　負責建立公司電力監控系統安全聯合防護機制和應急機制；當公司電力監控系統受到攻擊、病毒感染或發生嚴重故障時負責宣布應急預案的啟動。

14.1.4　工作小組組成：

組長：技術支援部部長

副組長: 技術支援部分管副部長、檢修公司分管副總經理、值長

成員：電氣、熱控、資訊、安全專業主管和工程師，電氣、熱控班組人員，執行值班員

14.1.5　工作小組職責

14.1.5.

1　負責組織公司電力監控系統安全防護總體方案設計；負責組織公司電力監控系統安全防護方案的制定、完善和實施；負責組織制定和完善公司電力監控系統安全評估管理和應急預案。

14.1.5.

2　根據裝置劃分，分別由各專業主管作為本專業的安全防護第一責任人，具體制定本專業電力監控系統安全防護的有關安全管理制度；負責本專業電力監控系統安全防護方案的落實；負責本專業方面的電力監控系統安全防護應急預案的編寫及演練；對在電力監控系統中發生的安全技術事故和安全事件，按照相關預案採取妥善措施，防止事件擴大；嚴格執行二次安全防護事件通報要求，對有關安全問題做好記錄；做好相關資料的備份工作，妥善保管重要軟體、引數；定期對本專業的電力監控系統進行安全風險評估，及時進行自查整改，定期公升級網路防病毒軟體或防火牆軟體版本。

14.2　各部門職責

14.2.1　技術支援部職責

負責本制度的制定和修改，並監督制度的實施；電氣、熱控、資訊專業工程師負責組織本專業範圍內電力監控系統裝置安全防護管理、運維管理和安全評估工作。

14.2.2　檢修公司職責

負責分管範圍內電力監控系統安全防護裝置的安裝除錯、日常維護、安全評估等工作；對電力監控系統運**況進行定期檢查，消除缺陷，落實整改措施。

14.2.3　發電部職責

負責公司電力監控系統裝置的執行管理工作；值長負責檢視「河北電力排程控制中心排程管理系統」下發的檔案，並按照檔案類別分發到責任部門，報綜合部備案及公文流轉。

14.2.4　環境健康和安全部（ehs部）職責

負責組織各部門對公司電力監控系統裝置執行中發生的事故、異常、障礙等問題進行分析，提出考核意見，上報公司生產副總經理批准後提交綜合部。

14.2.5　綜合部職責

負責落實公司電力監控系統二次安全防護裝置系統管理中的各項考核；負責上級部門下發的相關公文備案和流轉。

15　風險辨識

15.1　關鍵控制點

電力監控系統安全防護工作應當落實國家資訊保安等級保護制度，按照國家資訊保安等級保護的有關要求，堅持「安全分割槽、網路專用、橫向隔離、縱向認證」的原則，保障電力監控系統的安全。

關鍵控制點是電力監控系統安全防護的完備性和網路安全。

15.2　風險分析

發電廠監控系統安全防護是結合國家資訊保安等級保護工作的相關要求對電力監控系統從主機、網路裝置、惡意**防範、應用安全控制、審計、備份及容災等多個層面進行資訊保安防護的過程。

發電廠監控系統的防護目標是抵禦黑客、病毒、惡意碼等通過各種形式對發電廠監控系統發起的惡意破壞和攻擊，以及其它非法操作，防止發電廠電力監控系統癱瘓和失控，並由此導致的發電廠一次系統事故。發電廠安全防護的重點是強化發電廠監控系統的邊界防護，同時加強內部的物理、網路、主機、應用和資料安全，加強安全管理制度、機構、人員、系統建設、系統維護的管理，提高系統整體安全防護能力，保證電力監控系統及重要資料的安全。

當遭受網路攻擊，生產控制大區的電力監控系統出現異常或者故障時，應當立即向公司領導和上級電力排程機構以及當地國家能源局派出機構報告，並聯合採取緊急防護措施，防止事態擴大，同時應當注意保護現場，以便進行調查取證。

16　管理內容與要求

16.1　門禁和人員管理

16.1.1　電氣二次電子間、220kv公升壓站繼保間、dcs電子間、工程師站、通訊機房等重要區域應安裝電子門禁；門禁系統應有出入記錄，對出入人員有明確的鑑定功能。

16.1.2　重要區域機房應安裝有**監控，並有合格的防火災、防漏水、防雷等物理安全防護設施。

16.1.3　進入電氣二次電子間、220kv公升壓站繼保間、dcs電子間、工程師站、通訊機房等重要區域，必須執行門禁管理和機房出入登記管理。

16.1.4　電氣、熱控、資訊專業人員負責檢查所轄機房的環境、裝置與網路系統的運**況；負責完成規定的日常操作和告警監測記錄、故障和隱患的排除，機房內裝置的日常巡視；認真履行機房的各項管理規定，並督促進入機房的人員嚴格遵守。

16.1.5　機房人員應熟悉電力監控系統安全防護裝置，有一定的應變和事故判斷能力；應在第一時間發現故障和事故隱患，具有快速處理故障和事故隱患的能力，並及時向上級領導報告。

16.1.6　定期對電力監控系統網路裝置進行防入侵檢測，保護網路不受攻擊，擴充套件系統管理員的安全管理能力，提高資訊保安基礎結構的完整性。

16.1.7　進行系統檢修（維護）和操作，必須執行工作票或安全措施票手續。

16.1.8　機房謝絕參觀學習，無關人員禁止入內；特殊情況必須由公司領導批准，由相關專業人員帶領，按指定路線參觀。

16.1.9　不得私自提供任何記錄給無關人員，拷貝、列印記錄只能提供給公司規定人員；採取加密技術保密手段；系統指令和電腦密碼保護不得隨意透漏。

16.2　許可權和訪問控制管理

16.2.1　按照專業裝置分工，電氣、熱控、資訊專業應對所轄電力監控系統裝置的賬戶、業務許可權和訪問控制進行嚴格管理，滿足相關安全防護要求。

16.2.2　發電廠管理資訊大區中的業務系統應對業務許可權的分配和使用進行嚴格限制。

16.2.3　關鍵業務系統的賬戶與許可權管理應滿足如下要求：

16.2.3.1　業務系統應具備正式的授權功能，對許可權分配進行控制和管理；

16.2.3.2　許可權的分配滿足最小特權要求，即任意使用者/角色僅具有完成其業務操作的最小許可權；

16.2.3.3　業務系統應該具有對許可權分配和取消情況的記錄能力；

16.2.3.4　具有對臨時使用者許可權的獨立管理能力，例如系統除錯與維護許可權；

16.2.3.5　業務系統應實現特權分立，例如：系統管理許可權、安全管理許可權、網路管理許可權相互分立，相互制約，互不重疊；

16.2.3.6　業務系統具有正式的賬戶/口令管理功能，可進行賬戶/口令的分配、取消等管理工作；

16.2.3.7　業務系統應採取加密措施確保賬戶/口令控制與管理過程的安全性；

16.2.3.8　業務系統具有賬戶/口令更新控制、質量控制機制，確保使用者定期按照口令質量要求更改賬戶口令；

16.2.3.9　使用者忘記口令時，必須通過業務系統外的途徑實現使用者身份識別，以便系統管理員恢復使用者口令；

16.2.3.10　業務系統的實現應禁止在終端使用者裝置上以無保護的形式儲存口令；

16.2.3.11　關鍵業務系統應考慮採用更強的身份認證與鑑別機制，例如證書、動態口令。

16.2.4　重要業務系統的賬戶與許可權管理應滿足如下要求：

16.2.4.1　業務系統具有多種許可權劃分，能夠根據使用者其角色定義其可使用的系統選單功能；

16.2.4.2　業務系統具有正式的賬戶/口令管理功能，可進行賬戶/口令的分配、取消等管理工作；

16.2.4.3　使用者忘記口令時，必須通過業務系統外的途徑實現使用者身份識別，以便系統管理員恢復使用者口令；

16.2.4.4　業務系統的實現應禁止在終端使用者裝置上以無保護的形式儲存口令。

16.3　電力監控系統安全防護和裝置運維管理

16.3.1　實行安全分級負責制，本著「誰主管誰負責，誰運營誰負責」的原則，落實電力監控系統的各專業的安全責任。

安全防護組組長負責公司電力監控系統網路的安全管理，是安全管理第一負責人。

電力監控系統安全防護管理制度

電力二次系統安全防護管理制度

風電場電力二次系統安全防護方案

安全防護管理制度

電力監控系統安全防護管理制度

電力二次系統安全防護管理制度

風電場電力二次系統安全防護方案

安全防護管理制度

相關推薦