40网络和软件安全防护检查管理制度.docxVIP

网络和软件安全防护检查管理制度电子间物理安全1.1电子间防火安全1.1.1吊顶、隔墙、通风管道等均采用阻燃烧材料制作；1.1.2?电子间不准使用易燃材料装修；1.1.3?禁止携带食品进入电子间，并定期灭鼠；1.1.4?电子间应设置火灾自动报警系统和灭火器，并有工作人员负责日常维护；1.1.5在电子间明细位置张贴防火标识；1.1.6制订消防管理制度和消防员，并定期开展消防培训。1.2机房动力环境监测1.2.1设置电子间供电报警系统，保证不间断供电；1.2.2对电子间温度、湿度、漏水等实时监测，一旦出现异常应立即报警。1.2.3采取防水防潮措施，保证无水渍受潮痕迹。门禁系统2.1设置电子间门禁系统，对出入机房人员进行登记及身份鉴别并只允许运维人员及相关专业管理人员进入。供电可靠性3.1供电电源管理3.1.1网络继电器室设备应有两路交流供电（一路UPS、一路市电）或一路交流一路直流供电；3.1.2制定供电电源管理制度，包括一体化电源、UPS、蓄电池等的运维、检修管理制度；3.1.3定期开展UPS切换和蓄电池充放电试验，并记录；3.1.4配备电源主接线图.3.2UPS及蓄电池配置3.2.1独立配置UPS，采用冗余配置且备用容量不低于60%；3.2.2为每套UPS配置独立的蓄电池组，且配置容量满足满负荷运行不少于1小时；3.2.3容量大于200Ah的蓄电池营设置专业蓄电池室。3.3供电安全3.3.1不间断电源交流进线柜进线处和配电柜电源进线处应加装防雷电击装置；3.3.2不间断电源应由两端不同母线供电；3.3.3不间断电源输出应采取单母线分段接线，配电柜分列配置，相互冗余；3.3.4机柜供电应采用PDU，双电源供电设备两路电源应取子不同配电柜不同电源开关，单电源供电设备应采用STS切换装置供电；3.3.5具备直流电源模块的自动化设备应采用两路直流供电。3.3.6自动化设备供电电源进出线贿赂应配置空气开关，每路空气开关的额定电流应与上下级机柜输入、输出开关匹配；3.3.7配电室负荷应平均分配至三相母线4.通信传输通道4.1通信可靠性4.1.1通信设备应具备N-1安全运行要求：光端机设备、SDH设备等重要网络通信设备应满足冗余配置要求；4.1.2冗余的通信通道应从不同的电缆沟道分设。5.安全分区5.1安全分区合理性和规范性5.1.1对照系统网络拓扑图核查安全分区的合理性，应符合《发电厂监控系统安全防护方案》或《变电站监控系统安全防护方案》的要求；5.1.2各安全区系统设备部署与系统网络拓扑图应一致；5.1.3在线监测服务器、OMS工作站、综合数据网关服务器等设备不应存在跨区直连或纵向交叉互联；5.1.4现场应部署气象信息服务器，部署方式应符合安全分区要求；5.1.5现场不应存在使用互联网或其他类型的公共网络；5.1.6现场不应存在远程拨号装置，应与各安全区直连实现远程维护。6.网络专用6.1调度数据网络使用通信传输通道（由通信部门提供），确定存在运行商传输通道、租用VPN网络、电力通信PTN通道。7.横向隔离7.1安全隔离装置部署和配置7.1.1正反向隔离装置策略配置应修改默认口令，限定端口；7.1.2正反向隔离装置策略配置应备份；7.1.3正反向隔离装置策略配置与业务需求一一对应；7.1.4安全三区气象服务器应部署反向隔离装置。8.纵向认证8.1纵向加密认证装置部署和及配置8.1.1系统纵向边界应启用加密认证装置，装置运行正常；8.1.2操作员卡妥善保管。9. 防火墙和入侵检测9.1防火墙部署和配置9.1.1电子间内部安全区之间应配置具有访问控制功能的网络设备、防火墙或者相当功能的设施；9.1.2电子间的安全一区与安全二区之间应部署防火墙设备，且设备粘贴有“中华人民共和国公安部监制计算机信息系统安全专用产品”字样的标识；9.1.3网络、安全设备严格禁止Email、WEB、Telnet、Rlogin、FTP等安全风险高的通用网络服务。防火墙、纵向加密装置以及电力专用横向单向安全隔离装置的安全策略应细化至IP地址（段）、端口级；9.1.4操作系统应开启系统自带防火墙功能。10.边界完整性管理10.1系统边界防护完整性检查10.1.1应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断；10.1.2查看现场生产控制大区、管理信息大区交换机MAC地址表，应不存在违规地址；11.硬件安全11.1硬件安全检测情况11.1.1查看硬件设备清单，现场随机抽查各安全区设备，厂家、型号、物理位置等信息应与清单保持一致；11.1.2查看硬件设备相关安全检测证明，主要包括国家认可的检测机构出具的设备形式试验报告，安全产品还应有公安部出具的销售许可证明。11.2硬件安全配置检测11.2.1现场查看生产控制大区硬件设备应采取有效措施封