01.电力设备设施防护制度.docx

浙江浙能温州发电有限公司文件 温电字〔2009〕76号 关于印发《电力二次系统安全防护管理制度》的通知 公司各部门：为了加强公司电力二次系统安全防护工作，确保电力监控系统及生产控制大区数据网络的安全，保障公司电力生产安全，特制定《电力二次系统安全防护管理制度》，现予印发，自发文之日起实施，请认真遵照执行。 附件：公司电力二次系统安全防护管理制度 二零零九年六月五日 主题词：二次系统 安全防护 制度 通知 浙江浙能温州发电有限公司总经理办公室 2009年06月05日印发 附件： 新升热电厂电力二次系统 安全防护管理制度 根据国家电监会第5号令《电力二次系统安全防护规定》和原国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求，为了防范厂电力二次系统受到黑客及恶意代码的攻击侵害及由此引发的安全生产事故，保障厂生产安全，特制定本制度。 一、组织和职责 1、厂成立电力二次系统安全防护领导小组，负责落实国家有关电力二次系统安全防护工作的政策、规定，全面领导厂相关规定、制度、技术措施和应急预案的制订与落实。 2、厂成立电力二次系统安全防护工作小组，负责审查电力二次系统安全防护技术措施，负责检查安全防护技术措施的落实，定期开展安全活动。 3、各车间负责专业所管辖电力二次系统的监控，正确操作各电力二次系统，及时发现、报告电力二次系统的安全事件。 4、安全生产部负责监控及维护电力监控系统和电力通信系统，负责相关防护技术措施的实施；负责监控及维护生产控制大区数据网络，负责相关防护技术措施的制订和实施；负责制订和落实电力监控系统和电力通信系统的安全防护技术措施，负责制订和组织演练电力二次系统安全防护应急预案；负责监督电力二次系统安全防护技术措施的落实。 二、安全防护技术 1、根据国家电监会电力二次系统安全防护工作的相关规定和技术方案，厂电力二次系统安全防护实行“安全分区、网络专用、横向隔离、纵向认证”的总体方针。 2、厂电力二次系统安全区连接采用链式的拓扑结构，控制区、非控制区和管理信息大区之间采用单一的物理链接通道，并按防护要求在控制区和非控制区互连边界部署国产防火墙，生产控制大区和管理信息大区互连边界部署电力专用横向单向安全隔离装置，严格禁止在各区之间建立其他的链接通道，禁止在缺乏防火墙或隔离装置的情况下连接链接通道。 3、生产控制大区内的各电力二次系统连网需按照所属安全区接入对应的安全区数据网，禁止控制区和非控制区业务系统的简单直联，严格禁止生产控制大区业务系统直接接入管理信息大区，严格禁止生产控制大区业务系统以任何方式接入互联网。 4、控制区数据网和省电力调度数据网纵向连接处部署电力专用纵向加密认证装置。 5、生产控制大区数据网的接入实行审核备案，接入的业务系统须有系统拓扑、数据流向和业务功能说明等资料，生产控制大区数据网按照业务系统划分VLAN，各业务系统间采取VLAN和访问控制等安全措施，限制系统间的直接互通。 6、生产控制大区内网络设备必须关闭未使用的端口，关闭网络设备中的HTTP服务等网络服务功能，采用安全增强的SNMPv2及以上版本的网管协议、设置受信任的管理端网络地址。范围、设置高强度的控制口和远端访问密码。 7、生产控制大区统一部署一套恶意代码防护系统，接入生产控制大区数据网的计算机终端必须安装防护系统客户端，防护系统的病毒库和木马库的更新通过一级服务器和省调中心服务器连接进行更新。 8、生产控制大区统一部署WSUS补丁服务器，接入生产控制大区数据网的计算机终端必须配置补丁自动更新策略，WSUS补丁服务器的补丁通过省调WSUS服务器进行更新。 9、生产控制大区的主机拆除软盘驱动、光盘驱动，关闭USB接口、串行口等，确需保留的必须具备安全管理措施实施严格监控，防止未授权的使用，安全管理措施必须具备可操作性和有效性。 10、生产控制大区内使用的主机设备实行专机专用，严格禁止生产控制大区内的主机以任何方式接入到其他区域中。 11、生产控制大区内的主机应该使用安全加固的操作系统，严格设置系统帐号及密码，密码要求为数字和字母的组合，密码长度不得少于六位，密码中禁止出现简单数字序列或字母序列，严禁空密码帐号以及密码与用户名相同的帐号，关闭操作系统的自动播放功能。 12、生产控制大区内的主机禁止安装和业务无关的软件，安装软件必须经过病毒及恶意代码查杀后才能安装。 13、严格控制生产控制大区专用移动存储设备在管理信息大区的主机上使用，数据需拷入管理信息大区主机的，必须将移动存储设备的读写开关拨到只读方式，严禁随意从管理信息大区主机拷取文件。需从管理信息大区拷取文件进入专用存储设备的， 必须在拷取完毕后立即将开关拨到只读方式，再进行查杀病毒。经管理信息大区主机查杀无毒的情况下再在专用