新能源电站二次设备现场检修安全防护风险提示卡.docVIP

新能源电站二次设备现场检修安全防护风险提示卡 序号 工作类型/内容 典型风险 管控措施 一、计算机监控系统 1 后台机调试及维护 1.无线网卡插在后台机上。2.紧急情况厂家远程维护后台机。3.站内未安排专人对厂家行为进行监控。4.未经过杀毒的调试终端直接连接在后台机。5.现场接线与实施方案中网络拓扑图不一致。6.后台机非安全操作系统（国产且经权威安全部门检测），未安装杀毒软件，未定期杀毒。7.ftp、telnet等通用服务未关闭。8.后台机空闲网络端口、USB 接口、光驱等接口未关闭。9.用户密码分配及管理不符合规范要求。10.后台机配置存在多余IP地址及与业务无关的路由配置。11.与二区功率预测系统之间未配置防火墙或未按照“最小化”原则配置策略。12.随意使用未经杀毒的移动存储或笔记本电脑进行数据导出。 1.与调试厂商签订二次安防合规性承诺书和保密协议。2.严禁无线网卡插在后台机。3.严禁厂商远程维护。4.调试前，调试终端应进行杀毒，确保设备中无病毒软件后再开展调试。5.现场工作，专人对厂商行为进行监控。6.严格按照现场网络拓扑图开展工作。7.后台机安装安装安全操作系统，杀毒软件，并定期升级杀毒软件。8.关闭ftp、telnet等通用服务。9.关闭后台机空闲网络端口、USB 接口、光驱等接口。10.严格执行用户账号及密码管理制度。按照实际情况设备用户名和密码，密码应满足不少于8位的字母、数字、字符的组合11.删除后台机多余IP地址及与业务无关的路由配置。12.与二区功率预测系统之间配置防火墙，按照“最小化”原则配置防火墙策略。13.数据导出前，须将所使用的移动存储或笔记本电脑进行杀毒，确保设备中无病毒软件后再接入至设备。 2 远动机调试及维护 1.无线网卡插在远动机上。2.紧急情况厂家远程维护远动机。3.站内未安排专人对厂家行为进行监控。4.未经过杀毒的调试终端直接连接在远动机。5.现场接线与实施方案中网络拓扑图不一致。6.远动机非安全操作系统（国产且经权威安全部门检测），未安装杀毒软件，未定期杀毒。7.ftp、telnet等通用服务未关闭。8.远动机空闲网络端口、USB 接口、光驱等接口未关闭。9.用户密码分配及管理不符合规范要求。10.远动机配置存在多余IP地址及与业务无关的路由配置。11.与主站数据交互绕过纵向加密装置或纵向加密未明通模式。12.纵向加密装置策略未按照“最小化”原则配置。 1.与调试厂商签订二次安防合规性承诺书和保密协议。2.严禁无线网卡插在远动机。3.严禁厂商远程维护。4.调试前，调试终端应进行杀毒，确保设备中无病毒软件后再开展调试。5.现场工作，专人对厂商行为进行监控。6.严格按照现场网络拓扑图开展工作。7.远动机安装安全操作系统，杀毒软件，并定期升级杀毒软件。8.关闭ftp、telnet等通用服务。9.关闭远动机空闲网络端口、USB 接口、光驱等接口。10.严格执行用户账号及密码管理制度。11.远动机配置存在多余IP地址及与业务无关的路由配置。12.与主站数据交互配置纵向加密装置，且纵向加密非明通模式。13.纵向加密装置策略按照“最小化”原则配置。 3 站内综自系统交换机 1.紧急情况厂家远程维护交换机。2.站内未安排专人对厂家行为进行监控。4.未经过杀毒的调试终端直接连接在交换机。5.现场接线与实施方案中网络拓扑图不一致。6.空闲网络端口、USB 接口等接口未关闭。10.远动机配置存在多余IP地址及与业务无关的路由配置。11.与主站数据交互绕过纵向加密装置或纵向加密未明通模式。12.纵向加密装置策略未按照“最小化”原则配置。 1.与调试厂商签订二次安防合规性承诺书和保密协议。2.严禁无线网卡插在远动机，严禁厂商远程维护。3.现场工作，专人对厂商行为进行监控，严格按照现场网络拓扑图开展工作。4.远动机安装安全操作系统，杀毒软件，并定期升级杀毒软件。5.关闭ftp、telnet等通用服务。6.关闭远动机空闲网络端口、USB 接口、光驱等接口。7.严格执行用户账号及密码管理制度。8.与主站数据交互配置纵向加密装置，且纵向加密非明通模式。9.纵向加密装置策略按照“最小化”原则配置。 4 AGC/AVC服务器维护 1.无线网卡插在服务器上。2.紧急情况厂家远程维护服务器。3.站内未安排专人对厂家行为进行监控。4.未经过杀毒的调试终端直接连接在服务器。5.现场接线与实施方案中网络拓扑图不一致。6.服务器非安全操作系统（国产且经权威安全部门检测），未安装杀毒软件，未定期杀毒。7.ftp、telnet等通用服务未关闭。8.服务器空闲网络端口、USB 接口、光驱等接口未关闭。