9、系统安全保护设施设计实施方案或改建实施方案 (完成).docx

2018年省调直调涉网厂站电力监控系统 安全防护专项治理工作 三峡国投淖毛湖南风电一场场站 整改佐证反馈材料 2018年3月 联系人： 武利涛 联系方式： 系统、设备问题整改描述 已整改 细则对应序号 8 存在问题描述 未绘制与当前运行情况相符的网络拓扑结构图。 审核佐证材料标准 按照整改实际情况反馈 注：此图为当前运行情况相符的网络拓扑结构图 系统、设备问题整改描述 无此问题 细则对应序号 9 存在问题描述 生产控制大区未采用强隔离措施与管理信息大区（或互联网、外网、集团公司外网、设备厂商）直连。 审核佐证材料标准 1.上报佐证中需包含设备本身；2.需展示出设备接线两端的设备，将按照数据流向证明起始端口、终点端口及中间转换等经过的端口；3.安全设备需提供内部策略证明。 系统、设备问题整改描述 已整改 细则对应序号 12 存在问题描述 生产控制大区内部安全一区未采取逻辑隔离措施与安全二区直连。 审核佐证材料标准 1.上报佐证中需包含设备本身；2.需展示出设备接线两端的设备，将按照数据流向证明起始端口、终点端口及中间转换等经过的端口；3.安全设备需提供内部策略证明（应包含所有许可、在用、Permit状态的策略）。 生产控制大区内部安全一区已采取逻辑隔离措施与安全二区已加防火墙采取逻辑隔离措施。 配置如下： 系统、设备问题整改描述 已整改 细则对应序号 14 存在问题描述 实时子网（安全一区）与非实时子网（安全二区）之间共用一套纵向加密装置。 审核佐证材料标准 1.上报佐证中需包含设备本身（原纵向加密及新接入纵向加密的接线佐证）；2.需展示出新加设备的接线的两端设备；3.安全设备需提供内部策略证明（应包含纵向加密装置所有的策略及隧道佐证）。 省调一，二区纵向加密策略配置如下： 省调一区纵向加密策略配置 省调二区纵向加密策略配置 地调一区纵向加密策略配置 系统、设备问题整改描述 已整改 细则对应序号 17 存在问题描述 路由器、交换机、防火墙、纵向加密装置、单向隔离装置等设备，未修改默认账户，未划分管理员权限、用户权限、审计权限。 审核佐证材料标准 1.对照场站检查细则，细则中该问题项包含的设备或系统，按系统（指应用系统，如AGC、功率预测等）分类，每类应至少一个设备出现在佐证中（操作系统的问题项同样按照应用系统分类进行整改反馈）；2.包含账户三权分立设置的截图或代码文件（网络摘抄的纯代码（代码指令）不算）。 省调一二区路由器划分权限 省调一区交换机划分权限 省调二区交换机划分权限 地调一二区路由器划分权限 地调一区交换机划分权限 地调二区交换机划分权限 外网防火墙划分权限 安全一二区饭获取回复权限 系统、设备问题整改描述 已整改 细则对应序号 20 存在问题描述 路由器、交换机、防火墙、纵向加密装置、单向隔离装置设备，未禁止Email、WEB、Telnet、Rlogin、FTP、HTTP、SMB等安全风险高的通用网络服务。 审核佐证材料标准 1.对照场站检查细则，细则中该问题项包含的设备或系统，按系统（指应用系统，如AGC、功率预测等）分类，每类应至少一个设备出现在佐证中（操作系统的问题项同样按照应用系统分类进行整改反馈）；2.包含Email、WEB、Telnet、Rlogin、FTP、HTTP、SMB等安全风险高的通用网络服务禁止设置的截图或代码文件（网络摘抄的纯代码（代码指令）不算）。 省调一二区路由器禁止FTP,Telnet服务 省调一区交换机器禁止FTP,Telnet服务 省调二区交换机器禁止FTP,Telnet服务 地调一二区路由器禁止FTP,Telnet服务 地调一区交换机器禁止FTP,Telnet服务 地调二区交换机器禁止FTP,Telnet服务 系统、设备问题整改描述 已整改 细则对应序号 21 存在问题描述 生产控制大区与上级调度机构数据交互时，纵向加密装置采用明文传输，或隧道为关闭状态。 审核佐证材料标准 1.对照场站检查细则，细则中该问题项包含的设备或系统，按系统（指应用系统，如AGC、功率预测等）分类，每类应至少一个设备出现在佐证中（操作系统的问题项同样按照应用系统分类进行整改反馈）；2.提供规则、策略佐证（应包含纵向加密装置所有的策略佐证）；3.提供通道状态佐证（应包含纵向加密装置所有隧道佐证）。 内部配置如下： 省调一区纵向加密隧道配置 省调一区纵向加密策略配置 省调二区纵向加密隧道配置 省调二区纵向加密策略配置 地调一区纵向加密隧道配置 地调一区纵向加密策略配置 地调二区纵向加密隧道配置 地调二区纵向加密策略配置 备注：存在问题：严重缺陷类（第2条）生产控制大区与上级调度机构数据交互时，纵向加密装置采用明文传输，或隧道为关闭状态，如：省、地调纵向加密装置配置策略