公司网络信息系统管理办法.docxVIP

0 - - - 公司网络系统管理办法 第一章 总 则 第一条 目的 为了保障公司网络监控系统设备、设施的安全运行，抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，保障网络系统数据的安全，防止网络系统及监控系统的崩溃或瘫痪，特制定本办法。 第二条 适用范围 本办法适用于公司网络系统管理。 第三条 术语 网络信息化系统包括：网络设备设施、系统安全设备设施、通信设备设施、服务器存储设备设施、办公电子设备设施、信息化多媒体设施设备等。 涉及业务范围:监控系统、PI系统、故障录波及保护装置系统、电能计量能源系统、PSM系统等。 第二章 职 责 第四条 设备管理科职责 （一）负责公司生产网络信息系统设备、设施的日常维护、数据备份拷贝（应有异地备份）、密码修改并建立相关设备台账。 （二）负责现场网络设备调试，严格执行安全措施和技术措施，防止发生网络系统大面积故障事件。 （三）负责制定、上报网络系统责任区检修计划、整改措施及编写技术方案。 （四）负责公司网络系统安全Ⅰ区、Ⅱ区、Ⅳ区管理。 （五）负责编写公司网络事故应急预案并组织演练。 第五条 生产技术科职责 （一）负责公司生产网络信息系统及生产对讲机的使用管理。 （二）负责生产网络系统及信息数据采集系统使用管理。 （三）负责检查网络设备运行情况与安全防护措施落实情况。 （四）参与网络事故应急预案的演练。 （五）负责所属生产区域网络设施的日常管理，发现异常及时联系处理。 （六）负责电子间的出入登记管理。 第六条 综合管理科职责 （一）负责公司行政办公网络信息系统管理。 （二）负责公司电话、办公区域电脑、网络、打印复印机、周界视频监控等设备的管理及维修，并建立信息化设备台账。 （三）负责公司网络系统安全Ⅲ区管理。 第三章 安全分区 第七条 公司网络系统安全防护坚持“安全分区、网络专用、横向隔离、纵向认证”的原则。 第八条 公司网络监控系统安全分区：网络监控系统安全防护采用链式结构，按总体防护分为生产控制大区和管理信息大区，其中生产控制大区包括控制区（安全区Ⅰ）、非控制区（安全区Ⅱ），管理信息大区包括信息管理区（安全区Ⅲ）、生产管理区（安全区Ⅳ）。 （一）安全区Ⅰ通过交换机-纵向认证加密装置-电力调度数据网接入集团PI系统服务器。 （二）安全区Ⅱ通过交换机-纵向认证加密装置-网络监控、MES系统数据通过内部网络接入集团MES系统服务器。 （三）Ⅰ区与Ⅳ区间配置2台隔离装置，Ⅱ区与Ⅲ区间配置1台隔离装置。 （四）Ⅲ区与Ⅳ区间配置1套防火墙。 第九条 公司网络系统设备划分 （一）安全区Ⅰ设备：生产现场DCS控制与保护系统、PLC控制系统、能源数据采集系统、电气保护动作通讯设备、电气生产数据生成设备。 （二）安全区Ⅱ设备：生产现场不参与生产控制只进行数据采集的设备，包括数采机、OPC机、网络基站、监控视频、消防控制系统、光纤接受发送装置、PSM系统等。 （三）安全区Ⅲ设备：非生产系统设备，包括办公用计算机、打印复印机、传真机、电话、OA系统、办公网络机柜、路由器、交换机、周界监控等。 （四）安全区Ⅳ设备：包括公司外部通讯光纤、服务器、防火墙、网闸设备等。 第十条 计算机区域安全等级划分 （一）公司所有生产系统服务器、历史站计算机安全等级为B2级。 （二）公司所有生产系统工程师站计算机安全等级为B1级。 （三）公司所有生产系统操作员站计算机安全等级为C2级。 （四）公司所有生产系统监视站计算机安全等级为C1级。 （五）公司非生产系统办公用计算机安全等级为D1级。 第四章 管理要求 第十一条 操作人员登录进入关键业务系统以及相对关键控制操作应进行身份认证及操作权限控制。 第十二条 用户口令管理 （一）人员的ID及口令每年进行更新，变更后必须向生产技术科报备。 （二）系统超级管理员的ID及口令必须由设备管理科专人保管和修改。 （三）人员调离后，网络专责人必须立即注销用户名。 第十三条 为确保机房信息及设备的安全，进入机房外委人员及携带的物品，均须接受检查，并如实填写登记表，机房管理人员负责登记的监督工作，确认无误后方可进入机房。 第十四条 工作监护人员应全程监督并承担随工过程的管理责任，未经监护人员许可，外来人员不得在服务器上安装新软件，若确实需要安装，安装前应进行病毒例行检测并执行DCS系统软件安装申请单（见附件2），经总工程师审批同意后方可执行。 第十五条 安全加固要求 （一）网络设备不得使用初始密码，密码满足复杂强度要求，密码必须密文显示，限制登陆次数及时间。 （二）生产网络系统设备应限制远程登陆地址、关闭不使用的端口、关闭不需要的服务，如HTTP、Telnet、Rlogin、FTP。 （三）控制系统必须配置三个用户，操作员、工程师、超级用户。 （四）防火墙、纵向加密装置隧道必