公司电力监控系统漏洞扫描管理办法.docx

　　　 　　 　　　　 内部公开 第 第 2 - 页 共 5 页 PAGE 新能源有限公司 电力监控系统漏洞扫描管理办法 第一章 总则 为保障新能源有限公司（以下简称公司）电力监控系统的安全、稳定运行，消除潜在的系统漏洞，制订本管理办法。 本办法适用各场站电力监控系统的所有漏洞扫描及相关设备的管理和运行。 第二章 岗位职责 参与电力监控系统漏洞扫描管理员必须签订保密协议书。? 漏洞扫描系统管理员的职责如下：? 恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关通信管理的相关规程；? 负责漏洞扫描软件（包括漏洞库）的管理、更新和公布；? 负责对网络系统所有服务器和专用网络设备的首次、周期性和紧急的漏洞扫描； 负责查找修补漏洞的补丁程序，及时打补丁堵塞漏洞；? 密切注意最新漏洞的发生、发展情况，关注和追踪业界公布的漏洞疫情； 遵守漏洞扫描设备各项管理规范。 第三章 管理要求 只有漏洞扫描系统管理员才具有修改漏洞扫描设备配置、分析和扫描的权限。? 为用户级和特权级模式设置口令。不能使用缺省口令，确保用户级和特权级模式口令不同。每三个月进行一次漏洞扫描。 漏洞扫描设备口令长度应采用8位以上，由非纯数字或字母组成，并定期更换，不能使用弱口令或易推测口令。? 漏洞扫描设备的部署环境应满足相应的国家标准和规范，保证漏洞扫描设备发挥最大效应。? 漏洞扫描设备工作时会对网络造成一定程度的影响，应避免在网络运行高峰期进行扫描，如有特殊情况应通知有关的系统管理员。 漏洞扫描设备的规则设置、更改的授权、审批依据《新能源有限公司信息系统变更申请表》（见附表1）进行，漏洞扫描设备的规则设置、更改，应该得到场站负责人的批准，由系统管理员具体负责实施。? 对扫描结果的分析和安全漏洞修补，发现系统漏洞公告，必须及时找到修补漏洞的补丁程序，并通过专用工具，及时下载打补丁，堵塞漏洞。? 系统管理员对服务器和专用网络设备实施首次漏洞扫描、服务器和专用网络设备上线前，必须进行漏洞扫描，并填写《新能源有限公司系统漏洞补丁统计表》（附表2）。? 系统管理员对服务器和专用网络设备实施周期性漏洞扫描，并填写《漏洞扫描记录单》（附表3）。? 漏洞扫描设备配置操作需记录网络环境、定义漏洞扫描的网络接口、定义漏洞扫描的IP地址范围。?? 获悉业界公布的漏洞疫情，并确认它们存在严重的危害性，即使场站尚未出现受到侵扰的迹象，也必须采取预防措施，对服务器和专用网络设备实施紧急漏洞扫描，及时调整防火墙策略，并填写《漏洞扫描记录单》（附表3）。 第四章 附则 本办法由电力生产部负责起草和修订，经公司总经理办公会审议通过后发布。 本办法由电力生产部负责解释。 本办法自发布之日起执行。 附件：1.新能源有限公司信息系统变更申请表 2.新能源有限公司系统漏洞补丁统计表 3.新能源有限公司系统漏洞扫描记录单 附件1 新能源有限公司信息系统变更申请表 编号： 申请单位(填写)： 调整原因 调整内容 业务测试情况: 业务测试负责人(签): 申请人： 申请时间： 系统负责人： 审批时间： 场站负责人意见： 以下由技术支持人员(填写) 变更系统名称 技术负责人(签) 变更等级 □常规变更 □紧急变更 □一般变更 □重大变更 对现有系统及值班操作影响 建议变更时间 模拟验证情况 模拟人： 风险提示 审批情况 场站负责人审批意见 审批时间： 附件2 新能源有限公司系统漏洞补丁统计表 编号： 记录人 记录时间 漏洞名称 漏洞通告发现时间 漏洞通告发现地址 漏洞补丁发现时间 漏洞补丁发现地址 漏洞补丁名称 漏洞补丁上载内部网时间 编号： 记录人 记录时间 漏洞名称 漏洞通告发现时间 漏洞通告发现地址 漏洞补丁发现时间 漏洞补丁发现地址 漏洞补丁名称 漏洞补丁上载内部网时间 附件3 新能源有限公司系统漏洞扫描记录表 编号： 实施人 实施时间 漏洞扫描时机 首次扫描 定期扫描 紧急扫描 其他 扫描软件名称和版本 本次获得漏洞扫描的网络设备列表 本次扫描出的漏洞分布情况、种类以及个数、危险级别、堵塞情况 编号： 实施人 实施时间 漏洞扫描时机 首次扫描 定期扫描 紧急扫描 其他 扫描软件名称和版本 本次获得漏洞扫描的网络设备列表 本次扫描出的漏洞分布情况、种类以及个数、危险级别、堵塞情况