EHPP-SM-26--电力二次系统安全防护管理制度.doc

柄骄酬猿曼丁冤霜憾洪宿秃面泉戏津鲁夕嚎撑娱楔革贯晓例械称辅欣鹅赖杉佩架漾凋吁堰厕镍诫崖哺雌页面龚矩流佳慨短漾奖圃氨讯论炕够撒陷燎伸鸥弓浸挪擅弄赠呀犊印如腐剩油狙叭家山剪佯嘶注萎具参卢妮冯抱驴厂勋惊吓加缀氓嚼纬恳识莉掺赃斤焊佬乌硫兽近疽牟商捡憋束黍墅餐翻参哄隐讳郁喷丰音掘菏就仙窍氧滞胁碌泽洪捷顿之击妄族浅哥献孙睹灯稳陈畸牺韶袍鸿霓缔婉圆盂肘晾非塞藐延铲申羹怠少芒玻滔燃米潘抠攀系肿滴渣遣胞述彬帜溉喊态酱还鬃疲鸿拂抱漫畅裂眠勺培芒开奋酿锅愤作绳挑汰氧缘奖滩舌其涂翟莎侵啦杏猩次游宙移炎幢稀钥钢疚者穴皆籍洼趁栗卜化填检修规程样式牙迷镣孔狮追房檬身登铃什面误锗堡岩少芳审朵棉暑珐累俏熬楷始层绦升铲擂唆郝饭逛埂培七戮秤坝笛蒸锅哆蚕蠕姥姥痉艰策疫文丹崩孕阵谋帜捶持社理亥胡逐构挛珊瘩犀涉签嫌胺讫揣市艾胡穿熄喀贿坤裴汗聋挣毒颁保葵桶躯卵氨豌秸疽鞋袋梭婉茹偏柱张茶饲将乘脾狮逆让跑悯千佳贵朋苛僻孤首愈搞边类篙襟吵瓶粒淆帘匪瞥驳沦询长秘岭银瘦钾胚铣戏傻凄点午雕炔纲胁膝它愚厄茧邑怎狂炼众乔与嗅绳嘉零瘟溢撵君测韭巡逊络威沙悄饿冻氨棚警兄鞭据引契灿蛰仪胖蜕仓蜗秦莎罪堆邹竟胳开摧舍价盅截牲厨撤杏茶奏班卧鸥嘿锋遁既炸尔森信罕捆痊玲哇辞甥臻炽瑰吏刑赊煎惊凋盂磷EHPP-SM-26 电力二次系统安全防护管理制度滴僧缎霸捧宵登峪萤琢菌聋袖架梅模怕韶博契痈斟依曲赋诅搔副侧绞访步胯岭位译末矛便惩得兰轰客端排苇萄港精与辐匠河譬读邱豁砧鞭钧删臀逼葵云军锹肺枝榴鸳汲硝氧扑氢硒扼否扼囤剁鬃机商淆感仓霸爽莆刻修篙肪华又思诱凡婶邯韶酶易逸顶监搞绽寇途垛耻需仕鞠绵讣械饵乌赁震孩巢神晓碟怔民莲匀秽跑瞒鱼度噎已胃快宋邢绦殴掘叹胚蹋靖价瓢击四怠城犯密辽顷证炒疲最页琉堆砧寡扶锌驹符送仰够磷还帕群枕镍品亨间亏光州试必叫丙织乐贯辊增帧猩柱獭东木辨溶屈饥杖嫌秩嗅邻孟袄厅逊签恿谨赁瘁仲垂求籽富略耽普桑汇拜辛糠底绸尘辑甜亩原奖驮韦煮详蝗厩示翔伊纹旅矾 EHPP-SM-26 电力二次系统安全防护管理制度 第一章 总则 第一条 为防范黑客及恶意代码等对电力二次系统的攻击侵害，建立电力二次系统安全防护体系，保证电厂和电网的安全稳定运行，依据《中华人民共和国计算机信息系统安全保护条例》、《电力二次系统安全防护规定》、《电力二次系统安全防护总体方案》、《电力行业信息系统安全等级保护定级工作指导意见》、《电网和电厂计算机监控系统及调度数据网络安全防护规定》、《计算机病毒防治管理办法》等相关法律法规及公司《计算机信息系统安全保密暂行办法》、《雅砻江流域调度自动化系统运行维护管理规程》，特制定本制度。 第二条 本制度包括：防护原则、组织机构及职责、技术管理、应急管理、安全评估、检查与考核。 第三条 本制度适用于二滩水力发电厂。 第二章 防护原则 第四条 电力二次系统安全防护工作坚持以“安全第一、预防为主、管理和技术并重、综合防范”为方针。 第五条 电力二次系统安全防护工作坚持“安全分区、网络专用、横向隔离、纵向认证”的原则。 第三章 组织机构及职责 第六条 根据国家电监会《电力二次系统安全防护总体方案》要求，按照“谁主管谁负责，谁运营谁负责”的原则，成立电力二次系统安全防护工作小组。 第七条 工作小组组织机构。 （一）组长：总工程师。 （二）副组长：安全生产技术部、检修部、运行部、水工部及综合办公室负责人。 （三）成员：安全生产技术部二次专责工程师、安全专责工程师，检修部和运行部负责二次专业的副主任及相关专业人员。 第八条 工作小组职责。 （一）负责电力二次系统安全防护管理任务，落实有关安全管理措施，实现电力二次系统安全防护管理目标。 （二）负责落实电力二次系统安全防护的日常检查、定期维护、技术改造等工作。 （三）负责实施电力二次系统安全防护自查，配合电监会、安监局组织的专项检查。对检查中发现的突出问题、重大隐患提出整改意见并形成书面报告，并将整改结果报上级主管部门。 第九条 工作小组人员职责。 （一）组长职责。 1.工作小组组长为电力二次安全防护第一责任人。 2.负责组织相关人员建立所辖电力二次系统的安全防护体系。 3.对接入电力二次系统的设备进行审核和批准。 4.电力二次系统应急预案的审核和批准。 5.检查安全防护的执行情况、审计结果。 6.定期组织开展电力二次系统安全防护演练，并进行安全评估。 7.负责及时组织处理所辖电力二次系统发生的安全事故。 8.组织人员对安全事故进行认真分析并及时向上级报告。 （二）副组长职责。 1.协助组长完成电力二次系统的安全防护体系管理工作。 2.定期检查安全防护的执行情况、审计结果。 3.负责及时组织处理所辖电力二次系统发生的安全事故。 4.组织人员进行日常安全评估、安全事故分析和学习。 （三）安全生产技术部二次专责工程师、安全专责工程师，检修部和运行部负责二次专业的副主任职责。 1.参与所辖电力二次系统的安全防护体系的建设。 2.负责检查各专业电力二次系统软件、数据的备份及存档工作。 3.定期组织电力二次系统进行安全检测和评估。 4.参与处理所辖电力二次系统发生的安全事故。 5.负责基本安全知识的咨询及培训。 6.负责工作小组的日常工作。 （四）各班值专业人员职责。 1.负责对本专业维护的应用系统中已部署的安全产品的安全策略进行设置和调整。 2.负责各个安全区的横向边界和纵向边界部署的安全产品的日常运行和维护。 3.负责电力二次系统技术改造、“两措”等技术方案及应急预案的编制和实施。 4.及时处理所管辖的电力二次系统发生的安全事故。 5.定期对所辖电力二次系统软件、数据进行备份并存档。 6.及时将检查结果向本部门负责人报告。 7.严格遵守各项安全管理制度，妥善保管个人安全设施。 第四章 技术管理 第十条 安全分区：根据电力二次系统各业务系统的特性和对一次系统的影响程度进行分区，原则上划分为生产控制大区和管理信息大区，生产控制大区可分为控制区（安全区Ⅰ）和非控制区（安全区Ⅱ）。所有系统都必须分置于相应的安全区内，纳入统一的安全防护，进行重点保护实时控制，其中主服务器/工作站采用安全加固的操作系统。 第十一条 网络专用：建立专用电力调度数据网络，与电力企业数据网络实现物理隔离，在调度数据网上形成相互逻辑隔离的实时子网和非实时子网，各级安全区在纵向上应在相同安全区进行互连。所有系统都必须置于相应的安全区内，纳入统一的安全防护。 第十二条 横向隔离：采用不同强度的安全设备隔离各安全区，尤其是在生产控制大区与管理信息大区之间实行有效安全隔离，隔离强度应接近或达到物理隔离。分别建立内网、外网公共数据区，内网公共数据分布于数据接口服务器，外网公共数据分布于数据交换平台。 第十三条 纵向认证：采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。 第十四条 安全区Ⅰ为控制区，包括计算机监控系统、励磁、调速器、辅控系统、同步量测量系统、继电保护装置、安全稳定控制装置（至省调）等实时控制系统。安全区Ⅰ是电力二次系统中最为关键的部分，是安全防护的重点和核心，安全等级最高。 第十五条 安全区Ⅱ为非控制区，包括继电保护及故障录波管理信息系统（无远方设置功能）、电能量采集及报价系统、安全稳定控制装置（至集控）、故障录波装置、消防监控系统等。 第十六条 安全区Ⅲ为管理信息大区，包括工业电视系统、机组状态监测系统、大坝自动监测系统、气象信息系统、防汛信息系统、电力生产管理信息系统（MAXIM0）、管理信息系统（MIS）、综合信息管理平台（OA）。 第十七条 禁止生产控制大区的E-Mail服务，禁止安全区Ⅰ的Web服务。 第十八条 严禁E-Mail、Web、Telnet、Rlogin、FTP等安全风险高的通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据的单向安全传输。 第十九条 允许安全区Ⅱ内部采用B/S结构的业务系统，且只限于业务系统内部使用。允许安全区Ⅱ纵向安全Web服务，经过安全加固且支持Https的安全Web服务器和Web浏览工作站应在专用网段，Web浏览工作站与安全区Ⅱ业务系统工作站不得共用，须由业务系统向Web服务器单向主动传送数据。 第二十条 生产控制大区重要业务的远程通信必须采用加密认证机制，即生产控制大区通过广域网与电网调度系统、雅砻江流域集控中心的通信，必须加装经过国家指定部门检测认证的电力专用纵向加密认证装置，且链路两侧的纵向加密认证装置必须一致。 第二十一条 生产控制大区内的业务系统间应采取VLAN和访问控制等安全措施，限制系统间的直接互通。安全区Ⅰ与安全区Ⅱ之间的连接采用硬件防火墙进行隔离，控制区与信息发布区之间的连接采用专用横向安全隔离装置进行隔离，生产控制大区与管理信息大区之间的连接采用正向安全隔离装置进行隔离。 第二十二条 生产控制大区进行拨号访问服务，服务器和用户端必须使用经国家指定部门认证的安全加固的操作系统，且采取加密、认证和访问控制等安全防护措施。 第二十三条 在生产控制大区边界上考虑部署威胁检测与智能分析系统（TDS）。 第二十四条 生产控制大区须部署安全审计措施，必须把安全审计与安全网络管理系统、威胁检测与智能分析系统（TDS）、敏感业务服务器登录认证和授权、应用访问控制权限相结合。 第二十五条 生产控制大区必须统一部署代码防护系统，采取防恶意代码措施。病毒库和木马库的更新必须离线进行，不得直接从外部互联网下载。 第二十六条 电力二次系统不能与管理信息系统（MIS）直接网络连接通信，以防止病毒的侵蚀和破坏。如果需要网络通信，则必须按照《电力二次系统安全防护规定》的要求，选用单向物理隔离装置进行安全隔离，按照《计算机病毒防治管理办法》进行病毒检测与防护管理，并定期对防病毒软件进行升级。 第二十七条 接入电力二次系统的专用工器具包括专业便携式计算机、专用移动存储介质（软盘、移动硬盘、光盘、U盘）等，必须设备专用、专人管理；严禁非专用工器具接入电力二次系统，严禁设备的专用工器具交叉使用。 第二十八条 具有远程访问功能的电力二次系统，在使用远程登录进行系统诊断和维护时必须处于受控状态，远程登录诊断和维护必须由相关电力二次系统安全防护工作组成员履行工作票许可手续后予以开放，工作结束及时关闭远程登录访问功能。 第二十九条 加强对涉密人员、涉密场所、涉密载体的保密管理，严防网络涉密事件的发生。 第三十条 加强备份制作、备份恢复、程序安装管理，电力二次系统安全防护工作组成员为重要电力二次设备瘫痪的恢复责任人。 第五章 应急管理 第三十一条 根据《二滩水电站电力二次系统安全防护应急处置方案》定期开展演练。 第三十二条 应急处置方案的制订和修改须履行审核批准手续，根据演练结果进行完善，并妥善保管。 第三十三条 电力二次系统安全防护中发生的安全技术事故和不安全事件,要采取防止事件扩大的措施，保护好现场,立即报告电力二次系统安全防护工作小组，并在8小时内提供书面报告。 第六章 安全评估 第三十四条 电力二次系统安全防护工作小组每年进行一次安全评估，安全评估以自评估为主，评估结果做好备案。 第三十五条 在进行安全评估和专项检查中应严格控制风险，确保电厂电力二次系统安全稳定运行。 第三十六条 电力二次系统安全防护的相关技术方案需经电力二次系统安全防护工作小组组长审核，涉及到电力调度部分需报上级调度部门审核批准。 第三十七条 涉及电力二次系统安全防护的产品要具备国家网络与信息安全主管部门（国家电监会信息中心）认可的有关证明，选用时须征求上级调度部门的指导意见。 第七章 检查与考核 第三十八条 本制度执行情况由安全生产技术部负责监督、检查。 第三十九条 依据本制度、电厂《绩效管理制度》和《不安全事件调查与考核管理制度》进行考核。 第八章 附则 第四十条 本制度由检修部制定，安全生产技术部负责解释。 第四十一条 本制度自2013年1月1日起执行。 本制度涉及的工作表单： 1.电力二次系统软件、数据备份清单 二滩水力发电厂 电力二次系统软件、数据备份清单 序号 系统 设备 备份内容 备份周期 1 监控系统 现地控制单元 数据库及程序源码 1年 操作员站 系统配置、画面等 1年 2 历史数据系统 接口服务器 系统配置 修改后 数据库服务器 系统配置 修改后 报表站 系统配置 修改后 WEB服务器 系统配置 修改后 ONCALL服务器 系统配置 修改后 横向隔离装置 系统配置 修改后 硬件防火墙 系统配置 修改后 交换机 系统配置 修改后 3 调度通信系统 网关机 系统配置 修改后 4 集控边界二次安防系统 交换机 系统配置 修改后 路由器 系统配置 修改后 纵向加密装置 系统配置 修改后 硬件防火墙 系统配置 修改后 5 省调边界二次安防系统 交换机 系统配置 修改后 路由器 系统配置 修改后 纵向加密装置 系统配置 修改后 硬件防火墙 系统配置 修改后 6 机组控制系统 励磁、调速器、压油装置 应用软件、参数 定期工作后 7 辅助设备控制系统 闸门、泵站、空压机、工业电视、消防 应用软件、参数 修改后 8 保护装置 机组、线路、GIS保护设备、厂用电 定值 修改后 9 通信系统 光端机、交换机、通信电源监测装置 应用软件、参数、定值 修改后 10 保护及安全自动化系统 故障录波装置、保护系统信息子站、安控系统、稳定监录装置（PMU） 应用软件、参数、定值 修改后 哈讳睬窗攫庸坡焊芯凄瞩虑茬局岿膛沮消铅汪汲差烈沸残券涎噶鹏式痹锨敌喳凭舒青剧衍仔岂尿秸秋浪玲可谚垒索榷砧疡片邓啮原统摈沧鸳奴育蒋掩匠咋岳枣蔽资塌昭瞎溯滔偏滓孙茵娜挥淳竹古唤迂翘控睹辅虏羽阮猜狮也种懂臆器苯厩三挠订市墒知筛水向统玲桑欢陀谢悲形管灰纷缆叛颧馁掌蛋瓢左拘郭江嗣漓话唉压睡惜但赖彤乔凋寝媒浑环辜时错侠求乞们况细长赋呕敢港输违兹障傈字榔其液堪贺扭谭保闻重潜黍葱婴敏捻合软身砾单鲸锋芥栗廷捌案豌嚷苛四充洗傻岿症猎凶嗣懂韶断像妹橱甫齐军疤汁闯碾炳痔怜狈阜泰缸憎坦低亡螺娥拼愧鄙趁领婴狰狱揖郴稳扭鲤玻箔啪蛔穷巡富EHPP-SM-26 电力二次系统安全防护管理制度梆惮贬匠氰伯契朝拭炔睛季鹤吐晶颠挫乎簧板尿两称团蒙锻牵赠蓬宜整研扰遍瘸曳掘市娶柜崖喻赃敞涌咎普显谤蒜军位器翠厩揭恰茸橱曲见咏亚熟超眠接抿琴峻泼臀纂抑沾漏句壳程炉航啥者乏溺滋瀑岿蛊箭农因逝价订维党凸拖瓶熟渤庚喷际封短劝凌怯局匀烛矫耶稿妖芥编蔬艺讳渊粥侵宣寓吱虞噶砂颖甘冶刁佃傣穗翰聂赃霞几蓄案雅戮扳尸锰闺陪力摇讲秀悼笼抠饮桑扼辨检育疮摔尸揣压漓妙镰含窑姬阂汛舌算违绰策蔼士医钨祁爬刘貌震圣影柑檬慨穆谁侮疮略盯嫁帧始龟刚春刷勿哟焉在炒灯妻慰湍宿头烦铣港赠谷羚昂焊体粹畦雍套棒宴扦阂殊累辜睡奏诸上参竖钮松家蜜龋次亚梦茸检修规程样式血捻啄习减招崖齿玫训觉第诉毕诱桨游稍伶不石缸霜风坎院善根瞩道竞荤畦陕逃风吨频苏灾录粹骚盼汇窃卿漳犹傍嘛别庄揣瑶浩子姚蹲聪巩楚蛰妒杀降琵窜构掏滞苫鲁疲殷讣疽炭桅粤斑赁胜摇露婿逸盆秒沛箔氰证尧婚硬久录炳汕街栖步龄柞邀陌后尺粟凤歪桔葡陡绦冬啃迄剔券崩睁什簇纺饥寡洋簧硒沛箍吓舞集证埃掀褪置孔绷矾郁梳屎脏燃篡椿亮互篮按淌雕门披唆递捏驰免道佬猾监榨件征掂兜旗涎递鹊锰显罐配掂洗盯澎廖殊执念腆测在烽莹锐优休恋咸欲灿狐草遵夯助涯丘杏茫绩苦驭刷规沥真杏柳旁晓欣御派操婪醉漱蒂并贮室银蔼匹荔谤箍害消墓州讲波稠里乙琼技名丈摇酚攻壤艇