光伏电站监控系统安全防护实施方案资料.doc

XXX光伏电站 监控系统安全防护实行方案 批 准： 审 核： 编 写： 地调批准： 地调审核： XXX公司 监控系统安全防护实行方案 1总则 1.1XXX光伏电站监控系统属于宁夏电力监控系统安全防护体系管理范畴。 1.2为了加强XXX光伏电站监控系统安全防护，保证电力监控系统及电力数据网络的安全，根据国家发改委第14号令《电力监控系统安全防护规定》、《电力监控系统安全防护总体方案》及其配套方案，制定本方案。 1.4 XXX光伏电站监控系统的防护目的是抵御黑客、病毒、歹意代码等通过多种形式对电力监控系统发起的歹意破坏和袭击，以及其他非法操作，避免XXX光伏电站监控系统瘫痪和失控，并由此导致的电网一次系统事故。 1.5 本方案重点描述XXX光伏电站监控系统各业务系统的安全防护，按照《电力监控系统安全防护总体方案》安全分区的规定，基于系统业务的特点，拟定XXX光伏电站监控系统按照业务特点分为安全生产控制大区控制区和非控制区。 2.合用范畴 2．1本方案合用于XXX光伏电站监控系统，范畴为XXX公司XXX光伏电站。 2．2XXX光伏电站简介 XXX光伏电站公司名称为XXX公司，位于XXX，距XXX变电站西北侧约2.4公里，于X年X月X日动工建设，于X年X月X日成功实现并网发电，总装机容量10MW，建设电池板组件所有采用固定式安装。公司光伏发电系统采用“分块发电，集中并网”的总体设计方案，建设有10个1MW光伏发电单元，每个1MW光伏发电单元共安装X件XXX光伏板组件；每X件光伏组件串联为一种支路，共X个支路；每X个或X个支路并联接入一面直流接线箱；X面接线箱接入1面直流屏，共2面直流屏。每面直流屏浮现3回，分别接入X面XkW逆变器，逆变器输出300V三相交流，通过各自的交流电缆分别连接到1000kVA箱变内各自的低压侧断路器，升压后接至10kV线路。共2条集电线路接入综合楼高压配电室 10kV 母线后汇流1条10kV 高压线路汇流至10kV柳尚线。 由10kVX线输送至X电站，XXX光伏电站调度管辖权从属国网电力公司XXX调控中心管辖。 3.系统概况 3.1系统概述 XXX光伏电站监控系统重要由服务器、工作站、各类装置、网络设备、安全防护设备、操作系统、数据库、应用软件等部分构成。系统通过电力数据网络与上级调度机构进行业务通信。 XXX光伏电站各业务通过104、102合同与调度主站有关系统通讯，发送实时遥信、遥测、电量、预测等信息，接受有功、无功控制命令。 3.2级别保护定级 按照级别保护定级备案规定，XXX光伏电站监控系统作为一种定级对象定为等保二级。 4.XXX光伏电站监控系统安全防护实行方案 4.1安全防护总体原则 XXX光伏电站监控系统安全防护的基本原则为“安全分区、网络专用、横向隔离、纵向认证”。 采用“纵深防御”方略和 “适度安全” 方略，安全防护重要针对基于网络的生产控制系统，重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安全。 4.2安全分区 根据安全分区原则，结合XXX光伏电站应用系统和功能模块的特点，将各功能模块分别置于控制区、非控制区和管理信息大区。 XXX光伏电站监控系统安全分区表 序号 业务系统 控制区 非控制区 管理信息大区 1 厂站监控系统 厂站监控系统 （AGC/AVC） 2 五防系统 五防系统 3 电能质量在线监测 电能采集装置 4 继电保护 继电保护装置 5 故障录波 故障录波装置 6 安全自动控制系统 安全自动控制装置 7 光功率预测 光功率预测系统 外网服务器 8 OMS 客户端 OMS 客户端 9 火灾报警系统 火灾报警 4.3网络专用 电力调度数据网是为生产控制大区服务的专用数据网络，承载电力实时控制、在线生产交易等业务。安全区的外部边界网络之间的安全防护隔离强度应当和所连接的安全区之间的安全防护隔离强度相匹配。 电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基于SDH/PDH 不同通道、不同光波长、不同纤芯等方式，在物理层面上实现与电力公司其他数据网及外部公共信息网的安全隔离。 电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。可采用MPLS-VPN 技术、安全隧道技术、PVC 技术、静态路由等构造子网。 电力调度数据网应当采用如下安全防护措施： （1）网络路由防护 按照电力调度管理体系及数据网络技术规范，采用虚拟专网技术，将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网，分别相应控制业务和非控制生产业务，保证明时业务的封闭性和高级别的网络服务质量。 （2）网络边界防护 应当采用严格的接入控制措施，保证业务系统接入的可信性。通过授权的节点容许接入电力调度数据网，进行广域网通信。数据网络与业务系统边界采用必要的访问控制措施，对通信方式与通信业务类型进行控制；在生产控制大区与电力调度数据网的纵向交接处应当采用相应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务，应当通过纵向加密认证装置或加密认证网关接入调度数据网。 （3）网络设备的安全配备 网络设备的安全配备涉及关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF 路由功能、采用安全增强的SNMPv2 及以上版本的网管合同、设立受信任的网络地址范畴、记录设备日记、设立高强度的密码、启动访问控制列表、封闭空闲的网络端口等。 （4）数据网络安全的分层分区设立 电力调度数据网采用安全分层分区设立的原则。省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网（简称骨干网）。省调、地调和县调及省、地直调厂站节点构成省级调度数据网（简称省网）。 地调和配网内部生产控制大区专用节点构成县级专用数据网。县调自动化、配网自动化、负荷管理系统与被控对象之间的数据通信可采用专用数据网络，不具有专网条件的也可采用公用通信网络（不涉及因特网），且必须采用安全防护措施。各层面的数据网络之间应当通过路由限制措施进行安全隔离。本地调或配调内部采用公用通信网时，严禁与调度数据网互联。保证网络故障和安全事件限制在局部区域之内。 公司内部管理信息大区纵向互联采用电力公司数据网或互联网，电力公司数据网为电力公司内网。 4.4横向隔离 4.4.1 横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须设立经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施，是横向防护的核心设备。生产控制大区内部的安全区之间应当采用品有访问控制功能的网络设备、防火墙或者相称功能的设施，实现逻辑隔离。 4.4.2 按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传播。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传播，是管理信息大区到生产控制大区的唯一数据传播途径。反向安全隔离装置集中接受管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等解决后，转发给生产控制大区内部的接受程序。专用横向单向隔离装置应当满足实时性、可靠性和传播流量等方面的规定。 4.4.3 严格严禁E-Mail、WEB、Telnet、Rlogin、FTP 等安全风险高的通用网络服务和以B/S 或C/S 方式的数据库访问穿越专用横向单向安全隔离装置，仅容许纯数据的单向安全传播。 控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相称功能的设施进行逻辑隔离。 4.5纵向认证 4.5.1 纵向加密认证是电力监控系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传播以及纵向边界的安全防护。对于重点防护的调度中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设立通过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。临时不具有条件的可以采用硬件防火墙或网络设备的访问控制技术临时替代。并接入到地调内网安全监控平台。 4.5.2 纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密功能，实现数据传播的机密性、完整性保护，同步具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的所有功能外，还应实现对电力系统数据通信应用层合同及报文的解决功能。 4.5.3 对处在外部网络边界的其她通信网关，应进行操作系统的安全加固，对于新上的系统应支持加密认证的功能。 4.5.4 重点防护的调度中心和重要厂站两侧均应配备纵向加密认证装置；当调度中心侧已配备纵向加密认证装置时，与其相连的小型厂站侧可以不配备该装置，此时至少实现安全过滤功能。 4.5.5 老式的基于专用通道的数据通信不波及网络安全问题，新建系统可逐渐采用加密等技术保护核心厂站及核心业务。 4.6其她安全措施 4.6.1防病毒 本电站生产区域内的计算机信息系统，要与 Internet 网分开，并建立计算机病毒防火墙，对服务器，要采用先进的网络防计算机病毒软件，并对通过服务器的信息进行监控，避免计算机病毒通过邮件服务器扩散、传播。随时注意多种异常现象，一旦发现，应立即用查毒软件仔细检查。常常更新与升级防杀计算机病毒软件的版本。对生产区域内的要定点、定期、定人作查毒杀毒巡检。当浮现计算机病毒传染迹象时，立即隔离被感染的系统和网络并进行解决，不应带“毒”继续运营；发现计算机病毒后，一般应运用防杀计算机病毒软件清除文献中的计算机病毒，对于杀毒软件无法杀除的计算机病毒，应及时请专业人员解决。对新购进的计算机及设备，为避免原始计算机病毒的侵害，要组织专业人员检查后方可安装运营；联网计算机、重要系统的核心计算机要安装防计算机病毒软件，并定期或及时更新计算机病毒防备产品的版本；要使用国家规定的、具有计算机使用系统安全专用产品销售许可证的计算机防计算机病毒产品。系统中的程序要定期进行比较测试和检查。严禁使用盗版软件，特别是盗版的杀毒软件，严禁在工作计算机上安装、运营各类游戏软件。 4.6.2主机加固 操作系统安全是计算机网络系统安全的基本，而服务器上的业务数据又是被袭击的最后目的，因此，加强对核心服务器的安全控制，是增强系统总体安全性的核心一环。XXX光伏电站已完毕主机加固，主机加固软件为信达S-numen，强制进行权限分派，保证对系统资源（涉及数据和进程）的访问符合定义的主机安全方略，避免主机权限被滥用。 4.6.3入侵检测 当系统发生入侵行为或者违背安全方略的操作时，S-numen运用自身功能对顾客（程序）在网络层和系统内部对该顾客（程序）进行阻断，并且由系统向管理员进行报警。在报警条件中添加相应的报警规则，S-numen可对入侵行为和违背安全方略的顾客（程序）进行阻断。当有违背安全规则的状况浮现时，S-numen服务器端会向特定的系统发送报警信息，S-numen监控程序会以多中方式进行报警。在后台可以提供告警。 4.6.4安全日记审计 日记审计和日记管理对于网络安全会起到重要作用，S-numen拥有独立的日记审计系统，通过以便的检索可以以便安全管理员的工作。S-numen的日记生成实在内核级上实现的，日记根据设立也可不生成，当生成时，还可以设立与否按项目设立生成，因此应视系统存储空间的大小进行合适设立来使用。S-numen提供多种检索功能，以便管理的工作。 4.7二次安全防护实行方案拓扑图 4.7.1功率预测及控制系统拓扑图 通信接口类型：2路以太网接口，支持综自厂家的以太网103 规约；变电站内采用 GPS 卫星对时，减少误码、乱码的也许性，提高设备的数据传播精确性，符合 IEC 61850 的有关原则。 4.7.2监控系统安全防护总体构造图 4.8安全防护设备清单 设备名称 型号 数量 生产厂家 备注 地调接入网 路由器 实时互换机 非实时互换机 纵向加密认证装置 区调接入网 路由器 实时互换机 非实时互换机 纵向加密认证装置 光功率预测 反向隔离装置 电力工业以太网互换机 防火墙 5.安全防护技术规定 5.1生产控制大区内部安全防护技术规定 （1）严禁生产控制大区内部的E-Mail服务，严禁控制区内通用的WEB服务，并进行安全加固。 （2）容许非控制区内部业务系统采用B/S构造，但仅限于业务系统内部使用。容许提供纵向安全WEB服务，可以采用通过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。 （3）生产控制大区重要业务的远程维护必须采用身份认证机制。 （4）生产控制大区内的业务系统间应当采用VLAN和访问控制等安全措施，限制系统间的直接互通。 （5）生产控制大区应当统一部署歹意代码防护系统，采用防备歹意代码措施。病毒库、木马库以及IDS规则库的更新应当离线进行。 （6）各层面的数据网络之间应当通过路由限制措施进行安全隔离，保证网络故障和安全事件限制在局部区域之内。 附则1：XXX光伏电站电力监控系统安全防护管理制度 总则 1.1 为了防备黑客以及歹意代码等对电力监控系统的袭击侵害，保障我公司电力监控系统的安全可靠、稳定运营，提高电力监控系统的安全管理水平，根据国家电监会颁布的《电力监控系统安全防护规定》（电监会5号令）及《电力系统安全防护总体方案》（电监安全[]34号），特制定本管理措施。 1.2 本电站电力监控系统安全防护工作应当坚持安全分区、网络专用、纵向认证的原则。 1.3 本电站电力监控系统安全防护工作以“安全第一、避免为主、综合治理，管理和技术并重”为方针，“遵循统一领导、统一规划、统一原则、统一组织开发”的原则。 1.4 本管理措施合用于本电站电力监控系统，所有波及电力监控系统的规划、设计、系统改造、工程实行、运营管理等均应符合本管理措施的规定。 1.5 引用原则及规范： 1.5.1 《电网和电厂计算机监控系统及调度数据网络安全防护规定》国家经贸委30号令。 1.5.2 《电力监控系统安全防护规定》国家电监会5号令 1.5.3 《电力监控系统安全防护总体方案》国家电监会电监安全[]34号文。 管理职责 2.1 本电站根据国家电监会《电力监控系统安全防护总体方案》规定，按照“谁主管谁负责，谁运营谁负责”的原则，建立电力监控系统安全管理制度，明确运营、检修、调试、和信息化等部门有关人员的安全职责。 2.2 电力调度机构负责直接调度范畴内的下一级电力调度机构和变电站的监控系统安全防护的技术监督。本电站内波及到电力调度的生产控制系统和装置，如本电站的输入变电监控系统、电能质量采集装置、故障录波装置、继电保护装置和安全自动控制装置等，由电力调度机构和本电站主管单位共同实行技术监督，本电站其她监控系统安全防护可由其上级主管单位实行技术监督。 2.3 方案负责审核，对波及电力监控系统安全防护的产品选用提出指引意见。 技术管理 3.1 本电站电力监控系统安全防护工作必须坚持安全分区、网络专用、横向隔离、纵向认证的原则，保障电力监控系统和电力调度数据网络的安全。 3.2 根据各自监控系统状况制定电力监控系统安全防护实行方案，防护实行方案应每年滚动修订、完善。 3.3 波及电力监控系统安全防护的产品应具有国家网络与信息安全主管部门（国家能源局）承认的有关证明。 3.4 未完毕电力监控系统安全防护措施前应制定安全防护改造应急措施。 3.5 在对电力监控系统进行安全检查过程中，如发现部分应用系统及网络未按照电力监控系统安全防护规定执行的应限期整治，若期限之内还不能完毕，则应对负责人进行通报批评并根据有关规定进行惩罚。 4.应急管理 4.1 制定本单位电力监控系统安全防护应急预案，内容涉及突发事件发现、应急安全隔离措施、事件上报、安全解决、事件反馈等几种方面并定期开展演习。 4.2 应急预案的制定和修改必须履行一定的审核手续，寄存在规定的地方，并根据演戏成果不断完善应急预案。 4.3 对在电力监控系统中发生的安全技术事故和安全事件，要采用妥善措施，避免事件扩大，保护好现场，并立即向区调报告，并在8小时内提供阐明报告。对隐报、缓报、谎报或未在上述事件内报告的将按国家有关规定追究有关单位和当事人的责任。 培训与评估 5.1 每年需举办电力监控系统安全防护知识培训，提高电力监控系统安全防护技能和意识。 5.2 在进行安全评估和监督检查中应严格控制风险，保证电力系统安全稳定运营。参与评估的人员应将遵守有关保密规定。 5.3 对电力监控系统安全防护工作监督专家组对本单位电力二次安全防护实行状况进行监督检查，提出整治意见进行整治。 附则2：权限密码管理制度 总则 1.1 为保证继电保护装置及网络安全运营，保护电站权益不受侵害，特制定此管理制度。 服务器密码及口令管理 2.1 监控机、网络路由器以及继电保护装置的口令和密码，由安全生产部门负责人和系统管理员商量拟定，必须两人同步在场设定。 2.2 监控机、网络路由器以及继电保护装置的口令必须不猛负责人在场是要有系统管理员记录封存。 2.3 密码及口令要定期更换（视网络具体状况），更换后系统管理员要销毁原记录，将新密码或口令记录封存。 2.4 如发现密码及口令有泄密迹象，系统管理员要立即报告部门负责人，经生产副站长批准后再更换新密码和口令。 顾客密码及口令的管理 3.1 对于规定设定密码和口令的顾客，由顾客指定负责人与系统管理员商定密码及口令，由系统管理员登记并请顾客负责人确认（签字或电话告知），之后系统管理员设定密码及口令，并保存顾客档案。 3.2 当顾客由于负责人更换或忘掉密码、口令是规定查询密码、口令或规定更换密码及口令的状况下，需向网络服务管理部门提交申请单，由部门负责人或系统管理员核算后，履行本条1款所规定的手续，并对顾客档案做更新记载。 3.3 如果网络提供顾客自我更新密码及口令的功能，顾客应自己定期更换密码及口令，并设专人负责保密和维护工作。 附则3：门禁管理和机房人员登记记录 总则 1.1 为保证计算机网络系统安全、高效运营和各类设备处在良好状态，对的使用和维护多种设备，管理有章、职责明确，特制定本制度。本制度分为5个部分：值班制度、巡视制度、平常管理制度、运营维护制度、安全保密制度。 值班制度 2.1 机房实行24小时值班制度 2.2 值班人员要遵守值班守则 2.3 值班守则 2.3.1 要培养值班人员有一定的综合素质，由一定的应变和事故判断能力。 2.3.2 值班人员的重要职责是要在第一时间发现故障和故障隐患，并及时报告，使有关管理人员能及时赶到现场尽最大也许缩短故障恢复时间。 2.3.3 熟知工作内容和责任规范。值班时间内不得作与作业、业务无关的任何私事，不得擅自离开岗位。 2.3.4 值班人员负责机房的安全和机房环境卫生。认真履行机房的各项规定，并督增进入机房人员严格遵守。 2.3.5 负责机房的环境设备与网络系统的安全运营；负责完毕规定的平常操作和故障监测记录，简朴故障的排除，负责环境设备的平常巡视。 2.3.6 值班人员必须以严肃、严格的态度，认真执行机房巡视制度，负责每日对机房网络设备、机房设备、机房环境的巡视、认真填写巡视登记表，发现问题及时向有关管理人员反映。 2.3.7 值班人员要定期对网络管理监控机进行巡视并认真进行记录。 2.3.8 当遇到故障报警时，应及时判断出故障点，并立即告知有关系统管理员现场排除故障。发生重大故障时，还应及时报告直接领导。 2.3.9 值班人员应准时到岗，认真交接，双方签字后交班人员方可离岗。 2.3.10 必须严格遵守各项有关管理规定和消防管理规定。 巡视制度 3.1 网络运营设备的巡视 3.1.1 各服务器的CPU和内存的工作状况。 3.1.2 防火墙的工作状况 3.1.3 网站的工作状况 3.1.4 邮件服务器的工作状况 3.1.5 网络互换机的工作状况 3.1.6 客户端的网络运营速度 3.1.7 认证做好记录 3.2 机房环境的巡视 3.2.1 机房门窗的关闭状况 3.2.2 机房的卫生状况 3.2.3 机房的灯光状况 3.2.4 机房的温度、湿度及空气状况 3.2.5 认真做好记录 3.3 机房设备的巡视 3.3.1 对机房的UPS、空调、消防报警等系统的运营状况进行常常性巡视，密切注意工作负荷、电池容量、室内温湿度等数值，以保障网络安全、正常的运营。 3.3.2 主配电柜的供电电压、电流 3.3.3 UPS的输出电压、电流和负载功率 3.3.4 UPS电池的状况 3.3.5 空调的工作状况 3.3.6 空气净化器的工作状况 3.3.7 消防报警系统的工作状况 3.3.8 查看所有机房设备的报警记录 3.3.9 认真做好巡视记录 平常管理制度 4.1每日清理机房环境卫生。 4.2 到机房工作的人员要听从值班人员管理 4.3 到机房工作的人员不得在机房内吃食品，饮水，吸烟或其她与工作无关的事宜。 4.4 到机房工作的人员严禁携带与工作无关的物品，特别是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房。 4.5 到机房工作的人员应严格遵守岗位责任制，不能乱动与自己工作无关的设备。 4.6 机房内不能寄存任何食品。 4.7 严禁在机房内使用其她用电器。 4.8 严禁在机房内寄存食物。 4.9 严禁在机房大声喧哗、玩电子游戏。 4.10在机房工作必须按操作规程对的操作、使用各类设备。 运营维护制度 5.1 配电柜一年进行至少2次维护检查。维护内容：打扫灰尘、检查各接点、触点的温升，松紧。注：双路供电还应检查互投开关与否可靠。 5.2 UPS一种月进行1次维护。维护内容：打扫灰尘、检查UPS逆变器工作状况及UPS整机的工作状况、检查电池组机每节电池的状况并对电池进行放电。 5.3 机房专用空调每月进行一次巡检。维护内容：打扫及更换各过滤网、清洗或更换加湿罐、打扫室外机、测量工作压力、测量工作电压、电流。 5.4 机房消防系统每年进行一次检测。维护内容：检测各个监测点及报警设备的可靠性、检查消防设备的电池、喷头。 5.5 机房防雷设施每年检查一次。维护内容：检查各防雷器的可靠性、检查接地状况。 5.6 机房每年进行两次专业保洁。维护内容：对机房的地板进行调节和清洁、对底板下、天棚板上进行清洁。 安全保密制度 6.1 门禁管理 6.1.1 机房必须设有门禁，机房的工作人员需登记进入机房。非机房工作人员不能随意进入机房。非机房工作人员进入机房必须登记和服从值班人员管理。 6.1.2 防雷、防火、防水、防盗、防虫害。 6.1.2.1 防雷：需按国家的规定对机房的设备进行接地，对进出机房的电力线，网络线需要加装防雷器。每年要按国家的规定对防雷设施及设备接地进行检测。 6.1.2.2 防火：需按国家的规定在计算机机房进行消防设施的安装。消防报警及灭火设施要7*24小时工作。设施每年要按国家规定对消防报警及灭火设施进行检测。 6.1.2.3 防水：要常常检查机房的防漏水状况，空调、门窗及屋顶。 6.1.2.4 防盗：严格机房进出管理，门禁要24*7小时工作，严格执行进出机房的登记制度、严格执行进出机房不得携带其她物品的规定。 6.1.2.5 防虫害：常常检查机房的顶棚上和地板下的封闭状况。不得在机房内寄存食品，不得在机房内堆放杂物。 6.2 网络运营安全管理 6.2.1 对涉密网和内部办公网与Internet网物理隔离，所用服务器要安装在屏蔽机柜内，网络线、网络插座、插头都要屏蔽。 6.2.2 对Internet网的进口要加装防火墙，如必要可装多级防火墙。 6.2.3 对所有服务器要安装防病毒软件，要常常对防病毒软件进行升级。常常对计算机病毒进行检测。 6.3 系统设备安全管理 6.3.1 进入机房不得带拷贝工具和便携机 6.3.2 机房内所有服务器应设有开机密码、系统登录密码 6.3.3 机房内所有无武器都应设有带密码的屏幕保护 6.3.4 网管人员操作后应将服务器处在锁定状态 6.3.5 非网管人员不得擅自操作任何服务器 6.4 认真遵守货架的各项保密制度 6.4.1 严格遵守党和国家的保密制度。有关打印成果、存储介质及原始数据必须由本人保管。带有密级的媒体应及时锁入保险柜中，收、发要登记。定期集中销毁废弃的涉密纸、物。 6.4.2 需要与正常工作日、时之外使用机房加班的人员，应得到主管处领导的批准，并向运营值班人员办理登记手续。机房的值班人员必须同步在场陪伴。 6.4.3 严禁与机房工作无关的人员进入机房。 6.4.4 非机房工作人员在机房工作时必须有机房值班人员陪伴。 6.4.5 机房内各类服务器应由专人分类管理。 6.4.6 建立设备、资料责任制。 附则4：计算机系统管理措施 为保证电站生产办公用计算机设备自身和计算机网络系统的安全稳定运营，以及有关工作的正常开展，保证存储在计算机中的信息和数据不被破坏，避免操作系统程序及应用软件系统不被非法更改或破坏，制定本措施，加强计算机系统管理。 监控系记录算机的管理 1.变电站监控系记录算机除主管领导、系统管理员外，严禁任何人对此计算机的操作。查看、调用数据，须经当值值班批准或授权。如遇升压站正常倒闸操作或事故解决，则由有权限进入该系统的操作人员，严格按《安规》、《运规》、《调规》及有关规定和规定进行操作。 2.监控系记录算机任何人不得随意退出监控系统，不得改动计算机设立和运营参数，不得打开、移动、删除计算机内所有程序、文献及文献夹，不得进行无关的工作，严禁使用监控机光驱和软驱，所有在监控机上进行的工作，都必须由站领导或当值值班长容许和授权方可进行。 工程师站及办公计算机的管理 1.工程师站计算机 有权限进入变电站微机防误系统的操作人员，应严格按变电运营规定及规程规定在微机防误系统下，模拟操作及填写、上传、打印操作票。查看、填写当天发电日报表、月报表及有关数据，必须经当值值班长批准或授权，严禁打开、移动、删除计算机目录下的所有文献夹及文献，未经系统管理员批准，严禁进行数据拷贝或外来磁盘、光盘的插入和操作，严禁进行与工作无关的任何操作。 2.办公用计算机 使用办公用计算机，必须经当值值班长或系统管理员批准，并且具体登记、记录后方可使用。自己所建文献夹或文档必须归类到各自所属磁盘的文献夹内，不准将文档、文献或文献夹乱摆乱放，不得随意打开、移除、更改与自己无关的程序及文献。除上网向国电公司上传报表数据外，未经系统管理员批准或授权，不得上网做与国电公司报表无关的事。严禁更改计算机的所有设立，严禁安装和删除所有程序，严禁更改、删除、移动计算机内所有文献夹及文献，严禁外来磁盘以及光盘的插入和操作。 计算机数据管理 每日接班人员，在接班前必须坚持计算机设立有无变化，系统文献及程序有无丢失，计算机系统与否稳定。并且检查和核对前一日报表与否对的、完整，上报数据与否成功报出，公司月报表表必须填写合格，打印后交由站领导审核批准后，方可上报区电力公司。 附则5：监控系统安全防护管理分级责任制 XXX光伏电站监控系统按照“谁主管谁负责，谁运营谁负责”的原则，建立XXX光伏电站监控系统安全防护管理制度，将XXX光伏电站监控系统安全防护及其信息报送纳入平常安全生产管理体系。 XXX光伏电站监控系统安全防护管理组织机构 组长：xxx 副组长：xxx 组织成员：xxx、xxx、xxx XXX光伏电站监控系统安全防护管理责任 组长：为监控系统安全防护管理的重要负责人。负责评审有关制度编写、签发；组织人员对监控系统安全防护的评估，制定评估筹划；负责监督、考核各项规章制度的实行状况，必要时对各规章制度进行修改。负责组织对监控系统突发事故及安全隐患的解决、指挥，监控系统安全防护应急机制的启动。 副组长：监控系统安全防护平常管理，是监控系统安全防护管理的执行人。负责有关制度的编写，对监控系统安全防护制度的评估、考核；负责对设备的监管、故障及突发事故的调查、解决的指挥、救援及设备定期检修维护等工作；负责组织员工进行监控系统安全防护的培训，制定培训筹划，提交整治建议。 组织成员：监控系统安全防护平常管理工作的具体执行者。负责各项有关制度的具体实行，机房值班制度具体实行状况的监管、考核；负责组织对网络运营设备的巡视，发现问题、缺陷及故障隐患必须及时向上级主管领导报告，负责对突发事件的鉴定及时报告；机房平常管理工作及各项规章制度的具体组织实行等。 附则6：监控系统安全联合防护应急预案 目的 为提高电力监控系统的安全防护水平，保证电力系统的安全稳定运营，本着“安全第一、避免为主”的原则，根据《电力监控系统防护规定》及《电网和电厂计算机监控系统及调度数据网络安全防护的规定》，制定XXX光伏电站监控系统安全联合防护应急预案。 指挥机构职责及分工指挥机构 1.指挥机构构成 组长：xxx 副组长：xxx 组织成员：xxx、xxx、xxx 2.指挥机构职责 1）指挥领导小组：负责应急预案的制定、修订，组建应急专业指挥队伍，组织实行和演习；检查监督作为重大事故的避免措施和应急的各项准备工作。 2）领导小组：发生事故时，发布和解除应急救援命令、信号；组织指挥救援队伍实行救援行动；向上级和地调有关主管部门报告事故状况，配合地调和区调有关部门做好应急解决，必要时向公安机关报案、求助；组织事后的事故调查、分析，总结应急求助工作经验教训。 3）领导小组人员分工 组长：负责事故发生时现场总指挥职责，安全组织人员配合地调及区调有关部门解决事故，避免事故进一步扩大；负责组织对事故的调查和向上级主管部门报告工作，批准所采用的纠正避免措施。 副组长：协助组长负责应急事故解决的具体工作。 组织成员：负责组织人员根据实际状况对事故做应急解决，努力控制、制止事故蔓延，避免因事故扩大而导致电网瘫痪或波及其她上网设备，现场组织人员恢复故障系统，实时向上级报告故障蔓延状况及控制恢复状况。做好事故后的调查报告及总结。 应急预案 假设本电站生产区监控系统忽然浮现不明因素故障，目前值班长应保持冷静，现场其她值班人员应当保持头脑苏醒，迅速向上级领导报告，并迅速采用如下应急措施： 迅速查找故障因素，判断故障时外部入侵还是内部人为误操作引起，若是内部人为误操作引起立即组织恢复正常工作状态，并上报应急领导小组。根据实际状况通过应急领导小组考虑与否上报上级调度。 若是拟定故障因素由外部入侵导致时，除做好上诉工作外，应及时与上级调度报告紧急状态，考虑与否断开网路改用外部通信设施进行系统监控，避免扩大事故范畴从而引起整个电网的瘫痪。 做好本系统内其她设备的隔离工作，缩小故障范畴，并应及时与周边的上网设备进行联系，祈求同步做好防备工作，并协助配合对本系统进行监控、协调与救援协助。 在故障被控制后，对所管辖的设备进行检查，并立即组织人员进行系统恢复，力求在最短的时间内把故障消除恢复正。 做好事后的故障调查工作，分析、总结故障因素，在最短的时间内提交防备整治措施，做好整治筹划并立即实行。组织加大监控力度避免二次袭击，并做好应对二次袭击的战略筹划。 及时将事故的调查报告，损失状况，解决成果上报给有关领导及有关部门。 避免措施 1、严格执行监控系统安全防护的各项规章制度，对设备进行定期检查，发现隐患及时解决。 2、对系统资料进行备份并指派专人进行保管，定期进行安全评估，做到有备无患。 3、定期组织监控系统安全防护培训，提高员工的防备结识，做到防患于未然。 XXX光伏电站 1月26日