神华神东电力重庆万州港电有限责任公司
电力监控系统安二次全防护管理
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
第一条 范围
本标准规定了神华万州港电公司电力监控系统二次安全防护系统设备分工、运维的管理内容与要求、检查与考核。
本标准适用于神华万州港电公司电力监控系统二次安全防护设备的运维管理。
本标准所称的电力监控系统,是指发电厂内通过对生产控制系统(单元机组DCS、输煤DCS、辅网等控制系统,热工专业监控系统)以及涉及到电力调度的生产控制、信息传输系统(单元机组涉及到的输变电监控系统、NCS系统、自动发电控制装置、无功电压控制装置、电能量采集装置、同步功角向量采集装置、保护信息子站等系统,电气专业监控系统),统称为电力监控系统;电力监控系统的功能是对实时数据进行信息采集、计算、存储、传输、检索等处理,建全厂内各生产系统实时信息显示,机组的性能计算与经济性分析,机组在线性能监测与分析,机组及线路在线保护和性能监测与分析,预测与预防性维护等。
另外包括公司内部办公信息网络等系统。
第二条
规范
编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载
性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
《电网和电厂计算机监控系统及调度数据网络安全防护规定》国家经贸委 [2002]30号令
《电力监控系统安全防护规定》国家电监会5号令
《电力监控系统安全防护总体
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
》国家电监会电监安全[2006]34号文
《中华人民共和国计算机信息系统安全保护条例》中华人民共和国国务院令147号
第三条 管理职能
3.1 设备维护部是本标准的归口部门,设备维护部、综合办公室、发电运行部、生产技术部是公司电力监控系统二次安全防护系统设备的管理责任部门,负责职责范围内工作的组织实施。设备维护部、综合办公室是公司电力监控系统二次安全防护系统设备的运维管理责任部门,负责分管范围内公司电力监控系统二次安全防护系统设备的运维管理工作,安全监察部是本标准实施的监督部门,人力资源部是公司内部落实考核的责任部门。另根据上级主管部门要求成立公司电力监控系统二次安全防护组织机构,加强公司电力监控系统二次安全防护工作的领导和规划管理。
3.2 各部门职责
3.2.1 设备维护部、综合办公室职责(设备管理)
依据本标准,负责分管范围内公司电力监控系统二次安全防护系统设备的维护和管理工作。
3.2.2发电运行部、生产技术部、设备维护部、综合办公室
依据本标准,负责分管范围内公司电力监控系统二次安全防护系统设备的运行管理工作。
3.2.3安全监察部(监督管理)
负责监督公司电力监控系统二次安全防护系统设备的各管理部门正常履行设备管理职责,依据本标准对公司电力监控系统二次安全防护设备管理过程中的推委、扯皮的现象进行提出考核
意见
文理分科指导河道管理范围浙江建筑工程概算定额教材专家评审意见党员教师互相批评意见
,上报公司生产副生技理批准后提交人力资源部。
3.2.4 人力资源部(考核管理)
负责落实公司电力监控系统二次安全防护设备系统管理中的各项考核。
3.3 电力监控系统二次安全防护组织机构及职责
3.3.1 公司电力监控系统二次安全防护组织机构划为两级,分设领导组和工作组,工作组在领导组的授权和指挥下开展具体工作。
3.3.2领导小组组成:
组 长:总工程师
副组长:生产技术部经理
成 员:设备维护部经理、发电运行部经理、综合办公室经理
3.3.3领导小组职责
3.3.3.1负责组织建立、健全公司电力监控系统二次安全防护管理的组织机构;负责组织制定、完善公司电力监控系统二次安全防护管理分级负责的责任制。
3.3.3.2负责组织公司电力监控系统总体设计方案的安全审查和完善;负责组织各专业电力监控系统二次安全防护管理制度的审查和完善,保证公司电力监控系统二次安全防护组织机构有效运转;负责组织公司电力监控系统二次安全防护方案的制定和实施;组织制定公司电力监控系统安全评估制度。
3.3.3.3负责建立公司电力监控系统安全联合防护机制和应急机制;当公司电力监控系统受到攻击、病毒感染或发生严重故障时负责宣布应急预案的启动。
3.3.4工作小组组成:
组 长:生产技术部经理
副组长: 设备维护部经理、发电运行部经理、生产技术部副经理
成 员:热工专业主管、电气二次专业主管、发电运行部电气主管、热工班班长、电二班班长、通信远动专责、热工专业SIS系统专责、信息中心专责、电量上报主管
3.3.5工作小组职责
3.3.5.1负责组织公司电力监控系统二次安全防护总体设计;负责组织公司电力监控系统二次安全防护方案的制定、完善和实施;负责组织制定和完善公司电力监控系统安全评估管理和应急预案。
3.3.5.2根据设备划分,分别由各专业主管作为本专业方面的二次安全防护第一责任人,具体制定本专业方面电力监控系统二次安全防护的有关安全管理制度;负责本专业方面的电力监控系统二次安全防护方案的落实;负责本专业方面的电力监控系统二次安全防护应急预案的编写及演练;对在电力监控系统中发生的安全技术事故和安全事件,按照相关预案采取妥善措施,防止事件扩大;严格执行二次安全防护事件通报要求,有关安全问题做好记录;做好相关数据的备份工作,妥善保管重要软件、参数;定期对本专业方面的电力监控系统进行安全风险评估,及时进行自查整改,定期升级网络防病毒软件或防火墙软件版本。
第四条 管理内容与要求
4.1 各部门之间的电力监控系统二次安全防护系统设备的分工
4.1.1 设备范围及分工原则
4.1.1.1 电力监控系统二次安全防护设备范围具体划分如下:
A、应用、接口计算机:包括生产现场各控制系统的采集接口计算机、应用计算机、后台维护计算机等;
B、服务器:实时数据库服务器、镜像服务器、计算服务器、管理服务器等、应用及数据库服务器等;
C、网络传输设备:交换机、路由器、网管工作站、光电转换装置;
D、二次防护设备:防火墙、物理隔离装置、纵向加密认证装置、防入侵检测装置等;
E、存储设备:磁盘阵列、外部存储设备(U盘、移动硬盘、光盘等)。
F、备品备件:系统正常运行需要的备件等。
G、系统软件:计算机应用系统,防病毒软件、网管软件、服务器、接口机操作系统,防入侵检测软件等;
H、应用软件:实时工况系统,性能计算系统,耗差分析系统、RTU系统,AVC系统,PMU系统、电能量采集系统等。
电力监控系统二次安全防护设备本着谁使用谁负责管理的原则。
4.1.2 设备维护部电二专业负责我厂生产现场电气专业二次安全防护设备的维护,包括#1、#2机组的自动发电控制装置、无功电压控制装置、远动RTU、PMU、电能量采集装置、故障录波装置、继电保护装置和安全自动控制装置、保护信息子站和调度数据专网网络交换机、路由器、纵向加密认证装置、防火墙等设备及系统的软、硬件的维护和管理;
4.1.3 设备维护部热工专业负责我厂现场#1、#2机组DCS采集接口机、辅网接口机及其硬件防火墙和采集交换机、现场正向隔离装置、II区防入侵检测装置、SIS中所涉及的eDNA数据库(应用程序)等设备及系统的软、硬件的维护和管理。
4.1.4 综合办公室信息中心负责办公区域SIS系统硬件和网络等所有设备的维护工作,包括实时数据库服务器、核心交换机、III区交换机、磁盘阵列、备份服务器及磁带机、计算服务器、WEB服务器、III区防入侵检测装置、镜像服务器的维护管理、软件备份和升级。操作系统、ORACLE数据库、系统备份病毒库升级等工作。
并负责公司电力市场系统服务器硬件及应用系统终端电脑的维护工作。对调度数据专网系统的网络设备提供技术支持和帮助。
另外,综合办公室作为电力市场系统应用计算机的使用部门之一,对我厂电力市场系统的公文收发应用计算机负责,指定专人专用并对使用人员进行管理,签署保密协议,同时负责对违规使用人员进行考核管理,并上报公司电力监控系统二次安全防护领导小组。
4.1.5 发电运行部作为电力市场系统应用计算机的使用部门之一,对我厂电力市场系统的厂网调度应用计算机负责,有义务对计算机使用人员进行权限管理,同时负责对违规使用人员进行考核管理,并上报公司电力监控系统二次安全防护领导小组。
4.1.6 生产技术部作为电力市场系统应用计算机的使用部门之一,同时也是公司电力调度系统数字证书管理系统的管理责任部门;对我厂电力市场系统的电量统计上报应用计算机负责,同时对公司电力调度系统数字证书管理系统负责,指定专人专用并对使用人员进行管理,签署保密协议,同时负责对违规使用人员进行考核管理,并上报公司电力监控系统二次安全防护领导小组。
4.2 权限密码管理
4.2.1 电力监控系统、服务器密码及口令管理
4.2.1.1 监控机、网络交换机、路由器、服务器以及二次设备主机等设备的口令和密码,由我厂电力监控系统二次安全防护工作组各专业主管和各专业系统管理员商议确定,必须两人同时在场设定。
4.2.1.2 监控机、网络交换机、网络路由器、远动RTU、AVC、PMU、电厂报价终端、电能量采集装置、故障录波装置、继电保护装置和安全自动控制装置等电控专业负责维护的二次设备,其口令和密码必须电控专业主管在场时,由系统管理员记录封存。
4.2.1.3 密码及口令要定期更换(视网络具体情况),更换后系统管理员要销毁原记录,将新密码或口令记录封存。
4.2.1.4 如发现密码及口令有泄密迹象,系统管理员要立刻报告部门负责人,经生产副总批示后再更换密码和口令。
4.2.2 用户密码及口令的管理
4.2.2.1 对于要求设定密码和口令的用户,由用户方指定负责人与系统管理员商定密码及口令,由系统管理员登记并请用户负责人确认(签字或电话通知),之后系统管理员设定密码及口令,并保存用户档案。
4.2.2.2 当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向网络服务管理部门提交
申请
关于撤销行政处分的申请关于工程延期监理费的申请报告关于减免管理费的申请关于减租申请书的范文关于解除警告处分的申请
单,由部门负责人或系统管理员核实后,对用户档案做更新记载。
4.2.2.3 如果网络提供用户自我更新密码及口令的功能,用户应自己定期更换密码及口令,并设专人负责保密和维护工作。
4.3 门禁和机房人员登记管理
4.3.1 人员管理
4.3.1.1 管理人员应具有一定的综合素质,有一定的应变和事故判断能力。
4.3.1.2 管理人员的主要职责是要在第一时间发现故障和故障隐患,具有快速处理故障和故障隐患的能力,并及时向上级领导报告。
4.3.1.3 熟知工作内容和责任规范。工作时间内不得作与工作、业务无关的任何私事,不得擅自离开岗位。
4.3.1.4 管理人员负责机房的安全和环境卫生。认证履行机房的各项管理规定,并督促进入机房的人员严格遵守。
4.3.1.5 负责检查机房的环境设备与网络系统的安全运行;负责完成规定的日常操作和告警监测记录,故障和隐患的排除,负责机房内设备的日常巡视。
4.3.1.6 管理人员必须以严肃、严格的态度,认真执行机房巡视制度,负责每日对机房网络设备、机房设备、机房环境的巡视、认真填写巡视记录表,发现问题及时向主管领导反映。
4.3.1.7 管理人员要定时对监控机、网络交换机、路由器等设备进行巡视并认真进行记录。
4.3.1.8 当遇到故障报警时,应及时判断出故障点,并立即通知相关的系统管理员到现场共同排除故障。发生重大故障时,还应及时报告主管领导。
4.3.1.9 管理人员必须严格遵守各项相关管理规定和消防管理规定。
4.3.2 网络巡视管理
4.3.2.1 网络运行设备的巡视
4.3.2.2 各服务器的CPU和内存的工作状况
4.3.2.3 防火墙的工作状况
4.3.2.4 网管设备的工作状况
4.3.2.5 数据库服务器的工作状况
4.3.2.6 网络交换机、路由器的工作状况
4.3.2.7 客户端的网络运行速度
4.3.2.8 认真做好记录
4.3.3 机房环境的巡视管理
4.3.3.1 机房门窗的关闭情况
4.3.3.2 机房的卫生状况
4.3.3.3 机房的灯光状况
4.3.3.4 机房的温度、湿度及空气状况
4.3.3.5 认真做好记录
4.3.4 机房设备的巡视管理
4.3.4.1 对机房的UPS、空调、消防报警等系统的运行情况进行经常性巡视,密切注意工作负荷、电池容量、室内温湿度等数值,以保证网络设备安全、正常的运行
4.3.4.2 主配电柜的供电电压、电流。
4.3.4.3 UPS的输出电压、电流和负载功率。
4.3.4.4 UPS电池的状况。
4.3.4.5 空调的工作状况。
4.3.4.6 空气净化器的工作状况。
4.3.4.7 消防报警系统的工作状况。
4.3.4.8 查看所有机房设备的报警、日志记录。
4.3.4.9 认真做好巡视记录。
4.4 日常管理
4.4.1 每日检查机房的环境卫生,至少一周清扫一次。
4.4.2 到机房工作的人员要听从机房专业负责人员管理。
4.4.3 到机房工作的人员进入机房前需换上机房专用工作服和工作鞋,并定期清理自己的工作服和工作鞋。
4.4.4 到机房工作的人员不得在机房内吃食品,饮水,吸烟或其他与工作无关的事宜。
4.4.5 到机房工作的人员严禁携带与工作无关的物品,特别是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房。
4.4.6 到机房工作的人员应严格遵守岗位责任制,不能乱动与自己工作无关的设备。
4.4.7 机房内不能存放任何食品。
4.4.8 严禁在机房内使用其他用电器。
4.4.9 严禁在机房内存放杂物。
4.4.10 严禁在机房大声喧哗、玩电子游戏、聊天等。
4.4.11 严禁在机房的服务器上浏览INTERNET的网页和接收电子邮件。
4.4.12 在机房工作必须按操作规程正确操作、使用各类设备。
4.5 运行维护管理
4.5.1 配电柜一年进行至少2次维护检查。维护内容:清扫灰尘、检查各接点、触点的温度,松紧。注:双路供电还应检查互投开关的可靠性。
4.5.2 UPS一年进行2次巡检。维护内容:清扫灰尘、检查UPS逆变器工作状况及UPS整机的工作状况、检查电池组机每节电池的状况并对电池进行放电试验。
4.5.3 机房专用空调每月进行一次巡检。巡检内容:检查过滤网是否积灰、检查室外机积尘、测量工作电压、电流,检查下水管道是否畅通及漏水报警是否正常。
4.5.4 机房专用空调每年进行两次维护。维护内容:清扫或更换过滤网 ,清扫空调机柜及风机、清扫室外机并检查电机的工作状况。
4.5.5 机房消防系统每年进行一次检测。维护内容:检查个监测点及报警设备的可靠性、检查消防设备的电池、喷头。
4.5.6机房防雷设施每年检查一次。维护内容:检测个防雷器的可靠性、检查接地状况、
4.5.7 机房每年进行两次专业保洁。维护内容:对机房的地板进行调整和清洁、对底板下、天棚板上进行清洁。
4.6 安全保密管理
4.6.1 门禁安全管理
4.6.1.1 机房必须设有门禁,机房的工作、管理人员需登记进入机房。非机房工作人员不能随意进入机房。非机房工作人员进入机房前,必须先申请,经主管领导同意批准,履行登记手续后方可在机房管理人员的陪同下进入机房,并且服从机房管理人员的管理。
4.6.2 防雷、防火、防水、防盗、防虫害管理
4.6.2.1 防雷:需按国家的规定对机房的设备进行接地,对进出机房的电力线,网络线需要加装防雷器。每年要按国家的规定对防雷设施及设备接地进行检测。
4.6.2.2 防火:需按国家的规定在机房进行消防设施的安装。消防报警及灭火设施要7*24小时工作。设施每年要按国家规定对消防报警及灭火设施进行检测。
4.6.2.3 防水:要经常检查机房的防漏水情况,空调、门窗及屋顶。
4.6.2.4 防盗:严格机房进出管理,门禁要24*7小时工作,严格执行进出机房的登记制度、严格执行进出机房不得携带危险物品的规定。
4.6.2.5 防虫害:经常检查机房的顶棚上和地板下的封闭情况。不得在机房内存放食品,不得在机房内堆放杂物。
4.6.3 网络运行安全管理
4.6.3.1 对涉密网和内部办公网要与INTERNET网物理隔离,所用服务器要安装在屏蔽机柜内,网络线、网络插座、插头都要屏蔽。
4.6.3.2 对INTERNET网的进口要加装防火墙,如必要可装多级防火墙。防火墙的设置要经常根据需要进行调整以防入侵。
4.6.3.3 对所有服务器要安装防病毒软件,要经常对防病毒软件进行升级。经常对计算机进行病毒检测。
4.6.4 系统设备安全管理
4.6.4.1 进入机房不得带拷贝工具和便携机。
4.6.4.2 机房内所有服务器应设有开机密码、系统登陆密码。
4.6.4.3 机房内所有服务器都应设有带密码的屏幕保护。
4.6.4.4 专业管理人员操作后应将服务器处于锁定状态。
4.6.4.5 非专业管理人员不得私自操作任何服务器。
4.6.5 保密管理
4.6.5.1 严格遵守党和国家的保密制度。有关打印结果、存储介质及原始数据必须由专人保管。带有密级的媒体应及时锁入保险柜中,收、发要登记。定期集中销毁废弃的涉密纸、物。
4.6.5.2严禁与机房工作无关的人员进入机房。
4.6.5.3非机房工作人员在机房工作时,必须有专业负责人员陪同监护。
4.6.5.4 机房内各类服务器应由专人分类管理。
4.6.5.5指定设备、资料管理责任人。
4.7 计算机系统管理
4.7.1 电力监控系统计算机的管理
除主管领导、系统管理员外,禁止任何人对此计算机进行访问控制和操作。查看、调用数据,须经当值值长同意或授权。如遇正常倒闸操作或事故处理,则由有权限进入该系统的操作人员,严格按《安规》、《运规》、《调规》及相关规定和要求进行操作。
4.7.2 工程师站计算机的管理:
有权限进入电厂微机防误、DCS系统计算机的操作人员,应严格按变电运行规定及规程要求在微机防误、DCS系统下,模拟操作、查看、修改参数和填写、上传、打印操作票。模拟操作、查看、修改参数必须经专业主管同意或授权,查看、填写当日发电日报表、月报表及相关数据,必须经当值值班长同意或授权,禁止私自打开、移动、删除计算机目录下的所有文件夹及文件,未经系统管理员批准,禁止进行数据拷贝或外来磁盘、光盘的插入和操作,严禁进行与工作无关的任何操作。
4.7.3 生产办公用计算机的管理
使用办公用计算机,必须经当值值长或系统管理员同意,并且详细登记、记录后方可使用。自己所建文件或文档必须归类到各自所属磁盘的文件夹内,不准将文档、文件或文件夹乱摆乱放,不得随意打开、移除、更改与自己无关的程序及文件。除上网向电网公司上传报表数据外,未经系统管理员同意或授权,不得上网做与电网公司报表无关的事。严禁更改计算机的所有设置,严禁安装和删除所有程序,严禁更改、删除、移动计算机内所有文件夹及文件,严禁外来存储介质,如:移动硬盘、U盘以及光盘的插入和操作。
4.7.4 计算机数据管理:
每日接班人员,在接班前必须检查计算机设置有无改变,系统文件及程序有无丢失,计算机系统是否稳定。并且检查和核对前一日报表是否正确、完整,上报数据是否成功报出,月报表必须填写合格,打印后交由场领导审核批准后,方可上报。
4.8 电力监控系统安全评估管理
4.8.1电力监控系统安全评估采取以自评估为主、联合评估为辅的方式,将安全评估纳入电力系统安全评价体系,掌握基本的评估技术和方法。
4.8.2 电力监控系统在投运前、升级改造之后必须进行安全评估。
4.8.3 对已投入运行的系统,根据国家及国家电力监管委员会,关于电力监控系统安全评估的相关规定,进行定期安全评估。
4.8.4对于电力监控系统,根据国家及国家电力监管委员会,关于电力监控系统安全评估的相关规定,每年进行一次安全评估。评估方案及结果应及时向上级主管部门汇报、备案。
4.8.5 参与评估的机构及人员必须稳定、可靠、可控,并与公司签署长期保密协议。
4.8.6对电力生产大区安全评估的所有记录、数据、结果等均不得以任何形式携带出公司,并按国家和公司有关要求做好保密工作。
4.8.7 电力监控系统安全评估必须严格控制实施风险,确保评估工作不影响电力监控系统的安全稳定运行。
4.8.8评估前应根据国家及国家电力监管委员会,关于电力监控系统安全评估的相关规定,制定相应的应急预案,实施过程应符合电力监控系统的相关管理规定。
4.9 电力监控系统二次安全防护系统的维护管理
4.9.1 严格遵守劳动纪律,在工作期间对机房内设备安全运行全面负责。
4.9.2 系统管理人员应熟悉机房内设备的运行情况,能熟练操作维护系统和处理设备的一些异常和缺陷,保证机房内设备安全运行。
4.9.3 系统管理人员应定期巡视所管辖的二次设备运行工况,检查机房内服务器、交换机、监控主机等设备的运行情况,并将设备的运行情况记录于巡检记录中。
4.9.4 设备运行期间,发现设备故障应及时处理,在经过判断和处理后确认故障为:
系统非常故障;
现场的检测手段不能处理;
完成时限不允许;
应通知专业主管,并向上级主管领导报告处理的情况,在专业技术人员的指导下进行处理。
4.9.5 系统管理人员在进行维护操作前,应向专业主管领导申请或办理工作票,待专业主管领导或当值值长同意批准后,在工作负责人的监护下,方可进行相关操作。
4.9.6 严格遵守安全保密管理标准。
4.9.7 不允许在机房内从事影响设备安全运行的活动。
4.9.8 做好机房、电力监控系统及设备的卫生工作。
4.10 电力监控系统恶意代码(病毒及木马等)的二次安全防护管理
4.10.1 定期更新带恶意代码的网站清单,屏蔽该部分网站,并禁止网络内用户访问陌生的非工作相关站点。
4.10.2 统一设置浏览器中的Internet选项中的 Internet区域的安全级别,设定为高等级。并禁止用户修改。
4.10.3 一般情况下,不通过服务器直接登录公共站点访问,如有必要,须事先在其他电脑中登记访问网站,确保该网站的安全性。
4.10.4 在所有服务器中,如非必需,禁止开启ActiveX插件和控件、JAVA脚本等。
4.10.5 确保各服务器及工作站安装并及时更新网络防火墙,并确保“实时监控功能”的开启状态。
4.10.6 做好Windows 相关注册表的备份工作。
4.10.7 网络管理员要对IE或其他网络浏览器进行定期得打补丁或更新工作。
4.11 电力监控系统数据及系统的备份管理
4.11.1 各专业系统管理员应定期对电力监控系统设备应用系统、信息数据等进行备份管理。
4.11.2 提高数据备份的自动化运行管理水平,做好本地数据冷备份,减少人的操作与干预,或制定严格的管理规范,避免误操作。
4.11.3 计算机信息数据备份包括服务器全部数据及相关服务器数据的备份工作,各工作站上的数据库及其它数据文件。
4.11.4 信息数据的备份包括定期备份和临时备份两种。定期备份指按照规定的日期定期对数据进行备份;临时备份指在特殊情况(如软件升级、设备更换、感染病毒等)下,临时对信息数据进行备份。
4.11.5 信息数据根据系统情况和备份内容,可以采取以下备份方式:
4.11.5.1 完全备份:对备份的内容进行整体备份。
4.11.5.2 增量备份:仅对备份相对于上一次备份后新增加和修改过的数据。
4.11.5.3差分备份:仅备份相对于上一次完全备份之后新增加和修改过的数据。
4.11.5.4 按需备份:仅备份应用系统需要的部分数据。
4.11.6 为保证所备份的内容可再现系统运行环境,数据备份内容应包括网络系统的所有关键数据。具体指计算机和网络设备的操作系统、应用软件、系统数据和应用数据。
4.11.7 数据备份可选择硬盘、软盘、光盘、磁带等存储介质,要确保备份数据的可恢复性。存储介质应存放在无磁性、辐射性的安全环境。
4.11.8 数据备份时必须建立备份文件档案及档案库,详细记录备份数据的信息。要做好数据备份的文卷管理,所有备份要有明确的标识,具体包括:卷名、运行环境、备份人。
4.11.8.1 卷名按统一的规则来命名。卷名由“应用系统名称—(数据类型+备份方式+存储介质)—备份时间—序号”组成,参数含义详见下表。
应用系统名称
数据类型
备份方式
存储介质
备份时间
序 号
ABC
0操作系统
1应用软件
2应用数据
3其它
0 完全备份
1 增量备份
2 差分备份
3 按需备份
4 其它
0 磁带
1 光盘
2 硬盘
3 其它
年月 日
XXX
4.11.8.2 运行环境:操作系统名称、版本号,数据库名称、版本号等。
4.11.8.3 备份人及所在单位:某某(署单位名称和备份人姓名)。
4.11.9 备份数据的保存时间根据电力监控系统的数据重要程度和有效利用周期以及具体使用情况确定。根据各种数据的重要程度及其容量,确定备份方式、备份周期和保留周期。
4.11.10 数据备份至少应保留两份拷贝,一份在数据处理现场,以保证数据的正常快速恢复和数据查询,另一份统一放在指定地点,确保备份数据万无一失。
4.11.11 对计算机或设备进行软件安装、系统升级或更改配置时,应进行系统和数据、设备参数的完全备份。应用系统更新后,应对原系统及其数据的完全备份资料保存二十年以上。
4.11.12 专用资料及物品,如:图书、资料、软件、工器具等应建立台帐并由专人负责管理。
4.11.13 专用资料及物品只供本部门人员工作使用,外部门人员借阅、借用必须网络信息处负责人批准,借出物品必须登记注册,如有丢失、损坏,由管理人员负责。
4.12 电力监控系统用户账号、口令、密钥及数字证书的管理
4.12.1 主机与网络设备(含二次安全防护系统)口令、密码管理
4.12.1.1 各类主机、网络设备应有明确的管理员负责管理,管理员负责其管辖范围的账号、口令的设置和更改。
4.12.1.2 各类主机的超级用户口令和网络设备配置口令必须定期更换,更换周期不得超过3个月。
4.12.1.3 各管理员应将口令用信封封存后交网络信息安全员统一保管,如遇管理员出差等情况需打开信封,必须征得信息中心主管同意后方可打开信封使用口令,管理员回来后及时更改口令并重新封存。口令的保存、更改和开封启用均要有详细记录。严禁私自启封。
4.12.1.4 更换账号、口令后,必须立即提交新的密封件交网络信息安全员保管,并重新进行登记,旧的密封件当面销毁。
4.12.1.5 不同权限人员应严格保管、保密各自职责的口令,严格限制使用范围,不得向非相关人员透露,原则上不允许多人共同使用一个帐户和口令。系统管理员不得拥有数据库管理员(DBA)的权限;数据库管理员不得同时拥有系统管理员的权限;数据库管理员应为不同的不同应用系统的数据库建立不同的用户并仅作为该应用数据库的管理员,不同应用数据库的管理员一般不能具备访问其他应用数据库的权限。系统上线后,必须删除测试帐户,严禁系统开发人员掌握系统管理员口令。
4.12.1.6 软件开发商在开发应用软件期间,应充分考虑应用软件的安全设计,设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中。访问数据库的用户名和口令不能固化在应用软件中或直接写在数据库中。口令必须能方便地配置、修改和加密。按照人员进行口令分配和认证,不能仅按照角色进行口令分配。对不同用户共享资源进行访问必须进行用户身份的控制和认证。软件开发商在应用软件的移交过程中,必须向运行维护部门提供关于应用软件的安全设计文档和用户名、口令和配置方案;运行维护部门在应用软件接收过程中必须全面掌握软件的设计并对其进行全面评估,评估合格后,由运行维护部门重新设定用户名和口令,方能上线运行。
4.12.1.7 因应用软件的升级或修改需要临时授权时,开发人员必须以书面的形式申请,并得到信息中心主管及以上的人员同意方可授权,维护结束后,相关管理人员必须立即删除用户或更改口令。
4.12.2 应用系统的口令、密码和密钥管理
4.12.2.1 各应用信息系统的主管部门对于重要应用系统必须建立相应操作人员口令、密码和密钥管理制度,分清各级操作人员职责。
4.12.2.2 应用系统应实行权限分散原则。明确系统管理员、系统操作员、程序员等的权限和操作范围,并设置相应的操作口令和密码。
4.12.2.3 严格限制各类应用系统超级用户的使用范围,操作系统、数据库管理系统、各类应用系统的超级用户口令必须专人掌管,定期更换。重要密码修改要有记录。
4.12.2.4 所有用户都必须妥善保存好数字证书载体,并对载体的保护口令严格保密,数字证书不得转借他人。
4.12.2.5 各级操作人员应有互不相同的用户名和口令,定期更换操作口令。严禁操作人员泄露自己的操作口令,系统口令长度不得少于八个字符,要求字母和数字或特殊字符混合,用户名和口令禁止相同。
4.12.2.6 应用系统的各类口令和密码必须加密保存,系统不得采用明文方式保存于服务器或客户端计算机的注册表或硬盘文件系统中。
4.12.2.7 涉密应用系统所采用的各种加解密措施应采用统一的加密算法和密钥管理,并具有权限分级,以适合不同级别的用户存取。同时密钥必须定期更换。
4.12.3 工作站口令、密码管理
4.12.3.1各工作站按要求必须设置开机密码和操作系统管理员密码,并开启屏幕保护中的密码保护功能。妥善保管密码,并定期更改;同时严禁使用人员泄露自己的口令和密码。
4.12.3.2各工作站不得设置共享目录,原则上使用办公自动化(OA)系统来相互传送文件,如确有必要,则需要为共享目录设置读取密码,以防止无关人员获得相关信息。
4.12.4 口令的废止
4.12.4.1 用户因职位变动,而不需使用其原有职责的信息资源,必须移交全部技术资料,明确离岗后的保密义务,并立即更换有关口令和密钥,注销其专用用户。涉及核心部门开发人员调离时,应确认对本系统安全不会造成危害后方可调离。
4.12.4.2 丢失或遗忘口令,必须向相关口令管理人员申请,必须得到信息中心主任及以上的人员同意方可。
4.12.5 报告与记录
口令管理台帐。
表A.1口令管理台帐
设备(系统) :
时 间
操 作
管理员
保管员
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
保存□ 更改□ 启封□
4.13 电力监控系统二次安全防护人员培训管理
4.13.1 培训与工程同步进行
技术培训是一个相对漫长,开放性的过程,是贯穿系统建设以及系统使用的一个相当长时期的过程, 而系统建设施工的过程是培训的一个最佳时机,系统设备及线缆的安装敷设,调试,维护等方面的知识必须在施工过程中才能有机会学习和体会,因此,应当让参训人员通过参与施工过程来积累经验,建立感性认识.
4.13.2 应从实际操作出发,理论联系实.
技术培训应以参加施工现场设备安装,调试的实际操作为主,学习必要的基础知识为辅,但对不同的岗位应灵活安排,例如操作员,应以实际操作为主要学习内容,知识理论培训比重相对较少;而管理员虽然也是实 际操作(主要是系统管理,安全方面)为主,但要增加理论知识培训的比重;系统技术员则重点是系统维护,设备更换,系统设置和故障判断方面 的培训,实际操作和理论知识应该并重。
4.13.3 培训应与时俱进,包含最新的安防理论知识
技术防范建设在中国已经有了近三十年的历程,经过了几代人的努力, 建立了比较完整的理论体系. 但在时代飞速发展的今天, 新技术, 新方法, 新理论仍在日新月异的发展着, 这就要求我们不断地把这些新东西充实到培训工作中,使受训人员随时掌握我们行业的最新技术和最新理论.
4.13.4 规章制度与应急措施也须培训
培训不能只限于实际操作和安防理论,也应包括必要的规章制度和应急措施。
4.13.5 安全防范系统管理员除具有操作员素质要求外,还应具有以下能力:
4.13.5.1 能够设置,修改安防系统的各项各项功能.
4.13.5.2 对系统操作员的注册,授权,级别,权限进行设置与修改.
4.13.5.3 掌握前端设备的工作原理.
4.13.5.4 掌握系统运行的工作原理与安全防范理论知识.
4.13.5.5 能够对系统故障进行判断(不提倡自行维修).
4.13.5.6 能对系统进行日常保养维护.
4.13.6 安全防范系统操作员应具备以下素质和知识水平:
4.13.6.1 有良好的道德素质和职业责任感,无违法纪录,无参加反动,暴力及 迷信组织的经历.
4.13.6.2 有一定电子,计算机等相关知识基础.
4.13.6.3 熟悉前端设备的分布和安装工艺要求.(具体安装位置,每个前端设 备周围的环境,防范目的,范围,自身防护工艺,水平)
4.13.6.4 熟练掌握系统各项功能的操作.(操作的程序,方法,效果,主要向 工程商学习)
4.13.6.5 会识读系统各项显示信息.(各显示信息的含义,状态(常态,非常 态),信息结构等等)
4.13.6.6 掌握应对突发事件的应急预案.(各种非常态情况下的工作程序)
4.13.6.7 了解系统运行的基本工作原理.
4.13.6.8 能简单判断系统故障的可能原因(不鼓励自行维修,但能描述故障的现象,可能的原因,造成的后果)
4.13.6.9遵守值班制度和工作守则. 对系统使用团队培训的内容: 前面谈过,培训应对各种岗位安排不同内容的知识,那么,对最基础的系统操作员来说,系统操作员是系统日常运行的具体使用者,有时也称 为值班员,值机员.系统操作员经授权后,可以操作系统各项使用功能。
4.14 电力监控系统二次安全防护审计管理
4.14.1 电力监控系统二次安全防护工作部署的网络审计系统,各专业需指定专人负责维护管理。
4.14.2 专业人员必须定期检查网络审计系统的运行日志,监控数据传输内容和隔离装置的运行日志管理。
4.14.3 统一组织电力监控系统二次安全防护机构成员,不定期抽查各专业组运维的电力监控系统设备的工作情况,查阅设备运行日志等。
4.14.4 在所有服务器的维护操作过程中,必需先提出申请或办理工作票,由专业人员操作,工作负责人负责监督。
4.14.5 确保各服务器及网络审计系统安装并及时更新隔离和防火墙设备,并确保服务器“实时监控功能”在开启状态,运行日志记录正常。
4.14.6 做好网络审计系统相关的系统备份工作。
4.14 电力监控系统基建、改(扩)建管理
4.14.1进行电力监控系统基建工作前,需根据《电力监控系统安全防护规定》国家发展和改革委员会第14号令进行相应的评估和备案等工作,并将二次安全防护拓扑图经重庆市调审核通过后进行建设。
4.14.2电力监控系统基建、改(扩)建设备选型过程中,必须同时选择二次安全防护设备,保证电力监控系统不受外界网络干扰。
4.14.3进行电力监控系统改(扩)建工作前,需确定相关系统增加的具体方案,方案内包含具体安全措施,防止影响现有系统正常运行的方案及应急措施。
4.14.4进行电力监控系统改(扩)建工作前,为防止电力监控系统改(扩)建过程中因系统配置更换引起的通信中断,做好相应的事故应急处置方案。
4.14.5进行改(扩)建工作前,确定系统软件升级及系统评估的具体方案,方案内包含具体安全措施,防止影响电力监控系统二次安全防护设备的应急措施。
4.14.6电力监控系统严禁国外系统软件接入,禁止外国国籍人员操作本厂电力监控系统二次安全防护设备。
4.14.7电力监控系统二次安全防护设备必须设备为国家许可厂家生产制造,并经相关部门认可方可使用。
4.14.8电力监控系统基建、改(扩)建完成后,必须经过相关管理部门验收合格后,方能投入使用。
4.15外来计算机及移动介质管理
4.15.1电力监控系统设备上的接口必须全部关闭,部分系统需要升级、备份,留有专用接口。
4.15.2专用接口接入过程中,必须专业负责人在现场监督,并将所有操作做好记录。
4.15.3不同的电力监控系统配备专用的移动介质接入,各个系统间严禁互相交叉使用,防止病毒感染。
4.15.4厂家人员计算机及移动介质不得接入电力监控系统,必须接入时,须向专业主管提出书面申请同意后接入。
4.15.5厂家人员计算机及移动介质在许可后接入电力监控系统前,应交由网络信息专业主管对计算机及移动介质进行杀毒检测后使用。
4.15.6任何计算机及移动介质接入电力监控系统,必须做好相应操作记录,记录必须由相关责任人保存。
表A.2 计算机及移动介质接入记录
系统名称:
时间
事由
操作内容
操作人
监护人
备注
第五条 检查与考核
5.1 未按电力监控系统安全评估的相关规定进行评估的,考核责任部门100元/次。
5.2 未与安全评估人员签订保密协议,或因工作疏忽导致电力生产大区安全评估的所有记录、数据、结果流出公司的,考核责任部门500元/次。
5.3 办公区域的电力监控系统网络设备的缺陷当天必须处理好,对不能及时消除的电力监控系统软件问题, 应及时上报。无故拖延的每迟一天处罚50元。
5.4 如电力监控系统设备缺陷重复发生,按重复缺陷考核相关责任人。
5.5 未按照权限密码管理要求对监控系统、服务器密码及口令进行管理,导致密码或口令发生泄漏的,考核责任部门200元/次。
5.6 未严格管理门禁,导致无关人员进入机房的,考核责任部门50元/次。
5.7 未严格按照设备操作规程进行操作,导致服务器、防火墙等发生损坏的,考核责任部门100元/次。
5.8 未按巡视管理要求对机房环境和服务器、防火墙等网络设备进行巡检,或巡检记录不全的,考核责任部门50元/次。
5.9 未严格执行恶意代码防护管理要求,网络管理员未按要求对IE或其他网络浏览器进行定期得打补丁或更新工作的,考核责任人50元/次;导致电力监控系统发生恶意代码入侵的,考核责任部门200元/次。
5.10 未按要求对系统或数据进行备份,或备份介质保存不当的,考核责任部门50元/次;导致重要系统损坏或数据丢失的,考核责任部门200元/次。
浙公网安备 33021202002483