xxx光伏电站监控系统安全防护实施方案

xxx光伏电站监控系统安全防护实施 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 XXX光伏电站 监控系统安全防护实施方案 批 准: 审 核: 编 写: 地调批准: 地调审核: XXX公司 监控系统安全防护实施方案 1总则 1.1XXX光伏电站监控系统属于宁夏电力监控系统安全防护体系管 理范畴。 1.2为了加强XXX光伏电站监控系统安全防护，确保电力监控系统 及电力数据网络的安全，依据国家发改委第14号令《电力监控系统安 全防护规定》、《电力监控系统安全防护总体方案》及其配套方案， 制定本方案。 1.4 XXX光伏电站监控系统的防护目标是抵御黑客、病毒、恶意代码等通过 各种形式对电力监控系统发起的恶意破坏和攻击，以及其它非法操作 ，防止XXX光伏电站监控系统瘫痪和失控，并由此导致的电网一次系统 事故。 1.5 本方案重点描述XXX光伏电站监控系统各业务系统的安全防护，按照《 电力监控系统安全防护总体方案》安全分区的要求，基于系统业务的 特点，确定XXX光伏电站监控系统按照业务特点分为安全生产控制大区 控制区和非控制区。 2.适用范围 2(1本方案适用于XXX光伏电站监控系统，范围为XXX公司XXX光伏 电站。 2(2XXX光伏电站简介 1 XXX光伏电站公司名称为XXX公司，位于XXX，距XXX 变电站西北侧 约2.4公里，于X年X月X日开工建设，于X年X月X日成功实现并网发电， 总装机容量10MW，建设电池板组件全部采用固定式安装。公司光伏发 电系统采用“分块发电，集中并网”的总体设计方案，建设有10个1MW 光伏发电单元，每个1MW光伏发电单元共安装X件XXX光伏板组件;每X 件光伏组件串联为一个支路，共X个支路;每X个或X个支路并联接入一 面直流接线箱;X面接线箱接入1面直流屏，共2面直流屏。每面直流屏 出现3回，分别接入X面XkW逆变器，逆变器输出300V三相交流，通过各 自的交流电缆分别连接到1000kVA箱变内各自的低压侧断路器，升压后 接至10kV线路。共2条集电线路接入综合楼高压配电室 10kV 母线后汇流1条10kV 高压线路汇流至10kV柳尚线。 由10kVX线输送至X电站，XXX光伏电站调度管辖权隶属国网电力公司XX X调控中心管辖。 3.系统概况 3.1系统概述 XXX光伏电站监控系统主要由服务器、工作站、各类装置、网络设 备、安全防护设备、操作系统、数据库、应用软件等部分组成。系统 通过电力数据网络与上级调度机构进行业务通信。 XXX光伏电站各业务通过104、102协议与调度主站相关系统通讯， 发送实时遥信、遥测、电量、预测等信息，接收有功、无功控制命令 。 3.2等级保护定级 按照等级保护定级备案要求，XXX光伏电站监控系统作为一个定级 对象定为等保二级。 2 4.XXX光伏电站监控系统安全防护实施方案 4.1安全防护总体原则 XXX光伏电站监控系统安全防护的基本原则为“安全分区、网络专 用、横向隔离、纵向认证”。 采用“纵深防御”策略和 “适度安全” 策略，安全防护主要针对基于网络的生产控制系统，重点强化边界防 护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安 全。 4.2安全分区 根据安全分区原则，结合XXX光伏电站应用系统和功能模块的特点 ，将各功能模块分别置于控制区、非控制区和管理信息大区。 XXX光伏电站监控系统安全分区表 序号 业务系统 控制区 非控制区 管理信息大区 厂站监控系统 1 厂站监控系统 (AGC/AVC) 2 五防系统 五防系统 3 电能质量在线监测 电能采集装置 4 继电保护 继电保护装置 5 故障录波 故障录波装置 6 安全自动控制系统 安全自动控制装置 7 光功率预测 光功率预测系统 外网服务器 3 8 OMS 客户端 OMS 客户端 9 火灾报警系统 火灾报警 4.3网络专用 电力调度数据网是为生产控制大区服务的专用数据网络，承载电 力实时控制、在线生产交易等业务。安全区的外部边界网络之间的安 全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹 配。 电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基 于SDH/PDH 不同通道、不同光波长、不同纤芯等方式，在物理层面上实现与电力 企业其它数据网及外部公共信息网的安全隔离。 电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别 连接控制区和非控制区。可采用MPLS-VPN 技术、安全隧道技术、PVC 技术、静态路由等构造子网。 电力调度数据网应当采用以下安全防护措施: (1)网络路由防护 按照电力调度管理体系及数据网络技术规范，采用虚拟专网技术，将 电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网，分 别对应控制业务和非控制生产业务，保证实时业务的封闭性和高等级 的网络服务质量。 (2)网络边界防护 4 应当采用严格的接入控制措施，保证业务系统接入的可信性。经过授 权的节点允许接入电力调度数据网，进行广域网通信。数据网络与业 务系统边界采用必要的访问控制措施，对通信方式与通信业务类型进 行控制;在生产控制大区与电力调度数据网的纵向交接处应当采取相 应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务， 应该通过纵向加密认证装置或加密认证网关接入调度数据网。 (3)网络设备的安全配置 网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、 关闭网络边界OSPF 路由功能、采用安全增强的SNMPv2 及以上版本的网管协议、设置受信任的网络地址范围、记录设备日志 、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。 (4)数据网络安全的分层分区设置 电力调度数据网采用安全分层分区设置的原则。省级以上调度中 心和网调以上直调厂站节点构成调度数据网骨干网(简称骨干网)。 省调、地调和县调及省、地直调厂站节点构成省级调度数据网(简称 省网)。 地调和配网内部生产控制大区专用节点构成县级专用数据网。县调自 动化、配网自动化、负荷管理系统与被控对象之间的数据通信可采用 专用数据网络，不具备专网条件的也可采用公用通信网络(不包括因 特网)，且必须采取安全防护措施。各层面的数据网络之间应该通过 路由限制措施进行安全隔离。当地调或配调内部采用公用通信网时， 5禁止与调度数据网互联。保证网络故障和安全事件限制 在局部区域之 内。 企业内部管理信息大区纵向互联采用电力企业数据网或互联网，电力 企业数据网为电力企业内网。 4.4横向隔离 4.4.1 横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全 设备隔离各安全区，在生产控制大区与管理信息大区之间必须设置经 国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度 应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控 制大区与管理信息大区之间的必备边界防护措施，是横向防护的关键 设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的 网络设备、防火墙或者相当功能的设施，实现逻辑隔离。 4.4.2 按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向 型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方 式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控 制大区单向数据传输，是管理信息大区到生产控制大区的唯一数据传 输途径。反向安全隔离装置集中接收管理信息大区发向生产控制大区 的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生 产控制大区内部的接收程序。专用横向单向隔离装置应该满足实时性 、可靠性和传输流量等方面的要求。 6 4.4.3 严格禁止E-Mail、WEB、Telnet、Rlogin、 FTP 等安全风险高的通用网络服务和以B/S 或C/S 方式的数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据的 单向安全传输。 控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的 设备或相当功能的设施进行逻辑隔离。 4.5纵向认证 4.5.1 纵向加密认证是电力监控系统安全防护体系的纵向防线。采用认证、 加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的 安全防护。对于重点防护的调度中心、发电厂、变电站在生产控制大 区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力 专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份 认证、数据加密和访问控制。暂时不具备条件的可以采用硬件防火墙 或网络设备的访问控制技术临时代替。并接入到地调内网安全监控平 台。 4.5.2 纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防 护。纵向加密认证装置为广域网通信提供认证与加密功能，实现数据 传输的机密性、完整性保护，同时具有类似防火墙的安全过滤功能。 加密认证网关除具有加密认证装置的全部功能外，还应实现对电力系 统数据通信应用层协议及报文的处理功能。 7 4.5.3 对处于外部网络边界的其他通信网关，应进行操作系统的安全加固， 对于新上的系统应支持加密认证的功能。 4.5.4 重点防护的调度中心和重要厂站两侧均应配置纵向加密认证装置;当 调度中心侧已配置纵向加密认证装置时，与其相连的小型厂站侧可以 不配备该装置，此时至少实现安全过滤功能。 4.5.5 传统的基于专用通道的数据通信不涉及网络安全问题，新建系统可逐 步采用加密等技术保护关键厂站及关键业务。 4.6其他安全措施 4.6.1防病毒 本电站生产区域内的计算机信息系统，要与 Internet 网分开，并建立计算机病毒防火墙，对服务器，要采用先进的网络防 计算机病毒软件，并对经过服务器的信息进行监控，防止计算机病毒 通过邮件服务器扩散、传播。随时注意各种异常现象，一旦发现，应 立即用查毒软件仔细检查。经常更新与升级防杀计算机病毒软件的版 本。对生产区域内的要定点、定时、定人作查毒杀毒巡检。当出现计 算机病毒传染迹象时，立即隔离被感染的系统和网络并进行处理，不 应带“毒”继续运行;发现计算机病毒后，一般应利用防杀计算机病 毒软件清除文件中的计算机病毒，对于杀毒软件无法杀除的计算机病 毒，应及时请专业人员解决。对新购进的计算机及设备，为防止原始 计算机病毒的侵害，要组织专业人员检查后方可安装运行;联网计算 机、重要系统的关键计算机要安装防计算机病毒软件，并定期或及时 8更新计算机病毒防范产品的版本;要使用国家规定的、 具有计算机使 用系统安全专用产品销售许可证的计算机防计算机病毒产品。系统中 的程序要定期进行比较测试和检查。严禁使用盗版软件，特别是盗版 的杀毒软件，严禁在工作计算机上安装、运行各类游戏软件。 4.6.2主机加固 操作系统安全是计算机网络系统安全的基础，而服务器上的业务数 据又是被攻击的最终目标，因此，加强对关键服务器的安全控制，是 增强系统总体安全性的核心一环。XXX光伏电站已完成主机加固，主机 加固软件为信达S- numen，强制进行权限分配，保证对系统资源(包括数据和进程)的访 问符合定义的主机安全策略，防止主机权限被滥用。 4.6.3入侵检测 当系统发生入侵行为或者违反安全策略的操作时，S- numen利用自身功能对用户(程序)在网络层和系统内部对该用户(程 序)进行阻断，并且由系统向管理员进行报警。在报警条件中添加相 应的报警规则，S- numen可对入侵行为和违反安全策略的用户(程序)进行阻断。当有违 反安全规则的情况出现时，S- numen服务器端会向特定的系统发送报警信息，S- numen监控程序会以多中方式进行报警。在后台可以提供告警。 4.6.4安全日志审计 日志审计和日志管理对于网络安全会起到重要作用，S- numen拥有独立的日志审计系统，通过方便的检索可以方便安全管理员 的工作。S- 9numen的日志生成实在内核级上实现的，日志根据设置也 可不生成，当 生成时，还可以设置是否按项目设置生成，所以应视系统存储空间的 大小进行适当设置来使用。S- numen提供多种检索功能，方便管理的工作。 4.7二次安全防护实施方案拓扑图 4.7.1功率预测及控制系统拓扑图 通信接口类型:2路以太网接口，支持综自厂家的以太网103 规约;变电站内采用 GPS 卫星对时，减少误码、乱码的可能性，提高设备的数据传输准确性， 符合 IEC 61850 的相关标准。 4.7.2监控系统安全防护总体结构图 10 4.8安全防护设备清单 设备名称 型号 数量 生产厂家 备注 地调接入网 路由器 实时交换机 非实时交换机 纵向加密认证装置 区调接入网 路由器 实时交换机 非实时交换机 11 纵向加密认证装置 光功率预测 反向隔离装置 电力工业以太网交 换机 防火墙 5.安全防护技术要求 5.1生产控制大区内部安全防护技术要求 (1)禁止生产控制大区内部的E- Mail服务，禁止控制区内通用的WEB服务，并进行安全加固。 (2)允许非控制区内部业务系统采用B/S结构，但仅限于业务系 统内部使用。允许提供纵向安全WEB服务，可以采用经过安全加固且支 持HTTPS的安全WEB服务器和WEB浏览工作站。 )生产控制大区重要业务的远程维护必须采用身份认证机制。 (3 (4)生产控制大区内的业务系统间应该采取VLAN和访问控制等安 全措施，限制系统间的直接互通。 (5)生产控制大区应该统一部署恶意代码防护系统，采取防范恶 意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。 (6)各层面的数据网络之间应该通过路由限制措施进行安全隔离 ，保证网络故障和安全事件限制在局部区域之内。 12 附则1:XXX光伏电站电力监控系统安全防护管理制 度 总则 1.1 为了防范黑客以及恶意代码等对电力监控系统的攻击侵害，保障我公 司电力监控系统的安全可靠、稳定运行，提高电力监控系统的安全管 理水平，根据国家电监会颁布的《电力监控系统安全防护规定》(电 监会5号令)及《电力系统安全防护总体方案》(电监安全[2006]34号 )，特制定本管理办法。 1.2 本电站电力监控系统安全防护工作应当坚持安全分区、网络专用、纵 向认证的原则。 1.3 本电站电力监控系统安全防护工作以“安全第一、预防为主、综合治 理，管理和技术并重”为方针，“遵循统一领导、统一规划、统一标 准、统一组织开发”的原则。 1.4 本管理 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 适用于本电站电力监控系统，所有涉及电力监控系统的规 划、设计、系统改造、工程实施、运行管理等均应符合本管理办法的 要求。 1.5 引用标准及规范: 1.5.1 《电网和电厂计算机监控系统及调度数据网络安全防护规定》国家经 贸委30号令。 1.5.2 《电力监控系统安全防护规定》国家电监会5号令 13 1.5.3 《电力监控系统安全防护总体方案》国家电监会电监安全[2006]34号 文。 管理职责 2.1 本电站根据国家电监会《电力监控系统安全防护总体方案》要求，按 照“谁主管谁负责，谁运营谁负责”的原则，建立电力监控系统安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 ，明确运行、 检修 外浮顶储罐检修方案皮带检修培训教材1变电设备检修规程sf6断路器检修维护检修规程柴油发电机 、调试、和信息化等部门相关人员的安全 职责。 2.2 电力调度机构负责直接调度范围内的下一级电力调度机构和变电站的 监控系统安全防护的技术监督。本电站内涉及到电力调度的生产控制 系统和装置，如本电站的输入变电监控系统、电能质量采集装置、故 障录波装置、继电保护装置和安全自动控制装置等，由电力调度机构 和本电站主管单位共同实施技术监督，本电站其他监控系统安全防护 可由其上级主管单位实施技术监督。 2.3 方案负责审核，对涉及电力监控系统安全防护的产品选用提出指导意 见。 技术管理 3.1 本电站电力监控系统安全防护工作必须坚持安全分区、网络专用、横 向隔离、纵向认证的原则，保障电力监控系统和电力调度数据网络的 安全。 14 3.2 根据各自监控系统情况制定电力监控系统安全防护实施方案，防护实 施方案应每年滚动修订、完善。 3.3 涉及电力监控系统安全防护的产品应具备国家网络与信息安全主管部 门(国家能源局)认可的有关证明。 3.4 未完成电力监控系统安全防护措施前应制订安全防护改造应急措施。 3.5 在对电力监控系统进行安全检查过程中，如发现部分应用系统及网络 未按照电力监控系统安全防护规定执行的应限期整改，若期限之内还 不能完成，则应对责任人进行通报批评并依据相关规定进行处罚。 4.应急管理 4.1 制定本单位电力监控系统安全防护应急预案，内容包括突发事件发现 、应急安全隔离措施、事件上报、安全处理、事件反馈等几个方面并 定期开展演练。 4.2 应急预案的制定和修改必须履行一定的审核手续，存放在规定的地方 ，并根据演戏结果不断完善应急预案。 4.3 对在电力监控系统中发生的安全技术事故和安全事件，要采取妥善措 施，防止事件扩大，保护好现场，并立即向区调报告，并在8小时内提 15供说明报告。对隐报、缓报、谎报或未在上述事件内报 告的将按国家 有关规定追究相关单位和当事人的责任。 培训与评估 5.1 每年需举办电力监控系统安全防护知识培训，提高电力监控系统安全 防护技能和意识。 5.2 在进行安全评估和监督检查中应严格控制风险，确保电力系统安全稳 定运行。参加评估的人员应将遵守有关保密规定。 5.3 对电力监控系统安全防护工作监督专家组对本单位电力二次安全防护 实施情况进行监督检查，提出整改意见进行整改。 附则2:权限密码管理制度 总则 16 1.1 为确保继电保护装置及网络安全运行，保护电站权益不受侵害，特制 订此管理制度。 服务器密码及口令管理 2.1 监控机、网络路由器以及继电保护装置的口令和密码，由安全生产部 门负责人和系统管理员商议确定，必须两人同时在场设定。 2.2 监控机、网络路由器以及继电保护装置的口令必须不猛负责人在场是 要有系统管理员记录封存。 2.3 密码及口令要定期更换(视网络具体情况)，更换后系统管理员要销 毁原记录，将新密码或口令记录封存。 2.4 如发现密码及口令有泄密迹象，系统管理员要立刻报告部门负责人， 经生产副站长批准后再更换新密码和口令。 用户密码及口令的管理 3.1 对于要求设定密码和口令的用户，由用户指定负责人与系统管理员商 定密码及口令，由系统管理员登记并请用户负责人确认(签字或电话 通知)，之后系统管理员设定密码及口令，并保存用户档案。 3.2 当用户由于责任人更换或忘记密码、口令是要求查询密码、口令或要 求更换密码及口令的情况下，需向网络服务管理部门提交申请单，由 17部门负责人或系统管理员核实后，履行本条1款所规定 的手续，并对用 户档案做更新记载。 3.3 如果网络提供用户自我更新密码及口令的功能，用户应自己定期更换 密码及口令，并设专人负责保密和维护工作。 附则3:门禁管理和机房人员登记记录 总则 1.1 为确保计算机网络系统安全、高效运行和各类设备处于良好状态，正 确使用和维护各种设备，管理有章、职责明确，特制订本制度。本制 度分为5个部分:值班制度、巡视制度、日常管理制度、运行维护制度 、安全保密制度。 值班制度 2.1 机房实行24小时值班制度 2.2 值班人员要遵守值班守则 2.3 值班守则 2.3.1 要培养值班人员有一定的综合素质，由一定的应变和事故判断能力。 2.3.2 值班人员的主要职责是要在第一时间发现故障和故障隐患，并及时报 告，使相关管理人员能及时赶到现场尽最大可能缩短故障恢复时间。 18 2.3.3 熟知工作内容和责任规范。值班时间内不得作与作业、业务无关的任 何私事，不得擅自离开岗位。 2.3.4 值班人员负责机房的安全和机房环境卫生。认真履行机房的各项规定 ，并督促进入机房人员严格遵守。 2.3.5 负责机房的环境设备与网络系统的安全运行;负责完成规定的日常操 作和故障监测记录，简单故障的排除，负责环境设备的日常巡视。 2.3.6 值班人员必须以严肃、严格的态度，认真执行机房巡视制度，负责每 日对机房网络设备、机房设备、机房环境的巡视、认真填写巡视记录 表，发现问题及时向相关管理人员反映。 2.3.7 值班人员要定时对网络管理监控机进行巡视并认真进行记录。 2.3.8 当遇到故障报警时，应及时判断出故障点，并立即通知相关系统管理 员现场排除故障。发生重大故障时，还应及时报告直接领导。 2.3.9 值班人员应按时到岗，认真交接，双方签字后交班人员方可离岗。 2.3.10 必须严格遵守各项相关管理规定和消防管理规定。 巡视制度 3.1 网络运行设备的巡视 3.1.1 各服务器的CPU和内存的工作状况。 19 3.1.2 防火墙的工作状况 3.1.3 网站的工作状况 3.1.4 邮件服务器的工作状况 3.1.5 网络交换机的工作状况 3.1.6 客户端的网络运行速度 3.1.7 认证做好记录 3.2 机房环境的巡视 3.2.1 机房门窗的关闭情况 3.2.2 机房的卫生状况 3.2.3 机房的灯光状况 3.2.4 机房的温度、湿度及空气状况 3.2.5 认真做好记录 3.3 机房设备的巡视 3.3.1 对机房的UPS、空调、消防报警等系统的运行情况进行经常性巡视，密 切注意工作负荷、电池容量、室内温湿度等数值，以保障网络安全、 正常的运行。 3.3.2 主配电柜的供电电压、电流 3.3.3 UPS的输出电压、电流和负载功率 3.3.4 UPS电池的状况 3.3.5 空调的工作状况 3.3.6 空气净化器的工作状况 3.3.7 消防报警系统的工作状况 3.3.8 查看所有机房设备的报警记录 20 3.3.9 认真做好巡视记录 日常管理制度 4.1每日清理机房环境卫生。 4.2 到机房工作的人员要听从值班人员管理 4.3 到机房工作的人员不得在机房内吃食品，饮水，吸烟或其他与工作无 关的事宜。 4.4 到机房工作的人员严禁携带与工作无关的物品，特别是易燃、易爆、 强磁、腐蚀性物体等危险物品进入机房。 4.5 到机房工作的人员应严格遵守岗位责任制，不能乱动与自己工作无关 的设备。 4.6 机房内不能存放任何食品。 4.7 严禁在机房内使用其他用电器。 4.8 严禁在机房内存放食物。 4.9 严禁在机房大声喧哗、玩电子游戏。 4.10在机房工作必须按操作规程正确操作、使用各类设备。 运行维护制度 5.1 配电柜一年进行至少2次维护检查。维护内容:清扫灰尘、检查各接点 、触点的温升，松紧。注:双路供电还应检查互投开关是否可靠。 5.2 UPS一个月进行1次维护。维护内容:清扫灰尘、检查UPS逆变器工作状 21况及UPS整机的工作状况、检查电池组机每节电池的状 况并对电池进行 放电。 5.3 机房专用空调每月进行一次巡检。维护内容:清扫及更换各过滤网、 清洗或更换加湿罐、清扫室外机、测量工作压力、测量工作电压、电 流。 5.4 机房消防系统每年进行一次检测。维护内容:检测各个监测点及报警 设备的可靠性、检查消防设备的电池、喷头。 5.5 机房防雷设施每年检查一次。维护内容:检查各防雷器的可靠性、检 查接地状况。 5.6 机房每年进行两次专业保洁。维护内容:对机房的地板进行调整和清 洁、对底板下、天棚板上进行清洁。 安全保密制度 6.1 门禁管理 6.1.1 机房必须设有门禁，机房的工作人员需登记进入机房。非机房工作人 员不能随意进入机房。非机房工作人员进入机房必须登记和服从值班 人员管理。 6.1.2 防雷、防火、防水、防盗、防虫害。 6.1.2.1 防雷:需按国家的规定对机房的设备进行接地，对进出机房的电力线 22，网络线需要加装防雷器。每年要按国家的规定对防雷设 施及设备接 地进行检测。 6.1.2.2 防火:需按国家的规定在计算机机房进行消防设施的安装。消防报警 及灭火设施要7*24小时工作。设施每年要按国家规定对消防报警及灭 火设施进行检测。 6.1.2.3 防水:要经常检查机房的防漏水情况，空调、门窗及屋顶。 6.1.2.4 防盗:严格机房进出管理，门禁要24*7小时工作，严格执行进出机房 的登记制度、严格执行进出机房不得携带其他物品的规定。 6.1.2.5 防虫害:经常检查机房的顶棚上和地板下的封闭情况。不得在机房内 存放食品，不得在机房内堆放杂物。 6.2 网络运行安全管理 6.2.1 对涉密网和内部办公网与Internet网物理隔离，所用服务器要安装在 屏蔽机柜内，网络线、网络插座、插头都要屏蔽。 6.2.2 对Internet网的进口要加装防火墙，如必要可装多级防火墙。 6.2.3 对所有服务器要安装防病毒软件，要经常对防病毒软件进行升级。经 常对计算机病毒进行检测。 6.3 系统设备安全管理 23 6.3.1 进入机房不得带拷贝工具和便携机 6.3.2 机房内所有服务器应设有开机密码、系统登录密码 6.3.3 机房内所有无武器都应设有带密码的屏幕保护 6.3.4 网管人员操作后应将服务器处于锁定状态 6.3.5 非网管人员不得私自操作任何服务器 6.4 认真遵守货架的各项保密制度 6.4.1 严格遵守党和国家的保密制度。有关打印结果、存储介质及原始数据 必须由本人保管。带有密级的媒体应及时锁入保险柜中，收、发要登 记。定期集中销毁废弃的涉密纸、物。 6.4.2 需要与正常工作日、时之外使用机房加班的人员，应得到主管处领导 的批准，并向运行值班人员办理登记手续。机房的值班人员必须同时 在场陪同。 6.4.3 严禁与机房工作无关的人员进入机房。 6.4.4 非机房工作人员在机房工作时必须有机房值班人员陪同。 6.4.5 机房内各类服务器应由专人分类管理。 6.4.6 建立设备、资料责任制。 24 附则4:计算机系统管理办法 为保证电站生产办公用计算机设备本身和计算机网络系统的安全 稳定运行，以及相关工作的正常开展，保证存储在计算机中的信息和 数据不被破坏，防止操作系统程序及应用软件系统不被非法更改或破 坏，制定本办法，加强计算机系统管理。 监控系统计算机的管理 1.变电站监控系统计算机除主管领导、系统管理员外，禁止任何 人对此计算机的操作。查看、调用数据，须经当值值班同意或授权。 如遇升压站正常倒闸操作或事故处理，则由有权限进入该系统的操作 人员，严格按《安规》、《运规》、《调规》及相关规定和要求进行 操作。 2.监控系统计算机任何人不得随意退出监控系统，不得改动计算 机设置和运行参数，不得打开、移动、删除计算机内所有程序、文件 及文件夹，不得进行无关的工作，禁止使用监控机光驱和软驱，所有 在监控机上进行的工作，都必须由站领导或当值值班长允许和授权方 可进行。 工程师站及办公计算机的管理 25 1.工程师站计算机 有权限进入变电站微机防误系统的操作人员，应严格按变电运行规定 及规程要求在微机防误系统下，模拟操作及填写、上传、打印操作票 。查看、填写当日发电日报表、月报表及相关数据，必须经当值值班 长同意或授权，禁止打开、移动、删除计算机目录下的所有文件夹及 文件，未经系统管理员批准，禁止进行数据拷贝或外来磁盘、光盘的 插入和操作，严禁进行与工作无关的任何操作。 2.办公用计算机 使用办公用计算机，必须经当值值班长或系统管理员同意，并且详细 登记、记录后方可使用。自己所建文件夹或文档必须归类到各自所属 磁盘的文件夹内，不准将文档、文件或文件夹乱摆乱放，不得随意打 开、移除、更改与自己无关的程序及文件。除上网向国电公司上传报 表数据外，未经系统管理员同意或授权，不得上网做与国电公司报表 无关的事。严禁更改计算机的所有设置，严禁安装和删除所有程序， 严禁更改、删除、移动计算机内所有文件夹及文件，严禁外来磁盘以 及光盘的插入和操作。 计算机数据管理 每日接班人员，在接班前必须坚持计算机设置有无改变，系统文 件及程序有无丢失，计算机系统是否稳定。并且检查和核对前一日报 表是否正确、完整，上报数据是否成功报出，公司月报表表必须填写 合格，打印后交由站领导审核批准后，方可上报区电力公司。 26 附则5:监控系统安全防护管理分级责任制 XXX光伏电站监控系统按照“谁主管谁负责，谁运营谁负责”的原 则，建立XXX光伏电站监控系统安全防护管理制度，将XXX光伏电站监 控系统安全防护及其信息报送纳入日常安全生产管理体系。 XXX光伏电站监控系统安全防护管理组织机构 组长:xxx 副组长:xxx 组织成员:xxx、xxx、xxx XXX光伏电站监控系统安全防护管理责任 组长:为监控系统安全防护管理的主要负责人。负责评审相关制 度编写、签发;组织人员对监控系统安全防护的评估，制定评估计划 ;负责监督、考核各项规章制度的实施情况，必要时对各规章制度进 27行修改。负责组织对监控系统突发事故及安全隐患的处 理、指挥，监 控系统安全防护应急机制的启动。 副组长:监控系统安全防护日常管理，是监控系统安全防护管理 的执行人。负责相关制度的编写，对监控系统安全防护制度的评估、 考核;负责对设备的监管、故障及突发事故的调查、处理的指挥、救 援及设备定期检修维护等工作;负责组织员工进行监控系统安全防护 的培训，制定培训计划，提交整改建议。 组织成员:监控系统安全防护日常管理工作的具体执行者。负责 各项相关制度的具体实施，机房值班制度具体实施情况的监管、考评 ;负责组织对网络运行设备的巡视，发现问题、缺陷及故障隐患必须 及时向上级主管领导汇报，负责对突发事件的判定及时汇报;机房日 常管理工作及各项规章制度的具体组织实施等。 附则6:监控系统安全联合防护应急预案 目的 为提高电力监控系统的安全防护水平，保证电力系统的安全稳定 运行，本着“安全第一、预防为主”的原则，根据《电力监控系统防 护规定》及《电网和电厂计算机监控系统及调度数据网络安全防护的 规定》，制定XXX光伏电站监控系统安全联合防护应急预案。 指挥机构职责及分工指挥机构 1.指挥机构组成 组长:xxx 副组长:xxx 组织成员:xxx、xxx、xxx 2.指挥机构职责 28 1)指挥领导小组:负责应急预案的制定、修订，组 建应急专业指 挥队伍，组织实施和演练;检查监督作为重大事故的预防措施和应急 的各项准备工作。 2)领导小组:发生事故时，发布和解除应急救援命令、信号;组 织指挥救援队伍实施救援行动;向上级和地调有关主管部门汇报事故 情况，配合地调和区调相关部门做好应急处理，必要时向公安机关报 案、求助;组织事后的事故调查、分析，总结应急求援工作经验教训 。 3)领导小组人员分工 组长:负责事故发生时现场总指挥职责，安全组织人员配合地调 及区调相关部门处理事故，防止事故进一步扩大;负责组织对事故的 调查和向上级主管部门汇报工作，批准所采取的纠正预防措施。 副组长:协助组长负责应急事故处理的具体工作。 组织成员:负责组织人员根据实际情况对事故做应急处理，努力 控制、制止事故蔓延，防止因事故扩大而造成电网瘫痪或波及其他上 网设备，现场组织人员恢复故障系统，实时向上级报告故障蔓延情况 及控制恢复情况。做好事故后的 调查报告 行政管理关于调查报告关于XX公司的财务调查报告关于学校食堂的调查报告关于大米市场调查报告关于水资源调查报告 及总结。 应急预案 假设本电站生产区监控系统突然出现不明原因故障，现在值班长 应保持冷静，现场其他值班人员应当保持头脑清醒，迅速向上级领导 报告，并迅速采取以下应急措施: 迅速查找故障原因，判断故障时外部入侵还是内部人为误操作引 起，若是内部人为误操作引起马上组织恢复正常工作状态，并上报应 29急领导小组。根据实际情况通过应急领导小组考虑是否 上报上级调度 。 若是确定故障原因由外部入侵造成时，除做好上诉工作外，应及 时与上级调度报告紧急状态，考虑是否断开网路改用外部通信设施进 行系统监控，防止扩大事故范围从而引起整个电网的瘫痪。 做好本系统内其他设备的隔离工作，缩小故障范围，并应及时与 周边的上网设备进行联系，请求同时做好防范工作，并协助配合对本 系统进行监控、协调与救援帮助。 在故障被控制后，对所管辖的设备进行检查，并立即组织人员进 行系统恢复，力争在最短的时间内把故障消除恢复正。 做好事后的故障调查工作，分析、总结故障原因，在最短的时间 内提交防范整改措施，做好整改计划并立即实施。组织加大监控力度 防止二次攻击，并做好应对二次攻击的战略计划。 及时将事故的调查报告，损失情况，处理结果上报给相关领导及 相关部门。 预防措施 1、严格执行监控系统安全防护的各项规章制度，对设备进行定期 检查，发现隐患及时处理。 2、对系统资料进行备份并指派专人进行保管，定期进行安全评估 ，做到有备无患。 3、定期组织监控系统安全防护培训，提高员工的防范认识，做到 防患于未然。 30 XXX光伏电站 2015年1月26日 31