电力二次系统安全防护管理制度汇编40995.docx

《电力二次系统安全防护管理制度汇编40995.docx》由会员分享，可在线阅读，更多相关《电力二次系统安全防护管理制度汇编40995.docx（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 电力二次系统安全防护管理制度制度名称电力二次系系统安全防防护管理制制度制度分层业务指导书书责任编写人人编写日期2011年年4月1日日制度分级公司级责任修订人人修订日期2011年年5月3日日制度分类检修类审核人审核日期2011年年5月6日日风控索引审定人审定日期2011年年5月122日 批准人人： 乔乔智 生效效日期： 20111 年 5 月 12 日日1 目的的 编制本规定定的目的是是建立七台台河宝泰隆隆煤化工有有限公司干干熄焦电厂厂电力二次次系统与信信息安全管管理体系，进进一步规范范和指导电电厂电力二二次系统与与信息安全全的管理。2 适用用范围 本管理办法法适用于干干熄焦电厂厂电力二次次系

2、统的运运行管理、日日常巡检、维维护及系统统改造等工工作。包括括干熄焦电厂厂二次系统统网络与信信息安全规规划设计、项项目审查、工工程实施、系系统改造、运运行维护管管理。干熄熄焦电厂及及外来施工工调试人员员等从事电电力二次系系统网络与与安全防护护专业管理理和运行维维护管理的的相关人员员，均应遵遵守本规定定。3 释义义 3.1 电力二次系系统 在本规定所所指电力二二次系统包包含电力监监控系统、电电力调度管管理信息系系统、电力力通信及调调度数据网网络等。 3.2 电力监控系系统 在本规定是是指用于监监视和控制制电网及电电厂生产运运行过程的的、基于计计算机和网网络技术的的业务处理理系统及智智能设备等等。

3、包括电电力数据采采集与监控控系统、调调度管理系系统、NCCS系统、FFECS系系统、DCCS系统、微微机继电保保护和安全全稳控装置置、广域相相量测量系系统、负荷荷控制系统统、发电曲曲线下载系系统、电能能量计量计计费系统和和继电保护护管理信息息系统等。 3.3 电力调度数数据网络 指电力调度度专用广域域数据网络络、电力生生产专线网网络等。 3.4 电力专用安安全防护设设备 指横向正向向隔离装置置、纵向加加密认证装装置、纵向向加密认证证装置管理理系统、安安全拨号服服务器、防防火墙等。 3.5 网络与信息息安全事件件 指电力二次次系统受到到入侵或攻攻击、感染染病毒或恶恶意代码，导导致系统主主要功能失

4、失效或引发发发电机“误调”或“误控” ，以及及系统被非非法用户访访问、关键键数据被篡篡改、丢失失或泄密等等。 3.6 运行维护部部门 干熄焦电厂厂负责电力力二次系统统运行维护护的运行部部、检修部部。 3.7 网络与信息息安全兼职职人员 指干熄焦电电厂负责电电力二次系系统网络与与信息安全全工作的网网络系统管管理员、网网络系统安安全审计员员。 3.8 要害岗位人人员 指干熄焦电电厂负责电电力二次系系统运行维维护工作的的网络系统统管理员、应应用开发人人员、系统统维护人员员、业务操操作人员。 3.9 第三方人员员 指干熄焦电电厂电力二二次系统的的软件开发发商，硬件件供应商，系系统集成商商，设备维维护商

5、和服服务提供商商的人员。4 相关关文件 下列标准和和文献中的的条款通过过本规定的的引用而成成为本规定定的条款。凡凡是注明日日期的引用用文件，其其随后的所所有修改单单（不包括括勘误的内内容）或修修订版本均均不适用于于本规定。凡凡是不注明明日期的引引用文件，其其最新版本本适用于本本规定。 4.1 引用文件 中华人民共共和国国务务院令1447号中华华人民共和和国计算机机信息系统统安全保护护条例 公通字2200743 号信息安安全等级保保护管理办办法 国家电力监监管委员会会 5 号号令 电电力二次系系统安全防防护规定 电监安全2006634 号 电电力二次系系统安全防防护总体方方案 GB178859-

6、11999 计算机机信息系统统安全保护护等级划分分准则 GB/T 222339-20008 信息系统统安全等级级保护基本本要求 GB/T 222440-20008 信息系统统安全等级级保护定级级指南 GB/T2202699-20006 信信息安全技技术信息系系统安全管管理要求 GB/T2202700-20006 信信息安全技技术网络基基础安全技技术要求 GB/T2202711-20006 信信息安全技技术信息系系统通用安安全技术要要求 GB/T2202722-20006 信信息安全技技术操作系系统安全技技术要求 GB/T2202733-20006 信信息安全技技术数据库库管理系统统安全技术术要

7、求 GB/T2202822-20006 信信息安全技技术信息系系统安全工工程管理要要求 GB/T 197115-1.2 20005 /ISO/IEC TR 1133355:20000 信信息技术安安全管理指指南 GB/T 197116-20005/IISO/IIEC 1177999:20000 信信息安全管管理实用规规则 GB/T 183336-20001 /ISO/IEC 154008-19999 信息技术术安全性评评估准则 4.2 应用文件 黑龙江电网网电力二次次系统安全全防护实施施规范 黑龙江电电力二次系系统网络与与信息安全全管理规定定5 职责责 5.1 厂级领导导5.1.1 审批干熄焦

8、焦电厂电力力二次系统统网络与信信息安全防防护技术措措施和管理理规定。5.1.2 审批电力二二次系统网网络与信息息安全应急急预案。5.1.3 审批电厂电电力二次系系统网络与与信息安全全防护建设设或改造项项目。5.1.4 督导电力二二次系统安安全防护总总体结构、网网络边界安安全设备及及其安全策策略的运行行维护管理理。5.1.5 负责干熄焦焦电厂电力力二次系统统突发事故故及安全隐隐患的处理理、指挥，二二次系统安安全防护应应急机制的的启动，系系统网络与与信息重大大安全事件件调查。5.2 策划部 5.2.1 负责组织干干熄焦电厂厂电力二次次系统安全全评估、监监督和检查查。5.2.2 参与干熄焦焦电厂电力

9、力二次系统统网络与信信息安全防防护系统建建设规划，技技改和新建建项目评审审。5.2.3 组织干熄焦焦电厂电力力二次系统统网络与信信息重大安安全事件调调查。5.2.4 组织实施电电力二次系系统网络与与信息安全全应急预案案的演练，提提出应急预预案的改进进建议。5.2.5 负责组织、落落实各专业业直接运管管范围内二二次系统网网络与信息息的安全检检查、安全全评估和特特殊时期的的安全保卫卫工作；组组织员工二二次系统安安全防护的的培训。5.2.6 负责管理信信息大区二二次系统的的日常维护护、巡检、管管理和故障障处理。5.2.7 负责制定管管理信息大大区二次系系统重大缺缺陷处理的的安全措施施。5.2.8 负

10、责管理信信息大区二二次系统安安全防护策策略新增、改改动制定和和初审。5.2.9 负责和上级级技术对口口主管部门门的协调，向向相应调度度机构的主主管部门报报送电力二二次系统网网络与信息息安全统计计分析报表表、审批申申请和备案案材料。5.2.10 负责部门人人员的信息息安全专业业知识和技技能培训。5.3 检修部5.3.1 负责执行和和贯彻国家家、电力行行业和上级级颁布的有有关电力二二次系统网网络信息安安全防护技技术和管理理标准。5.3.2 负责实施、提提出和审核核生产控制制大区二次次系统建设设或改造项项目，设备备选型，工工程安装调调试和验收收的管理。5.3.3 负责生产控控制大区二二次系统的的日常

11、维护护、巡检、管管理和故障障处理。5.3.4 参与电厂电电力二次系系统网络与与信息重大大安全事件件调查。5.3.5 编制和审核核干熄焦电厂厂电力二次次系统电力力二次系统统网络与信信息安全防防护技术措措施和管理理规定。5.3.6 负责部门人人员的信息息安全专业业知识和技技能培训。5.3.7 负责和上级级技术对口口主管部门门的协调，向相应调度机构的主管部门报送电力二次系统网络与信息安全统计分析报表、审批申请和备案材料。5.4 运行部5.4.1 负责干熄焦焦电厂电力力二次系统统安全防护护设备的运运行管理，发发现异常及及时通知有有关人员。5.4.2 负责在二次次安全防护护系统处理理缺陷时配配合，加强强

12、系统监视视的工作。5.4.3 参与电厂电电力二次系系统网络与与信息重大大安全事件件调查。5.4.4 负责和上级级调度部门门的协调、汇汇报。5.4.5 负责部门人人员的电力力二次系统统安全防护护知识和技技能培训。5.4.6 负责向本单单位电力二二次系统信信息安全工工作组报告告二次系统统网络与信信息安全事事件。6 内容容 6.1 电力二次系系统网络与与信息安全全组织机构构成立由厂级级领导为组组长的二次次系统安全全防护工作作组，工作作组成员名名单报相应应上级省网网公司及电电监会。干熄焦电厂厂电力二次次系统网络络与信息安安全组织机机构图厂级领导检修部负责人策划部负责人运行部负责人安监主任信息中心电气主

13、任热控主任值长网络管理员安全管理员热控工程师继保工程师调通系统管理员运行值班员干熄焦电厂厂电力二次次系统网络络与信息安安全工作小小组组成如如下：组 长：乔智副组长：任任军 成 员：检修、运运行、安监监部门若干干人员 成员中包包括安全管管理员，系系统管理员员，网络管管理员。6.2 电力二次系系统网络与与信息人员员管理 6.2.1 网络与信息息安全专（兼兼）职人员员管理 6.2.1.1 范围：包括括网络安全全工程师、设设备工程师师6.2.1.2 干熄焦电厂厂与受聘的的网络与信信息安全专专（兼）职职人员签署署任期内保保密协议。 6.2.1.3 网络与信息息安全专（兼兼）职人员员调离岗位位，必须严严格

14、办理调调离手续，并并与其签署署调离后的的保密协议议。涉及单单位核心技技术的信息息安全人员员调离单位位，必须进进行离岗审审计。 6.2.1.4 网络与信息息安全专（兼兼）职人员员的配备和和变更情况况，应向上上一级单位位信息安全全主管部门门报告、备备案。 6.2.1.5 网络与信息息安全专（兼兼）职人员员调离岗位位，必须严严格办理调调离手续，并并与其签署署调离后的的保密协议议。涉及单单位核心技技术的信息息安全人员员调离单位位，必须进进行离岗审审计。6.2.1.6 网络与信信息安全专专（兼）职职人员离岗岗后，必须须即刻更换换有关的操操作密码并并注销其用用户。 6.2.1.7 必须实行“权限分散散、不

15、得交交叉覆盖”的原则。系系统管理人人员、网络络管理人员员、系统开开发人员、系系统维护人人员不得兼兼任业务操操作员；系系统开发人人员不应兼兼任系统管管理员。6.2.2 第三方人员员管理 6.2.2.1 第三方人员员的现场工工作或远程程维护工作作内容应在在合同中明明确规定，如如工作涉及及机密或秘秘密信息内内容，应要要求其签署署保密协议议。 6.2.2.2 对第三方人人员的物理理访问和逻逻辑访问应应实施访问问控制，根根据其在系系统中完成成工作的时时间、性质质、范围、内内容等方面面的需要给给予最低授授权。 6.2.2.3 第三方人员员自带设备备接入二次次系统必须须得到现场场运行维护护部门负责责人的特别

16、别授权，笔笔记本电脑脑、掌上电电脑接入前前应经由现现场运行维维护部门安安全管理人人员对其进进行杀毒处处理，且必必须在指定定区域、指指定端口、通通过指定方方式接入。带带有无线网网络的设备备禁止接入入二次系统统。 6.2.2.4 第三方人员员的现场工工作应在二二次系统运运行维护部部门指定人人员的陪同同和监督下下进行。 6.2.2.5 第三方人员员工作结束束后，运行行维护部门门应对其操操作进行审审计，并及及时更换有有关的操作作密码。 6.3 电力二次系系统信息安安全等级保保护管理 6.3.1 干熄焦电厂厂依据国家家颁布的信信息安全等等级保护管管理办法和和国家电力力监管委员员会电力力行业信息息系统安全

17、全等级保护护定级工作作指导意见见对电力力二次系统统进行安全全保护定级级。 6.3.2 安全保护等等级为第二二级及以上上的系统，应应当在系统统投入运行行后 300 日内到到所在地的的公安机关关办理备案案手续。安安全保护等等级为三级级及以上系系统办理备备案手续前前，其系统统备案材料料必须报上上级主管部部门审核批批准。 6.3.3 电力二次系系统应按相相应信息安安全等级保保护的要求求，落实安安全保护措措施。 6.3.4 等级为三级级的电力二二次系统应应当每年至至少进行一一次等级测测评，等级级为四级的的信息系统统应当每半半年至少进进行一次等等级测评。对对其它等级级的信息系系统每年开开展一次安安全检查。

18、 6.3.5 信息系统等等级测评工工作应由具具有国家相相关技术资资质和安全全资质的测测评单位承承担。 6.4 电力二次系系统安全防防护管理 6.4.1 电力二次系系统安全防防护基本要要求 6.4.1.1 干熄焦电厂厂电力二次次系统安全全防护必须须遵守国家家电力监管管委员会200445 号号令发布的的电力二二次系统安安全防护规规定和2006634 号文印发发的电力力二次系统统安全防护护总体方案案的规定定，并符合合东北电网电电力二次系系统安全防防护实施规规范的要要求。6.4.1.2 新建机组在在并入黑龙龙江电网前前须完成电电力二次系系统网络信信息安全防防护建设。6.4.1.3 当不满足电电力二次系

19、系统安全防防护规定的的，应实施施技术改造造。6.4.2 电力二次系系统安全防防护工程实实施管理 6.4.2.1 电力二次系系统安全防防护应随电电力二次系系统同步设设计、同步步施工、同同步验收、同同步投运。 6.4.2.2 电力二次系系统网络信信息安全防防护设施的的基建、运运行、改造造、检修、投投退等流程程参照电力力二次系统统有关规定定执行。 6.4.2.3 电力二次系系统安全防防护实施方方案必须经经过上级主主管部门和和相应调度度机构的审审核，方案案实施完成成后应当由由上述机构构参与的验验收。6.4.2.4 电力二次系系统安全防防护工程由由第三方实实施时，工工程建设单单位必须与与第三方签签署保密

20、协协议。6.4.3 电力二次系系统设备和和应用系统统接入管理理 6.4.3.1 电力二次系系统网络与与信息安全全防护设备备选型应根根据国家电电力行业有有关规定选选择经过国国家有关权权威部门的的测评和认认证的产品品，并须获获得南方电电网公司颁颁发的入网网许可，在在许可的范范围内使用用。 6.4.3.2 在购买网络络与信息安安全防护产产品时，应应在合同中中要求产品品供应商承承诺对其所所提供产品品的安全功功能有效性性负责。 6.4.3.3 新建或改造造的应用系系统接入二二次系统前前，应委托托公正的第第三方测试试单位对系系统进行安安全性测试试，系统安安全测试过过程应详细细记录，并并根据测试试结果，出出

21、具安全性性测试报告告。系统的的责任单位位应指定或或授权相关关部门负责责系统安全全测试管理理，并组织织相关部门门和相关人人员对系统统测试报告告进行审定定。 6.4.3.4 电力二次系系统设备和和应用系统统接入电力力调度数据据网前，其其接入技术术方案和安安全控制措措施须经直直接负责的的电力调度度机构核准准。 6.5 电力二次系系统运维安安全管理 6.5.1 机房环境安安全管理 6.5.1.1 机房应配置置自动监控控设施（包包括机房温温湿度监控控、消防监监控、防水水监控、录录像监控、机机房供配电电系统监控控），监控控设施应能能准确反映映机房物理理环境的变变化情况，具具备记录异异常情况以以及自动报报警

22、功能。 6.5.1.2 机房应配置置电子门禁禁系统，鉴鉴别、控制制和记录进进入机房的的人员。 6.5.1.3 机房安全监监控记录保保存期至少少为三个月月。 6.5.1.4 严禁进入机机房人员携携带易燃、易易爆等危险险品及与工工作无关的的物品（包包括个人手手提包等）。 6.5.1.5 持有进入机机房磁卡的的人员不得得携带其他他无关人员员进入机房房；对经过过检修部负负责人批准准进入机房房的来访人人员，必须须由检修部部指派专人人全程陪同同；机房的的值班人员员应检查来来访者是否否佩带临时时出入证，并并做好来访访人员登记记（增加登登记表）。 6.5.1.6 未经运行维维护部门负负责人批准准，任何人人不得

23、移动动、拆毁和和插接机房房各种用电电设备。6.5.1.7 二次系统防防护中心设设备场所如如通信机房房、DCSS电子间、机机组保护室室、ECSS、NCSS工程师站站、励磁控控制室及信信息中心等等处未经当当值运行值值长同意或或主管部门门同意，并并履行登记记手续不得得入内。进进入后，不不得随意接接触网络设设备，如因因操作不当当，造成严严重后果，需需承担全部部责任。6.5.1.8 全厂重要服服务器及操操作员站的的USB接接口和光驱驱设备必须须拆除或禁禁用。只保保留工程师师站光驱（UUSB口也也拆除或采采取隔离措措施），组组态软件备备份在此站站由光驱刻刻盘完成，除除此之外严严禁采用其其他手段完完成。6.

24、5.1.9 除规定外，严禁任何人使用自带的笔记本电脑连接各系统服务器及操作员站,也禁止通过网上邻居等其它形式对计算机进行软件操作访问。6.5.1.10 所有电子间间、工程师师站门平时时必须锁上上，故障处处理或日常常维护方可可打开。6.5.2 信息资产管管理 6.5.2.1 电力二次系系统信息资资产范围包包括但不限限于： (a) 域名、网络络拓扑结构构、IP 地址及分分配规则、企企业标准编编码。 (b) 投资开发的的（或具有有独立知识识产权的）程程序软件的的源代码、支支持程序软软件、外购购软件的使使用许可证证记录、系系统平台基基础数据等等。 (c) 系统配置数数据、系统统授权信息息、口令文文件、

25、密钥钥及算法文文件、系统统说明文档档、用户手手册等系统统基础数据据。 (d) 各类专业系系统的应用用数据库及及数据文件件、业务报报表等系统统业务数据据。 (e) 各类专业系系统的运行行方案、运运行记录、变变更记录等等系统运行行数据以及及应急计划划。 (f) 各类专业的的规划、方方案与策略略、业务流流程、业务务规范、操操作规程等等管理数据据。 (g) 技术图纸、技技术文档、工工程资料等等项目数据据。 (h) 电力二次系系统其他相相关纸介质质的重要办办公文件（信信件）、图图像、影像像、录音和和照片等非非结构化办办公资料。 (i) 单个员工拥拥有的专家家技能和经经验等隐性性数据。 6.5.2.2 电

26、力二次系系统信息资资产按信息息的敏感度度分为机密密信息、秘秘密信息、对对内公开信信息、对外外公开信息息。信息资资产管理人人员应按资资产的密级级对信息资资产实施访访问控制和和数据的保保护。各类类别资产的的访问控制制要求见附附录 1黑龙江电力二次系统信息资产分类、密级及访问控制表 ；数据保护要求见附录 2黑龙江电力二次系统信息资产的数据保护方式表。 6.5.3 设备安全管管理 6.5.3.1 设备维护人人员应按设设备运维规规程，定期期对设备进进行保养、维维修；对设设备缺陷应应进行分析析，提出反反事故措施施。 6.5.3.2 重要设备发发生故障，应应立即启动动相应的应应急预案，并并按照应急急预案设定

27、定流程操作作。对不能能处理或无无把握处理理的设备故故障，硬件件设备维护护人员应报报运行维护护部门负责责人后再做做处置。 6.5.3.3 硬件设备维维护人员在在对设备进进行维修、变变更作业时时，全程工工作必须有有两人以上上参加，工工作完成后后应及时做做好维修记记录。 6.5.3.4 设备委托外外部单位保保修的，应应签订设备备保修合同同，保修合合同应明确确保修单位位的安全责责任；保修修单位必须须具备相应应的资质和和技术力量量。 6.5.3.5 对需要报废废、拆除、改改为它用或或送出单位位维修的设设备，必须须对其有敏敏感（内部部以上）信信息的存储储部件进行行安全地覆覆盖或物理理销毁，并并进行维修修、

28、报废登登记。 6.5.3.6 对硬件设备备的技术支支持，原则则上不使用用远程登录录方式。 6.5.3.7 二次防护各各相关系统统日常维护护如需进行行操作调整整时，必须须由各系统统设备专责责工程师来来进行，属属于生产控控制大区的的设备操作作调整必须须要办理相相关操作的的工作票，做做好安全措措施和危险险点分析与与控制。执执行过程完完成后，各各系统专责责工程师要要认真、详详细填写操操作纪及操操作人和操操作时间。6.5.4 数据安全管管理 6.5.4.1 运行维护部部门应制定定干熄焦电厂厂电力二次次系统数据据备份与恢恢复策略，策策略包括备备份时间、备备份周期、备备份套数、备备份方式和和恢复方式式以及工

29、作作流程。 6.5.4.2 数据的备份份、恢复必必须指定专专人负责，在在负责备份份、恢复的的主要人员员不在场的的情况下，应应有其他人人能代替工工作。 6.5.4.3 对数据的转转入、转出出、备份、恢恢复等操作作权限只赋赋予指定的的人员。 6.5.4.4 对于重要而而敏感的数数据，在存存储和传送送时应考虑虑进行加密密。 6.5.4.5 备份介质存存放环境空空间必须满满足防窃、防防磁干扰、防防火、防腐腐等要求。 6.5.4.6 系统升级前前，应进行行全备份。 6.5.4.7 对重要数据据应准备两两套以上备备份，其中中异地存放放一份。 6.5.4.8 对二次防护护所涉及的的各系统数数据库应由由各系统

30、设设备专责工工程师进行行定期备份份，应每年年拷贝一次次。备份数数据应不少少于两份，并并分级管理理，由各系系统所属部部门和设备备部各保存存一份，数数据保存应应采用光盘盘，存放在在无强电磁磁干扰、无无高温、清清洁干燥的的两个不同同的地点，分分类保存保保存周期不不少于5年年。6.5.4.9 备份结束后后，在备份份件上正确确标明备份份编号、名名称、备份份时间等内内容；对备备份进行读读出质量检检查，应无无介质损坏坏或不能读读出等现象象发生，备备份的内容容、文件大大小和日期期等应正确确。6.5.5 介质安全管管理 6.5.5.1 介质包括用用于电力二二次系统的的计算机磁磁盘、磁带带、软盘、光光盘、U盘盘等

31、。 6.5.5.2 对介质应按按其所载信信息资产进进行分类和和标识管理理。并根据据信息资产产规定的范范围控制权权限确定介介质的使用用者。 6.5.5.3 使用者要对对介质的物物理实体和和数据内容容负责，使使用后应及及时交还介介质管理员员。 6.5.5.4 介质管理人人员应建立立介质清单单，对介质质的交接、变变更进行记记录，每月月对保管的的介质进行行一次清点点。 6.5.5.5 不能正常记记录数据的的介质，必必须由介质质管理人提提出报废介介质申请，并并经由使用用者所在部部门负责人人提出处理理意见，报报批后需由由双人对报报废介质进进行物理销销毁，并做做好销毁纪纪录。 6.5.5.6 未经过特殊殊清

32、除的介介质，不应应视为空白白介质。 6.5.5.7 未按单位保保密规定进进行审批，含含有内容的的介质不得得外借。不不得挪出机机房或办公公地点。6.5.5.8 各系统备份份存储介质质必须是本本计算机控控制系统专专用存储介介质，不允允许与其它它计算机系系统交换使使用，存储储介质必须须由专人妥妥善保管。6.5.6 网络安全管管理 6.5.6.1 网络管理员员负责日常常网络的运运行维护管管理。系统统安全审计计员负责对对网络设备备的登录和和操作进行行审计。 6.5.6.2 电力二次系系统生产控控制大区局局域网与管管理信息大大区局域网网的互联边边界应部署署电力专用用隔离装置置。 6.5.6.3 电力调度数

33、数据网是电电力二次系系统生产控控制大区专专用的广域域数据网络络，应在物物理层面上上实现与企企业其它数数据网及外外部公共信信息网的安安全隔离。 6.5.6.4 网络设备的的口令设置置和管理应应满足本规规定关于账账户、口令令和权限管管理的要求求。 6.5.6.5 网络管理员员应根据厂厂家提供的的软件升级级版本和实实际需要对对网络设备备软件进行行更新。 6.5.6.6 网络拓扑、网网络参数、网网络路由、网网络安全过过滤规则的的变更应当当得到检修修部负责人人的批准，由由网络管理理员具体负负责实施或或监督实施施。 6.5.6.7 网络设备软软件升级或或参数变更更前，必须须对运行的的配置进行行备份。 6.

34、5.6.8 调度数据网网络的网管管应使用调调度数据网网的网管专专用VPNN，网管专专用网络不不得与其它它网络互联联。 6.5.6.9 网络管理员员应对网络络拓扑、网网络流量、网网络设备CCPU和内内存的负载载率、告警警信息等进进行均时监监控，每周周形成报表表。 6.5.6.10 当发生网络络拥塞或网网络瘫痪等等重大安全全事件时，运运行维护部部门应立即即启动应急急处理程序序进行处置置。并向相相应调度机机构安全组组织和上级级安全主管管部门报告告。 6.5.6.11 电力二次系系统网络设设备禁止采采用远程拨拨号接入方方式进行设设备远程维维护。6.5.7 电力专用安安全防护设设备管理 6.5.7.1

35、电力专用安安全设备运运行维护部部门安全管管理员负责责运行维护护。 6.5.7.2 电力专用安安全防护设设备应使用用操作员卡卡登录，操操作员卡必必须由专人人保管。6.5.7.3 电力专用安安全防护设设备操作员员卡不得使使用缺省或或者容易猜猜测的PIIN码，必必须采用 6 位 PIN码码。PINN码由非纯纯数字或字字母组成。 6.5.7.4 二次系统与与调度数据据网边界的的纵向加密密认证装置置安全策略略的配置和和变更必须须报请相应应调度机构构审核，经经批准后方方可实施。 6.5.7.5 设备变更前前后均必须须对其配置置信息进行行备份。 6.5.8 调度数字证证书系统安安全管理 6.5.8.1 中调

36、自动化化部负责直直调电厂数数字证书的的签发和管管理。调度度数字证书书系统的运运行维护部部门应指定定专人负责责调度数字字证书的审审核、签发发、发放及及备案。 6.5.8.2 电力调度数数字证书的的生成、发发放、管理理以及密钥钥的生成、管管理必须脱脱离网络，独独立运行。 6.5.8.3 调度数字证证书系统在在非使用状状态时，加加密卡的读读卡器、管管理人员的的智能卡电电子钥匙等等都必须置置于金属保保险箱中保保存，并由由专人负责责，保险箱箱的钥匙与与密码必须须分人保管管。 6.5.9 防火墙安全全管理 6.5.9.1 防火墙由检检修部安全全管理员负负责运行维维护，由检检修部安全全审计员负负责运行日日志

37、审计。 6.5.9.2 防火墙的口口令设置和和管理应满满足本规定定关于账户户、口令和和权限管理理的要求。 6.5.9.3 在防火墙上上禁止开通通 tellnet、fftp、hhttp等等高风险服服务。 6.5.9.4 防火墙设备备应启用抗抗攻击和端端口扫描等等功能。 6.5.9.5 防火墙的部部署不得出出现网络旁旁路现象，以以保证安全全策略的有有效性。 6.5.9.6 跟踪厂家发发布的防火火墙补丁程程序，及时时修补防火火墙操作系系统的漏洞洞，并做好好升级记录录。 6.5.9.7 厂内防火墙墙安全策略略及路由的的配置和变变更必须报报请相应调调度机构审审核，经批批准后方可可实施。 6.5.9.8

38、防火墙配置置变更前后后均必须对对其配置信信息进行备备份。 6.5.9.9 系统安全管管理员对防防火墙的告告警信息应应动态跟踪踪处理，发发现安全事事件应立即即启动应急急处理程序序。 6.5.10 操作系统安安全管理 6.5.10.1 操作系统安安全管理的的主要责任任人是系统统管理员。 6.5.10.2 操作系统口口令设置和和管理应满满足本规定定关于账户户、口令和和权限管理理的要求。 6.5.10.3 操作系统应应遵循最小小安装的原原则，仅安安装需要的的组件。 6.5.10.4 按照最小授授权原则，分分别授予不不同角色用用户权限。 6.5.10.5 跟踪系统厂厂商发布的的安全补丁丁；及时修修补系统

39、安安全漏洞。 6.5.10.6 关闭非必要要的服务，设设置关键配配置文件的的访问权限限，开启系系统的日志志审计功能能。 6.5.10.7 限制管理员员权限使用用，一般操操作中，尽尽量采用一一般权限用用户，仅在在必要时切切换至管理理员账号进进行操作。 6.5.10.8 及时删除多多余的、过过期的账户户，避免共共享账户的的存在。 6.5.11 数据库安全全管理 6.5.11.1 数据库由数数据库管理理员负责安安全管理，由由检修部安安全审计员员负责运行行日志审计计。 6.5.11.2 数据库环境境安全配置置应满足以以下要求： (a) 数据库服务务器应当置置于单独的的服务器区区域，其他他区域对这这些数

40、据库库服务器的的物理访问问均应受到到控制。 (b) 数据库服务务器所在的的服务器区区域边界应应部署防火火墙或其它它逻辑隔离离设施。 (c) 数据库系统统的宿主操操作系统除除提供数据据库服务外外，不得提提供其它网网络服务，如如：WWWW、FTPP、DNSS等。 (d) 应在宿主操操作系统中中设置本地地数据库专专用账户，并并授予该账账户除了运运行各种数数据库服务务外的最低低权限。 (e) 应对数据库库系统安装装目录及相相应文件访访问权限进进行控制，如如：禁止除除专用账户户外的其它它账户修改改、删除、创创建子目录录或文件。 6.5.11.3 数据库系统统安装、启启动与更新新应满足以以下要求： (a)

41、 生产数据库库系统应与与开发数据据库系统物物理分离。 (b) 仅开启必要要的数据库库系统服务务。 (c) 启用数据库库日志审计计功能。 6.5.11.4 数据库账户户口令设置置和管理应应满足本规规定关于账账户、口令令和权限管管理的要求求。 数据库对象象安全应满满足以下要要求： (a) 应当对数据据文件访问问权限进行行控制，如如：禁止除除专用账户户外的其它它账户访问问、修改、删删除数据文文件。 (b) 删除不需要要的示例数数据库，对对允许存在在的示例数数据库应控控制数据库库账户的权权限。 (c) 应删除或禁禁用不需要要的数据库库存储过程程。 (d) 对于数据库库中的敏感感字段，如如：口令等等，应

42、加密密保存。 6.5.12 应用系统安安全管理 6.5.12.1 应用系统安安全管理的的主要责任任人是应用用系统管理理员。 6.5.12.2 依据最小化化原则对用用户赋予适适当的权限限。 6.5.12.3 对应用系统统应进行数数据输入的的合法性和和参数配置置的正确性性检验。 6.5.12.4 应用系统源源代码应保保存在专用用的开发系系统中，不不应与运行行系统同机机存放。 6.5.12.5 发现应用系系统的安全全漏洞应及及时修复。 6.5.13 病毒、恶意意代码防护护管理 6.5.13.1 设专人负责责二次系统统的病毒、恶恶意代码防防护管理。6.5.13.2 防病毒责任任人应及时时更新毒特特征码

43、，每每日查看防防病毒系统统的告警信信息，跟踪踪防病毒信信息，对防防病毒系统统运行日志志进行统计计和分析。 6.5.13.3 对生产控制制大区防病病毒系统应应采用专用用 U 盘盘进行病毒毒特征码的的离线更新新。更新前前必须对病病毒特征码码进行测试试，确保其其代码无误误后，方可可更新。 6.5.13.4 当有计算机机设备、应应用系统、移移动存贮介介质需要接接入电力二二次系统时时，必须经经过病毒检检测。 6.5.13.5 当发现连接接调度数据据网的计算算机设备带带有通过调调度数据网网传播的病病毒时，应应立即断开开该带毒机机器，并立立即向相应应调度机构构报告。 6.5.13.6 未清除病毒毒的计算机机

44、不得接入入电力二次次系统网络络。 6.5.14 补丁安全管管理 6.5.14.1 系统安全员员负责跟进进安全漏洞洞信息和产产品厂商发发布的安全全补丁信息息。 6.5.14.2 补丁必须由由产品厂商商直接提供供，通过正正规渠道获获取。 6.5.14.3 补丁加载前前必须经过过严格的测测试，并做做好重要文文件（系统统配置、系系统用户数数据等）备备份工作，严严禁未经测测试直接在在运行的系系统上加载载补丁。 6.5.14.4 补丁加载必必须安排在在业务比较较空闲的时时间进行，对对补丁加载载的操作过过程必须详详细记录。 6.5.14.5 对核心业务务主机的补补丁加载，应应要求厂商商工程师现现场支持。 6

45、.5.14.6 补丁加载后后的一周内内，必须对对系统性能能和事件进进行密切的的监控，确确保补丁加加载后不影影响系统的的性能和正正常运行。 6.5.15 账户和口令令管理 6.5.15.1 操作系统、数数据库系统统、安全设设备、网络络设备、中中间件、业业务应用系系统及其他他设备的管管理员账号号口令长度度至少设置置为8 位，口令令必须从字字符（a-z， AA-Z）、数数字（0-9）、符符号（!#$%&*()_）中至少少选择两种种进行组合合设置。 6.5.15.2 操作系统、数数据库系统统、安全设设备、网络络设备、中中间件、业业务应用系系统及其他他设备的普普通用户账账号口令长长度至少设设置为6 位，

46、由由非纯数字字或字母组组成，不得得使用容易易猜测的口口令。 6.5.15.3 操作系统、数数据库系统统、安全设设备、网络络设备、中中间件、应应用系统及及其他设备备的普通用用户账号和和管理员账账号不得使使用缺省口口令，应确确保普通用用户账号和和管理员账账号口令不不同。 6.5.15.4 数据库管理理员账号不不得与操作作系统管理理员账号相相同，应用用系统连接接数据库系系统的账号号不得与数数据库管理理员账号相相同。 6.5.15.5 系统账号的的口令必须须以加密形形式显示，同同时，最小小口令长度度、修改口口令的时间间间隔、口口令的唯一一性、口令令过期失效效后的宽限限使用次数数必须严格格限制。 6.5.15.6 操作系统和和数据库系系统初始安安装完毕后后，必须更更改系统安安装时默认认的管理员员账户和具具有特殊权权限账户的的口令，关关闭不必使使用的账号号。 6.5.15.7 网络设备、安