光伏电站新能源场站电力监控系统安全防护总体方案培训资料(doc 87页)

目录
*****电站新能源场站电力监控系统 1
安全防护总体方案 1
1.概述 13
2.适用范围 14
3.方案依据 14
4.总体目标 14
5.防护原则 15
5.1安全分区 15
5.2网络专用 15
5.3横向隔离 15
5.4纵向认证 16
5.5综合防护 16
6.电力监控系统基本情况介绍 16
6.1监控系统 16
6.2 系统性能指标 17
6.2.2 设备技术要求 18
6.4.5系统功能要求 22
7.总体安全防护措施 28
7.1安全区划分 28
7.1.1控制区（安全区I） 29
7.1.2非控制区（安全区II） 31
7.1.3管理信息大区 32
7.2安全区边界防护 32
7.2.1生产控制大区和管理信息大区边界安全防护 32
7.2.2安全区I与安全区II边界安全防护 32
7.2.3系统间安全防护 32
7.2.4纵向边界防护 33
7.2.5横向隔离 33
7.2.6管理信息大区与外部网络之间边界防护 33
7.2.7第三方边界安全防护 34
8.技术防护措施 34
8.1入侵检测 34
8.2主机设备加固 34
8.3安全审计 35
8.4专用安全产品的管理 35
8.5备用与容灾 36
8.6恶意代码防范 36
8.7设备选型及漏洞整改 37
9.管理安全措施 37
9.1安全管理制度 38
9.2安全管理机构 38
9.3人员安全管理 39
9.4系统建设管理 39
9.5系统运维管理 40
10.应急保障措施 41
10.1应急指挥机构 41
10.2安全应急预案 42
10.3应急响应与处置 42
10.4应急培训与演练 43
附件目录 44
附件一：*****电站系统网络拓扑结构图 44
附件二：*****电站系统资产清单 44
附件三：*****电站系统安全产品清单 44
附件四：*****电站系统安全产品资质证明 44
附件五：《保密协议》 44
附件六：《外来人员访问管理规定》 44
附件七：《信息安全培训管理规范》 44
附件八：《*****电站新能源场站机房管理规定》 44
附件九：《*****电站新能源场站设备及系统安全维护管理规范》 44
附件十：《*****电站新能源场站存储介质管理规范》 44
附件十一：《*****电站新能源场站恶意代码防护管理规范》 44
附件十二：《*****电站新能源场站数据及系统备份管理规范》 45
附件十三：《*****电站新能源场站系统用户及密码安全管理规范》 45
附件十四：《*****电站新能源场站电力监控系统信息安全应急预案》 45
附件四： 51
*****电站系统安全产品资质证明 51
第一章 总则 57
第二章 出入管理 57
第三章 工作管理 58
第三章 环境卫生 59
第四章 附则 60
信息安全培训管理规定 65
二〇一七年九月二十一日 66
目   录 67
一章 总则 68
第二章 值班管理 68
第三章 机房环境卫生 69
第四章 机房出入与门禁管理 70
第五章 机房设备管理 70
第六章 开发安装调试管理 71
第七章 附则 71
附件九： 75
*****电站新能源场站设备及系统安全维护管理规范 75
第一章 职责分工 76
第二章 值班与巡视 77
第三章 事件处置与报告 78
第四章 预警与应急 80
第五章 日常运维 81
第六章 安全检查与重大活动保障 82
第七章 运行评价 83
第八章 附    则 84
1. 告警（事件）描述 87
2. 告警（事件）原因分析 87
3. 告警（事件）处理情况 87
4. 后续防范措施 87
附件十： 91
*****电站新能源场站存储介质管理规范 91
附件十一： 98
*****电站新能源场站恶意代码防护管理规范 98
附件十二： 99
附件十三： 104
*****电站新能源场站系统用户及密码安全管理规范 104
附件十四： 106
*****电站新能源场站电力监控系统信息安全应急预案 106
1. 总则 106
1.1 编制目的 106
1.2 编制依据 106
1.3 适用范围 106
2. 事件特征 106
2.1 计算机感染病毒 107
2.2 黑客入侵 107
2.3 调度数据网与其它网络互联 107
2.4 事件分级 107
3. 应急组织及职责 108
4. 应急处置 109
4.1 应急处置程序 109
4.2 应急处置措施 111
4.2.6 事件记录与分析 113
4.3 应急结束 113
4.4 事件报告 114
5. 注意事项 114
6. 附件 115
6.1 有关应急部门、机构或人员的联系方式 115
6.2 应急相关文件 115
附录：电力电力监控系统安全防护应急处置子方案 116
1. 计算机感染病毒应急处置方案 116
1.1 系统网络流量异常、部分应用响应缓慢(Ⅰ级）: 启用网络实时监视工具对网络流量进行分析；利用实时抓包工具对网络报文进行分析；查看安全产品日志；对系统进程和服务监视分析。利用各种数据进行综合分析判断，从而及时定位并解除故障。 116
1.2 主站侧某台主机网络流量异常、系统应用响应缓慢，怀疑受到病毒感染(Ⅰ级）: 立即断开本机网络，查看此主机是否存在病毒告警信息，利用杀毒软件对主机进行全面扫描及病毒查杀，针对操作系统漏洞为系统打补丁，故障排除后恢复网络连接。注意在为系统打补丁之前作好系统备份。 116
1.3 分站侧某台主机确定遭受病毒感染(Ⅰ级）: 立即断开本机网络，断开本节点与调度数据网连接，事件上报，故障排除后恢复网络连接。 116
1.4 某台主机确定受到病毒感染，或遭受恶意代码攻击(Ⅱ级）: 立即断开本机网络，分析病毒/攻击源，发现病毒/攻击源后，断开传染/攻击源，查杀病毒/攻击源，恢复设备正常工作，事件上报。 116
1.5 应用系统局域网内多台主机确定受到病毒感染，或遭受恶意代码攻击(Ⅱ级）: 立即断开与其它网络的全部连接，启用备用调度系统。分析病毒/攻击源，发现病毒/攻击源后，断开传染/攻击源，查杀病毒/攻击源，恢复设备正常工作，事件上报。 116
2. 其它应用系统应急处置方案 116
2.1 应用系统局域网网络流量异常、部分应用响应缓慢(Ⅰ级）: 启用网络实时监视工具；对安全产品日志进行分析；对系统进程监视分析。 116
2.2 某台主机网络流量异常、系统应用响应缓慢，怀疑受到病毒感染(Ⅰ级）: 立即断开本机网络，分析异常现象，故障排除后恢复网络连接。 117
2.3 应用系统局域网内一台或多台主机确定受到病毒感染，或遭受恶意代码攻击(Ⅱ级）: 立即断开该局域网与其它网络的全部连接，分析病毒/攻击源，发现病毒/攻击源后，断开传染/攻击源，查杀病毒/攻击源，恢复设备正常工作，事件上报。 117
2.4 重要应用网站被黑客入侵，页面被恶意篡改(Ⅱ级）,立即对网站进行恢复处理，并对操作系统进行安全加固，修改用户账号和口令，作好事件处理记录并进行事件上报。 117
3. 调度数据网络应急处置方案 117
3.1 广域网络边界流量异常(Ⅰ级）: 启用网络实时监视工具；对安全产品（纵向加密认证装置）日志进行分析；对系统进程监视分析。 117
3.2 某网络节点确定受到病毒或遭受恶意代码攻击(Ⅰ级）: 立即断开该节点广域网络边界，检查网络其它节点相关设备，事件上报。 117
3.3 确定网络遭受大面积病毒感染或恶意代码攻击(Ⅱ级）: 立即停用整个网络，断开全部网络应用。检查各网络节点相关设备，利用专杀病毒软件对其查杀处理，安装各种系统补丁，堵塞安全漏洞，注意保护、记录攻击痕迹，便于事后处理，事件上报。 117
3.4 确定网络设备遭到黑客入侵，对配置参数等进行修改，造成网络中断(Ⅱ级）: 立即利用备份配置对设备进行恢复，修改各级登录口令，寻找不安全接入点，加强安全管理。作好故障处理记录并及时进行事件上报。 117