【文章內(nèi)容簡(jiǎn)介】 做好維修記錄。 設(shè)備委托外部單位保修的，應(yīng)簽訂設(shè)備保修合同，保修合同應(yīng)明確保修單位的安全責(zé)任；保修單位必須具備相應(yīng)的資質(zhì)和技術(shù)力量。 對(duì)需要報(bào)廢、拆除、改為它用或送出單位維修的設(shè)備，必須對(duì)其有敏感（內(nèi)部以上）信息的存儲(chǔ)部件進(jìn)行安全地覆蓋或物理銷毀，并進(jìn)行維修、報(bào)廢登記。 對(duì)硬件設(shè)備的技術(shù)支持，原則上不使用遠(yuǎn)程登錄方式。 二次防護(hù)各相關(guān)系統(tǒng)日常維護(hù)如需進(jìn)行操作調(diào)整時(shí)，必須由各系統(tǒng)設(shè)備專責(zé)工程師來(lái)進(jìn)行，屬于生產(chǎn)控制大區(qū)的設(shè)備操作調(diào)整必須要辦理相關(guān)操作的工作票，做好安全措施和危險(xiǎn)點(diǎn)分析與控制。執(zhí)行過(guò)程完成后，各系統(tǒng)專責(zé)工程師要認(rèn)真、詳細(xì)填寫操作紀(jì)及操作人和操作時(shí)間。 數(shù)據(jù)安全管理 運(yùn)行維護(hù)部門應(yīng)制定干熄焦電廠電力二次系統(tǒng)數(shù)據(jù)備份與恢復(fù)策略，策略包括備份時(shí)間、備份周期、備份套數(shù)、備份方式和恢復(fù)方式以及工作流程。 數(shù)據(jù)的備份、恢復(fù)必須指定專人負(fù)責(zé)，在負(fù)責(zé)備份、恢復(fù)的主要人員不在場(chǎng)的情況下，應(yīng)有其他人能代替工作。 對(duì)數(shù)據(jù)的轉(zhuǎn)入、轉(zhuǎn)出、備份、恢復(fù)等操作權(quán)限只賦予指定的人員。 對(duì)于重要而敏感的數(shù)據(jù)，在存儲(chǔ)和傳送時(shí)應(yīng)考慮進(jìn)行加密。 備份介質(zhì)存放環(huán)境空間必須滿足防竊、防磁干擾、防火、防腐等要求。 系統(tǒng)升級(jí)前，應(yīng)進(jìn)行全備份。 對(duì)重要數(shù)據(jù)應(yīng)準(zhǔn)備兩套以上備份，其中異地存放一份。 對(duì)二次防護(hù)所涉及的各系統(tǒng)數(shù)據(jù)庫(kù)應(yīng)由各系統(tǒng)設(shè)備專責(zé)工程師進(jìn)行定期備份，應(yīng)每年拷貝一次。備份數(shù)據(jù)應(yīng)不少于兩份，并分級(jí)管理，由各系統(tǒng)所屬部門和設(shè)備部各保存一份，數(shù)據(jù)保存應(yīng)采用光盤，存放在無(wú)強(qiáng)電磁干擾、無(wú)高溫、清潔干燥的兩個(gè)不同的地點(diǎn)，分類保存保存周期不少于5年。 備份結(jié)束后，在備份件上正確標(biāo)明備份編號(hào)、名稱、備份時(shí)間等內(nèi)容；對(duì)備份進(jìn)行讀出質(zhì)量檢查，應(yīng)無(wú)介質(zhì)損壞或不能讀出等現(xiàn)象發(fā)生，備份的內(nèi)容、文件大小和日期等應(yīng)正確。 介質(zhì)安全管理 介質(zhì)包括用于電力二次系統(tǒng)的計(jì)算機(jī)磁盤、磁帶、軟盤、光盤、U盤等。 對(duì)介質(zhì)應(yīng)按其所載信息資產(chǎn)進(jìn)行分類和標(biāo)識(shí)管理。并根據(jù)信息資產(chǎn)規(guī)定的范圍控制權(quán)限確定介質(zhì)的使用者。 使用者要對(duì)介質(zhì)的物理實(shí)體和數(shù)據(jù)內(nèi)容負(fù)責(zé)，使用后應(yīng)及時(shí)交還介質(zhì)管理員。 介質(zhì)管理人員應(yīng)建立介質(zhì)清單，對(duì)介質(zhì)的交接、變更進(jìn)行記錄，每月對(duì)保管的介質(zhì)進(jìn)行一次清點(diǎn)。 不能正常記錄數(shù)據(jù)的介質(zhì)，必須由介質(zhì)管理人提出報(bào)廢介質(zhì)申請(qǐng)，并經(jīng)由使用者所在部門負(fù)責(zé)人提出處理意見(jiàn)，報(bào)批后需由雙人對(duì)報(bào)廢介質(zhì)進(jìn)行物理銷毀，并做好銷毀紀(jì)錄。 未經(jīng)過(guò)特殊清除的介質(zhì)，不應(yīng)視為空白介質(zhì)。 未按單位保密規(guī)定進(jìn)行審批，含有內(nèi)容的介質(zhì)不得外借。不得挪出機(jī)房或辦公地點(diǎn)。 各系統(tǒng)備份存儲(chǔ)介質(zhì)必須是本計(jì)算機(jī)控制系統(tǒng)專用存儲(chǔ)介質(zhì)，不允許與其它計(jì)算機(jī)系統(tǒng)交換使用，存儲(chǔ)介質(zhì)必須由專人妥善保管。 網(wǎng)絡(luò)安全管理 網(wǎng)絡(luò)管理員負(fù)責(zé)日常網(wǎng)絡(luò)的運(yùn)行維護(hù)管理。系統(tǒng)安全審計(jì)員負(fù)責(zé)對(duì)網(wǎng)絡(luò)設(shè)備的登錄和操作進(jìn)行審計(jì)。 電力二次系統(tǒng)生產(chǎn)控制大區(qū)局域網(wǎng)與管理信息大區(qū)局域網(wǎng)的互聯(lián)邊界應(yīng)部署電力專用隔離裝置。 電力調(diào)度數(shù)據(jù)網(wǎng)是電力二次系統(tǒng)生產(chǎn)控制大區(qū)專用的廣域數(shù)據(jù)網(wǎng)絡(luò)，應(yīng)在物理層面上實(shí)現(xiàn)與企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。 網(wǎng)絡(luò)設(shè)備的口令設(shè)置和管理應(yīng)滿足本規(guī)定關(guān)于賬戶、口令和權(quán)限管理的要求。 網(wǎng)絡(luò)管理員應(yīng)根據(jù)廠家提供的軟件升級(jí)版本和實(shí)際需要對(duì)網(wǎng)絡(luò)設(shè)備軟件進(jìn)行更新。 網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)參數(shù)、網(wǎng)絡(luò)路由、網(wǎng)絡(luò)安全過(guò)濾規(guī)則的變更應(yīng)當(dāng)?shù)玫綑z修部負(fù)責(zé)人的批準(zhǔn)，由網(wǎng)絡(luò)管理員具體負(fù)責(zé)實(shí)施或監(jiān)督實(shí)施。 網(wǎng)絡(luò)設(shè)備軟件升級(jí)或參數(shù)變更前，必須對(duì)運(yùn)行的配置進(jìn)行備份。 調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)管應(yīng)使用調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)管專用VPN，網(wǎng)管專用網(wǎng)絡(luò)不得與其它網(wǎng)絡(luò)互聯(lián)。 網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)設(shè)備CPU和內(nèi)存的負(fù)載率、告警信息等進(jìn)行均時(shí)監(jiān)控，每周形成報(bào)表。 當(dāng)發(fā)生網(wǎng)絡(luò)擁塞或網(wǎng)絡(luò)癱瘓等重大安全事件時(shí)，運(yùn)行維護(hù)部門應(yīng)立即啟動(dòng)應(yīng)急處理程序進(jìn)行處置。并向相應(yīng)調(diào)度機(jī)構(gòu)安全組織和上級(jí)安全主管部門報(bào)告。 電力二次系統(tǒng)網(wǎng)絡(luò)設(shè)備禁止采用遠(yuǎn)程撥號(hào)接入方式進(jìn)行設(shè)備遠(yuǎn)程維護(hù)。 電力專用安全防護(hù)設(shè)備管理 電力專用安全設(shè)備運(yùn)行維護(hù)部門安全管理員負(fù)責(zé)運(yùn)行維護(hù)。 電力專用安全防護(hù)設(shè)備應(yīng)使用操作員卡登錄，操作員卡必須由專人保管。 電力專用安全防護(hù)設(shè)備操作員卡不得使用缺省或者容易猜測(cè)的PIN碼，必須采用 6 位 PIN碼。PIN碼由非純數(shù)字或字母組成。 二次系統(tǒng)與調(diào)度數(shù)據(jù)網(wǎng)邊界的縱向加密認(rèn)證裝置安全策略的配置和變更必須報(bào)請(qǐng)相應(yīng)調(diào)度機(jī)構(gòu)審核，經(jīng)批準(zhǔn)后方可實(shí)施。 設(shè)備變更前后均必須對(duì)其配置信息進(jìn)行備份。 調(diào)度數(shù)字證書系統(tǒng)安全管理 中調(diào)自動(dòng)化部負(fù)責(zé)直調(diào)電廠數(shù)字證書的簽發(fā)和管理。調(diào)度數(shù)字證書系統(tǒng)的運(yùn)行維護(hù)部門應(yīng)指定專人負(fù)責(zé)調(diào)度數(shù)字證書的審核、簽發(fā)、發(fā)放及備案。 電力調(diào)度數(shù)字證書的生成、發(fā)放、管理以及密鑰的生成、管理必須脫離網(wǎng)絡(luò)，獨(dú)立運(yùn)行。 調(diào)度數(shù)字證書系統(tǒng)在非使用狀態(tài)時(shí)，加密卡的讀卡器、管理人員的智能卡電子鑰匙等都必須置于金屬保險(xiǎn)箱中保存，并由專人負(fù)責(zé)，保險(xiǎn)箱的鑰匙與密碼必須分人保管。 防火墻安全管理 防火墻由檢修部安全管理員負(fù)責(zé)運(yùn)行維護(hù)，由檢修部安全審計(jì)員負(fù)責(zé)運(yùn)行日志審計(jì)。 防火墻的口令設(shè)置和管理應(yīng)滿足本規(guī)定關(guān)于賬戶、口令和權(quán)限管理的要求。 在防火墻上禁止開(kāi)通 telnet、ftp、等高風(fēng)險(xiǎn)服務(wù)。 防火墻設(shè)備應(yīng)啟用抗攻擊和端口掃描等功能。 防火墻的部署不得出現(xiàn)網(wǎng)絡(luò)旁路現(xiàn)象，以保證安全策略的有效性。 跟蹤廠家發(fā)布的防火墻補(bǔ)丁程序，及時(shí)修補(bǔ)防火墻操作系統(tǒng)的漏洞，并做好升級(jí)記錄。 廠內(nèi)防火墻安全策略及路由的配置和變更必須報(bào)請(qǐng)相應(yīng)調(diào)度機(jī)構(gòu)審核，經(jīng)批準(zhǔn)后方可實(shí)施。 防火墻配置變更前后均必須對(duì)其配置信息進(jìn)行備份。 系統(tǒng)安全管理員對(duì)防火墻的告警信息應(yīng)動(dòng)態(tài)跟蹤處理，發(fā)現(xiàn)安全事件應(yīng)立即啟動(dòng)應(yīng)急處理程序。 操作系統(tǒng)安全管理 操作系統(tǒng)安全管理的主要責(zé)任人是系統(tǒng)管理員。 操作系統(tǒng)口令設(shè)置和管理應(yīng)滿足本規(guī)定關(guān)于賬戶、口令和權(quán)限管理的要求。 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件。 按照最小授權(quán)原則，分別授予不同角色用戶權(quán)限。 跟蹤系統(tǒng)廠商發(fā)布的安全補(bǔ)丁；及時(shí)修補(bǔ)系統(tǒng)安全漏洞。 關(guān)閉非必要的服務(wù)，設(shè)置關(guān)鍵配置文件的訪問(wèn)權(quán)限，開(kāi)啟系統(tǒng)的日志審計(jì)功能。 限制管理員權(quán)限使用，一般操作中，盡量采用一般權(quán)限用戶，僅在必要時(shí)切換至管理員賬號(hào)進(jìn)行操作。 及時(shí)刪除多余的、過(guò)期的賬戶，避免共享賬戶的存在。 數(shù)據(jù)庫(kù)安全管理 數(shù)據(jù)庫(kù)由數(shù)據(jù)庫(kù)管理員負(fù)責(zé)安全管理，由檢修部安全審計(jì)員負(fù)責(zé)運(yùn)行日志審計(jì)。 數(shù)據(jù)庫(kù)環(huán)境安全配置應(yīng)滿足以下要求： (a) 數(shù)據(jù)庫(kù)服務(wù)器應(yīng)當(dāng)置于單獨(dú)的服務(wù)器區(qū)域，其他區(qū)域?qū)@些數(shù)據(jù)庫(kù)服務(wù)器的物理訪問(wèn)均應(yīng)受到控制。 (b) 數(shù)據(jù)庫(kù)服務(wù)器所在的服務(wù)器區(qū)域邊界應(yīng)部署防火墻或其它邏輯隔離設(shè)施。 (c) 數(shù)據(jù)庫(kù)系統(tǒng)的宿主操作系統(tǒng)除提供數(shù)據(jù)庫(kù)服務(wù)外，不得提供其它網(wǎng)絡(luò)服務(wù)，如：WWW、FTP、DNS等。 (d) 應(yīng)在宿主操作系統(tǒng)中設(shè)置本地?cái)?shù)據(jù)庫(kù)專用賬戶，并授予該賬戶除了運(yùn)行各種數(shù)據(jù)庫(kù)服務(wù)外的最低權(quán)限。 (e) 應(yīng)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)安裝目錄及相應(yīng)文件訪問(wèn)權(quán)限進(jìn)行控制，如：禁止除專用賬戶外的其它賬戶修改、刪除、創(chuàng)建子目錄或文件。 數(shù)據(jù)庫(kù)系統(tǒng)安裝、啟動(dòng)與更新應(yīng)滿足以下要求： (a) 生產(chǎn)數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)與開(kāi)發(fā)數(shù)據(jù)庫(kù)系統(tǒng)物理分離。 (b) 僅開(kāi)啟必要的數(shù)據(jù)庫(kù)系統(tǒng)服務(wù)。 (c) 啟用數(shù)據(jù)庫(kù)日志審計(jì)功能。 數(shù)據(jù)庫(kù)賬戶口令設(shè)置和管理應(yīng)滿足本規(guī)定關(guān)于賬戶、口令和權(quán)限管理的要求。 數(shù)據(jù)庫(kù)對(duì)象安全應(yīng)滿足以下要求： (a) 應(yīng)當(dāng)對(duì)數(shù)據(jù)文件訪問(wèn)權(quán)限進(jìn)行控制，如：禁止除專用賬戶外的其它賬戶訪問(wèn)、修改、刪除數(shù)據(jù)文件。 (b) 刪除不需要的示例數(shù)據(jù)庫(kù)，對(duì)允許存在的示例數(shù)據(jù)庫(kù)應(yīng)控制數(shù)據(jù)庫(kù)賬戶的權(quán)限。 (c) 應(yīng)刪除或禁用不需要的數(shù)據(jù)庫(kù)存儲(chǔ)過(guò)程。 (d) 對(duì)于數(shù)據(jù)庫(kù)中的敏感字段，如：口令等，應(yīng)加密保存。 應(yīng)用系統(tǒng)安全管理