【正文】 全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù) 6 據(jù)傳輸途徑。專用橫向單向隔離裝置應(yīng)該滿足實(shí)時(shí)性、可靠性和傳輸流量等方面的要求。 控制區(qū)與非控制區(qū)之間應(yīng)采用國(guó)產(chǎn)硬件防火墻、具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進(jìn)行邏輯隔離。采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。暫時(shí)不具備條件的可以采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問控制技術(shù)臨時(shí)代替。 縱向加密認(rèn)證裝置及加密認(rèn)證網(wǎng)關(guān)用于生產(chǎn)控制大區(qū)的廣域網(wǎng)邊界防護(hù)。加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證裝置的全部功能外，還應(yīng)實(shí)現(xiàn)對(duì)電力系統(tǒng)數(shù)據(jù)通信應(yīng)用層協(xié)議及報(bào)文的處理功能。 重點(diǎn)防護(hù)的調(diào)度中心和重要廠站兩側(cè)均應(yīng)配置縱向加密認(rèn)證裝置；當(dāng)調(diào)度中心側(cè)已配置縱向加密認(rèn)證裝置時(shí)，與其相連的小型廠站側(cè)可以不配備該裝置，此時(shí)至少實(shí)現(xiàn)安全過(guò)濾功能。 其他安全措施 本電站生產(chǎn)區(qū)域內(nèi)的計(jì)算機(jī)信息系統(tǒng)，要與 Inter 網(wǎng)分開，并建立計(jì)算機(jī)病毒防火墻，對(duì)服務(wù)器，要采用 先進(jìn)的網(wǎng)絡(luò)防計(jì)算機(jī)病毒軟件，并對(duì)經(jīng)過(guò)服務(wù)器的信息進(jìn)行監(jiān)控，防止計(jì)算機(jī)病毒通過(guò)郵件服務(wù)器擴(kuò)散、傳播。經(jīng)常更新與升級(jí)防殺計(jì)算機(jī)病毒軟件的版本。當(dāng)出現(xiàn)計(jì)算機(jī)病毒傳染跡象時(shí)，立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)并進(jìn)行處理，不應(yīng)帶“毒”繼續(xù)運(yùn)行；發(fā)現(xiàn)計(jì)算機(jī)病毒后，一般應(yīng)利用防殺計(jì)算機(jī)病毒軟件清除文件中的計(jì)算機(jī)病毒，對(duì)于殺毒軟件無(wú)法殺除的計(jì)算機(jī)病毒，應(yīng)及時(shí)請(qǐng)專業(yè)人員解決。系統(tǒng)中的程序要定期進(jìn)行比較測(cè)試和檢查。 8 操作系統(tǒng)安全是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)，而服務(wù)器上的業(yè)務(wù)數(shù)據(jù)又是被攻擊的最終目標(biāo)，因此，加強(qiáng)對(duì)關(guān)鍵服務(wù)器的安全控制，是增強(qiáng)系統(tǒng)總體安全性的核心一環(huán)。 當(dāng)系統(tǒng)發(fā)生入侵行為或者違反安全策略的操作時(shí)， Snumen 利用自身功能對(duì)用戶（程序）在網(wǎng)絡(luò)層和系統(tǒng)內(nèi)部對(duì)該用戶（程序）進(jìn)行阻斷，并且由系統(tǒng)向管理員進(jìn)行報(bào)警。當(dāng)有違反安全規(guī)則的情況出現(xiàn)時(shí)， Snumen 服務(wù)器端會(huì)向特定的系統(tǒng)發(fā)送報(bào)警信息， Snumen 監(jiān)控程序會(huì)以多中方式進(jìn)行報(bào)警。 日志審計(jì)和日志管理對(duì)于網(wǎng)絡(luò)安全會(huì)起到重要作用， Snumen 擁有獨(dú)立的日志審計(jì)系統(tǒng)，通過(guò)方便的檢索可以方便安全管理員的工作。 Snumen 提供多種檢索功能，方便管理的工作。 監(jiān)控系統(tǒng) 安全防護(hù)總體結(jié)構(gòu)圖 10 安全防護(hù)設(shè)備清單 設(shè)備名稱 型號(hào) 數(shù)量 生產(chǎn)廠家 備注 地調(diào)接入網(wǎng) 路由器 實(shí)時(shí)交換機(jī) 非實(shí)時(shí)交換機(jī) 縱向加密認(rèn)證裝置 區(qū)調(diào)接入網(wǎng) 路由器 實(shí)時(shí)交換機(jī) 非實(shí)時(shí)交換機(jī) 11 縱向加密認(rèn)證裝置 光功率預(yù)測(cè) 反向隔離裝置 電力工業(yè)以太網(wǎng)交換機(jī) 防火墻 生產(chǎn)控制大區(qū)內(nèi)部安全防護(hù)技術(shù)要求 （ 1）禁止生產(chǎn)控制大區(qū)內(nèi)部的 EMail 服務(wù)，禁止控制區(qū)內(nèi)通用的WEB 服務(wù)，并進(jìn)行安全加固。允許提供縱向安全 WEB 服務(wù)，可以采用經(jīng)過(guò)安全加固且支持 HTTPS 的安全 WEB 服務(wù)器和 WEB 瀏覽工作站。 （ 4）生產(chǎn)控制大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)間應(yīng)該采取 VLAN 和訪問控制等 安全措施，限制系統(tǒng)間的直接互通。病毒庫(kù)、木馬庫(kù)以及 IDS 規(guī)則庫(kù)的更新應(yīng)該離線進(jìn)行。 12 附則 1： XXX 光伏電站電力 監(jiān)控系統(tǒng) 安全防護(hù)管理制度 總則 為了防范黑客以及惡意代碼等對(duì)電力 監(jiān)控系統(tǒng) 的攻擊侵害，保障我公司電力 監(jiān)控系統(tǒng) 的安全可靠、穩(wěn)定運(yùn)行，提高電力 監(jiān)控系統(tǒng) 的安全管理水平，根據(jù)國(guó)家電監(jiān)會(huì)頒布的《電力 監(jiān)控系統(tǒng) 安全防護(hù)規(guī)定》（電監(jiān)會(huì) 5 號(hào)令）及《電力系統(tǒng)安全防護(hù)總體方案》（電監(jiān)安全 [2020]34 號(hào)），特制定本管理辦法。 本電站電力 監(jiān)控系統(tǒng) 安全防護(hù)工作以“安全第一、預(yù)防為主、綜合治理，管理和技術(shù)并重”為方針，“遵循統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一組織開發(fā)”的原則。 引用標(biāo)準(zhǔn)及規(guī)范： 《電 網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》國(guó)家經(jīng)貿(mào)委 30號(hào)令 。 管理職責(zé) 本電站根據(jù)國(guó)家電監(jiān)會(huì)《電力 監(jiān)控系統(tǒng) 安全防護(hù)總體方案》要求，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，建立電力 監(jiān)控系統(tǒng) 13 安全管理制度，明確運(yùn)行、檢修、調(diào)試、和信息化等部門相關(guān)人員的安全職責(zé)。本電站內(nèi)涉及到電力調(diào)度的生產(chǎn)控制系統(tǒng)和裝置，如本電站的輸入變電 監(jiān)控系統(tǒng) 、電能質(zhì)量采集裝置、故障錄波裝置、繼電保護(hù)裝置和安全自動(dòng)控制裝置等，由電力調(diào)度機(jī)構(gòu)和本電站主管單位共同實(shí)施技術(shù)監(jiān)督，本電站其他 監(jiān)控系統(tǒng) 安全防護(hù)可由其上級(jí)主管單位實(shí)施技術(shù)監(jiān)督。 技術(shù)管理 本電站電力 監(jiān)控系統(tǒng) 安全防護(hù)工作必須堅(jiān)持安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證的原則，保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。 涉及電力 監(jiān)控系統(tǒng) 安全防護(hù)的產(chǎn)品應(yīng)具備國(guó)家網(wǎng)絡(luò)與信息安全主管部門（國(guó)家能源局）認(rèn)可的有關(guān)證明。 在對(duì)電力 監(jiān)控系統(tǒng) 進(jìn)行安全檢查過(guò)程中，如發(fā)現(xiàn)部分應(yīng)用系統(tǒng)及網(wǎng)絡(luò)未按照電力 監(jiān)控系統(tǒng) 安全防護(hù)規(guī)定執(zhí)行的應(yīng)限期整改，若期限之內(nèi)還不能完成，則應(yīng)對(duì)責(zé)任人進(jìn)行通報(bào)批評(píng)并依據(jù)相關(guān)規(guī)定進(jìn)行處罰。 應(yīng)急預(yù)案的制定和修改必須履行一定的審核手續(xù)，存放在規(guī)定的地方，并根據(jù)演戲結(jié)果不斷完善應(yīng)急預(yù)案。對(duì)隱報(bào)、緩報(bào)、謊報(bào)或未在上述事件內(nèi)報(bào)告的將按國(guó)家有關(guān)規(guī)定追究相關(guān)單位和當(dāng)事人的責(zé)任。 在進(jìn)行安全 評(píng)估和監(jiān)督檢查中應(yīng)嚴(yán)格控制風(fēng)險(xiǎn)，確保電力系統(tǒng)安全穩(wěn)定運(yùn)行。 對(duì)電力 監(jiān)控系統(tǒng) 安全防護(hù)工作監(jiān)督專家組對(duì)本單位電力二次安全防護(hù)實(shí)施情況進(jìn)行監(jiān)督檢查，提出整改意見進(jìn)行整改。 服務(wù)器密碼及口令管理 監(jiān)控機(jī)、網(wǎng)絡(luò)路由器以及繼電保護(hù)裝置的口令和密碼，由安全生產(chǎn)部門負(fù)責(zé)人和系統(tǒng)管理員商議確定，必須兩人同時(shí)在場(chǎng)設(shè)定。 密碼及口令要定期更換（視網(wǎng)絡(luò)具體情況），更換后系統(tǒng)管理員要銷毀原記錄，將新密碼或口令記錄封存。 用戶密碼及口令的管理 對(duì)于要求設(shè)定密碼和口令的用戶，由用戶指定負(fù)責(zé)人與系統(tǒng)管理員商定密碼及口令，由系統(tǒng)管理員登記并請(qǐng)用戶負(fù)責(zé)人確認(rèn)（簽字或電話通知），之后系統(tǒng)管理員設(shè)定密碼及口令，并保存用戶檔案。 如果網(wǎng)絡(luò)提供用戶自我更新密碼及口令的功能，用戶應(yīng)自己定期更換密碼及口令，并設(shè)專人負(fù)責(zé)保密和維護(hù)工作。本制度分為 5 個(gè)部分：值班制度、巡視制度、日常管理制 度、運(yùn)行維護(hù)制度、安全保密制度。 值班人員的主要職責(zé)是要在第一時(shí)間發(fā)現(xiàn)故障和故障隱患，并及時(shí)報(bào)告，使相關(guān)管理人員能及時(shí)趕到現(xiàn)場(chǎng)盡最大可能縮短故障恢復(fù)時(shí)間。值班時(shí)間內(nèi)不得作與作業(yè)、業(yè)務(wù)無(wú)關(guān)的任何私事，不得擅自離開崗位。認(rèn)真履行機(jī)房的各項(xiàng)規(guī)定，并 督促進(jìn)入機(jī)房人員嚴(yán)格遵守。 值班人員必須以嚴(yán)肅、嚴(yán)格的態(tài)度，認(rèn)真執(zhí)行機(jī)房巡視制度，負(fù)責(zé)每日對(duì)機(jī)房網(wǎng)絡(luò)設(shè)備、機(jī)房設(shè)備、機(jī)房環(huán)境的巡視、認(rèn)真填寫巡視 17