【正文】 備的安全配置包括關(guān)閉或限定網(wǎng)絡(luò)服務(wù)、避免使用默認(rèn)路由、關(guān)閉網(wǎng)絡(luò)邊界 OSPF 路由功能、采用安全增強(qiáng)的 SNMPv2 及以上版本的網(wǎng)管協(xié)議、設(shè)置受信任的網(wǎng)絡(luò)地址范圍、記錄設(shè)備日志、設(shè)置高強(qiáng)度的密碼、開啟訪問控制列表、封閉空閑的網(wǎng)絡(luò)端口等。省級以上調(diào)度中心和網(wǎng)調(diào)以上直調(diào)廠站節(jié)點構(gòu)成調(diào)度數(shù)據(jù)網(wǎng)骨干網(wǎng)（簡稱骨干網(wǎng)） 。 地調(diào)和配網(wǎng)內(nèi)部生產(chǎn)控制大區(qū)專用節(jié)點構(gòu)成縣級專用數(shù)據(jù)網(wǎng)。各層面的數(shù)據(jù)網(wǎng)絡(luò)之間應(yīng)該通過路由限制措施進(jìn)行安全隔離。保證網(wǎng)絡(luò)故障和安全事件限制在局部區(qū)域之內(nèi)。 橫向隔離 橫向隔離是電力二次安全防護(hù)體系的橫向防線。電力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊界防護(hù)措施，是橫向防護(hù)的關(guān)鍵設(shè)備。 按照數(shù)據(jù)通信方向電 力專用橫向單向安全隔離裝置分為正向型和反向型。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù) 6 據(jù)傳輸途徑。專用橫向單向隔離裝置應(yīng)該滿足實時性、可靠性和傳輸流量等方面的要求。 控制區(qū)與非控制區(qū)之間應(yīng)采用國產(chǎn)硬件防火墻、具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進(jìn)行邏輯隔離。采用認(rèn)證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。暫時不具備條件的可以采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問控制技術(shù)臨時代替。 縱向加密認(rèn)證裝置及加密認(rèn)證網(wǎng)關(guān)用于生產(chǎn)控制大區(qū)的廣域網(wǎng)邊界防護(hù)。加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證裝置的全部功能外，還應(yīng)實現(xiàn)對電力系統(tǒng)數(shù)據(jù)通信應(yīng)用層協(xié)議及報文的處理功能。 重點防護(hù)的調(diào)度中心和重要廠站兩側(cè)均應(yīng)配置縱向加密認(rèn)證裝置；當(dāng)調(diào)度中心側(cè)已配置縱向加密認(rèn)證裝置時，與其相連的小型廠站側(cè)可以不配備該裝置，此時至少實現(xiàn)安全過濾功能。 其他安全措施 本電站生產(chǎn)區(qū)域內(nèi)的計算機(jī)信息系統(tǒng)，要與 Inter 網(wǎng)分開，并建立計算機(jī)病毒防火墻，對服務(wù)器，要采用 先進(jìn)的網(wǎng)絡(luò)防計算機(jī)病毒軟件，并對經(jīng)過服務(wù)器的信息進(jìn)行監(jiān)控，防止計算機(jī)病毒通過郵件服務(wù)器擴(kuò)散、傳播。經(jīng)常更新與升級防殺計算機(jī)病毒軟件的版本。當(dāng)出現(xiàn)計算機(jī)病毒傳染跡象時，立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)并進(jìn)行處理，不應(yīng)帶“毒”繼續(xù)運行；發(fā)現(xiàn)計算機(jī)病毒后，一般應(yīng)利用防殺計算機(jī)病毒軟件清除文件中的計算機(jī)病毒，對于殺毒軟件無法殺除的計算機(jī)病毒，應(yīng)及時請專業(yè)人員解決。系統(tǒng)中的程序要定期進(jìn)行比較測試和檢查。 8 操作系統(tǒng)安全是計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)，而服務(wù)器上的業(yè)務(wù)數(shù)據(jù)又是被攻擊的最終目標(biāo)，因此，加強(qiáng)對關(guān)鍵服務(wù)器的安全控制，是增強(qiáng)系統(tǒng)總體安全性的核心一環(huán)。 當(dāng)系統(tǒng)發(fā)生入侵行為或者違反安全策略的操作時， Snumen 利用自身功能對用戶（程序）在網(wǎng)絡(luò)層和系統(tǒng)內(nèi)部對該用戶（程序）進(jìn)行阻斷，并且由系統(tǒng)向管理員進(jìn)行報警。當(dāng)有違反安全規(guī)則的情況出現(xiàn)時， Snumen 服務(wù)器端會向特定的系統(tǒng)發(fā)送報警信息， Snumen 監(jiān)控程序會以多中方式進(jìn)行報警。 日志審計和日志管理對于網(wǎng)絡(luò)安全會起到重要作用， Snumen 擁有獨立的日志審計系統(tǒng)，通過方便的檢索可以方便安全管理員的工作。 Snumen 提供多種檢索功能，方便管理的工作。 監(jiān)控系統(tǒng) 安全防護(hù)總體結(jié)構(gòu)圖 10 安全防護(hù)設(shè)備清單 設(shè)備名稱 型號 數(shù)量 生產(chǎn)廠家 備注 地調(diào)接入網(wǎng) 路由器 實時交換機(jī) 非實時交換機(jī) 縱向加密認(rèn)證裝置 區(qū)調(diào)接入網(wǎng) 路由器 實時交換機(jī) 非實時交換機(jī) 11 縱向加密認(rèn)證裝置 光功率預(yù)測 反向隔離裝置 電力工業(yè)以太網(wǎng)交換機(jī) 防火墻 生產(chǎn)控制大區(qū)內(nèi)部安全防護(hù)技術(shù)要求 （ 1）禁止生產(chǎn)控制大區(qū)內(nèi)部的 EMail 服務(wù)，禁止控制區(qū)內(nèi)通用的WEB 服務(wù)，并進(jìn)行安全加固。允許提供縱向安全 WEB 服務(wù)，可以采用經(jīng)過安全加固且支持 HTTPS 的安全 WEB 服務(wù)器和 WEB 瀏覽工作站。 （ 4）生產(chǎn)控制大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)間應(yīng)該采取 VLAN 和訪問控制等 安全措施，限制系統(tǒng)間的直接互通。病毒庫、木馬庫以及 IDS 規(guī)則庫的更新應(yīng)該離線進(jìn)行。 12 附則 1： XXX 光伏電站電力 監(jiān)控系統(tǒng) 安全防護(hù)管理制度 總則 為了防范黑客以及惡意代碼等對電力 監(jiān)控系統(tǒng) 的攻擊侵害，保障我公司電力 監(jiān)控系統(tǒng) 的安全可靠、穩(wěn)定運行，提高電力 監(jiān)控系統(tǒng) 的安全管理水平，根據(jù)國家電監(jiān)會頒布的《電力 監(jiān)控系統(tǒng) 安全防護(hù)規(guī)定》（電監(jiān)會 5 號令）及《電力系統(tǒng)安全防護(hù)總體方案》（電監(jiān)安全 [2020]34 號），特制定本管理辦法。 本電站電力 監(jiān)控系統(tǒng) 安全防護(hù)工作以“安全第一、預(yù)防為主、綜合治理，管理和技術(shù)并重”為方針，“遵循統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一組織開發(fā)”的原則。 引用標(biāo)準(zhǔn)及規(guī)范： 《電 網(wǎng)和電廠計算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》國家經(jīng)貿(mào)委 30號令 。 管理職責(zé) 本電站根據(jù)國家電監(jiān)會《電力 監(jiān)控系統(tǒng) 安全防護(hù)總體方案》要求，按照“誰主管誰負(fù)責(zé)，誰運營誰負(fù)責(zé)”的原則，建立電力 監(jiān)控系統(tǒng) 13 安全管理制度，明確運行、檢修、調(diào)試、和信息化等部門相關(guān)人員的安全職責(zé)。本電站內(nèi)涉及到電力調(diào)度的生產(chǎn)控制系統(tǒng)和裝置，如本電站的輸入變電 監(jiān)控系統(tǒng) 、電能質(zhì)量采集裝置、故障錄波裝置、繼電保護(hù)裝置和安全自動控制裝置等，由電力調(diào)度機(jī)構(gòu)和本電站主管單位共同實施技術(shù)監(jiān)督，本電站其他 監(jiān)控系統(tǒng) 安全防護(hù)可由其上級主管單位實施技術(shù)監(jiān)督。 技術(shù)管理 本電站電力 監(jiān)控系統(tǒng) 安全防護(hù)工作必須堅持安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證的原則，保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。 涉及電力 監(jiān)控系統(tǒng) 安全防護(hù)的產(chǎn)品應(yīng)具備國家網(wǎng)絡(luò)與信息安全主管部門（國家能源局）認(rèn)可的有關(guān)證明。 在對電力 監(jiān)控系統(tǒng) 進(jìn)行安全檢查過程中，如發(fā)現(xiàn)部分應(yīng)用系統(tǒng)及網(wǎng)絡(luò)未按照電力 監(jiān)控系統(tǒng) 安全防護(hù)規(guī)定執(zhí)行的應(yīng)限期整改，若期限之內(nèi)還不能完成，則應(yīng)對責(zé)任人進(jìn)行通報批評并依據(jù)相關(guān)規(guī)定進(jìn)行處罰。 應(yīng)急預(yù)案的制定和修改必須履行一定的審核手續(xù)，存放在規(guī)定的地方，并根據(jù)演戲結(jié)果不斷完善應(yīng)急預(yù)案。對隱報、緩報、謊報或未在上述事件內(nèi)報告的將按國家有關(guān)規(guī)定追究相關(guān)單位和當(dāng)事人的責(zé)任。 在進(jìn)行安全 評估和監(jiān)督檢查中應(yīng)嚴(yán)格控制風(fēng)險，確保電力系統(tǒng)安全穩(wěn)定運行。 對電力 監(jiān)控系統(tǒng) 安全防護(hù)工作監(jiān)督專家組對本單位電力二次安全防護(hù)實施情況進(jìn)行監(jiān)督檢查，提出整改意見進(jìn)行整改。 服務(wù)器密碼及口令管理 監(jiān)控機(jī)、網(wǎng)絡(luò)路