二次系统安全防护管理制度

二次系统安全防护管理制度

生产技术部

2012.03.03

二次系统安全防护管理制度

一、总则

1、为了确保本厂电力监控系统及电力调度数据网络的安全，抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特别是抵御集团式的攻击，防止电力二次系统崩溃和瘫痪，以及由此造成的电力系统事故或，建立山西兆光发电厂电力二次系统安全防护体系，特此制定本制度。

2、本制度明确了山西兆光发电厂电力二次系统安全防护的职责与分工、日常运行与管理、技术管理、工程实施、接入管理、安全评估、应急处理、保密工作等内容，山西兆光电厂各级部门应严格遵守。

3、本厂按照“谁主管谁负责，谁经营谁负责”的原则，建立电力二次系统安全管理制度，将电力全防护及其信息报送纳入日常安全生产管理体系，落实分级负责的责任制。

4、本制度使用于本厂电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等。

5、依据

《电网和电厂计算机监控系统及调度数据网络安全防护的规定》（国家经贸委[2002]第30号令）；

国家电力监管委员会《电力二次系统安全防护规定》（电监会5号令）；

国家电监会《电力二次系统安全防护总体方案》等6个配套文件（电监安全[2006]34号）；

二、职责分工

各级相关部门的安全职责

1、生产技术部附则建立本厂内涉及电力调度的二次系统安全防护体系并报调度中心审查。

2、仪电维护部附则本厂内涉及电力调度的二次系统安全防护方案的落实、有关工程实施工作。

3、发电部及仪电维护部负责本厂内涉及到电力调度的二次系统安全防护设施的巡视工作。

4、发电部及仪电维护部各二次系统安全防护专责人员负责配合调度中心对涉及及电力调度的二次系统安全防护进行评估。

5、仪电维护部负责配合调度中心处理电力二次系统安全防护应急事件和日常出现的问题。

6、生产技术部负责定期向调度中心报送电力二次系统安全防护情况，并及时上报电力二次系统安全防护出现的异常现象。

各级相关人员的安全职责

1、本厂主管安全生产的领导为本厂所管辖二次系统的安全防护第一责任人。

2、本厂所设置的二次系统安全防护小组或专责人员，负责安全防护设备及有关措施的日常巡视和定期检查、分析工作，发现二次系统安全隐患的时间要及时进行处理，并按照有关规定立即上报。

3、本厂自动化专业人员负责管理本厂所属调度数据网络设备、横向物理隔离装置、纵向加密认证装置、防火墙、防病毒软件等二次系

统公共安全防护设施。

4、二次系统各业务系统应设定专责人负责所辖业务系统的安全管理。

5、二次系统各业务系统的一般工作人员应该严格遵守各项安全防护管理制度。

三、日常运行与管理

1、本厂电力二次系统安全防护日常巡视检查应纳入日常运行工作中。

2、本厂二次系统安全防护及各业务系统安全管理专责人员应定期巡视、检查和分析安全防护情况，并形成安全防护巡查分析日志。

3、本厂应按照安全防护方案制定相应的安全应急措施和故障恢复措施，在日常运行中发现安全隐患要及时向上一级安全管理部门报告，并做好详细记录。

5、本厂应设立专责人负责挂历本厂或本部门的电力二次系统数字证书等安全设施。

6、对已按照病毒防护的系统，应设立专责人员跟踪软件升级情况及时离线更新病毒特征库。

7、应定期重点检查是否存在安全区域之间旁路联通或短路连接问题、正向安全隔离装置的版本问题、系统弱口令问题、系统补丁修补问题、远程维护问题等。

8、重要时期为确保二次系统安全运行，禁止通过公网VPN和拨号访问对生产控制大区进行远方维护，落实切断措施（关闭调制解调

器电源、拔掉电话线、拔掉串口线）。

四、技术管理

1、技术原则

1）、二次系统安全防护的总体原则为“安全分区，网络专用、横向隔离、纵向认证”。

2）、二次系统安全防护主要针对网络系统和基于网络的电力生产控制系统。

2、本厂电力二次系统安全防护主要内容

1）控制区业务系统：自动化远方终端装置；调速系统和发电控制功能；励磁系统和无功电压控制功能；网控系统；相量测量装置PMU；

自动控制装置PSS、气门快关；继电保护装置及有远方设置功能管理终端；华北电力调度数据网络接入路由器及交换机等网络设备和系统。

2）非控制区业务系统：继电保护无远方设置功能管理终端；故障录波装置；优化调度管理系统终端；AGC/AVC性能监视管理系统终端等。

3）管理信息大区业务系统；OMS系统终端。

3、技术措施管理

1）在二次系统安全防护体系的生产控制区内，禁止以各种方式开通与互联网的连接；限制开通拨号功能，对于维护工作必要开通的拨号功能要进行严格的管理，列入日常运行管理中，做到随用随开，

建立严格的登记制度。

2）对生产控制区中的PC机要实施严格的网络安全管理，再介入前要对其进行防病毒和打补丁措施，做好接入记录。在网络边界运行的计算机应采用经过安全加固的Linux或Unix操作系统。

3）对于属于控制区、非控制区但部署在自动化机房以外的终端、工作站，应关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行口等。

4）所有接入电力二次系统的安全产品，必须通过国家制定机构安全检测证明。

五、工程实施的安全管理

1、安全防护方案的实施必须严格遵守国家经贸委30号令、国家电监会5号令以及本文件的有关规定。

2、本厂二次系统相关设备及系统的开发单位、供应商必须以合同条款或保密协议的方式保证所提供的设备及系统符合《电力二次系统安全防护规定》的要求，并在设备及系统的生命期内对此负责。

3、本厂电力二次系统各相关设备及系统的供应商必须承诺；所提供的设备及系统中不包含任何安全隐患，并承担由此引发的连带责任，终生有效。

4、本厂二次系统相关设备及系统的工程实施单位，必须具备相应的资质。

5、本厂新建的电力二次系统工程的设计必须符合国家、行业的有关安全防护标准、法规、法令、规定等、