燃煤發(fā)電企業(yè)信息系統(tǒng)安全與管理安全風險控制指導(dǎo)手冊

燃煤發(fā)電企業(yè)信息系統(tǒng)安全與管理安全風險控制指導(dǎo)手冊序號控制節(jié)點標準分風險管控重點要求管控效果評估評審依據(jù)頻次3.18信息系統(tǒng)安全與管理2003.18.1安全防護技術(shù)措施100物理安全201.電力監(jiān)控系統(tǒng)機房應(yīng)當采取有效防水、防潮、防火、防雷擊、防盜竊、防破壞措施；2.機房應(yīng)配置電子門禁系統(tǒng)以加強物理訪問控制，必要時安全專人值守；3．機房內(nèi)所有設(shè)備的金屬外殼、金屬道、金屬線槽、建筑物金屬結(jié)構(gòu)等必須進行等電位聯(lián)結(jié)并接地；4.按規(guī)定周期和內(nèi)容要求巡視機房及設(shè)施設(shè)備，發(fā)現(xiàn)異常及時處理1.防水、防潮、防火、防雷擊、防盜竊、防破壞措施不符合，扣8分；2.無電子門禁系統(tǒng)，扣2分；3.設(shè)備接地不符合要求，扣6分；4.無機房巡檢記錄，扣4分；記錄內(nèi)容不全，扣2分。1.《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委令14號）第3.1條；2.《數(shù)據(jù)中心設(shè)計規(guī)范》（GB50174-2017）第8.4.4條；3.《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）第條1次/年結(jié)構(gòu)安全201.有廠內(nèi)業(yè)務(wù)系統(tǒng)的分區(qū)表，分區(qū)表包含了廠內(nèi)所有的電力監(jiān)控系統(tǒng)，業(yè)務(wù)分區(qū)準確；2.生產(chǎn)控制大區(qū)劃分不同的網(wǎng)絡(luò)安全域，并進行區(qū)域之間的安全訪問控制；3.生產(chǎn)控制大區(qū)和管理信息大區(qū)之間橫向部署了專用隔離裝置，僅允許非TCP直連方式的數(shù)據(jù)通信；4.調(diào)度數(shù)據(jù)網(wǎng)縱向部署專用加密認證裝置，僅允許專用的通信服務(wù)，嚴格設(shè)置訪問控制策略；5.監(jiān)控系統(tǒng)網(wǎng)絡(luò)核心交換設(shè)備、廣域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準備了備用設(shè)備，同時路由鏈路也應(yīng)該施行冗余方式，核心網(wǎng)絡(luò)不存在明顯的單點故障隱患1.分區(qū)表不準確，扣10分，不完整，扣4分；2.不同的網(wǎng)絡(luò)安全域之間無訪問控制措施，，扣6分；3．生產(chǎn)控制大區(qū)和管理信息大區(qū)之間未部署專用隔離裝置不得分，策略配置不完整，扣4分；4.調(diào)度數(shù)據(jù)網(wǎng)縱向未部署加密認證裝置，不得分，策略配置不完整，扣4分；5.網(wǎng)絡(luò)架構(gòu)可靠性不足扣4分。《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委令14號）第2.1條、2.2條、2.3條、3.2條網(wǎng)絡(luò)設(shè)備安全防護201.對登錄網(wǎng)絡(luò)設(shè)備、安全設(shè)備采用了HTTPS、SSH等加密方式或配置堡壘機；2.對登錄用戶進行身份鑒別及權(quán)限控制，登錄用戶口令滿足復(fù)雜度要求，且制定有更換策略并由專人負責保管；3．及時清理網(wǎng)絡(luò)及安全設(shè)備上的臨時用戶、多余用戶；4.網(wǎng)絡(luò)設(shè)備空閑端口進行了封堵1.對登錄網(wǎng)絡(luò)設(shè)備、安全設(shè)備采用未使用了HTTPS、SSH等加密方式，扣4分；2.登錄用戶口令不滿足復(fù)雜度要求或未制定有更換策略，扣6分；3．未及時清理網(wǎng)絡(luò)及安全設(shè)備上的臨時用戶、多余用戶，扣4分；4.未對網(wǎng)絡(luò)設(shè)備空閑端口進行了封堵，扣6分。1.《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）第8.1.2條；2.《燃煤火力發(fā)電廠技術(shù)監(jiān)控規(guī)程第11部分：工控系統(tǒng)網(wǎng)絡(luò)信息安全防護技術(shù)監(jiān)督》（Q/CDT10111003.11—2019）第4.3.2條1次/年主機防護201.對DCS、NCS等人機交互站，廠級監(jiān)控信息系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)的主服務(wù)器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān)機、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器等采取了安全加固措施；2..制訂主機安全加固的審核流程與管理制度以及主機加固技術(shù)標準和加固管理的策略；3.生產(chǎn)控制大區(qū)的各主機應(yīng)當關(guān)閉或拆除不必要的軟盤驅(qū)動、光盤驅(qū)動、USB接口、串行口、無線、藍牙等，確需保留的須通過安全管理及技術(shù)措施實施嚴格監(jiān)控；4.禁止在生產(chǎn)控制大區(qū)和管理信息大區(qū)之間交叉使用移動存儲介質(zhì)以及便攜計算機。確需通過外設(shè)接入的設(shè)備，應(yīng)在接入前采取病毒查殺等安全預(yù)防措施，且通過安全管理及技術(shù)措施實施嚴格監(jiān)控，并履行發(fā)電廠安全接入審批手續(xù)1.對DCS、NCS等人機交互站，廠級監(jiān)控信息系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)的主服務(wù)器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān)機、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器等未實施安全加固措施，扣4分；2..未制訂主機安全加固的審核流程與管理制度，扣2分；3.生產(chǎn)控制大區(qū)的各主機未關(guān)閉或拆除不必要的軟盤驅(qū)動、光盤驅(qū)動、USB接口、串行口、無線、藍牙等，扣6分；4.生產(chǎn)控制大區(qū)和管理信息大區(qū)之間交叉使用移動存儲介質(zhì)以及便攜計算機，未通過安全管理及技術(shù)措施實施管控及審批，扣8分?！度济夯鹆Πl(fā)電廠技術(shù)監(jiān)控規(guī)程第11部分：工控系統(tǒng)網(wǎng)絡(luò)信息安全防護技術(shù)監(jiān)督》（Q/CDT10111003.11—2019）第4.3.3條1次/年入侵監(jiān)測及安全審計101.在生產(chǎn)控制大區(qū)部署網(wǎng)絡(luò)入侵檢測系統(tǒng)；設(shè)置了包含有工控系統(tǒng)專有攻擊特征庫的檢測規(guī)則；2.生產(chǎn)控制大區(qū)各關(guān)鍵生產(chǎn)系統(tǒng)內(nèi)部署網(wǎng)絡(luò)流量審計設(shè)備；具備針對工控協(xié)議的深度包協(xié)議解析、及時發(fā)現(xiàn)隱藏在正常流量中的異常數(shù)據(jù)包、實時檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、違規(guī)外聯(lián)、非法設(shè)備接入等內(nèi)網(wǎng)異常行為的功能；3.生產(chǎn)控制大區(qū)主要業(yè)務(wù)系統(tǒng)需具備日志審計功能；保存至少6個月的日志數(shù)據(jù)1.在生產(chǎn)控制大區(qū)未部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，扣3分；2.生產(chǎn)控制大區(qū)各關(guān)鍵生產(chǎn)系統(tǒng)內(nèi)未部署網(wǎng)絡(luò)流量審計設(shè)備，扣3分；3.生產(chǎn)控制大區(qū)主要業(yè)務(wù)系統(tǒng)不具備日志審計功能，扣3分。1.《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委令14號）第3.5條、3.11條2.《燃煤火力發(fā)電廠技術(shù)監(jiān)控規(guī)程第11部分：工控系統(tǒng)網(wǎng)絡(luò)信息安全防護技術(shù)監(jiān)督》（Q/CDT10111003.11—2019）第4.3.4條、4.3.6條1次/年數(shù)據(jù)安全10定期對關(guān)鍵業(yè)務(wù)的數(shù)據(jù)進行備份，對生產(chǎn)運行等重要數(shù)據(jù)實現(xiàn)雙備份并至少保存12個月未開展數(shù)據(jù)備份工作不得分，備份工作不規(guī)范酌情扣3分。《燃煤火力發(fā)電廠技術(shù)監(jiān)控規(guī)程第11部分：工控系統(tǒng)網(wǎng)絡(luò)信息安全防護技術(shù)監(jiān)督》（Q/CDT10111003.11—2019）第4.3.8條1次/年3.18.2網(wǎng)絡(luò)安全管理801次/年組織機構(gòu)201.成立了明網(wǎng)絡(luò)安全及信息化領(lǐng)導(dǎo)小組，企業(yè)主要負責人為領(lǐng)導(dǎo)小組組長；2.有專門負責網(wǎng)絡(luò)安全的部門；3.配備了專門的網(wǎng)絡(luò)安全管理員1.未成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，扣8分；2.未明確負責網(wǎng)絡(luò)安全的部門，扣6分；3，未配備專門的網(wǎng)絡(luò)安全管理員，扣6分。1．《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）5.2.1條；2．《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）8.1.7條人員管理101.每年開展網(wǎng)絡(luò)安全培訓(xùn)；2.與第三方外包人員簽署保密協(xié)議；3.系統(tǒng)使用權(quán)限遵循權(quán)限最小化原則；當崗位調(diào)整時能及時在系統(tǒng)做權(quán)限變更或注銷等相應(yīng)處理1.未開展網(wǎng)絡(luò)安全培訓(xùn)，扣3分；2.與第三方人員未簽訂保密協(xié)議，扣3分；3.未及時開展權(quán)限調(diào)整工作，扣3分?！缎畔踩夹g(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）第8.1.8條1次/年管理制度101.制訂門禁、人員、權(quán)限、訪問控制管理制度；2.制訂電力監(jiān)控系統(tǒng)的維護管理制度；3.制訂惡意代碼防護、審計、數(shù)據(jù)及系統(tǒng)的備份、用戶口令、安全培訓(xùn)等管理制度；4.分別對各類設(shè)備、介質(zhì)、資產(chǎn)、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)制訂了安全管理制度并在存放環(huán)境、使用以及銷毀、報廢等方面做出了詳細規(guī)定，并建立了安全審計管理制度1.未制定相關(guān)制度，扣3分；2.未制定相關(guān)制度，扣3分；3.未制定相關(guān)制度，扣3分；4.未制定相關(guān)制度，扣3分?！缎畔踩夹g(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）第條1次/年技術(shù)資料管理101.整理了工控系統(tǒng)設(shè)備臺賬，臺賬包括各系統(tǒng)涉及的物理場所、網(wǎng)絡(luò)設(shè)備、主機設(shè)備、安全設(shè)備及應(yīng)用軟件等，臺賬信息準確，更新及時；2.有全廠各業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)拓撲圖，拓撲圖繪制規(guī)范，與現(xiàn)場實際相符1.無臺賬資料或臺賬資料不完整，扣4分；2.無網(wǎng)絡(luò)拓撲圖或拓撲圖不完整，扣3分。《燃煤火力發(fā)電廠技術(shù)監(jiān)控規(guī)程第11部分：工控系統(tǒng)網(wǎng)絡(luò)信息安全防護技術(shù)監(jiān)督》（Q/CDT10111003.11—2019）第5.1條1次/年系統(tǒng)建設(shè)管理101.系統(tǒng)建設(shè)所涉及到的軟硬件系統(tǒng)、設(shè)備及專用信息安全產(chǎn)品符合國家及行業(yè)資質(zhì)、質(zhì)量標準等相關(guān)規(guī)定與要求；2.自行開發(fā)或外包開發(fā)的軟件產(chǎn)品投運前進行安全評估并留有相關(guān)工作記錄；3.選定的施工建設(shè)單位和安全服務(wù)商具備國家和行業(yè)主管部門要求的資質(zhì)；與選定的安全服務(wù)商簽訂安全保護承諾等相關(guān)協(xié)議，明確約定相關(guān)責任并簽署保密協(xié)議；4.系統(tǒng)應(yīng)進行上線前的安全測試，并形成測試報告；5.系統(tǒng)驗收應(yīng)形成正式的驗收報告1.產(chǎn)品不符合國家及行業(yè)資質(zhì)要求、質(zhì)量標準等，扣3分；2.未開展安全評估，扣3分；3．施工單位無相關(guān)資質(zhì)，或未簽訂保密協(xié)議，扣3分；4.系統(tǒng)未開展上線前安全測試，扣3分；5.系統(tǒng)驗收未形成正式的驗收報告，扣3分。1．《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）8.1.9條；2.《中國大唐集團有限公司網(wǎng)絡(luò)安全和信息化項目管理辦法》（大唐集團制〔2020〕197號）第7章1次/年系統(tǒng)運維管理101.制定了相關(guān)的維護規(guī)程或操作手冊；2．運維操作有詳細、準確的日志記錄；3.變更過程履行了相關(guān)審批手續(xù)并項目記錄1.無相關(guān)的規(guī)程或手冊，扣3分；2.運維操作無記錄，扣3分；3．變更操作無審批，無記錄，扣4分?！缎畔踩夹g(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）第8.1.10條1次/年應(yīng)急管理101.建立網(wǎng)絡(luò)安全應(yīng)急處置預(yù)案，按照事件發(fā)生后的危害程度、影響范圍等因素對網(wǎng)絡(luò)安全事件進行分級，并規(guī)定相應(yīng)的應(yīng)急處置措施，并建立網(wǎng)絡(luò)安全事件通報制度；2.至少每年開展一次應(yīng)急預(yù)案演練，并有相關(guān)過程資料1.無相關(guān)預(yù)案不得分，預(yù)案無針對性扣標準分的，扣3分；2.預(yù)案未演練，扣3分?！缎畔踩夹g(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）第8.1.10條1次/年3.18.3等級保護及安全風險評估201次/年等保測評101.開展過本年度的等保測評，取得相關(guān)報告；2.根據(jù)年度等保測評結(jié)果制定整改計劃，開展整改工作并形成相關(guān)工作記錄1.未開展備案定級及測評工作，不得分；2.未開展整改工作，扣2分。1.《中華人民共和國網(wǎng)絡(luò)安