发电企业工控系统网络信息安全技术监督检查表(热工专业)

发电企业工控系统网络信息安全技术监督检查表（热工专业）序号

检类

检对

检内

标与求

发的题

整改意计

企整改任人

科院督任1

基础设施物理安全

机房

1、检查DCS电子间、工程师站门窗锁具、防系统是否善，是否配置门禁系统（无门禁统须有钥匙理制度并执2、检查门系统能够记录出入人员份并按要求存一定时间能在后台查（无门禁系须在钥匙保处有借用记3、门禁系统允许入人员有对性，无关员不允许进相关区域，入相关区1）查重要设备装环境，域人员应经过内批准；检查是否满防窃防火防4、通讯机房理安全检查求：破坏等物理全防护要求a)谈物理安负责人，采了哪些防止备、介质等失的保护措；2）查该重要区门禁系统b)访谈房维护人员问主要备放置位置否做到安全可控,设备或主要件的出入记如检查电子禁是进行了固定标记，通信缆是否铺设隐蔽处；否对机房安的防盗报记录警设施进定期维护检；3）查该重要区门禁系统c)谈资产管理，在介质管中，是否进了分类标，是否存放介质库或是否对出入员有明确的档案室中别功如检查电子禁系统d)检查主要设备否放置在机内或其它不被盗窃和坏的可控范内；检查的定期巡检维护记录

主要设备或备的主要部的固定情况是否不易被动或被搬走是否设置明显的无法除的标记；e)检通信线缆铺是否在隐蔽处（如铺设地下或管道等f)检机房防盗报设施是否正常运行，并看运行和报记录；g)查介质管理情况，看介质是否正确的分类识，是否存在介质库或档案室中；

序号

检类

检对

检内

标与求

发的题

整改意计

企整改任人

科院督任h)查是否设备管理制文档，通信路布线文档介质管理制文档，介质清单和使用录，机房防报警设施的装测评/收报告1、查验DCS统、计算监控系统及测控单元等动化设备是按二十五反措要求配置可靠的冗余源；2、检查防雷和过压防护能是否满足电系统通信站雷和过电压护要求；3、检查监控网络备是否采独立的自动气开关供电禁止多台设共用一个2

电源

1)抽查电设施及场查是否满足防防火破坏等物理安全护要求；2)抽查房供电线路是否配置稳压器过电压防护备冗余或并行电力电缆线路为计机系统供电3)抽查房建立备用电系统，提供短的备用电力应满足设备在电情况下的正常运要求。

分路开关。级开关保护围应逐级配，避免出现路开关与总关同时跳开，导致故障范扩大的情况生；4、通讯机房防静要求：a)应访物理安全负人，询问机是否采用必的接地防电措施，是有控制机房湿度措施；b)应访机房维护人，询问是否常检查机房度，并控在GB2887中的规定的范围内询问机房是存在静电问或因静电引的故障事件c)应检机房是否有静电设计/验收文；d)应检机房是否有全接地查看机房的相对湿度否符合GB2887中的定，查看机房是明显存在静现象。5、通讯机房电磁护要求a)应访物理安全负人询问是否有止外界电磁扰和设备寄耦合干扰的措施（包括备外壳有良的接地、电线和通信线隔离等b)应访机房维护人，询问是否设备外壳做良好的接；是否做到源线和通信线缆离；是否出过因外界电干扰等问题发的故障；c)DCS系统抗射频干扰试合格，有验报告。

序号

检类

检对

检内

标与求

发的题

整改意计

企整改任人

科院督任1、通信光缆或电应采用不路由的电缆(竖井进入子间和程师站；3

通讯

1）查重要设备装环境，检查是否满防窃防火防破坏等物理全防护要求2）查不同的冗的通信通道是否从不的电缆沟道设。

避免与一次力电缆同沟架布，并完善防阻燃、阻火隔、防小动封堵等各项安全施，绑扎醒的识别标志如不具备条，应采取电沟(竖井内部分隔离等施进行有效离；2访谈DCS电子和工程师站护人员问否对设备外做了良好的地；是否做到电线和通信线隔离；3、应检查DCS电间和工程师站布线，查是否做到电线和通信线隔离；4、应检查通信线铺设是否隐蔽处（如设在地下或道中等4

系统本体安全

5、应检查是否有信线路布文档/验收文，和实际布是否一致1）看相关安全测证明；现场记录设型号及固件本号较国家披露息确认1检查DCS系统间同步装置安全防护设等必须是过具有国家检测资质是否存在安隐患查时的检机构检验格的产品；主机硬等辅设备是否纳安全管2、查空闲网络端是否关闭并上封条；件理范畴3、现场验系统类主机和作站的USB、光、串口等口封闭并贴上封2)现场查设备空闲口是条，对必由光盘进行份的系统，制定完善的管理制度并真执行；否关闭；4、现场使用的网及接头应备屏蔽功能3)现场查主机USB光等接口封闭情。

序号

检类

检对

检内

标与求

发的题

整改意计

企整改任人

科院督任1份鉴信息不易被用，口令复杂程满足要求并5

期更换期检查并锁或撤销网络设中不必要的户账号；2）修改默认用和口令，不得使用缺口令；3）口令长度不得于，且为字母字或特殊符的操作系混合合户名和口令不得统、关系相；数据库）禁止明储存口令。等基础）windows系统使用正版软件操作系统加装防范计算机病毒和网络击络入侵软件，及时新。6）DCS操作员安装杀毒软件应该根据家意见进行免引起操作统异常。7）谈系统管理，并检查操作系统是否开启了E-mail、Web、等不必要的通用网络务。

1、检查DCS系统工程站、时间同装置等主机统口令长不得小于位且为字母、数或特殊符号混合组合，户名和口令得相同；2、检查设备系统令至少每个月进行一更新；3、检查操作系统数据库管员口令是否专人管理，止明文传输口令须加密保存；4、检查主要服务操作系统主要数据库理系统，查是否提供了份鉴别措施（如用户和口令等身份别信息是具有不易被用的特点，查账户密码策略设，例如，口足够长，口复杂（如规字符应混有、小写字母、数字和特殊符生命周期新口令的替换（如规定替的字符数量）或为了便于忆使用了令；5、检查主要服务操作系统主要数据库理系统，查身份鉴别是采用两个及两个以上份鉴别技术组合来进行份鉴如采用户名/口令战答、动态口令、理设备、生识别技术和字证书方式身份鉴别技中的任意两个组合6、检查主要服务操作系统否有弱口令象。7、检查系主机是否启E-mailWebFTP等不必的通用网络务，对操作系统自的的服务端进行梳理，掉不必要的统服务端口并建立相应的端口开放批制度。

序号

检类

检对

检内

标与求

发的题

整改意计

企整改任人

科院督任应定期检验络设备软件本信息。1、检查现场检查维人员和家技术人员护活动的相管理制度；2、检查运维人员厂家技术员现场维护动记录，厂技术人员现维护要有检修人员陪监督；1）场检查运维员和厂家3、访谈安全管、安全管某方面的负人、信息安管理委员会领导小组67

全方位安全管理

人员管理外部设备接入管理

技术人员维活动的相关常管理工的负责人、统管理员、络管理员和安全员，询其岗位职责括理制度；哪些内容相关管理制；2）场检查维护录，掌握4、检查部门岗位职责文，查看文件否明确安全理机构的职，是否明相关安全防措施。机构内各门的职责和工，部门职是否涵盖物理、网络和统等各个方；查看文件是明确设置安主管、安全理各个方面负责人、机管理员、系统管理员、络管理员、全员等各个位，各个岗的职责范围否清晰，否明确岗位人应具有的技要求，人员否备案。1）查外部计算的接入是1、检查DCS系统历史数、组态数等转移是否用专用移动质；否具有相应安全管理制；2、检查专用移动质是否具安全防护功；2）查移动介质接入是否3、检查是否具有动介质的入管理制度使用记录。具有相应的全管理制度4、接入DCS系统的外设备不允许接外网，不许使用无连接打印机打印记录。机USB接口应闭。3）查各操作站打印机、

序号

检类

检对

检内

标与求

发的题

整改意计

企整改任人

科院督任89

安全应急措施

大屏幕的通是否采用专通讯。1）检查DCS系统电源、DPU、1、检查DCS系电源、控器、通讯网络的冗余配，有切换试报告，满足冗余备网络冗余备用情；关验收测试运行维护规；用2）检查DCS统重要机、2、检查工程师站操作员站通信网络的余备用情况服务器的冗备用情况。1）场查看是否网络与信息安全的应预案；1、现场查看否有网络与息安全的应预案；应急预2）场查看是否应急管理2、现场查看否有应急演记录；案及演制度；3、应制定DCS系统网络故障急预案和故障恢复措施设备系统和行数据应定练3）场查看是否应急演练期份。记录。10

特殊设备

PLC统

1）检查PLC通讯网络否与外网隔离、用端口是否闭；2）检查PLC是否存在外单位进行远程讯和诊断的络。3）检查PLC操作系统安全性。

1、检查PLC的通信是否专用网络是否与外网离。2、检查PLC的无用端口否封闭、线通讯是否闭；3、检查PLC是否只能从用上位机行访问、是具有其它远访问形式；4、检查PLC操作系统能满足运行要，低版本能升级的系应予以更换5PLC具有身识别功能非授权用户法访问非授权备无法与PLC通信。62017年6月1日生产的PLC应具有络安全专产品认由具有资的机构出具11

现场总）检查现总线设备的证1、现总线设备应择经过国际场总线组织权机构认证设备，现场总线类线设备和协；型在IEC61158现场总线准（最新版）规定范围；

序号

检类

检对

检内

标与求

发的题

整改意计

企整改任人

科院督任12

授时装置

2）查现场总线备的抗干2、现场总线表的安装应量避开静电扰和电磁干，当无法避时，应采扰情况；可靠的抗静干扰、电磁扰的措施；3）查现场总线备的网络3、现场总线备的无用端应进行封闭安全性。1）应配有北斗和GPS两套授时系统，并以北斗为主1、应配备全统一的卫星钟设备和网授时设备，站内各种系和设备的2）时装置应与网完全隔钟行统一校正主时钟应采双机冗余配。离；2、时间同步置应能可靠对时钟异常变及电磁干等情况，避时钟源切3）时装置配有项数据传策不合理等导输出时间的续性和准确受到影响输功能从下往上进修3被授时系(设备)接收到的时信息应做验。改或干预。1）查无线网络设备的安全可靠；无线网）检查无网络用户身识1、检现场无线设、CEMS仪表等是否在网络漏洞13

络及设别功完备；

2无线网发送（测量备应采用单传输只能发送信不能受信息；备

3）用单向传输设备只能3、无线网络收端应具有份识别能力不接受非授设备发送的线信息。发送状态信不能接收何指令。1）查机组的远监测和诊1、检查远程测系统的数获取、通讯联方式，是使用专用通网络、是14

远程监断系是否安全；有向隔离装置测系统）火电机振动远程2检查系统TSI振动远程测诊断系统服务器或主的网络信息安全防测和诊断网是否安全。

护措施，包：用户管理防毒软件、统升级、端管控等。

序号

检类

检对

检内

标与求

发的题

整改意计

企整改任人

科院督任15

1查外系统与DCS统、1、