电站新能源场站电力监控系统信息安全应急预案

电站新能源场站电力监控系统信息安全应急预案总则编制目的本方案是针对电力监控系统安全防护发生突发事件和严重故障而制定，其基本原则是根据预案设计并通过定期演练，达到正确、有效和快速地处置，避免突发事件和严重故障影响扩大，从而最大限度地保证电网运行安全。编制依据《中华人民共和国计算机信息系统安全保护条例》（中华人民共和国国务院令147号）《电力电力监控系统安全防护规定》（电监会5号令）《电力企业现场处置方案编制导则》《国家处置电网大面积停电事件应急预案》适用范围1.3.1本方案适用于应对和处置各类影响电力监控系统安全防护的突发事件和严重故障。1.3.2本方案中的电力监控系统包括各种生产控制大区应用系统、生产控制大区专用网络和相关的软硬件及物理环境。事件特征电力监控系统安全防护突发事件主要由计算机网络病毒、黑客入侵、恶意攻击及不安全接入等组成。不同事件有可能导致计算机系统停止服务或宕机、网络瘫痪、页面被篡改及重要信息泄露等危害。计算机感染病毒计算机感染病毒后往往会出现系统响应迟缓、无法正常操作、应用程序无法打开或关闭、自动重启和黑屏等现象。网络病毒发作会出现网络流量异常、通讯延迟，严重时会阻塞网络甚至造成网络大面积瘫痪。黑客入侵2.2.1计算机黑客入侵计算机系统会控制主机、破坏操作系统、窃取重要信息或造成计算机及其业务系统无法正常工作。2.2.2黑客进入网络可以利用黑客工具向WEB服务器发起拒绝服务攻击，造成系统正常访问无法得到相应服务。2.2.3黑客进入WEB服务器可以利用黑客工具篡改网页，窃取重要信息。调度数据网与其它网络互联调度数据网与其它网络互联或者被未经允许的网络设备、计算机私自接入，将会造成重要信息泄露、网络病毒入侵、黑客恶意破坏和网络瘫痪等危害。事件分级根据事件对电力监控系统造成不同程度的影响和破坏，将电力监控系统事件分为警戒状态（Ⅰ级）、紧急状态（Ⅱ级）两个等级。2.4.1Ⅰ级突发事件特征：事件影响某一台主机、调度数据网络上的某一个节点发现网络流量异常，部分应用响应缓慢；局部发现病毒、木马等恶意代码等。2.4.2Ⅱ级突发事件特征：事件影响一个或多个应用系统主要功能，调度数据网络大面积停运；病毒、木马等恶意代码大面积传播等。应急组织及职责3.1组织机构和职责按《工作预案》执行，其中技术支持工作组（自动化通信组）由自动化主管副主任、自动化班长和全处所有人员组成；信通中心主管副总经理、信通公司经理和相关专责人组成。山东应急组织结构图如下：3.2技术支持工作组在监控系统应急工作中的主要职责：3.2.1执行应急指挥部下达的应急指令和各项任务；3.2.2掌握应急处理情况，及时向应急指挥部报告应急处置过程中的重大问题；3.2.3在应急处置过程中协调有关部门和单位；3.2.4负责电力监控系统应急处置的具体指挥，包括组织制定有关计划、措施、预案等；3.2.5对电力监控系统突发事件和严重故障应急处置的有关信息进行汇总、整理和上报。应急处置应急处置程序应急处置程序流程：应急启动4.1.1.1自动化值班员发现电力监控系统安全防护突发事件和严重故障或接到调度台故障通知后，立即进行故障处理，在确认事件和故障后及时报告专责人和值长，并通知生产经理。4.1.1.2值长处置电力监控系统发生突发事件和严重故障，并向生产经理汇报。4.1.1.3生产经理指挥对电力监控系统突发事件和严重故障的处理，并根据事件的性质和影响程度向省公司领导和调度汇报。4.1.1.4应急指挥部指挥根据故障发生、发展情况，启动山东电网电力监控系统安全防护应急处置机制；技术支持工作组按《工作预案》迅速开展应急处置工作，其他工作组根据需要做好应急配合。应急处置措施4.2.1当电力电力监控系统安全防护发生突发事件和严重故障后，自动化各专责人员立即赶赴自动化机房按分工检查各自负责的系统和设备，在技术支持工作组的统一组织和协调下，按照相应处置子方案(见附录)进行故障的处理，并作好事件记录和汇报工作。4.2.2网络计算机感染病毒4.2.2.1当发现计算机感染病毒后应立即断开本机网络，利用杀毒软件对主机进行全面扫描及病毒查杀，针对操作系统漏洞为系统打补丁，故障排除后恢复网络连接。注意在为系统打补丁之前应作好系统备份工作。当病毒查杀软件不能彻底清除病毒时，可以采取物理格式化硬盘，重新安装操作系统与应用软件的办法来彻底清除。对网络上的其它计算机也要进行全面检查，安装必要的操作系统补丁，作好系统加固工作。4.2.2.2当发现计算机网络病毒爆发时，首先应对爆发区域的横向（安全区边界）和纵向（广域网络边界）网络断开，防止网络病毒继续传播蔓延，立即启用网络实时监视工具对网络流量进行分析，利用实时抓包工具对网络报文进行检查，查看安全产品日志，检查系统进程和服务。利用各种数据进行综合分析判断，从而发现病毒源、波及范围和病毒类型，将受感染的全部计算机断开网络，一一清除病毒并进行系统加固。4.2.3黑客入侵通过网络监视及系统扫描工具发现黑客入侵计算机或网络系统后，应立即切断黑客入侵通道，隔离故障点与数据网络的连接，清除计算机系统内的黑客软件，对遭到破坏的操作系统、数据库和网页进行恢复，对重要的计算机系统、网络设备进行全面系统加固，消除安全漏洞。4.2.4调度数据网与其它网络互联4.2.4.1通过现场检查与专用网络探测工具相结合的方式，发现调度数据网与其它网络通过物理网线或多网卡计算机互联，应立即进行物理清除。如果发现因底层传输通道被未经逻辑隔离的复用造成网络互联，应对调度数据网络的传输层进行改造，使之运行在经过逻辑隔离的安全传输通道上。4.2.4.2通过安全检查或网管软件、IP地址扫描等专业工具发现并定位到未经安全检查的网络设备和计算机接入调度数据网络时，及时切断并排除。通过在网络设备上封闭不使用的物理端口和加强网络设备物理安全的办法避免该类事件的发生。4.2.5电力监控系统安全防护突发事件和严重故障短时不能恢复，严重影响电网调度日常工作，按照《工作预案》规定启动备用调度。4.2.6事件记录与分析4.2.6.1事件紧急处理结束后立即完成事件记录与分析工作。事件记录包括：关于应急处理的会议记录，故障发生、发展和处理过程，调度自动化系统的信息记录，抢修工作记录等。4.2.6.2通过综合分析事件发生原因、损失危害程度及处置措施等，对存在的安全漏洞和隐患进行排除，对计算机系统和网络进行安全加固，并及时修订完善应急处置方案。4.2.7电力监控系统安全防护在发生突发事件和严重故障、处置结束后8小时内，相关专责人应做好突发事件和故障信息的原始数据拷贝，存入事故档案。应急结束电力监控系统突发事件和严重故障处理结束，设备和系统已基本恢复正常运行30分钟，应急工作结束。应急指挥部指挥向技术支持工作组和参与应急支援的有关单位宣布解除应急状态，恢复正常生产工作秩序。事件报告发生下列情况引起电力电力监控系统突发事件时，故障单位应立即按照《汇报规定》、《工作预案》等有关汇报要求向上级调度机构报告：大面积病毒爆发，且快速扩散事件；对主要网站、应用系统和关键设备等的大规模攻击和非法入侵；涉及国家或公司利益的电网信息泄密事件；其他影响公司信息系统的突发事件。报告分为紧急报告和详细汇报。紧急报告是指故障发生后，向上级调度机构口头汇报故障的简要情况；详细汇报是指在完成故障处理后，以书面形式向上级调度机构提交的详细报告。事件报告的内容要求：（1）报告要求简洁、清楚、准确。（2）报告的内容主要包括故障发生的时间、地点、故障影响范围和发生原因等。应急指挥部指定专人将应急处置情况及时向集团公司应急领导小组报告，并受集团公司应急领导小组委托进行信息披露。事件报告通过电话或信息平台实现，书面报告要有单位盖章，通过传真或电子邮件实现。注意事项为了在发生电力监控系统安全防护突发事件和严重故障后，能够及时启动并顺利实施应急处置方案