二次系统安全防护管理制度

二次系统平安防护管理制度

生产技术部

二次系统平安防护管理制度

一、总则

1、为了确保本厂电力监控系统及电力调度数据网络的平安，抵

挡黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特殊是抵挡

集团式的攻击，防止电力二次系统崩溃和瘫痪，以及由此造成的电力

系统事故或，建立山西兆光发电厂电力二次系统平安防护体系，特此

制定本制度。

2、本制度明确了山西兆光发电厂电力二次系统平安防护的职责

与分工、日常运行与管理、技术管理、工程实施、接入管理、平安评

估、应急处理、保密工作等内容，山西兆光电厂各级部门应严格遵守。

3、本厂依据“谁主管谁负责，谁经营谁负责”的原则，建立电

力二次系统平安管理制度，将电力全防护及其信息报送纳入日常平安

生产管理体系，落实分级负责的责任制。

4、本制度运用于本厂电力二次系统的规划设计、项目审查、工

程实施、系统改造、运行管理等。

5、依据

《电网和电厂计算机监控系统及调度数据网络平安防护的规定》

（国家经贸委［2002］第30号令）；

国家电力监管委员会《电力二次系统平安防护规定》（电监会5

号令）；

国家电监会《电力二次系统平安防护总体方案》等6个配套文件

（电监平安［2006］34号）；

二、职责分工

各级相关部门的平安职责

1、生产技术部附则建立本厂内涉及电力调度的二次系统平安防

护体系并报调度中心审查。

2、仪电维护部附则本厂内涉及电力调度的二次系统平安防护方

案的落实、有关工程实施工作。

3、发电部及仪电维护部负责本厂内涉及到电力调度的二次系统

平安防护设施的巡察工作。

4、发电部及仪电维护部各二次系统平安防护专责人员负责协作

调度中心对涉及及电力调度的二次系统平安防护进行评估。

5、仪电维护部负责协作调度中心处理电力二次系统平安防护应

急事务和日常出现的问题。

6、生产技术部负责定期向调度中心报送电力二次系统平安防护

状况，并刚好上报电力二次系统平安防护出现的异样现象。

各级相关人员的平安职责

1、本厂主管平安生产的领导为本厂所管辖二次系统的平安防护第

一责任人。

2、木厂所设置的二次系统平安防护小组或专责人员，负责平安防

护设备及有关措施的日常巡察和定期检查、分析工作，发觉二次系统

平安隐患的时间要刚好进行处理，并依据有关规定马上上报。

3、本厂自动化专业人员负责管理本厂所属调度数据网络设备、横

向物理隔离装置、纵向加密认证装置、防火墙、防病毒软件等二次系

统公共平安防护设施。

4、二次系统各业务系统应设定专责人负责所辖业务系统的平安

管理。

5、二次系统各业务系统的一般工作人员应当严格遵守各项平安

防护管理制度。

三、日常运行与管理

1、本厂电力二次系统平安防护日常巡察检查应纳入日常运行工

作中。

2、本厂二次系统平安防护及各'业务系统平安管理专责人员应定

期巡察、检查和分析平安防护状况，并形成平安防护巡查分析日志。

3、本厂应依据平安防护方案制定相应的平安应急措施和故障复

原措施，在日常运行中发觉平安隐患要刚好向上一级平安管理部门报

告，并做好具体记录。

5、本厂应设立专责人负责挂历本厂或本部门的电力二次系统数

字证书等平安设施。

6、对已依据病毒防护的系统，应设立专责人员跟踪软件升级状

况刚好离线更新病毒特征库。

7、应定期重点检查是否存在平安区域之间旁路联通或短路连接

问题、正向平安隔离装置的版本问题、系统弱口令问题、系统补丁修

补问题、远程维护问题等。

8、重要时期为确保二次系统平安运行，禁止通过公网VPN和拨

号访问对生产限制大区进行远方维护，落实切断措施（关闭调制解调

器电源、拔掉电话线、拔掉串口线）。

四、技术管理

1、技术原则

1）、二次系统平安防护的总体原则为“平安分区，网络专用、横

向隔离、纵向认证”。

2）、二次系统平安防护主要针对网络系统和基于网络的电力生产

限制系统。

2、本厂电力二次系统平安防护主要内容

1）限制区业务系统：自动化远方终端装置；调速系统和发电限

制功能；励磁系统和无功电压限制功能；网控系统；相量测量装置

PMU；

自动限制装置PSS、气门快关；继电爱护装置及有远方设置功能管理

终端；华北电力调度数据网络接入路由器及交换机等网络设备和系

统。

2）非限制区业务系统：继电爱护无远方设置功能管理终端；故

障录波装置；优化调度管理系统终端；AGC/AVC性能监视管理系统终

端等。

3）管理信息大区业务系统；OMS系统终端。

3、技术措施管理

1）在二次系统平安防护体系的生产限制区内，禁止以各种方式

开通与互联网的连接；限制开通拨号功能，对于维护工作必要开通

的拨号功能要进行严格的管理，列入日常运行管理中，做到随用随开,

建立严格的登记制度。

2）对生产限制区中的PC机要实施严格的网络平安管理，再介入

前要对其进行防病毒和打补丁措施，做好接入记录。在网络边界运行

的计算机应采纳经过平安加固的Linux或Unix操作系统。

3）对于属于限制区、非限制IX但部署在自动化机房以外的终端、

工作站，应关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行

口等。

4）全部接入电力二次系统的平安产品，必需通过国家制定机构

平安检测证明。

五、工程实施的平安管理

1、平安防护方案的实施必需严格遵守国家经贸委30号令、国家

电监会5号令以及本文件的有关规定。

2、本厂二次系统相关设备及系统的开发单位、供应商必需以合

同条款或保密协议的方式保证所供应的设备及系统符合《电力二次系

统平安防护规定》的要求，并在设备及系统的生命期内对此负责。

3、本厂电力二次系统各相关设备及系统的供应商必需承诺；所

供应的设备及系统中不包含任何平安隐患，并担当由此引发的连带责

任，终生有效。

4、本厂二次系统相关设备及系统的工程实施单位，必需具备相

应的资质。

5、本厂新建的电力二次系统工程的设计必需符合国家、行业的

有关平安防护标准、法规、法令、规定等、

6、本厂的二次系统平安防护实施方案必需经过其上级信息平安

主管部门或其所属上一级电力调度机构的审核、批准，完工后必需经

过上述机构验收。

7、未经履行相关手续及非调度中心平安防护专责或授权人员，

任何人、任何单位不得进行任何涉及本厂电力二次系统平安防护的操

作。

六、设备和应用系统的接入管理

1、本厂依据华北网相关规定，由华北网调度中心负责在华北电

力调度数据网络内进行设备、应用、服务的接入工作。

2、本厂接入华北电力调度数据网络的技术方案和平安防护措施

方案须经调度中心核准，并备案。

3、本厂在二次系统中接入任何新的应用系统或设备，必需经该

系统所属管理机构平安防护专责审查批准后，方可在平安管理人员的

监管下实施。

4、加强系统接入的过程管理，特殊是要加强对厂商技术人员的

平安监督、平安培训管理，包括对厂商技术人员的平安培训、平安制

度落实以及厂商技术人员笔记本的平安管理。

5、对于要接入木厂二次系统新的平安防护装置要进行严格的离

线测试及稳定性考研，编写具体的接入方案，并填写入深秋报告经过

上级主管部门的批准后方可进行实施。

6、本厂应加强二次系统现有平安防护体系的变更管理，在进行

网络结构变更前要具有具体的变更方案，标准结构变更后符合原系统

相关业务的性能要求。填写变更申请报告，经过本厂平安防护主管部

门的批准后方可进行实施。

7、对于本厂平安防护尚未满意电力二次系统平安防护总体方案

及相关文件要求的系统，特殊是NCS、DCS系统都能必需彻底断开限

制系统与管理信息系统及外部网络的任何网络连接。

8、对本厂进入华北网系统的二次系统及设备要进行平安性测试

认证。

七、平安评估管理

1、本厂应将二次系统平安评估纳入电力系统平安评价体系。

2、平安防护评估内容包括：风险评估、演戏、漏洞检查、平安

体系的评估、平安设备的部署及性能评估、平安管理措施的评估等。

3、本厂二次系统应每年进行一次平安评估。

4、本厂二次系统的新系统在投运之前、老系统进行平安整改之

后或进行重大改造或升级后必需细心平安评估。

5、对本厂生产限制大区平安评估的全部记录、数据、结果等均

不容以任何形式带出本厂，按国家有关要求做好保密工作。

八、应急处理

1、木厂应建立健全集中统一、坚毅有力、政令畅通的平安防护

应急指挥机构。

2、本厂必需制定平安防护应急处理预案，建立全面的应急响应

体系，制定规范、完整的应急处理和应急流程，定期进行预演或模拟

验证，不断完善信息平安通报机制。

3、本厂发觉所管辖的二次系统受到攻击或侵害，特殊是电力生

产限制大区出现平安防护事故、遭到黑客、恶意代码攻击和其他任务

破坏时•，应马上启动应急预案、向调度中心和信息平安烛光部门报告,

必需按应急处理预案马上实行相应的平安应急措施。并通报有网络

连接的相连单位（有关的调度机构及发电厂和变电站），以便实行快

速相应和联合动态防护措施，防止事务扩大。同时留意爱护事故现场,

以便进行调查取证和事故分析。

九、保密工作

1、强化信息平安和保密意识，对二次系统专业平安防护设施、

调度数字证书、本厂的平安防护方案及实施状况、调度数据网络结构

及IP地址等参数配置、策略设置、信息平安评估和平安监察的相关

状况、生产限制系统内部关键结构及设置等关键档案。以及系统调试、

测试记录和验收报告等资料要严格进行平安管理，切实做好保密工

作。

2、本厂二次系统平安防护的图纸、资料应齐全、精确，并刚好

进行更新，保持与实际相符。

3、凡涉及本厂二次系统平安防护隐私的各种