201634033316电力监控系统安全防护专项检查实施方案.docx

1、中国大唐集团公司电力监控系统安全防护专项检查表检查类别检查要点检查点检查方法检查细则检查记录基础设施物理安全机房1.机房等基础设施是否具有防窃、防火、防水、防破坏等物理安全防护措施；1） 抽查重要设备安装环境，检查是否满足防窃、防火、 防破坏等物理安全防护要求；2） 抽查该重要区域门禁系统的出入记录（如检查电子门禁记录）；3） 检查该重要区域门禁系统是否对出入人员有明确的鉴别功能（如检查电子门禁系统的定期巡检和维护记录）。1、 检查电子间、工程师站、继保间等门窗锁具、消防系统是否完善，是否配置门禁系统（无门禁系统须有钥匙管理制度并执行）；2、检查门禁系统能够记录出入人员身份并按要求保存一定时间

2、并能在后台查阅（无门禁系统须在钥匙保管处有借用记录）；3、门禁系统允许进入人员有针对性，无关人员不允许进入相关区域，进入相关区域的人员应经过厂内批准。4、通讯机房物理安全检查要求：a)访谈物理安全负责人，采取了哪些防止设备、介质等丢失的保护措施；b)访谈机房维护人员，询问主要设备放置位置是否做到安全可控,设备或主要部件是否进行了固定和标记，通信线缆是否铺设在隐蔽处；是否对机房安装的防盗报警设施进行定期维护检查；c)访谈资产管理员，在介质管理中，是否进行了分类标识，是否存放在介质库或档案室中；d)检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内；检查主要设备或设备的主要部件的固定情

3、况，是否不易被移动或被搬走，是否设置明显的无法除去的标记；e)检查通信线缆铺设是否在隐蔽处（如铺设在地下或管道中等）；f) 检查机房防盗报警设施是否正常运行，并查看运行和报警记录；g) 检查介质的管理情况，查看介质是否有正确的分类标识，是否存放在介质库或档案室中；h) 检查是否有设备管理制度文档，通信线路布线文档，介质管理制度文档，介质清单和使用记录，机房防盗报警设施的安装测评/验收报告。电源2.供电可靠性是否满足系统运行要求；3.电源电缆布设是否满足安全要求；1) 抽查供电设施及场所，检查是否满足防窃、防火、 防破坏等物理安全防护要求；2) 抽查机房供电线路上是否配置稳压器和过电压防护设备、

4、设置冗余或并行的电力电缆线路为计算机系统供电；3) 抽查机房建立备用供电系统，提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。1.查验远动装置、计算机监控系统及其测控单元等自动化设备应采用冗余配置的不间断电源或站内直流电源供电；2. 检查防雷和过电压防护能力应满足电力系统通信站防雷和过电压防护要求；3. 检查监控网络设备应采用独立的自动空气开关供电，禁止多台设备共用一个分路开关。各级开关保护范围应逐级配合，避免出现分路开关与总开关同时跳开，导致故障范围扩大的情况发生；4、柴发小室、UPS间、直流电源设备间、厂用配电室门窗锁具、消防系统是否完善；5、厂用电、UPS电源、柴油发电机

5、工作电压满足计算机工作要求220V10%，供电回路交流供电电源应采用两路来自不同电源点供电，具备双电源模块的装置或计算机，两个电源模块应由不同电源供电；6、通讯机房防静电要求：a) 应访谈物理安全负责人，询问机房是否采用必要的接地防静电措施，是否有控制机房湿度的措施；b) 应访谈机房维护人员，询问是否经常检查机房湿度，并控制在GB2887中的规定的范围内；询问机房是否存在静电问题或因静电引起的故障事件；c) 应检查机房是否有防静电设计/验收文档；d) 应检查机房是否有安全接地，查看机房的相对湿度是否符合GB2887中的规定，查看机房是否明显存在静电现象。7、通讯机房电磁防护要求a) 应访谈物理

6、安全负责人，询问是否有防止外界电磁干扰和设备寄生耦合干扰的措施（包括设备外壳有良好的接地、电源线和通信线缆隔离等）；b) 应访谈机房维护人员，询问是否对设备外壳做了良好的接地；是否做到电源线和通信线缆隔离；是否出现过因外界电磁干扰等问题引发的故障；c) 应检查机房是否有电磁防护设计/验收文档；d) 应检查机房设备外壳是否有安全接地；e) 应检查机房布线，查看是否做到电源线和通信线缆隔离。通讯4.通信设备及其线缆沟道（含局域网配线间）是否满足安全可靠运行要求；1） 抽查重要设备安装环境，检查是否满足防窃、防火、 防破坏等物理安全防护要求；2） 抽查通信设备是否具备N-1安全运行要求；3） 抽查大

7、楼不同的冗余的通信通道是否从不同的电缆沟道分设。1、通信光缆或电缆应采用不同路由的电缆沟(竖井)进入通信机房和主控室；避免与一次动力电缆同沟(架)布放，并完善防火阻燃、阻火分隔、防小动物封堵等各项安全措施，绑扎醒目的识别标志；如不具备条件，应采取电缆沟(竖井)内部分隔离等措施进行有效隔离；2、应访谈机房维护人员，询问是否对设备外壳做了良好的接地；是否做到电源线和通信线缆隔离；3、 应检查通信机房布线，查看是否做到电源线和通信线缆隔离；4、 应检查通信线缆铺设是否在隐蔽处（如铺设在地下或管道中等）；5、 应检查是否有通信线路布线文档/验收文档，和实际布线是否一致。体系结构安全安全分区5.电力监控

8、系统是否存在网络非法外联情况；6.运维、技术支持人员是否将接入生产控制大区的计算机设备与互联网相连混用；7.所有业务功能是否按安全分区的原则部署；1） 现场检查互联网信息接入功能是否按安全分区的原则实施部署；2） 现场检查电力监控系统是否存在网络非法外联情况；3） 现场检查运维、技术支持人员是否接入生产控制大区的计算机设备与互联网相连混用。1、现场检查与调度专网连接的设备如RTU、电量计费系统、AVC装置、PMU（功角测量装置）、故障录波系统等设备是否非法连接外网；2、厂用电保护后台主机是否非法连接外网；3、电量计费系统、AGC、AVC装置、PMU（功角测量装置）、故障录波系统、厂用电保护后台

9、、五防装置主机、网控系统按安全分区的原则部署；4、电力监控系统安全防护满足电力监控系统安全防护规定(国家发改委令2014年第14号令)及配套方案，确保电力监控系统安全防护体系完整可靠，具有数据网络安全防护实施方案和网络安全隔离措施，分区合理、隔离措施完备、可靠；5、可访谈网络管理员，询问是否按照电网和电厂计算机监控系统及调度数据网络安全防护的规定的要求，将电力监控系统及调度数据网与互联网相隔离；6、 应检查调度数据网络边界设备（包括防火墙、路由器、交换机等），查看是否有非法外联的计算机接入，若有是否采取定位、阻断等手段；7、应检查所有接入生产控制大区的计算机设备，是否配置多余网卡与互联网相连混

10、用；8、 应检查所有业务功能是否按照电力监控系统安全防护规定的原则，分为四个安全工作区：实时控制区、非控制生产区、生产管理区、管理信息区。网络专用8.调度数据网络是否基于专用通信通道（时分复用或波分复用），是否采用了统计复用的PTN或租用的虚拟的专网（VPN）等；9.抽查调度数据网网络设备，查看其安全配置是否符合要求；1） 访谈管理员并查看网络，确定是否存在PTN租用VPN网络；2） 现场检查调度数据网网络设备的安全配置，包括关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管协议、设置受信任的网络地址范围、记录设备日志、设置高强度的密

11、码、开启访问控制列表、封闭空闲的网络端口等。1、调度数据网络设备是否符合调度相关要求；2、抽查调度数据网网络设备，查看其安全配置是否符合调度要求，满足调度接口标准。横向隔离10.安全大区的横向边界是否采用正反向隔离装置，并是否配置正确1） 访谈管理员并查看网络拓扑，检查系统横向边界安全防护是否采用正反隔离装置；2） 查看正方向隔离装置配置，检查是否配置了不必要规则策略。1、生产控制大区内部的系统配置应符合规定要求，硬件应满足要求；生产控制大区一和二区之间应实现逻辑隔离，防火墙规则配置应严格；连接生产控制大区和管理信息大区间应安装正反向横向隔离装置，装置应经过国家权威机构的测试和安全认证。2、访

12、谈网络管理员，询问I、II区之间是否采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离，禁止E-mail、Web、Telnet、Rlogin等服务穿越安全区之间的隔离设备；3、检查安全区、与安全区是否直接联系；安全区、与安全区之间是否采用经有关部门认定核准的专用安全隔离装置（或：经国家指定部门检测认证的电力专用横向单向安全隔离装置）；4、检查安全隔离装置（正向）是否用于安全区I/II到安全区III的单向数据传递；安全隔离装置（反向）是否用于安全区III到安全区I/II的单向数据传递。纵向认证11.调度数据网纵向边界是否部署电力专用纵向加密认证装置或者加密认证网关及相应设施；12.安全区是

13、否采用纵向加密认证装置替代防火墙；1）查看电力监控系统的网络拓扑结构，是否在生产控制大区与广域网边界设置国家指定部门检测认证的电力专用纵向加密认证装置；2）抽查纵向加密装置，检查隧道是否处于密通；3）抽查纵向加密装置，查看安全策略是否按照实际业务细化到相关业务系统具体的IP地址（段）、业务端口号和连接方向； 4）登录到纵向加密装置，查看是否仅仅开放了业务端口及ICMP，对其它端口均关闭； 5）查看安全区否已采用纵向加密认证装置替代防火墙。1、检查发电厂至电力调度数据网之间应安装纵向加密认证装置，装置应经过国家权威机构的测试和安全认证；2、检查发电厂至电力调度数据网之间应安装纵向加密认证装置是否

14、满足调度要求。系统本体安全防火墙和入侵监测13.防火墙是否仅开通应用所需的数据通道，IDS入侵监测策略是否合理；1）应检查访问控制策略是否使用白名单方式，是否存在源地址、目的地址或端口为空或any的情况； 2）应访谈安全策略开放端口和协议的目的； 3）应检查访问控制策略地址、端口配置范围是否过宽，是否对地址段、端口端进行了定义。如单条策略配置的源地址、目的地址或端口段未进行定义且范围大于1个，应访谈并检查是否有相关的设计、说明文档明确策略开通的目的； 4）应该查看防火墙配置，明确访问控制规则是否应用到端口或者安全域中。1、访谈安全员，询问网络入侵防范措施有哪些；询问是否有专门的设备对网络入侵进

15、行防范；询问采取什么方式进行网络入侵防范规则库升级；2、检查网络入侵防范设备，查看是否能检测以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等；3、检查网络入侵防范设备，查看其生产厂商是否为正规厂商，规则库是否为最新；4、了解网络入侵防范设备，验证其监控策略是否有效。边界完整性管理14.是否采取技术或相关措施防止生产控制大区的非法外联1）访谈管理员是否已采取技术手段防止非授权设备私自内联到内部网络（如网络准入系统等），并现场测试该技术手段是否有效；2)访谈管理员是否已采取技术手段防止内部网络用户私联到外部网络的行为（如内网安全管理系统等）

16、，并现场检查该技术手段是否有效，是否有阻断记录；3)访谈管理员并现场检查是否在管理上制定了禁止私自内联、外联的行为规定。1、检查边界完整性检查设备，查看是否有未安装非法外联客户端的计算机接入网络，若有是否采取进行定位、阻断；2、检查边界完整性检查工具运行日志，查看运行是否正常（查看是否持续对网络全网段进行监控）；3、 检查边界完整性检查设备/工具的配置，查看是否正确配置对网络的内部用户未通过准许私自联到外部网络的行为进行有效监控；4、检查边界完整性检查工具，是否能有效的发现“非法外联”的行为。主机硬件15.计算机、存储设备、路由器、交换机等关键设备是否存在经过国家有关部门的安全检测，是否存在安

17、全隐患或而恶意芯片；1） 查看相关安全检测证明；现场记录设备型号及固件版本号，比较国家披露信息确认是否存在安全隐患。1、检查远动装置、相量测量装置、电能量终端、时间同步装置、五防装置、计算机监控系统及其测控单元、变送器及安全防护设备等自动化设备(子站)必须是通过具有国家级检测资质的质检机构检验合格的产品；2、禁止选用经国家相关管理部门检测存在信息安全漏洞的设备，安全四级主要设备应满足电磁屏蔽的要求，全面形成具有纵深防御的安全防护体系。16.其空闲网络端口是否已关闭：生产控制大区是否采取禁止USB、光驱等移动介质接入措施；1)现场检查设备空闲端口是否关闭；2)现场检查主机USB、光驱等接口封闭情

18、况。1、现场调度专网路由器与现场设备接口按指定接口连接；空闲端口应从系统设置关闭；2、现场与调度专网连接设备主机USB、光驱等接口应采用封条予以封闭，如不需要使用应予以拆除；3、查验空闲网络端口是否关闭并贴上封条；4、现场查验DCS主机、操作站USB、光驱等接口封闭并贴上封条。操作系统、关系数据库等基础软件17.电网调度控制系统，发电厂、变电站、换流站的实时监控系统，安全自动装置、控制保护设备等是否采用国家有关部门检测认证的安全操作系统；18.核查非安全操作系统设备是否已采取有效防护手段；1）现场检查主站使用的操作系统是否非安全操作系统；2）现场核查故障录波系统安全自动装置、控制保护设备等电力

19、监控系统是否存在使用非安全操作系统。 1、检查故障录波系统、厂用电保护后台、安全自动装置、远动装置、相量测量装置、电能计量终端、时间同步装置、控制保护设备、五防设备等电力监控系统是否存在使用非安全操作系统；2、非安全操作系统设备是否采取有效防护手段；3、检查服务器操作系统和数据库管理系统身份鉴别功能是否具有信息安全等级保护操作系统安全技术要求和信息安全等级保护数据库管理系统安全技术要求第二级以上或TCSEC C2级以上的测评报告；4、访谈系统管理员，询问操作系统的身份标识与鉴别机制采取何种措施实现，目前系统提供了哪些身份鉴别措施（如用户名和口令等）和鉴别失败处理措施(如设置了非法登录次数的限制

20、值，对超过限制值的登录终止其鉴别会话或临时封闭帐号)。19.生产控制大区是否按要求关闭了通用网络服务；1）访谈系统管理员，并检查操作系统是否开启了E-mail、Web、FTP等不必要的通用网络服务。1、检查生产控制大区是否开启E-mail、Web、FTP等不必要的通用网络服务；2、访谈网络管理员是否关闭不必要的网络服务；3、对操作系统自带的的服务端口进行梳理，关掉不必要的系统服务端口，并建立相应的端口开放审批制度。20.检查操作系统是否存在恶意后门，是否采取防止恶意代码的安全措施；1）通过访谈系统管理员，检查主站系统操作系统是否具有防止恶意代码软件功能，病毒库、木马库以及IDS规则库应经过安全

21、监测并应离线进行更新；2）系统涉及的专用终端是否进过安全加固，加固内容不限于系统补丁、账户与口令、安全防护措施、日志与审计等。1、检查是否对故障录波系统、厂用电保护后台、安全自动装置、远动装置、相量测量装置、电能计量终端、时间同步装置、RTU装置、五防闭锁装置主机操作系统按需求进行离线软件升级；2、与系统管理员访谈，询问操作系统是否采取入侵防范措施，入侵防范内容是否包括主机运行监视、资源使用超过值报警、特定进程监控、入侵行为检测、完整性检测等方面内容；3、与系统管理员访谈，询问入侵防范产品的厂家、版本和在主机系统中的安装部署情况；询问是否进行过部署的改进或者更换过产品，是否按要求（如定期或实时

22、）进行离线更新；4、访谈安全审计员，询问主机系统是否设置安全审计；询问主机系统对事件进行审计的选择要求和策略是什么；对审计日志的处理方式有哪些；5、检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统，查看审计策略是否覆盖系统内重要的安全相关事件，例如，用户标识与鉴别、自主访问控制的所有操作记录、重要用户行为（如用超级用户命令改变用户身份，删除系统表）、系统资源的异常使用、重要系统命令的使用（如删除客体）等；6、检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统，在系统上以某个用户试图产生一些重要的安全相关事件（如鉴别失败等），测评安全审计的覆盖情况和记录情况与要求是否一致。

23、21.核查是否存在供应商缺省账户；1）通过访谈系统管理员，掌握用户分配情况；2）实用软件扫描实际账户分配情况；3）确定供应商缺省账户情况。1、检查用户权限分配是否合理；2、检查供应商是否设置缺省账户；3、查看主要服务器操作系统和主要数据库管理系统，查看匿名/默认用户的访问权限是否已被禁用或者严格限制（如限定在有限的范围内）。22.检查是否存在弱口令；1）身份鉴别信息不易被冒用，口令复杂程度满足要求并定期更换；2）应修改默认用户和口令，不得使用缺省口令；3）口令长度不得小于8位，且为字母、数字或特殊符号的混合组合，用户名和口令不得相同；4）禁止明文储存口令。1、检查故障录波系统、厂用电保护后台、

24、安全自动装置、远动装置、相量测量装置、电能计量终端、时间同步装置、RTU装置、五防闭锁设备主机系统口令长度不得小于8位，且为字母、数字或特殊符号的混合组合，用户名和口令不得相同；2、检查设备系统口令至少每三个月进行一次更新；3、检查操作系统、数据库管理员口令是否由专人管理，禁止明文传输，口令须加密保存；4、检查主要服务器操作系统和主要数据库管理系统，查看是否提供了身份鉴别措施（如用户名和口令等），其身份鉴别信息是否具有不易被冒用的特点，检查账户密码策略设置，例如，口令足够长，口令复杂（如规定字符应混有大、小写字母、数字和特殊字符），口令生命周期，新旧口令的替换要求（如规定替换的字符数量）或为了

25、便于记忆使用了令牌；5、检查主要服务器操作系统和主要数据库管理系统，查看身份鉴别是否采用两个及两个以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合）；6、检查主要服务器操作系统是否有弱口令现象。23.管理策略；检查用户账号密码1） 上机检查安全策略及配置文件，检查口令设置是否符合数字加字母至少8位以上的复杂度要求；2） 口令是否满足至少每三个月进行一次更新；3） 操作系统、数据库管理员口令是否由专人管理，并定期更改口令；4）禁止明文传输，口令须加密保存。1、查验是否建立口令管理制度并有专人执行；2、

26、检查服务器操作系统和数据库管理系统的安全策略，查看是否明确主体（如用户）以用户和/或用户组的身份规定对客体（如文件或系统设备,目录表和存取控制表访问控制等）的访问控制，覆盖范围是否包括与信息安全直接相关的主体（如用户）和客体（如文件，数据库表等）及它们之间的操作（如读、写或执行）。SCADA/AGC/AVC等应用功能24.控制功能是否使用调度数字证书认证；1）现场检查控制功能是否使用调度数字证书认证。1、SCADA 、AGC、AVC控制功能使用调度数字证书认证。应用系统运行管理25.检查系统用户账号及其权限管理情况；1）检查是否定期开展账号权限清理；2）是否制定了防特权账号滥用的管理要求及应急

27、处置方案1、查验是否有定期账号权限清理制度，是否按照制度进行执行；2、查验是否制定了防特权账号的管理要求及应急处理方案，并建立相应台账。26.检查账号权限的管理制度落实情况；1）检查相关制度文件、记录文档及审批记录文件，抽查运维人员询问制度及流程里的内容，检查是否制定账号管理相关流程、规定或制度；2）访谈运维人员是否清楚制度与流程内容；3）相关规定制度的发布是否通过信息部门、业务部门等的审批；4）是否有外来人员的工作权限及系统账号管理权限记录；1、检查电气安全防护制度及应急预案、应急演练记录等文件；2、访谈安全管理人员、值长、检修专责，了解对制度熟悉程度；3、关规定制度的发布是否通过信息部门、

28、业务部门等的审批；4、针对设备厂家维护人员现场工作是否有工作权限及系统账号管理权限记录。27.检查账号权限的管理是否有审计记录；1）检查应用系统、数据系统是否开启对特定操作的审计记录功能，如账号锁定/解锁、权限调整、业务报表导出等操作应有审计日志记录；2）查看审计日志记录覆盖是否全面，内容是否详细，是否有第三方日志审计系统对日志进行统一分析处理并生成第三方日志审计系统安全测试报告等。1、访谈安全审计员，询问应用系统是否有安全审计功能，对事件进行审计的选择要求和策略是什么，对审计日志的保护措施有哪些；2、检查主要应用系统，查看其审计策略是否覆盖系统内重要的安全相关事件，例如，用户标识与鉴别、自主

29、访问控制的所有操作记录、重要用户行为（如用超级用户命令改变用户身份，删除系统表）、系统资源的异常使用、重要系统命令的使用（如删除客体）等；3、检查主要应用系统，查看其审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源（如末端标识符）、事件的结果等内容； 4、检查主要应用系统，查看其是否为授权用户浏览和分析审计数据提供专门的审计工具（如对审计记录进行分类、排序、查询、统计、分析和组合查询等），并能根据需要生成审计报表。全方位安全管理人员管理28.现场运维人员和厂家技术支持人员安全管理及防护措施；1）现场检查运维人员和厂家技术人员维

30、护活动的相关管理制度；2）现场检查维护记录，掌握相关安全防护措施。1、检查现场检查运维人员和厂家技术人员维护活动的相关管理制度；2、检查运维人员和厂家技术人员现场维护活动记录，厂家技术人员现场维护要有检修人员陪同监督。3、访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日常管理工作的负责人、系统管理员、网络管理员和安全员，询问其岗位职责包括哪些内容及相关管理制度； 4、检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门的职责和分工，部门职责是否涵盖物理、网络和系统等各个方面；查看文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统

31、管理员、网络管理员、安全员等各个岗位，各个岗位的职责范围是否清晰，否明确岗位人员应具有的技能要求，人员是否备案；设备管理29.核查电力监控系统的全设备安全管理是否存在漏项；1）检查时钟等辅助设备是否纳入安全管理范畴。1、检查时间同步装置是否纳入安全管理文件范围，是否有适用的条文； 2、时间同步装置安全管理规定是否切实执行。30.核查接入设备身份是否可信，设备证书是否符合管理要求；1）检查接入设备是否具备调度数字证书；2）检查设备使用的调度数字证书应用情况。1、检查RTU（远动装置）、PMU（相量测量装置）、电能计量终端、故障信息子站、AVC装置等接入调度专网设备具备调度数字证书并在有效期内。31.检查五防设备接入站内监控系统是否符合相关安全防护要求；1）检查五防设备是否接入调度专网；2）现场检查五防设备主机的安全防护情况是否满足接入要求。1、检查五防设备是否接入调度专网；2、五防设备