发电企业工控系统网络信息安全技术监督检查表(热工专业)_第1页
发电企业工控系统网络信息安全技术监督检查表(热工专业)_第2页
发电企业工控系统网络信息安全技术监督检查表(热工专业)_第3页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、发电企业工控系统网络信息安全技术监督检查表(热工专业)序号检查类别检查对象检查内容标准与要求发现 的问 题整改意见整改时 间计划企业整 改责任 人科研院监督责任人1基础设施 物理 安全机房1)抽查重要设备安装环境, 检查是否满足防窃、防火、防 破坏等物理安全防护要求;2)抽查该重要区域门禁系统 的岀入记录(如检查电子门禁 记录);3)检查该重要区域门禁系统 是否对岀入人员有明确的鉴 别功能(如检查电子门禁系统 的定期巡检和维护记录)。1、检查DCS电子间、工程师站等门窗锁具、消防系统是否完善,是否配置门禁系统(无门禁系统须有钥匙管理制度并执行);2、检查门禁系统能够记录岀入人员身份并按要求保存

2、一定时间并能在后台查阅(无门禁系统须在钥匙保管处有借用记录);3、门禁系统允许进入人员有针对性,无关人员不允许进入相关区域,进入相关区 域的人员应经过厂内批准;4、通讯机房物理安全检查要求:a)访谈物理安全负责人,采取了哪些防止设备、介质等丢失的保护措施;b)访谈机房维护人员,询问主要设备放置位置是否做到安全可控,设备或主要部件是否进行了固定和标记,通信线缆是否铺设在隐蔽处;是否对机房安装的防盗报警设施进行定期维护检查;c)访谈资产管理员,在介质管理中,是否进行了分类标识,是否存放在介质库或 档案室中;d)检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内;检查 主要设备或设备的主

3、要部件的固定情况,是否不易被移动或被搬走,是否设置明 显的无法除去的标记;e)检查通信线缆铺设是否在隐蔽处(如铺设在地下或管道中等);f)检查机房防盗报警设施是否正常运行,并查看运行和报警记录;g)检查介质的管理情况,查看介质是否有正确的分类标识,是否存放在介质库或 档案室中;序号检查 类别检查对象检查内容标准与要求发现 的问 题整改意见整改时 间计划企业整 改责任 人科研院监 督责任人2h)检查是否有设备管理制度文档,通信线路布线文档,介质管理制度文档,介质 清单和使用记录,机房防盗报警设施的安装测评/验收报告。电源1)抽查供电设施及场所, 检查 是否满足防窃、防火、防破坏 等物理安全防护要

4、求;2)抽查机房供电线路上是否 配置稳压器和过电压防护设 备、设置冗余或并行的电力电 缆线路为计算机系统供电;3)抽查机房建立备用供电系 统,提供短期的备用电力供 应,至少满足设备在断电情况 下的正常运行要求。1、查验DCS系统、计算机监控系统及其测控单元等自动化设备是否按二十五项反 措要求配置了可靠的冗余电源;2、检查防雷和过电压防护能力是否满足电力系统通信站防雷和过电压防护要求;3、检查监控网络设备是否采用独立的自动空气开关供电,禁止多台设备共用一个 分路开关。各级开关保护范围应逐级配合,避免岀现分路开关与总开关同时跳开, 导致故障范围扩大的情况发生;4、通讯机房防静电要求:a)应访谈物理

5、安全负责人,询问机房是否采用必要的接地防静电措施,是否有控 制机房湿度的措施;b)应访谈机房维护人员,询问是否经常检查机房湿度,并控制在GB2887中的规定的范围内;询问机房是否存在静电问题或因静电引起的故障事件;c)应检查机房是否有防静电设计/验收文档;d)应检查机房是否有安全接地,查看机房的相对湿度是否符合GB2887中的规定,查看机房是否明显存在静电现象。5、通讯机房电磁防护要求a)应访谈物理安全负责人,询问是否有防止外界电磁干扰和设备寄生耦合干扰的措施(包括设备外壳有良好的接地、电源线和通信线缆隔离等);b)应访谈机房维护人员,询问是否对设备外壳做了良好的接地;是否做到电源线 和通信线

6、缆隔离;是否出现过因外界电磁干扰等问题引发的故障;c)DCS系统抗射频干扰测试合格,有试验报告。序号检查 类别检查对象检查内容标准与要求发现 的问 题整改意见整改时 间计划企业整 改责任 人科研院监 督责任人3通讯1)抽查重要设备安装环境, 检查是否满足防窃、防火、防 破坏等物理安全防护要求;2)抽查不同的冗余的通信通 道是否从不同的电缆沟道分 设。1、 通信光缆或电缆应采用不同路由的电缆沟(竖井)进入DCS电子间和工程师站;避免与一次动力电缆同沟(架)布放,并完善防火阻燃、阻火分隔、防小动物封堵等各项安全措施,绑扎醒目的识别标志;如不具备条件,应采取电缆沟(竖井)内部分隔离等措施进行有效隔离

7、;2、 应访谈DCS电子间和工程师站维护人员,询问是否对设备外壳做了良好的接地; 是否做到电源线和通信线缆隔离;3、应检查DCS电子间和工程师站布线,查看是否做到电源线和通信线缆隔离;4、 应检查通信线缆铺设是否在隐蔽处(如铺设在地下或管道中等);5、 应检查是否有通信线路布线文档/验收文档,和实际布线是否一致。4系统本体安全主机硬件1)查看相关安全检测证明; 现场记录设备型号及固件版 本号,比较国家披露信息确认 是否存在安全隐患。检查时钟 等辅助设备是否纳入安全管理范畴。2)现场检查设备空闲端口是 否关闭;3)现场检查主机USB光驱等 接口封闭情况。1、检查DCS系统时间同步装置及安全防护设

8、备等必须是通过具有国家级检测资质的质检机构检验合格的产品;2、查验空闲网络端口是否关闭并贴上封条;3、现场查验 DCS系统各类主机和操作站的USB光驱、串口等接口封闭并贴上封条,对必须由光盘进行备份的系统,应制定完善的管理制度并认真执行;4、现场使用的网线及接头应具备屏蔽功能。序号检查 类别检查对象检查内容标准与要求发现 的问 题整改意见整改时 间计划企业整 改责任 人科研院监 督责任人5操作系 统、关系数据库 等基础 软件1)身份鉴别信息不易被冒用, 口令复杂程度满足要求并定 期更换;应定期检查并锁定或 撤销网络设备中不必要的用户账号;2)应修改默认用户和口令, 不得使用缺省口令;3)口令长

9、度不得小于 8位, 且为字母、数字或特殊符号的 混合组合,用户名和口令不得 相同;4)禁止明文储存口令。5)windows系统应使用正版 操作系统,并加装防范计算机 病毒和网络攻击、网络入侵的 软件,及时更新。6)DCS操作员站安装杀毒软 件应该根据厂家意见进行,避 免引起操作系统异常。7 )访谈系统管理员,并检查 操作系统是否开启了E-mail、Web FTP 等不必要 的通用网络服务。1、 检查DCS系统工程师站、时间同步装置等主机系统口令长度不得小于8位,且 为字母、数字或特殊符号的混合组合,用户名和口令不得相同;2、检查设备系统口令至少每三个月进行一次更新;3、检查操作系统、数据库管理

10、员口令是否由专人管理,禁止明文传输,口令须加 密保存;4、检查主要服务器操作系统和主要数据库管理系统,查看是否提供了身份鉴别措 施(如用户名和口令等),其身份鉴别信息是否具有不易被冒用的特点,检查账户 密码策略设置,例如,口令足够长,口令复杂(如规疋字符应混有大、小与字母、数字和特殊字符),口令生命周期,新旧口令的替换要求(如规定替换的字符数量) 或为了便于记忆使用了令牌;5、检查主要服务器操作系统和主要数据库管理系统,查看身份鉴别是否采用两个及两个以上身份鉴别技术的组合来进行身份鉴别(如采用用户名/ 口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合

11、);6、检查主要服务器操作系统是否有弱口令现象。7、检查DCS系统主机是否开启 E-mail、Web FTP等不必要的通用网络服务,对 操作系统自带的的服务端口进行梳理,关掉不必要的系统服务端口,并建立相应的端口开放审批制度。序号检查 类别检查对象检查内容标准与要求发现 的问 题整改意见整改时 间计划企业整 改责任 人科研院监 督责任人应定期检验网络设备软件版 本信息。6全方 位安 全管 理人员管理1)现场检查运维人员和厂家 技术人员维护活动的相关管 理制度;2)现场检查维护记录,掌握 相关安全防护措施。1、检查现场检查运维人员和厂家技术人员维护活动的相关管理制度;2、检查运维人员和厂家技术人

12、员现场维护活动记录,厂家技术人员现场维护要有 检修人员陪同监督;3、访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日 常管理工作的负责人、系统管理员、网络管理员和安全员,询问其岗位职责包括 哪些内容及相关管理制度;4、检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确 机构内各部门的职责和分工,部门职责是否涵盖物理、网络和系统等各个方面; 查看文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系 统管理员、网络管理员、安全员等各个岗位,各个岗位的职责范围是否清晰,否 明确岗位人员应具有的技能要求,人员是否备案。7外部设 备接入 管理1)检查外

13、部计算机的接入是 否具有相应的安全管理制度;2)核查移动介质的接入是否 具有相应的安全管理制度和 记录。3)检查各操作站与打印机、1、检查DCS系统历史数据、组态数据等转移是否采用专用移动介质;2、检查专用移动介质是否具有安全防护功能;3、检查是否具有移动介质的接入管理制度和使用记录。4、接入DCS系统的外围设备不允许连接外网,不允许使用无线连接打印机,打印 机USB接口应封闭。序号检查 类别检查对象检查内容标准与要求发现 的问 题整改意见整改时 间计划企业整 改责任 人科研院监 督责任人大屏幕的通讯是否米用专线 通讯。8安全 应急 措施冗余备 用1)检查DCS系统电源、DPU网络的冗余备用情

14、况;2)检查DCS系统重要主机、 服务器的冗余备用情况。1、检查DCS系统电源、控制器、通讯网络的冗余配置,有切换试验报告,满足相 关验收测试和运行维护规程;2、检查工程师站、操作员站及通信网络的冗余备用情况。9应急预 案及演 练1)现场查看是否有网络与信 息安全的应急预案;2)现场查看是否有应急管理 制度;3)现场查看是否有应急演练 记录。1、现场查看是否有网络与信息安全的应急预案;2、现场查看是否有应急演练记录;3、应制定DCS系统网络故障应急预案和故障恢复措施,设备系统和运行数据应定 期备份。10特殊 设备PLC系统1)检查PLC通讯网络是否与 外网隔离、无用端口是否封 闭;2)检查PL

15、C是否存在与外单 位进行远程通讯和诊断的网 络。3)检查PLC操作系统的安全 性。1、检查PLC的通信是否为专用网络,是否与外网隔离。2、检查PLC的无用端口是否封闭、无线通讯是否关闭;3、检查PLC是否只能从专用上位机进行访问、是否具有其它远程访问形式;4、检查PLC操作系统能否满足运行需要,低版本不能升级的系统应予以更换;5、 PLC应具有身份识别功能,非授权用户无法访问,非授权设备无法与 PLC通信。6、 2017年6月1日后生产的PLC应具有网络安全专用产品认证(由具有资格的机 构岀具)。11现场总 线设备1)检查现场总线设备的认证 和协议;1、现场总线设备应选择经过国际现场总线组织授

16、权机构认证的设备,现场总线类 型应在IEC 61158现场总线标准(最新版)规定范围内;序号检查 类别检查对象检查内容标准与要求发现 的问 题整改意见整改时 间计划企业整 改责任 人科研院监 督责任人2)检查现场总线设备的抗干 扰情况;3)检查现场总线设备的网络 安全性。2、现场总线仪表的安装应尽量避开静电干扰和电磁干扰,当无法避开时,应采取 可靠的抗静电干扰、电磁干扰的措施;3、现场总线设备的无用端口应进行封闭。12授时装置1)应配有北斗和 GPS两套授 时系统,并且以北斗为主;2)授时装置应与外网完全隔 离;3)授时装置配有单项数据传 输功能,不能从下往上进行修 改或干预。1、应配备全站统

17、一的卫星时钟设备和网络授时设备,对站内各种系统和设备的时 钟进行统一校正。主时钟应采用双机冗余配置。2、时间冋步装置应能可靠应对时钟异常跳变及电磁干扰等情况,避免时钟源切换 策略不合理等导致输出时间的连续性和准确性受到影响。3、被授时系统(设备)对接收到的对时信息应做校验。13无线网 络及设备1)检查无线网络及设备的安 全可靠;2)检查无线网络用户身份识 别功能完备;3)采用单向传输,设备只能 发送状态信息,而不能接收任 何指令。1、 检查现场无线设备、CEM驭表等是否存在网络漏洞;2、无线网络发送端(测量设备)应采用单项传输,只能发送信息、不能接受信息;3、无线网络接收端应具有身份识别能力,不接受非授权设备发送的无线信息。14远稈监测系统1)检查机组的远程监测和诊 断系统是否安全;2)火电机组 TSI振动远程监 测和诊断网络是否安全。1、检查远程监测系统的数据获取、通讯外联方式,是否使用专用通讯网络、是否 有单向隔离装置;2、检查CEMS系统、TSI振动远程监测诊断系统的服务器或主机的网络信息安全防 护措施,包括:用户管理、防毒软件、系统升级、端口管控等。序号检查 类别检查对象检查内容标准与要求发现 的问 题整改意见整改时 间计划企业整 改责任 人科研院监 督责任人15外挂控制系统1)检查外挂系统与 DCS系统、 辅控系

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论