光伏电站新能源场站电力监控系统信息安全应急预案

本方案是针对电力监控系统安全防护发生突发事件和《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令147号)《电力电力监控系统安全防护规定》(电监会5号令)《电力企业现场处置方案编制导则》《国家处置电网大面积停电事件应急预案》1.3.1本方案适用于应对和处置各类影响电力监控系1.3.2本方案中的电力监控系统包括各种生产控制大电力监控系统安全防护突发事件主要由计算机网络病毒、黑客入侵、恶意攻击及不安全接入等组成计算机感染病毒后往往会出现系统响应迟缓、无法正常作系统、窃取重要信息或造成计算机及其业务系统无法正常2.2.2黑客进入网络可以利用黑客工具向WEB服务器发2.2.3黑客进入WEB服务器可以利用黑客工具篡改网调度数据网与其它网络互联或者被未经允许的网络设将电力监控系统事件分为警戒状态(I级)、紧急状态(Ⅱ级)两个等级。2.4.1I级突发事件特征：事件影响某一台主机、调度数据网络上的某一个节点发现网络流量异常，部分应用响应缓慢；局部发现病毒、木马等恶意代码等。2.4.2Ⅱ级突发事件特征：事件影响一个或多个应用系统主要功能，调度数据网络大面积停运；病毒、木马等恶意代码大面积传播等。3.应急组织及职责3.1组织机构和职责按《工作预案》执行，其中技术支持工作组(自动化通信组)由自动化主管副主任、自动化班长和全处所有人员组成；信通中心主管副总经理、信通公司经理和相关专责人组成。山东应急组织结构图如下：3.2技术支持工作组在监控系统应急工作中的主要职3.2.1执行应急指挥部下达的应急指令和各项任务；3.2.2掌握应急处理情况，及时向应急指挥部报告应急处置过程中的重大问题；3.2.3在应急处置过程中协调有关部门和单位；3.2.4负责电力监控系统应急处置的具体指挥，包括组织制定有关计划、措施、预案等；3.2.5对电力监控系统突发事件和严重故障应急处置的有关信息进行汇总、整理和上报。4.应急处置4.1应急处置程序应急处置程序流程：4.1.1应急启动山东电网电力监控系统安全防护应急处置机制；技术支持工作组按《工作预案》迅速开展应急处置工作，其他工作组根据需要做好应急配合。4.2应急处置措施技术支持工作组的统一组织和协调下，按照相应处置子方案(见附录)进行故障的处理，并作好事件记录和汇报工4.2.2网络计算机感染病毒4.2.3黑客入侵通过网络监视及系统扫描工具发现黑客入侵计算机或网络系统后，应立即切断黑客入侵通道，隔离故障点与数据网络的连接，清除计算机系统内的黑客软件，对遭到破坏的操作系统、数据库和网页进行恢复，对重要的计算机系统、网络设备进行全面系统加固，消除安全漏洞。4.2.4调度数据网与其它网络互联4.2.6事件记录与分析4.2.7电力监控系统安全防护在发生突发事件和严重故障、处置结束后8小时内，相关专责人应做好突发事件和4.3应急结束备和系统已基本恢复正常运行30分钟，应急工作结束。4.3.2应急指挥部指挥向技术支持工作组和参与应急支援的有关单位宣布解除应急状态，恢复正常生产工作秩4.4.1发生下列情况引起电力电力监控系统突发事件(2)对主要网站、应用系统和关键设备等的大规模攻击(3)涉及国家或公司利益的电网信息泄密事件(4)其他影响公司信息系统的突发事件。障发生后，向上级调度机构口头汇报故障的简要情况；详细汇报是指在完成故障处理后，以书面形式向上级调度机构提(1)报告要求简洁、清楚、准确。(2)报告的内容主要包括故障发生的时间、地点、故障影响范围和发生原因等。4.4.4应急指挥部指定专人将应急处置情况及时向集团公司应急领导小组报告，并受集团公司应急领导小组委托进行信息披露。4.4.5事件报告通过电话或信息平台实现，书面报告要有单位盖章，通过传真或电子邮件实现。5.注意事项为了在发生电力监控系统安全防护突发事件和严重故障后，能够及时启动并顺利实施应急处置方案，应在通讯、物资、技术及人员方面作好充分保障。6.附件6.1有关应急部门、机构或人员的联系方式生产经理后勤保障小组组长通讯保障小组组长技术支持小组组长安全监督小组组长6.2应急相关文件《中华人民共和国计算机信息系统安全保护条例》《电力电力监控系统安全防护规定》《国家电网调度系统处置大面积停电事件应急工作规范》《国家电网调度系统重大事件汇报规定》附录：电力电力监控系统安全防护应急处置子方案1.计算机感染病毒应急处置方案1.1系统网络流量异常、部分应用响应缓慢(I级):启用网络实时监视工具对网络流量进行分析；利用实时抓包工具对网络报文进行分析；查看安全产品日志；对系统进程和服务监视分析。利用各种数据进行综合分析判断，从而及时定位并解除故障。描及病毒查杀，针对操作系统漏洞为系统打补丁，故障排除后恢复网络连接。注意在为系统打补丁之前作好系统备份。1.3分站侧某台主机确定遭受病毒感染(I级):立即断开本机网络，断开本节点与调度数据网连接，事件上报，故障排除后恢复网络连接。1.4某台主机确定受到病毒感染，或遭受恶意代码攻击(Ⅱ级):立即断开本机网络，分析病毒/攻击源，发现病毒/攻击源后，断开传染/攻击源，查杀病毒/攻击源，恢复设备正常工作，事件上报。1.5应用系统局域网内多台主机确定受到病毒感染，或遭受恶意代码攻击(Ⅱ级):立即断开与其它网络的全部连接，启用备用调度系统。分析病毒/攻击源，发现病毒/攻击源后，断开传染/攻击源，查杀病毒/攻击源，恢复设备正常工作，事件上报。2.其它应用系统应急处置方案2.1应用系统局域网网络流量异常、部分应用响应缓慢(I级):启用网络实时监视工具；对安全产品日志进行分析；对系统进程监视分析。2.2某台主机网络流量异常、系统应用响应缓慢，怀疑受到病毒感染(I级):立即断开本机网络，分析异常现象，故障排除后恢复网络连接。2.3应用系统局域网内一台或多台主机确定受到病毒感染，或遭受恶意代码攻击(Ⅱ级):立即断开该局域网与其断开传染/攻击源，查杀病毒/攻击源，恢复设备正常工作，事件上报。2.4重要应用网站被黑客入侵，页面被恶意篡改(Ⅱ级),立即对网站进行恢复处理，并对操作系统进行安全加固，修改用户账号和口令，作好事件处理记录并进行事件上报。3.调度数据网络应急处置方案3.1广域网络边界流量异常(I级):启用网络实时监视工具；对安全产品(纵向加密认证装置)日志进行分析；对系统进程监视分析。3.2某网络节点确定受到病毒或遭受恶意代码攻击(I级):立即断开该节点广域网络边界，检查网络其它节点相关设备，事件上报。3.3确定网络遭受大面积病毒感染或恶意代码攻击(Ⅱ级):立即停用整个网络，断开全部网络应用。检查各网络节点相关设备，