燃煤发电企业信息系统安全与管理安全风险控制指导手册

燃煤发电企业信息系统安全与管理安全风险控制指导手册序号控制节点标准分风险管控重点要求管控效果评估评审依据频次3.18信息系统安全与管理2003.18.1安全防护技术措施100物理安全201.电力监控系统机房应当采取有效防水、防潮、防火、防雷击、防盗窃、防破坏措施；2.机房应配置电子门禁系统以加强物理访问控制，必要时安全专人值守；3．机房内所有设备的金属外壳、金属道、金属线槽、建筑物金属结构等必须进行等电位联结并接地；4.按规定周期和内容要求巡视机房及设施设备，发现异常及时处理1.防水、防潮、防火、防雷击、防盗窃、防破坏措施不符合，扣8分；2.无电子门禁系统，扣2分；3.设备接地不符合要求，扣6分；4.无机房巡检记录，扣4分；记录内容不全，扣2分。1.《电力监控系统安全防护规定》（发改委令14号）第3.1条；2.《数据中心设计规范》（GB50174-2017）第8.4.4条；3.《信息安全技术信息系统安全管理要求》（GB/T20269-2006）第条1次/年结构安全201.有厂内业务系统的分区表，分区表包含了厂内所有的电力监控系统，业务分区准确；2.生产控制大区划分不同的网络安全域，并进行区域之间的安全访问控制；3.生产控制大区和管理信息大区之间横向部署了专用隔离装置，仅允许非TCP直连方式的数据通信；4.调度数据网纵向部署专用加密认证装置，仅允许专用的通信服务，严格设置访问控制策略；5.监控系统网络核心交换设备、广域网核心路由设备应采取设备冗余或准备了备用设备，同时路由链路也应该施行冗余方式，核心网络不存在明显的单点故障隐患1.分区表不准确，扣10分，不完整，扣4分；2.不同的网络安全域之间无访问控制措施，，扣6分；3．生产控制大区和管理信息大区之间未部署专用隔离装置不得分，策略配置不完整，扣4分；4.调度数据网纵向未部署加密认证装置，不得分，策略配置不完整，扣4分；5.网络架构可靠性不足扣4分。《电力监控系统安全防护规定》（发改委令14号）第2.1条、2.2条、2.3条、3.2条网络设备安全防护201.对登录网络设备、安全设备采用了HTTPS、SSH等加密方式或配置堡垒机；2.对登录用户进行身份鉴别及权限控制，登录用户口令满足复杂度要求，且制定有更换策略并由专人负责保管；3．及时清理网络及安全设备上的临时用户、多余用户；4.网络设备空闲端口进行了封堵1.对登录网络设备、安全设备采用未使用了HTTPS、SSH等加密方式，扣4分；2.登录用户口令不满足复杂度要求或未制定有更换策略，扣6分；3．未及时清理网络及安全设备上的临时用户、多余用户，扣4分；4.未对网络设备空闲端口进行了封堵，扣6分。1.《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）第8.1.2条；2.《燃煤火力发电厂技术监控规程第11部分：工控系统网络信息安全防护技术监督》（Q/CDT10111003.11—2019）第4.3.2条1次/年主机防护201.对DCS、NCS等人机交互站，厂级监控信息系统等关键应用系统的主服务器，以及网络边界处的通信网关机、Web服务器、数据库服务器等采取了安全加固措施；2..制订主机安全加固的审核流程与管理制度以及主机加固技术标准和加固管理的策略；3.生产控制大区的各主机应当关闭或拆除不必要的软盘驱动、光盘驱动、USB接口、串行口、无线、蓝牙等，确需保留的须通过安全管理及技术措施实施严格监控；4.禁止在生产控制大区和管理信息大区之间交叉使用移动存储介质以及便携计算机。确需通过外设接入的设备，应在接入前采取病毒查杀等安全预防措施，且通过安全管理及技术措施实施严格监控，并履行发电厂安全接入审批手续1.对DCS、NCS等人机交互站，厂级监控信息系统等关键应用系统的主服务器，以及网络边界处的通信网关机、Web服务器、数据库服务器等未实施安全加固措施，扣4分；2..未制订主机安全加固的审核流程与管理制度，扣2分；3.生产控制大区的各主机未关闭或拆除不必要的软盘驱动、光盘驱动、USB接口、串行口、无线、蓝牙等，扣6分；4.生产控制大区和管理信息大区之间交叉使用移动存储介质以及便携计算机，未通过安全管理及技术措施实施管控及审批，扣8分。《燃煤火力发电厂技术监控规程第11部分：工控系统网络信息安全防护技术监督》（Q/CDT10111003.11—2019）第4.3.3条1次/年入侵监测及安全审计101.在生产控制大区部署网络入侵检测系统；设置了包含有工控系统专有攻击特征库的检测规则；2.生产控制大区各关键生产系统内部署网络流量审计设备；具备针对工控协议的深度包协议解析、及时发现隐藏在正常流量中的异常数据包、实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、违规外联、非法设备接入等内网异常行为的功能；3.生产控制大区主要业务系统需具备日志审计功能；保存至少6个月的日志数据1.在生产控制大区未部署网络入侵检测系统，扣3分；2.生产控制大区各关键生产系统内未部署网络流量审计设备，扣3分；3.生产控制大区主要业务系统不具备日志审计功能，扣3分。1.《电力监控系统安全防护规定》（发改委令14号）第3.5条、3.11条2.《燃煤火力发电厂技术监控规程第11部分：工控系统网络信息安全防护技术监督》（Q/CDT10111003.11—2019）第4.3.4条、4.3.6条1次/年数据安全10定期对关键业务的数据进行备份，对生产运行等重要数据实现双备份并至少保存12个月未开展数据备份工作不得分，备份工作不规范酌情扣3分。《燃煤火力发电厂技术监控规程第11部分：工控系统网络信息安全防护技术监督》（Q/CDT10111003.11—2019）第4.3.8条1次/年3.18.2网络安全管理801次/年组织机构201.成立了明网络安全及信息化领导小组，企业主要负责人为领导小组组长；2.有专门负责网络安全的部门；3.配备了专门的网络安全管理员1.未成立网络安全与信息化领导小组，扣8分；2.未明确负责网络安全的部门，扣6分；3，未配备专门的网络安全管理员，扣6分。1．《信息安全技术信息系统安全管理要求》（GB/T20269-2006）5.2.1条；2．《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）8.1.7条人员管理101.每年开展网络安全培训；2.与第三方外包人员签署保密协议；3.系统使用权限遵循权限最小化原则；当岗位调整时能及时在系统做权限变更或注销等相应处理1.未开展网络安全培训，扣3分；2.与第三方人员未签订保密协议，扣3分；3.未及时开展权限调整工作，扣3分。《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）第8.1.8条1次/年管理制度101.制订门禁、人员、权限、访问控制管理制度；2.制订电力监控系统的维护管理制度；3.制订恶意代码防护、审计、数据及系统的备份、用户口令、安全培训等管理制度；4.分别对各类设备、介质、资产、网络、业务系统制订了安全管理制度并在存放环境、使用以及销毁、报废等方面做出了详细规定，并建立了安全审计管理制度1.未制定相关制度，扣3分；2.未制定相关制度，扣3分；3.未制定相关制度，扣3分；4.未制定相关制度，扣3分。《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）第条1次/年技术资料管理101.整理了工控系统设备台账，台账包括各系统涉及的物理场所、网络设备、主机设备、安全设备及应用软件等，台账信息准确，更新及时；2.有全厂各业务系统的网络拓扑图，拓扑图绘制规范，与现场实际相符1.无台账资料或台账资料不完整，扣4分；2.无网络拓扑图或拓扑图不完整，扣3分。《燃煤火力发电厂技术监控规程第11部分：工控系统网络信息安全防护技术监督》（Q/CDT10111003.11—2019）第5.1条1次/年系统建设管理101.系统建设所涉及到的软硬件系统、设备及专用信息安全产品符合国家及行业资质、质量标准等相关规定与要求；2.自行开发或外包开发的软件产品投运前进行安全评估并留有相关工作记录；3.选定的施工建设单位和安全服务商具备国家和行业主管部门要求的资质；与选定的安全服务商签订安全保护承诺等相关协议，明确约定相关责任并签署保密协议；4.系统应进行上线前的安全测试，并形成测试报告；5.系统验收应形成正式的验收报告1.产品不符合国家及行业资质要求、质量标准等，扣3分；2.未开展安全评估，扣3分；3．施工单位无相关资质，或未签订保密协议，扣3分；4.系统未开展上线前安全测试，扣3分；5.系统验收未形成正式的验收报告，扣3分。1．《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）8.1.9条；2.《中国大唐集团有限公司网络安全和信息化项目管理办法》（大唐集团制〔2020〕197号）第7章1次/年系统运维管理101.制定了相关的维护规程或操作手册；2．运维操作有详细、准确的日志记录；3.变更过程履行了相关审批手续并项目记录1.无相关的规程或手册，扣3分；2.运维操作无记录，扣3分；3．变更操作无审批，无记录，扣4分。《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）第8.1.10条1次/年应急管理101.建立网络安全应急处置预案，按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施，并建立网络安全事件通报制度；2.至少每年开展一次应急预案演练，并有相关过程资料1.无相关预案不得分，预案无针对性扣标准分的，扣3分；2.预案未演练，扣3分。《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）第8.1.10条1次/年3.18.3等级保护及安全风险评估201次/年等保测评101.开展过本年度的等保测评，取得相关报告；2.根据年度等保测评结果制定整改计划，开展整改工作并形成相关工作记录1.未开展备案定级及测评工作，不得分；2.未开展整改工作，扣2分。1.《中华人民共和国网络安