《电站新能源场站电力监控系统信息安全应急预案》由会员分享,可在线阅读,更多相关《电站新能源场站电力监控系统信息安全应急预案(11页珍藏版)》请在装配图网上搜索。
1、电站新能源场站电力监控系统信息安全应急预案1. 总则1.1 编制目的本方案是针对电力监控系统安全防护发生突发事件和 严重故障而制定,其基本原则是根据预案设计并通过定期演 练,达到正确、有效和快速地处置,避免突发事件和严重故 障影响扩大,从而最大限度地保证电网运行安全。1.2 编制依据中华人民共和国计算机信息系统安全保护条例(中华 人民共和国国务院令 147号)电力电力监控系统安全防护规定(电监会 5 号令) 电力企业现场处置方案编制导则国家处置电网大面积停电事件应急预案1.3.1 本方案适用于应对和处置各类影响电力监控系 统安全防护的突发事件和严重故障。1.3.2 本方案中的电力监控系统包括各
2、种生产控制大 区应用系统、生产控制大区专用网络和相关的软硬件及物理 环境。2. 事件特征 电力监控系统安全防护突发事件主要由计算机网络病 毒、黑客入侵、恶意攻击及不安全接入等组成。不同事件有 可能导致计算机系统停止服务或宕机、网络瘫痪、页面被篡 改及重要信息泄露等危害。2.1 计算机感染病毒计算机感染病毒后往往会出现系统响应迟缓、无法正常 操作、应用程序无法打开或关闭、自动重启和黑屏等现象。 网络病毒发作会出现网络流量异常、通讯延迟,严重时会阻 塞网络甚至造成网络大面积瘫痪。2.2 黑客入侵2.2.1 计算机黑客入侵计算机系统会控制主机、破坏操 作系统、窃取重要信息或造成计算机及其业务系统无法
3、正常 工作。2.2.2 黑客进入网络可以利用黑客工具向 WEB 服务器发 起拒绝服务攻击,造成系统正常访问无法得到相应服务。2.2.3 黑客进入 WEB 服务器可以利用黑客工具篡改网 页,窃取重要信息。2.3 调度数据网与其它网络互联调度数据网与其它网络互联或者被未经允许的网络设 备、计算机私自接入,将会造成重要信息泄露、网络病毒入 侵、黑客恶意破坏和网络瘫痪等危害。2.4 事件分级根据事件对电力监控系统造成不同程度的影响和破坏, 将电力监控系统事件分为警戒状态(I级)、紧急状态(II 级)两个等级。2.4.1 I级突发事件特征:事件影响某一台主机、调度 数据网络上的某一个节点发现网络流量异常
4、,部分应用响应 缓慢;局部发现病毒、木马等恶意代码等。2.4.2 II级突发事件特征:事件影响一个或多个应用系 统主要功能,调度数据网络大面积停运;病毒、木马等恶意 代码大面积传播等。3. 应急组织及职责3.1组织机构和职责按工作预案执行,其中技术支 持工作组(自动化通信组)由自动化主管副主任、自动化班 长和全处所有人员组成;信通中心主管副总经理、信通公司 经理和相关专责人组成。山东应急组织结构图如下:生产经理安全监督小组3.2技术支持工作组在监控系统应急工作中的主要职责:3.2.1 执行应急指挥部下达的应急指令和各项任务;3.2.2 掌握应急处理情况,及时向应急指挥部报告应急 处置过程中的重
5、大问题;3.2.3 在应急处置过程中协调有关部门和单位;3.2.4 负责电力监控系统应急处置的具体指挥,包括组 织制定有关计划、措施、预案等;3.2.5 对电力监控系统突发事件和严重故障应急处置 的有关信息进行汇总、整理和上报。4. 应急处置4.1 应急处置程序应急处置程序流程:V由生产经理-13/V7 一|昨阻-:|勺韋-月7 担 t ; 1 . 7.-工益昔十牛版 =55= 全技朮人員廿折、汇总4.1.1 应急启动4.1.1.1自动化值班员发现电力监控系统安全防护突 发事件和严重故障或接到调度台故障通知后,立即进行故障 处理,在确认事件和故障后及时报告专责人和值长,并通知 生产经理。4.1
6、.1.2值长处置电力监控系统发生突发事件和严重 故障,并向生产经理汇报。4.1.1.3 生产经理指挥对电力监控系统突发事件和严 重故障的处理,并根据事件的性质和影响程度向省公司领导 和调度汇报。4.1.1.4 应急指挥部指挥根据故障发生、发展情况,启 动山东电网电力监控系统安全防护应急处置机制;技术支持 工作组按工作预案迅速开展应急处置工作,其他工作组 根据需要做好应急配合。4.2 应急处置措施4.2.1 当电力电力监控系统安全防护发生突发事件和严 重故障后,自动化各专责人员立即赶赴自动化机房按分工检 查各自负责的系统和设备,在技术支持工作组的统一组织和 协调下,按照相应处置子方案(见附录)进
7、行故障的处理,并 作好事件记录和汇报工作。4.2.2 网络计算机感染病毒4.2.2.1 当发现计算机感染病毒后应立即断开本机网 络,利用杀毒软件对主机进行全面扫描及病毒查杀,针对操 作系统漏洞为系统打补丁,故障排除后恢复网络连接。注意 在为系统打补丁之前应作好系统备份工作。当病毒查杀软件 不能彻底清除病毒时,可以采取物理格式化硬盘,重新安装 操作系统与应用软件的办法来彻底清除。对网络上的其它计 算机也要进行全面检查,安装必要的操作系统补丁,作好系 统加固工作。4.2.2.2 当发现计算机网络病毒爆发时,首先应对爆发 区域的横向(安全区边界)和纵向(广域网络边界)网络断 开,防止网络病毒继续传播
8、蔓延,立即启用网络实时监视工 具对网络流量进行分析,利用实时抓包工具对网络报文进行 检查,查看安全产品日志,检查系统进程和服务。利用各种 数据进行综合分析判断,从而发现病毒源、波及范围和病毒 类型,将受感染的全部计算机断开网络,一一清除病毒并进 行系统加固。4.2.3 黑客入侵通过网络监视及系统扫描工具发现黑客入侵计算机或 网络系统后,应立即切断黑客入侵通道,隔离故障点与数据 网络的连接,清除计算机系统内的黑客软件,对遭到破坏的 操作系统、数据库和网页进行恢复,对重要的计算机系统、 网络设备进行全面系统加固,消除安全漏洞。4.2.4 调度数据网与其它网络互联4.2.4.1 通过现场检查与专用网
9、络探测工具相结合的方 式,发现调度数据网与其它网络通过物理网线或多网卡计算 机互联,应立即进行物理清除。如果发现因底层传输通道被 未经逻辑隔离的复用造成网络互联,应对调度数据网络的传 输层进行改造,使之运行在经过逻辑隔离的安全传输通道 上。4.2.4.2通过安全检查或网管软件、IP地址扫描等专业工具发现并定位到未经安全检查的网络设备和计算机接入 调度数据网络时,及时切断并排除。通过在网络设备上封闭 不使用的物理端口和加强网络设备物理安全的办法避免该 类事件的发生。4.2.5 电力监控系统安全防护突发事件和严重故障短时 不能恢复,严重影响电网调度日常工作,按照工作预案 规定启动备用调度。4.2.
10、6 事件记录与分析4.2.6.1 事件紧急处理结束后立即完成事件记录与分析 工作。事件记录包括:关于应急处理的会议记录,故障发生、 发展和处理过程,调度自动化系统的信息记录,抢修工作记 录等。4.2.6.2 通过综合分析事件发生原因、损失危害程度及 处置措施等,对存在的安全漏洞和隐患进行排除,对计算机 系统和网络进行安全加固,并及时修订完善应急处置方案。4.2.7 电力监控系统安全防护在发生突发事件和严重 故障、处置结束后 8 小时内,相关专责人应做好突发事件和 故障信息的原始数据拷贝,存入事故档案。4.3 应急结束4.3.1 电力监控系统突发事件和严重故障处理结束,设 备和系统已基本恢复正常
11、运行 30 分钟,应急工作结束。4.3.2 应急指挥部指挥向技术支持工作组和参与应急 支援的有关单位宣布解除应急状态,恢复正常生产工作秩 序。4.4 事件报告4.4.1 发生下列情况引起电力电力监控系统突发事件 时,故障单位应立即按照汇报规定、工作预案等有关 汇报要求向上级调度机构报告:(1) 大面积病毒爆发,且快速扩散事件;(2) 对主要网站、应用系统和关键设备等的大规模攻击 和非法入侵;(3) 涉及国家或公司利益的电网信息泄密事件;(4) 其他影响公司信息系统的突发事件。4.4.2 报告分为紧急报告和详细汇报。紧急报告是指故 障发生后,向上级调度机构口头汇报故障的简要情况;详细 汇报是指在
12、完成故障处理后,以书面形式向上级调度机构提 交的详细报告。4.4.3 事件报告的内容要求:(1)报告要求简洁、清楚、准确。(2)报告的内容主要包括故障发生的时间、地点、故 障影响范围和发生原因等。4.4.4 应急指挥部指定专人将应急处置情况及时向 集 团公司应急领导小组报告,并受集团公司应急领导小组委托 进行信息披露。4.4.5 事件报告通过电话或信息平台实现,书面报告要 有单位盖章,通过传真或电子邮件实现。5. 注意事项为了在发生电力监控系统安全防护突发事件和严重故 障后,能够及时启动并顺利实施应急处置方案,应在通讯 物资、技术及人员方面作好充分保障。6. 附件6.1 有关应急部门、机构或人员的联系方式组织机构联系电话生产经理后勤保障小组组长通讯保障小组组长技术支持小组组长安全监督小组组长6.2 应急相关文件中华人民共和国计算机信息系统安全保护条例电力电力监控系统安全防护规定范国家电网调度系统处置大面积停电事件应急工作规国家电网调度系统重大事件汇报规定
电站新能源场站电力监控系统信息安全应急预案
