光伏電站新能源場站電力監(jiān)控系統(tǒng)信息安全應(yīng)急預(yù)案

本方案是針對電力監(jiān)控系統(tǒng)安全防護發(fā)生突發(fā)事件和《中華人民共和國計算機信息系統(tǒng)安全保護條例》(中華人民共和國國務(wù)院令147號)《電力電力監(jiān)控系統(tǒng)安全防護規(guī)定》(電監(jiān)會5號令)《電力企業(yè)現(xiàn)場處置方案編制導(dǎo)則》《國家處置電網(wǎng)大面積停電事件應(yīng)急預(yù)案》1.3.1本方案適用于應(yīng)對和處置各類影響電力監(jiān)控系1.3.2本方案中的電力監(jiān)控系統(tǒng)包括各種生產(chǎn)控制大電力監(jiān)控系統(tǒng)安全防護突發(fā)事件主要由計算機網(wǎng)絡(luò)病毒、黑客入侵、惡意攻擊及不安全接入等組成計算機感染病毒后往往會出現(xiàn)系統(tǒng)響應(yīng)遲緩、無法正常作系統(tǒng)、竊取重要信息或造成計算機及其業(yè)務(wù)系統(tǒng)無法正常2.2.2黑客進入網(wǎng)絡(luò)可以利用黑客工具向WEB服務(wù)器發(fā)2.2.3黑客進入WEB服務(wù)器可以利用黑客工具篡改網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)與其它網(wǎng)絡(luò)互聯(lián)或者被未經(jīng)允許的網(wǎng)絡(luò)設(shè)將電力監(jiān)控系統(tǒng)事件分為警戒狀態(tài)(I級)、緊急狀態(tài)(Ⅱ級)兩個等級。2.4.1I級突發(fā)事件特征：事件影響某一臺主機、調(diào)度數(shù)據(jù)網(wǎng)絡(luò)上的某一個節(jié)點發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，部分應(yīng)用響應(yīng)緩慢；局部發(fā)現(xiàn)病毒、木馬等惡意代碼等。2.4.2Ⅱ級突發(fā)事件特征：事件影響一個或多個應(yīng)用系統(tǒng)主要功能，調(diào)度數(shù)據(jù)網(wǎng)絡(luò)大面積停運；病毒、木馬等惡意代碼大面積傳播等。3.應(yīng)急組織及職責(zé)3.1組織機構(gòu)和職責(zé)按《工作預(yù)案》執(zhí)行，其中技術(shù)支持工作組(自動化通信組)由自動化主管副主任、自動化班長和全處所有人員組成；信通中心主管副總經(jīng)理、信通公司經(jīng)理和相關(guān)專責(zé)人組成。山東應(yīng)急組織結(jié)構(gòu)圖如下：3.2技術(shù)支持工作組在監(jiān)控系統(tǒng)應(yīng)急工作中的主要職3.2.1執(zhí)行應(yīng)急指揮部下達的應(yīng)急指令和各項任務(wù)；3.2.2掌握應(yīng)急處理情況，及時向應(yīng)急指揮部報告應(yīng)急處置過程中的重大問題；3.2.3在應(yīng)急處置過程中協(xié)調(diào)有關(guān)部門和單位；3.2.4負責(zé)電力監(jiān)控系統(tǒng)應(yīng)急處置的具體指揮，包括組織制定有關(guān)計劃、措施、預(yù)案等；3.2.5對電力監(jiān)控系統(tǒng)突發(fā)事件和嚴重故障應(yīng)急處置的有關(guān)信息進行匯總、整理和上報。4.應(yīng)急處置4.1應(yīng)急處置程序應(yīng)急處置程序流程：4.1.1應(yīng)急啟動山東電網(wǎng)電力監(jiān)控系統(tǒng)安全防護應(yīng)急處置機制；技術(shù)支持工作組按《工作預(yù)案》迅速開展應(yīng)急處置工作，其他工作組根據(jù)需要做好應(yīng)急配合。4.2應(yīng)急處置措施技術(shù)支持工作組的統(tǒng)一組織和協(xié)調(diào)下，按照相應(yīng)處置子方案(見附錄)進行故障的處理，并作好事件記錄和匯報工4.2.2網(wǎng)絡(luò)計算機感染病毒4.2.3黑客入侵通過網(wǎng)絡(luò)監(jiān)視及系統(tǒng)掃描工具發(fā)現(xiàn)黑客入侵計算機或網(wǎng)絡(luò)系統(tǒng)后，應(yīng)立即切斷黑客入侵通道，隔離故障點與數(shù)據(jù)網(wǎng)絡(luò)的連接，清除計算機系統(tǒng)內(nèi)的黑客軟件，對遭到破壞的操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)頁進行恢復(fù)，對重要的計算機系統(tǒng)、網(wǎng)絡(luò)設(shè)備進行全面系統(tǒng)加固，消除安全漏洞。4.2.4調(diào)度數(shù)據(jù)網(wǎng)與其它網(wǎng)絡(luò)互聯(lián)4.2.6事件記錄與分析4.2.7電力監(jiān)控系統(tǒng)安全防護在發(fā)生突發(fā)事件和嚴重故障、處置結(jié)束后8小時內(nèi)，相關(guān)專責(zé)人應(yīng)做好突發(fā)事件和4.3應(yīng)急結(jié)束備和系統(tǒng)已基本恢復(fù)正常運行30分鐘，應(yīng)急工作結(jié)束。4.3.2應(yīng)急指揮部指揮向技術(shù)支持工作組和參與應(yīng)急支援的有關(guān)單位宣布解除應(yīng)急狀態(tài)，恢復(fù)正常生產(chǎn)工作秩4.4.1發(fā)生下列情況引起電力電力監(jiān)控系統(tǒng)突發(fā)事件(2)對主要網(wǎng)站、應(yīng)用系統(tǒng)和關(guān)鍵設(shè)備等的大規(guī)模攻擊(3)涉及國家或公司利益的電網(wǎng)信息泄密事件(4)其他影響公司信息系統(tǒng)的突發(fā)事件。障發(fā)生后，向上級調(diào)度機構(gòu)口頭匯報故障的簡要情況；詳細匯報是指在完成故障處理后，以書面形式向上級調(diào)度機構(gòu)提(1)報告要求簡潔、清楚、準確。(2)報告的內(nèi)容主要包括故障發(fā)生的時間、地點、故障影響范圍和發(fā)生原因等。4.4.4應(yīng)急指揮部指定專人將應(yīng)急處置情況及時向集團公司應(yīng)急領(lǐng)導(dǎo)小組報告，并受集團公司應(yīng)急領(lǐng)導(dǎo)小組委托進行信息披露。4.4.5事件報告通過電話或信息平臺實現(xiàn)，書面報告要有單位蓋章，通過傳真或電子郵件實現(xiàn)。5.注意事項為了在發(fā)生電力監(jiān)控系統(tǒng)安全防護突發(fā)事件和嚴重故障后，能夠及時啟動并順利實施應(yīng)急處置方案，應(yīng)在通訊、物資、技術(shù)及人員方面作好充分保障。6.附件6.1有關(guān)應(yīng)急部門、機構(gòu)或人員的聯(lián)系方式生產(chǎn)經(jīng)理后勤保障小組組長通訊保障小組組長技術(shù)支持小組組長安全監(jiān)督小組組長6.2應(yīng)急相關(guān)文件《中華人民共和國計算機信息系統(tǒng)安全保護條例》《電力電力監(jiān)控系統(tǒng)安全防護規(guī)定》《國家電網(wǎng)調(diào)度系統(tǒng)處置大面積停電事件應(yīng)急工作規(guī)范》《國家電網(wǎng)調(diào)度系統(tǒng)重大事件匯報規(guī)定》附錄：電力電力監(jiān)控系統(tǒng)安全防護應(yīng)急處置子方案1.計算機感染病毒應(yīng)急處置方案1.1系統(tǒng)網(wǎng)絡(luò)流量異常、部分應(yīng)用響應(yīng)緩慢(I級):啟用網(wǎng)絡(luò)實時監(jiān)視工具對網(wǎng)絡(luò)流量進行分析；利用實時抓包工具對網(wǎng)絡(luò)報文進行分析；查看安全產(chǎn)品日志；對系統(tǒng)進程和服務(wù)監(jiān)視分析。利用各種數(shù)據(jù)進行綜合分析判斷，從而及時定位并解除故障。描及病毒查殺，針對操作系統(tǒng)漏洞為系統(tǒng)打補丁，故障排除后恢復(fù)網(wǎng)絡(luò)連接。注意在為系統(tǒng)打補丁之前作好系統(tǒng)備份。1.3分站側(cè)某臺主機確定遭受病毒感染(I級):立即斷開本機網(wǎng)絡(luò)，斷開本節(jié)點與調(diào)度數(shù)據(jù)網(wǎng)連接，事件上報，故障排除后恢復(fù)網(wǎng)絡(luò)連接。1.4某臺主機確定受到病毒感染，或遭受惡意代碼攻擊(Ⅱ級):立即斷開本機網(wǎng)絡(luò)，分析病毒/攻擊源，發(fā)現(xiàn)病毒/攻擊源后，斷開傳染/攻擊源，查殺病毒/攻擊源，恢復(fù)設(shè)備正常工作，事件上報。1.5應(yīng)用系統(tǒng)局域網(wǎng)內(nèi)多臺主機確定受到病毒感染，或遭受惡意代碼攻擊(Ⅱ級):立即斷開與其它網(wǎng)絡(luò)的全部連接，啟用備用調(diào)度系統(tǒng)。分析病毒/攻擊源，發(fā)現(xiàn)病毒/攻擊源后，斷開傳染/攻擊源，查殺病毒/攻擊源，恢復(fù)設(shè)備正常工作，事件上報。2.其它應(yīng)用系統(tǒng)應(yīng)急處置方案2.1應(yīng)用系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)流量異常、部分應(yīng)用響應(yīng)緩慢(I級):啟用網(wǎng)絡(luò)實時監(jiān)視工具；對安全產(chǎn)品日志進行分析；對系統(tǒng)進程監(jiān)視分析。2.2某臺主機網(wǎng)絡(luò)流量異常、系統(tǒng)應(yīng)用響應(yīng)緩慢，懷疑受到病毒感染(I級):立即斷開本機網(wǎng)絡(luò)，分析異?，F(xiàn)象，故障排除后恢復(fù)網(wǎng)絡(luò)連接。2.3應(yīng)用系統(tǒng)局域網(wǎng)內(nèi)一臺或多臺主機確定受到病毒感染，或遭受惡意代碼攻擊(Ⅱ級):立即斷開該局域網(wǎng)與其斷開傳染/攻擊源，查殺病毒/攻擊源，恢復(fù)設(shè)備正常工作，事件上報。2.4重要應(yīng)用網(wǎng)站被黑客入侵，頁面被惡意篡改(Ⅱ級),立即對網(wǎng)站進行恢復(fù)處理，并對操作系統(tǒng)進行安全加固，修改用戶賬號和口令，作好事件處理記錄并進行事件上報。3.調(diào)度數(shù)據(jù)網(wǎng)絡(luò)應(yīng)急處置方案3.1廣域網(wǎng)絡(luò)邊界流量異常(I級):啟用網(wǎng)絡(luò)實時監(jiān)視工具；對安全產(chǎn)品(縱向加密認證裝置)日志進行分析；對系統(tǒng)進程監(jiān)視分析。3.2某網(wǎng)絡(luò)節(jié)點確定受到病毒或遭受惡意代碼攻擊(I級):立即斷開該節(jié)點廣域網(wǎng)絡(luò)邊界，檢查網(wǎng)絡(luò)其它節(jié)點相關(guān)設(shè)備，事件上報。3.3確定網(wǎng)絡(luò)遭受大面積病毒感染或惡意代碼攻擊(Ⅱ級):立即停用整個網(wǎng)絡(luò)，斷開全部網(wǎng)絡(luò)應(yīng)用。檢查各網(wǎng)絡(luò)節(jié)點相關(guān)設(shè)備，