《火力發電廠安全性評價標準生產設備系統信息網絡安全》由會員分享�,可在線閱讀�,更多相關《火力發電廠安全性評價標準生產設備系統信息網絡安全(7頁珍藏版)》請在裝配圖網上搜索。
1、火力發電廠安全性評價標準生產設備系統信息網絡安全序 號評 價 項 目標準分查評方法評分標準及辦法3.6信息網絡安全8003.6.1基礎管理1203.6.1.1組織與崗位職責201)安全管理體系健全����,配備專職(兼職)工作人員10查看信息管理組織結構文件體系不完整扣 37 分;未配備專職(兼職)工作人員扣 3 分2)各級責任制落實����,相關工作人員的工作職責與工作范圍明確10查看信息管理崗位職責文件無工作職責與工作范圍扣 5 分,工作職責與工作范圍不完整的扣 15 分3.6.1.2網絡管理制度301)網絡設備管理制度健全10查看相關(廣域網�����、局域網設備����,配套網絡線纜設施,網絡服務器�����、工作站等)制度無相
2�、應制度不得分,制度內容不全扣 15 分2)網絡安全設備管理制度健全10查看相關(IDS���、漏洞掃描、防火墻���、單向隔離裝置����、VPN 等)制度無相應制度不得分,制度內容不全扣 15 分3)網絡安全信息系統管理制度健全10查看相關(網管系統��、上網行為管理系統�����、網絡用戶管理系統)制度無相應制度不得分��,制度內容不全扣 15 分3.6.1.3系統管理制度351)服務器系統管理制度健全5查看相關(補丁管理�����、權限管理��、運行管理)制度無相應制度不得分�����,制度內容不全扣 15 分2)存儲�、備份系統管理制度健全5查看相關(備份介質、備份策略、容災策略�����、恢復策略)制度無相應制度不得分�����,制度內容不全扣 15 分3)數據庫系
3�、統管理制度健全5查看相關(版本管理、權限管理���、補丁管理�、性能管理�����、可用性管理)制度無相應制度不得分����,制度內容不全的酌情扣 15 分4)生產應用系統管理制度健全5查看相關(上線測試管理、權限管理��、運行管理)制度無相應制度不得分�,制度內容不全的酌情扣 15 分5)防病毒系統管理制度健全5查看相關(部署管理����、策略管理�����、監控管無相應制度不得分���,制度內容不全的酌情序 號評 價 項 目標準分查評方法評分標準及辦法理)制度扣 15 分6)辦公與管理應用軟件系統管理制度健全5查看相關(包括 OA、MIS�����、MAIL��、ERP��、WEB��、ERP 等)制度無相應制度不得分�����,制度內容不全的酌情扣 15 分7)各系統應急預
4�、案健全5查看系統應急預案制度無相應制度不得分����,制度內容不全的酌情扣 15 分3.6.1.4計算機使用管理規定201)上網行為管理制度健全10查看相關(訪問內容����、流量控制、下載管理���、信息發布)制度無相應制度不得分��,制度內容不全的酌情扣分2)制定計算機使用制度及移動介質(如 U 盤��、光盤等)使用管理制度10查看相關(密碼��、計算機名�����、補丁�、防病毒��、個人防火墻���、共享等)制度無相應制度不得分�����,制度內容不全的酌情扣分3.6.1.5計算機房管理制度151)具有計算機房的管理制度10查看相關(包括機房準入準出制度����、機房內相關操作制度)制度無相應制度不得分����,制度內容不全的酌情扣分2)具有計算機房維護手冊5查看相
5、關(服務器系統��、網絡系統�����、環境監控系統)文件無相應制度不得分��,制度內容不全的酌情扣 15 分3.6.2技術管理4603.6.2.1技術管理通用要求1651)具有信息系統安全策略規劃��,信息系統安全保障系統健全10查閱有關規劃����,現場查問無安全保障系統扣 10 分,不健全的酌情扣分2)在相關網絡的隔離點�����,設立合理的訪問控制10查閱有關記錄文件無訪問控制不得分,控制不合理的酌情扣25 分3)按照方便管理和控制的原則為各子網���、網段分配地址段5檢查網絡結構及 IP 地址分配方案沒有按需劃分子網不得分���,分配不合理的酌情扣 25 分4)IP 地址的規劃方案、分配策略���、分配記錄進行統一管理10檢查管理文檔或記錄
6���、沒有相關文檔扣 5 分,記錄不全的酌情扣25 分5)VLAN 間訪問控制的合理性10檢查網絡配置�、記錄文檔未配置訪問控制策略不得分,配置不合理的酌情扣 25 分6)重要網段應采取網絡層地址與數據鏈路層地址綁5檢查設備配置�����、登記記錄無配置扣 3 分�,無登記記錄扣 2 分序 號評 價 項 目標準分查評方法評分標準及辦法定措施,防止地址欺騙7)安全區邊界拓撲結構是否合理���,不應有不經過防火墻的外聯鏈路10查閱網絡拓撲圖�,現場查問拓撲圖不合理的酌情扣分8)在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。生產控制大區內部的安全區之間應當采用具有訪問控制功能的設
7�、備、防火墻或者相當功能的設施���,實現邏輯隔離5實地檢查設備安裝情況無物理單向隔離設備扣 5 分�����。內部無訪問控制設備隔離各安全區扣 5 分9)電力調度信息系統安全評估體系,采取以自評估為主��、聯合評估為輔的方式10檢查評估文檔無評估文檔不得分10)對所有通過防火墻或其他訪問控制設備的網絡地址����、端口等進行控制10檢查網絡拓撲圖、在線檢查防火墻配置檢查網絡拓撲和防火墻配置���,發現一個未覆蓋出口扣 5 分�����,如未做控制則不得分11)防火墻應具備防止已知攻擊的能力10查看配置�,是否對常用攻擊端口進行限制如無相關能力���,則不得分���;功能不完善的酌情扣分12)防火墻管理對不同安全級別的網絡按其安全技術和機制的不同要求實
8����、施相應的安全管理����;10在線查看防火墻策略(禁止從外部網絡登錄,限制其他管理方式)等如未限制���,則不得分���,限制不完善的酌情扣 25 分13)為了便于防火墻的控制,應對各個系統�����、軟件所使用的端口進行登記10檢查端口開放記錄文檔無登記端口開放記錄文檔不得分14)重要系統的數據傳輸應通過安全鏈路(專線�����、加密 VPN)10現場詢問,并實地考察鏈路狀況沒有采取安全鏈路不得分����,鏈路不夠安全酌情扣分15)定期進行漏洞掃描10檢查漏洞掃描記錄文檔無掃描記錄文檔不得分16)有專業的網絡管理系統對網絡結構、網絡流量����、接入設備進行監控與管理10檢查網絡管理系統無專業的網絡管理系統,不得分17)實施上網行為管理系統�,系統
9、及設備口令符合密碼設置規則���,重要設備及系統口令定期更換10檢查系統�,系統應具備對 WEB 訪問�、網絡聊天���、P2P 下載�、網絡娛樂��、信息收發���、帶寬流量等應用進行監控�����,并具有互聯網審計功能無上網行為管理系統不得分���,功能不全酌情扣分18)應有網絡用戶接入控制的技術手段���,嚴格控制網10按全部用戶數的 5%進行隨機接入設備測無網絡用戶接入控制手段不得分序 號評 價 項 目標準分查評方法評分標準及辦法絡用戶的接入,重要的信息系統建立了身份識別和認證系統試3.6.2.2服務器技術管理601)重要系統服務器與網絡���、存儲的接口采用雙鏈路連接方式10現場檢查設備連接情況主機與網絡非雙鏈路連接方式扣 5 分���,主機與
10、存儲非雙鏈路連接方式扣 5 分2)重要系統服務器數據具有安全性10查看設備配置或實地考察不符合要求不得分3)重要服務器系統可靠性����,重要服務器采用雙機集群方式,本機磁盤為 RAID 方式���,磁盤��、電源等設備支持熱插拔10查看重要服務器等設備日志服務器系統可靠性應不低于 99.99%����,平均故障間隔時間(MBFT)為 100000h 以上,不符合要求的酌情扣分4)重要服務器系統應具有詳實可行的應急預案(含事故處理流程)5查看重要服務器應急預案無應急預案扣 5 分���,內容不可行的酌情扣25 分5)對服務器進行地址綁定���,IP 地址分配由信息主管部門負責,有詳細的 IP 地址分配表10在線檢查配置并查看 IP
11���、 地址分配表未進行地址綁定扣 5 分��,無 IP 地址分配表扣 5 分6)服務器系統采用復雜性安全口令����,按需設置用戶權限5按服務器總數的 20%進行隨機抽查服務器口令不夠安全的���,按安全性酌情扣分7)對服務器操作具有啟動/停止��、配置保護����、口令方式的身份鑒別等基本管理�;對終端計算機應設置開機��、屏幕保護等口令,軟件安裝等要求����;5按服務器總數的 20%進行隨機抽查未設置扣 5 分,設置不完整酌情扣分8)系統安裝必要補丁5按服務器總數的 20%進行隨機抽查按系統補丁更新程度酌情扣分3.6.2.3安全系統101)具有系統運行風險控制措施5查看有關記錄無風險控制措施扣 5 分�����,未定期進行檢查扣 5 分2)具有
12�����、災難備份的手段及方式5查看存儲系統的災難備份方案無災難備份手段及方式不得分����,災難備份內容不全酌情扣分3.6.2.4數據庫系統安全技術管理201)數據庫口令復雜性檢查(包含密碼復雜度要求)10在線檢查密碼設置或利用漏洞掃描設備檢查不符合要求扣酌情扣分2)修改數據庫高級用戶默認密碼5查看數據庫高級用戶的密碼數據庫高級用戶密碼未更改不得分序 號評 價 項 目標準分查評方法評分標準及辦法3)按照最小權限原則設置數據庫用戶5登錄系統在線檢查,各用戶的權限分配未按照權限進行分配的不得分����。未采取最小權限分配原則的酌情扣分3.6.2.5生產應用系統安全技術管理701)生產應用系統實施前應進行上線測試、功能和性
13�����、能測試并出具測試報告10查看生產應用測試報告無測試報告不得分�,測試報告內容不全的酌情扣 25 分2)生產應用系統的版本及軟件更新記錄10登陸系統查看系統版本�����,檢查軟件更新記錄無記錄不得分�,記錄內容不全的酌情扣25 分3)生產應用系統的用戶管理及賬戶維護記錄10查看生產系統的用戶管理及維護記錄無記錄不得分����,記錄內容不全的酌情扣25 分4)生產應用系統權限管理,實現權限分離10查看生產應用系統權限管理文件無記錄不得分���;如未將管理與審計的權限分離或記錄缺失扣 5 分5)生產應用系統應具有詳實可行的應急預案10查看生產應用系統的應急預案無應急預案不得分���,內容不含事故處理流程的酌情扣 25 分6)定期對
14、生產應用系統進行分析評估��,提出系統維護計劃10查看生產系統運行評估報告無評估文件及計劃不得分��,內容不詳實的酌情扣 25 分7)對新用戶進行培訓10查看培訓記錄和培訓操作計劃無培訓計劃及操作手冊不得分�,內容不詳實的酌情扣 25 分3.6.2.6防病毒系統技術管理251)防病毒系統應覆蓋所有 PC 服務器及客戶端10按 PC 服務器總數的 10%進行抽查按抽查服務器中未安裝防病毒系統所占比率扣分2)病毒掃描策略應規定周期進行掃描,出具病毒統計分析報告10檢查防病毒系統中掃描策略及記錄無策略不得分��,策略不符合要求扣 3 分3)對防病毒客戶端管理策略配置是否合理5檢查相關(自動升級病毒代碼�����、定期掃描����、
15、病毒爆發應急預案)配置無策略不得分����,策略不符合要求扣 3 分3.6.2.7辦公系統安全管理301)辦公系統權限管理數據管理10檢查相關(用戶權限分配記錄、數據備份存儲記錄)文件權限分配記錄不完整的酌情扣 25 分����,數據管理記錄不完整的酌情扣 25 分2)網站發布審核管理10檢查網站發布審核功能無審批流程不得分序 號評 價 項 目標準分查評方法評分標準及辦法3)郵件系統應具備垃圾郵件過濾功能10檢查郵件系統配置文檔不符合要求不得分3.6.2.8個人計算機安全管理301)個人計算機軟件正版化5按個人電腦總數的 15%進行現場抽查按抽查數中不合格數所占抽查總數比率進行扣分2)計算機使用規范檢查5現場
16、抽查(口令���、機器名�、補?���。┌闯椴閿抵胁缓细駭邓汲椴榭倲当嚷蔬M行扣分3)個人計算機有無防病毒軟件、個人防火墻5按個人電腦總數的 15%進行現場抽查按抽查數中不合格數所占抽查總數比率進行扣分4)個人計算機有無與辦公無關的應用軟件5按個人電腦總數的 15%進行現場抽查按抽查數中不合格數所占抽查總數比率進行扣分5)涉密個人計算機與網絡隔離5現場抽查按抽查數中不合格數所占抽查總數比率進行扣分6)個人計算機關閉系統默認共享及共享文件夾5按個人電腦總數的 15%進行現場抽查按抽查數中不合格數所占抽查總數比率進行扣分3.6.2.9機房安全技術管理501)機房位置合理性檢查5現場檢查工作環境及相關設備不符合要
17���、求不得分2)機房設備供電安全10現場檢查供電系統是否合理���、電源是否采用不間斷電源供電系統不合理扣 5 分�����,電源未采用不間斷電源扣 5 分3)機房靜電防護10現場檢查是否安裝防靜電地板����,全部設備均應接地�,接地電阻符合規范標準未接地不得分,接地電阻大于標準扣 5 分4)防雷與接地防護10現場檢查相關設備不符合規定酌情扣分5)電磁屏蔽5現場檢查相關設備不符合規定酌情扣分6)機房環境監控��,定期清理核心設備空氣濾網10現場檢查門禁�����、消防����、安防、視頻監控�、環境監控系統和空調系統每有一項不符合項扣 2 分3.6.3運行維護2203.6.3.1網絡設備運行維護1001)網絡設備巡檢情況,設備檢修維護保密處理與
18�、審批20檢查相關記錄缺一項記錄扣 5 分,記錄不全每項扣 25 分序 號評 價 項 目標準分查評方法評分標準及辦法2)網絡設備接入審批10檢查接入審批記錄無記錄扣 5 分����,記錄不全扣 25 分3)網絡設備運行工作狀況監控10檢查有關記錄無記錄扣 5 分���,記錄不全扣 25 分4)網絡設備故障情況10檢查網絡設備故障記錄無記錄扣 5 分����,記錄不全扣 25 分5)網絡設備變更情況10檢查網絡設備變更記錄無記錄扣 5 分,記錄不全扣 25 分6)網絡設備臺賬情況10檢查網絡設備臺賬記錄無記錄不得分�����,記錄不全扣 25 分7)IP 地址分配情況10檢查 IP 地址分配記錄無記錄不得分�,記錄不全扣 25 分
19、8)上網行為情況10檢查上網行為記錄+無記錄不得分�����,記錄不全扣 20%50%標準分9)網絡設備配置備份情況10檢查網絡設備配置備份存檔無記錄不得分�����,記錄不全扣 25 分3.6.3.2應用系統運行維護451)各系統故障情況15檢查各系統故障記錄無記錄不得分�����,記錄不全每項扣 25 分2)應急演練情況15檢查應急演練記錄無記錄不得分��,記錄不全每項扣 25 分3)應用系統備份情況15檢查應用系統備份記錄無記錄不得分,記錄不全每項扣 25 分3.6.3.3主機數據庫系統運行維護551)主機數據庫系統巡檢情況15檢查主機數據庫系統巡檢記錄無記錄不得分���,記錄不全每項扣 25 分2)系統故障情況10檢查系統故障記錄無記錄不得分����,記錄不全每項扣 25 分3)系統操作情況10檢查系統操作記錄無記錄不得分���,記錄不全每項扣 25 分4)應急演練情況10檢查應急演練記錄無記錄不得分����,記錄不全每項扣 25 分5)主機數據庫系統備份情況10檢查主機數據庫系統備份記錄無記錄不得分�,記錄不全每項扣 25 分3.6.3.4機房運行維護201)機房環境監控情況10檢查機房環境監控記錄無記錄不得分,記錄不全每項扣 25 分2)機房巡檢記錄5檢查相關記錄無記錄不得分��,記錄不全每項扣 13 分3)機房出入管理記錄5檢查相關記錄無記錄不得分�,記錄不全每項扣 13 分
火力發電廠安全性評價標準生產設備系統信息網絡安全
