火力发电厂安全性评价标准生产设备系统信息网络安全

火力发电厂安全性评价标准生产设备系统信息网络安全序 号评 价 项 目标准分查评方法评分标准及办法3.6信息网络安全8003.6.1基础管理1203.6.1.1组织与岗位职责201）安全管理体系健全，配备专职（兼职）工作人员10查看信息管理组织结构文件体系不完整扣 37 分；未配备专职（兼职）工作人员扣 3 分2）各级责任制落实，相关工作人员的工作职责与工作范围明确10查看信息管理岗位职责文件无工作职责与工作范围扣 5 分，工作职责与工作范围不完整的扣 15 分3.6.1.2网络管理制度301）网络设备管理制度健全10查看相关（广域网、局域网设备，配套网络线缆设施，网络服务器、工作站等）制度无相应制度不得分，制度内容不全扣 15 分2）网络安全设备管理制度健全10查看相关（IDS、漏洞扫描、防火墙、单向隔离装置、VPN 等）制度无相应制度不得分，制度内容不全扣 15 分3）网络安全信息系统管理制度健全10查看相关（网管系统、上网行为管理系统、网络用户管理系统）制度无相应制度不得分，制度内容不全扣 15 分3.6.1.3系统管理制度351）服务器系统管理制度健全5查看相关（补丁管理、权限管理、运行管理）制度无相应制度不得分，制度内容不全扣 15 分2）存储、备份系统管理制度健全5查看相关（备份介质、备份策略、容灾策略、恢复策略）制度无相应制度不得分，制度内容不全扣 15 分3）数据库系统管理制度健全5查看相关（版本管理、权限管理、补丁管理、性能管理、可用性管理）制度无相应制度不得分，制度内容不全的酌情扣 15 分4）生产应用系统管理制度健全5查看相关（上线测试管理、权限管理、运行管理）制度无相应制度不得分，制度内容不全的酌情扣 15 分5）防病毒系统管理制度健全5查看相关（部署管理、策略管理、监控管无相应制度不得分，制度内容不全的酌情序 号评 价 项 目标准分查评方法评分标准及办法理）制度扣 15 分6）办公与管理应用软件系统管理制度健全5查看相关（包括 OA、MIS、MAIL、ERP、WEB、ERP 等）制度无相应制度不得分，制度内容不全的酌情扣 15 分7）各系统应急预案健全5查看系统应急预案制度无相应制度不得分，制度内容不全的酌情扣 15 分3.6.1.4计算机使用管理规定201）上网行为管理制度健全10查看相关（访问内容、流量控制、下载管理、信息发布）制度无相应制度不得分，制度内容不全的酌情扣分2）制定计算机使用制度及移动介质（如 U 盘、光盘等）使用管理制度10查看相关（密码、计算机名、补丁、防病毒、个人防火墙、共享等）制度无相应制度不得分，制度内容不全的酌情扣分3.6.1.5计算机房管理制度151）具有计算机房的管理制度10查看相关（包括机房准入准出制度、机房内相关操作制度）制度无相应制度不得分，制度内容不全的酌情扣分2）具有计算机房维护手册5查看相关（服务器系统、网络系统、环境监控系统）文件无相应制度不得分，制度内容不全的酌情扣 15 分3.6.2技术管理4603.6.2.1技术管理通用要求1651）具有信息系统安全策略规划，信息系统安全保障系统健全10查阅有关规划，现场查问无安全保障系统扣 10 分，不健全的酌情扣分2）在相关网络的隔离点，设立合理的访问控制10查阅有关记录文件无访问控制不得分，控制不合理的酌情扣25 分3）按照方便管理和控制的原则为各子网、网段分配地址段5检查网络结构及 IP 地址分配方案没有按需划分子网不得分，分配不合理的酌情扣 25 分4）IP 地址的规划方案、分配策略、分配记录进行统一管理10检查管理文档或记录没有相关文档扣 5 分，记录不全的酌情扣25 分5）VLAN 间访问控制的合理性10检查网络配置、记录文档未配置访问控制策略不得分，配置不合理的酌情扣 25 分6）重要网段应采取网络层地址与数据链路层地址绑5检查设备配置、登记记录无配置扣 3 分，无登记记录扣 2 分序 号评 价 项 目标准分查评方法评分标准及办法定措施，防止地址欺骗7）安全区边界拓扑结构是否合理，不应有不经过防火墙的外联链路10查阅网络拓扑图，现场查问拓扑图不合理的酌情扣分8）在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离5实地检查设备安装情况无物理单向隔离设备扣 5 分。内部无访问控制设备隔离各安全区扣 5 分9）电力调度信息系统安全评估体系，采取以自评估为主、联合评估为辅的方式10检查评估文档无评估文档不得分10）对所有通过防火墙或其他访问控制设备的网络地址、端口等进行控制10检查网络拓扑图、在线检查防火墙配置检查网络拓扑和防火墙配置，发现一个未覆盖出口扣 5 分，如未做控制则不得分11）防火墙应具备防止已知攻击的能力10查看配置，是否对常用攻击端口进行限制如无相关能力，则不得分；功能不完善的酌情扣分12）防火墙管理对不同安全级别的网络按其安全技术和机制的不同要求实施相应的安全管理；10在线查看防火墙策略（禁止从外部网络登录，限制其他管理方式）等如未限制，则不得分，限制不完善的酌情扣 25 分13）为了便于防火墙的控制，应对各个系统、软件所使用的端口进行登记10检查端口开放记录文档无登记端口开放记录文档不得分14）重要系统的数据传输应通过安全链路（专线、加密 VPN）10现场询问，并实地考察链路状况没有采取安全链路不得分，链路不够安全酌情扣分15）定期进行漏洞扫描10检查漏洞扫描记录文档无扫描记录文档不得分16）有专业的网络管理系统对网络结构、网络流量、接入设备进行监控与管理10检查网络管理系统无专业的网络管理系统，不得分17）实施上网行为管理系统，系统及设备口令符合密码设置规则，重要设备及系统口令定期更换10检查系统，系统应具备对 WEB 访问、网络聊天、P2P 下载、网络娱乐、信息收发、带宽流量等应用进行监控，并具有互联网审计功能无上网行为管理系统不得分，功能不全酌情扣分18）应有网络用户接入控制的技术手段，严格控制网10按全部用户数的 5%进行随机接入设备测无网络用户接入控制手段不得分序 号评 价 项 目标准分查评方法评分标准及办法络用户的接入，重要的信息系统建立了身份识别和认证系统试3.6.2.2服务器技术管理601）重要系统服务器与网络、存储的接口采用双链路连接方式10现场检查设备连接情况主机与网络非双链路连接方式扣 5 分，主机与存储非双链路连接方式扣 5 分2）重要系统服务器数据具有安全性10查看设备配置或实地考察不符合要求不得分3）重要服务器系统可靠性，重要服务器采用双机集群方式，本机磁盘为 RAID 方式，磁盘、电源等设备支持热插拔10查看重要服务器等设备日志服务器系统可靠性应不低于 99.99%，平均故障间隔时间（MBFT）为 100000h 以上，不符合要求的酌情扣分4）重要服务器系统应具有详实可行的应急预案（含事故处理流程）5查看重要服务器应急预案无应急预案扣 5 分，内容不可行的酌情扣25 分5）对服务器进行地址绑定，IP 地址分配由信息主管部门负责，有详细的 IP 地址分配表10在线检查配置并查看 IP 地址分配表未进行地址绑定扣 5 分，无 IP 地址分配表扣 5 分6）服务器系统采用复杂性安全口令，按需设置用户权限5按服务器总数的 20%进行随机抽查服务器口令不够安全的，按安全性酌情扣分7）对服务器操作具有启动/停止、配置保护、口令方式的身份鉴别等基本管理；对终端计算机应设置开机、屏幕保护等口令，软件安装等要求；5按服务器总数的 20%进行随机抽查未设置扣 5 分，设置不完整酌情扣分8）系统安装必要补丁5按服务器总数的 20%进行随机抽查按系统补丁更新程度酌情扣分3.6.2.3安全系统101）具有系统运行风险控制措施5查看有关记录无风险控制措施扣 5 分，未定期进行检查扣 5 分2）具有灾难备份的手段及方式5查看存储系统的灾难备份方案无灾难备份手段及方式不得分，灾难备份内容不全酌情扣分3.6.2.4数据库系统安全技术管理201）数据库口令复杂性检查（包含密码复杂度要求）10在线检查密码设置或利用漏洞扫描设备检查不符合要求扣酌情扣分2）修改数据库高级用户默认密码5查看数据库高级用户的密码数据库高级用户密码未更改不得分序 号评 价 项 目标准分查评方法评分标准及办法3）按照最小权限原则设置数据库用户5登录系统在线检查，各用户的权限分配未按照权限进行分配的不得分。未采取最小权限分配原则的酌情扣分3.6.2.5生产应用系统安全技术管理701）生产应用系统实施前应进行上线测试、功能和性能测试并出具测试报告10查看生产应用测试报告无测试报告不得分，测试报告内容不全的酌情扣 25 分2）生产应用系统的版本及软件更新记录10登陆系统查看系统版本，检查软件更新记录无记录不得分，记录内容不全的酌情扣25 分3）生产应用系统的用户管理及账户维护记录10查看生产系统的用户管理及维护记录无记录不得分，记录内容不全的酌情扣25 分4）生产应用系统权限管理，实现权限分离10查看生产应用系统权限管理文件无记录不得分；如未将管理与审计的权限分离或记录缺失扣 5 分5）生产应用系统应具有详实可行的应急预案10查看生产应用系统的应急预案无应急预案不得分，内容不含事故处理流程的酌情扣 25 分6）定期对生产应用系统进行分析评估，提出系统维护计划10查看生产系统运行评估报告无评估文件及计划不得分，内容不详实的酌情扣 25 分7）对新用户进行培训10查看培训记录和培训操作计划无培训计划及操作手册不得分，内容不详实的酌情扣 25 分3.6.2.6防病毒系统技术管理251）防病毒系统应覆盖所有 PC 服务器及客户端10按 PC 服务器总数的 10%进行抽查按抽查服务器中未安装防病毒系统所占比率扣分2）病毒扫描策略应规定周期进行扫描，出具病毒统计分析报告10检查防病毒系统中扫描策略及记录无策略不得分，策略不符合要求扣 3 分3）对防病毒客户端管理策略配置是否合理5检查相关（自动升级病毒代码、定期扫描、病毒爆发应急预案）配置无策略不得分，策略不符合要求扣 3 分3.6.2.7办公系统安全管理301）办公系统权限管理数据管理10检查相关（用户权限分配记录、数据备份存储记录）文件权限分配记录不完整的酌情扣 25 分，数据管理记录不完整的酌情扣 25 分2）网站发布审核管理10检查网站发布审核功能无审批流程不得分序 号评 价 项 目标准分查评方法评分标准及办法3）邮件系统应具备垃圾邮件过滤功能10检查邮件系统配置文档不符合要求不得分3.6.2.8个人计算机安全管理301）个人计算机软件正版化5按个人电脑总数的 15%进行现场抽查按抽查数中不合格数所占抽查总数比率进行扣分2）计算机使用规范检查5现场抽查（口令、机器名、补丁）按抽查数中不合格数所占抽查总数比率进行扣分3）个人计算机有无防病毒软件、个人防火墙5按个人电脑总数的 15%进行现场抽查按抽查数中不合格数所占抽查总数比率进行扣分4）个人计算机有无与办公无关的应用软件5按个人电脑总数的 15%进行现场抽查按抽查数中不合格数所占抽查总数比率进行扣分5）涉密个人计算机与网络隔离5现场抽查按抽查数中不合格数所占抽查总数比率进行扣分6）个人计算机关闭系统默认共享及共享文件夹5按个人电脑总数的 15%进行现场抽查按抽查数中不合格数所占抽查总数比率进行扣分3.6.2.9机房安全技术管理501）机房位置合理性检查5现场检查工作环境及相关设备不符合要求不得分2）机房设备供电安全10现场检查供电系统是否合理、电源是否采用不间断电源供电系统不合理扣 5 分，电源未采用不间断电源扣 5 分3）机房静电防护10现场检查是否安装防静电地板，全部设备均应接地，接地电阻符合规范标准未接地不得分，接地电阻大于标准扣 5 分4）防雷与接地防护10现场检查相关设备不符合规定酌情扣分5）电磁屏蔽5现场检查相关设备不符合规定酌情扣分6）机房环境监控，定期清理核心设备空气滤网10现场检查门禁、消防、安防、视频监控、环境监控系统和空调系统每有一项不符合项扣 2 分3.6.3运行维护2203.6.3.1网络设备运行维护1001）网络设备巡检情况，设备检修维护保密处理与审批20检查相关记录缺一项记录扣 5 分，记录不全每项扣 25 分序 号评 价 项 目标准分查评方法评分标准及办法2）网络设备接入审批10检查接入审批记录无记录扣 5 分，记录不全扣 25 分3）网络设备运行工作状况监控10检查有关记录无记录扣 5 分，记录不全扣 25 分4）网络设备故障情况10检查网络设备故障记录无记录扣 5 分，记录不全扣 25 分5）网络设备变更情况10检查网络设备变更记录无记录扣 5 分，记录不全扣 25 分6）网络设备台账情况10检查网络设备台账记录无记录不得分，记录不全扣 25 分7）IP 地址分配情况10检查 IP 地址分配记录无记录不得分，记录不全扣 25 分8）上网行为情况10检查上网行为记录+无记录不得分，记录不全扣 20%50%标准分9）网络设备配置备份情况10检查网络设备配置备份存档无记录不得分，记录不全扣 25 分3.6.3.2应用系统运行维护451）各系统故障情况15检查各系统故障记录无记录不得分，记录不全每项扣 25 分2）应急演练情况15检查应急演练记录无记录不得分，记录不全每项扣 25 分3）应用系统备份情况15检查应用系统备份记录无记录不得分，记录不全每项扣 25 分3.6.3.3主机数据库系统运行维护551）主机数据库系统巡检情况15检查主机数据库系统巡检记录无记录不得分，记录不全每项扣 25 分2）系统故障情况10检查系统故障记录无记录不得分，记录不全每项扣 25 分3）系统操作情况10检查系统操作记录无记录不得分，记录不全每项扣 25 分4）应急演练情况10检查应急演练记录无记录不得分，记录不全每项扣 25 分5）主机数据库系统备份情况10检查主机数据库系统备份记录无记录不得分，记录不全每项扣 25 分3.6.3.4机房运行维护201）机房环境监控情况10检查机房环境监控记录无记录不得分，记录不全每项扣 25 分2）机房巡检记录5检查相关记录无记录不得分，记录不全每项扣 13 分3）机房出入管理记录5检查相关记录无记录不得分，记录不全每项扣 13 分