国家电网公司网络与信息系统 安全管理办法

国家电网公司网络与信息系统 安全管理办法 第一章 总则 第一条 为加强和规范国家电网公司 以下简称 公司 网络与信息系统安全工作 切实提高防攻击 防 篡改 防病毒 防瘫痪 防窃密能力 实现网络与信息系统安全的可控 能控 在控 依据国家有关法律 法规 规定及公司有关制度 制定本办法 第二条 本办法所称网络与信息系统是指公司电力通信网及其承载的管理信息系统和电力二次系统 第三条 本办法适用于公司总 分 部及所属各级单位的网络与信息系统安全管理工作 第四条 网络与信息系统安全防护目标是保障电力生产监控系统及电力调度数据网络的安全 保障管理信 息系统及通信 网络的安全 落实信息系统生命周期全过程安全管理 实现信息安全可控 能控 在控 防范对电力二次系统 管理信息系统的恶意攻击及侵害 抵御内外部有组织的攻击 防止由于电力二次系 统 管理信息系统的崩溃或瘫痪造成的电力系统事故 第五条 公司网络与信息系统安全工作坚持 三纳入一融合 原则 将等级保护纳入网络与信息系统安全工 作中 将网络与信息系统安全纳入信息化日常工作中 将网络与信息系统安全纳入公司安全生产管理体系 中 将网络与信息系统安全融入公司安全生产中 在规划和建设网络与信息系统时 信息通信安全防护措 施应按照 三同步 原则 与网络与信息系统建设同步规划 同步建设 同步投入运行 第六条 管理信息系统安全防护坚持 双网双机 分区分域 安全接入 动态感知 全面防护 准入备案 的总体安全策略 执行信息安全等级保护制度 其中 双网双机 指信息内外网间采用逻辑强隔离设备进行 隔离 并分别采用独立的服务器及桌面主机 分区分域 指依据等级保护定级情况及业务系统类型 进行 安全域划分 以实现不同安全域的独立化 差异化防护 安全接入 指通过采用终端加固 安全通道 认 证等措施保障终端接入公司信息内外网安全 动态感知 指对公司网络 信息系统 终端及设备等安全状 态进行全面动态监测 实现事前预警 事中监测和事后审计 全面防护 指对物理 网络边界 主机 应 用和数据等进行深度防护 加强安全基础设施建设 覆盖防护各层次 各环节 各对象 准入备案 指对 所有接入公司网络的各类网络 应用 系统 终端 设备进行准入及备案管理 第七条 电力二次系统安全防护按照 安全分区 网络专用 横向隔离 纵向认证 的防护原则 并遵照原 国家电力监管委员会 电力二次系统安全防护规定 及 电力二次系统安全防护总体方案 等相关文件执 行 第二章 职责分工 第八条 公司信息安全工作实行统一领导 分级管理 遵循 谁主管谁负责 谁运行谁负责 谁使用谁负责 管业务必须管安全 的原则 严格落实网络与信息系统安全责任 各级单位主要负责人是本单位网络与信 息系统安全第一责任人 各级单位信息化领导小组负责本单位网络信息安全 含生产控制大区和管理信息 大区 的总体协调领导 第九条 网络与信息系统实行专业管理 归口监督 国网信通部是信息安全防护的归口部门 负责管理信 息系统及电力通信网的安全防护 国调中心负责调度数据网络和电力二次系统的安全防护 国网安质部负 责公司信息安全监督 检查和评价工作 国网办公厅 保密办 负责公司保密管理 负责信息失泄密情况 的调查和处理 各业务部门负责本专业系统及终端的安全监控和防护 各级单位负责落实本单位网络与信 息系统安全工作 第十条 国网信通部主要职责如下 一 落实国家有关网络与信息系统安全法规 方针 政策 标准和规范 联系国家有关部门落实相关安 全工作 组织制定公司网络与信息系统安全管理标准规范和规章制度 二 负责公司网络与信息系统安全体系规划设计 架构管控 总体安全防护方案制订 核心安全防护措 施部署和策略优化配置并组织实施 三 指导总部各部门 公司各级单位开展网络与信息系统全生命周期安全管控工作 组织落实等级保护 测评整改 风险评估和隐患排查治理等工作 四 负责信息安全技术督查体系建设 组织开展公司信息安全技术督查工作 五 协助开展网络与信息系统事件的调查处理 组织制定 落实网络与信息系统反事故措施 六 负责信息安全态势跟踪 事件监测与分析 信息安全通报 七 负责网络与信息系统应急管理体系建设与应急处置 第十一条 国调中心主要职责如下 一 负责公司生产控制大区 含各级调度 变电站 发电厂 配电自动化 负荷控制等 工控系统安全 防护管理 统筹公司经营范围内并网发电厂涉网部分的监控系统和继电保护等工控系统安全防护的技术监 督管理 二 负责落实国家电力二次系统安全防护要求 组织制定公司电力二次系统安全管理制度 指导各级单 位开展电力二次系统安全防护的实施方案制定和运行管理 三 配合完成国家有关部门对公司电力二次系统开展的风险评估和隐患排查 信息安全检查 落实等级 保护制度等工作 四 负责电力二次系统安全防护技术督查体系建设以及组织开展电力二次系统的安全技术督查工作 五 负责电力二次系统应急管理体系建设与应急处置 第十二条 国网安质部主要职责如下 一 负责公司网络与信息系统安全检查和评价 二 负责公司信息安全事件的调查 分析 处理和事件通报 第十三条 业务部门主要职责如下 一 牵头开展本专业信息系统信息安全防护工作 依据公司总体安全策略组织制定相关系统信息安全防 护方案 经公司信息安全专家审查委员会审批后执行 二 落实业务系统信息安全等级保护工作 配合开展业务系统安全测评 风险评估和隐患排查治理等工 作 三 国网运检部负责配电自动化终端具体安全防护及运行维护管理 负责相关安全防护的技改项目管理 四 国网营销部负责营销业务涉及控制类系统及终端 如负荷控制系统 负控终端及用电信息采集控制 终端等 的具体安全防护及运行维护管理 五 国网农电部负责代管县供电企业的农村电网涉及控制类系统及终端安全防护管理 六 在本专业人员培训过程中贯彻公司信息安全相关要求 第十四条 各级单位主要职责如下 一 负责贯彻落实国家有关网络与信息系统安全法规 方针 政策 标准和规范 贯彻落实公司网络与 信息系统安全相关标准规范和规章制度 二 落实本单位范围内网络与信息系统安全工作责任体系 三 落实本单位网络与信息系统全生命周期安全管控 等级保护测评整改 安全准入 风险评估 隐患 排查治理和信息安全技术督查等工作 四 按照公司网络与信息系统应急管理要求建立本单位应急体系 组织本单位突发事件的应急处理 五 负责明确本单位网络与信息系统安全运行维护部门或机构 落实网络与信息系统安全运行维护日常 工作 明确落实本单位信息安全技术督查体系 六 组织本单位信息安全宣传和培训工作 第十五条 各业务支撑和实施机构信息安全职责如下 一 各级调控机构 分别负责本级调度控制系统和调度数据网络的安全防护和运行维护管理 负责直调 发电厂涉网部分的监控系统和继电保护等工控系统安全防护技术监督 二 国网运行分公司 各省检修 分 公司 各地 市 检修工公司和县运检部 检修 建设 工区 分别负责运维范围内变电站 开关站 换流站的系统 设备和终端的安全运维和应急处置工作 三 国网新源控股公司 负责运维范围内发电厂的系统 设备和终端的安全运维和应急处置工作 四 中国电科院 负责公司信息通信安全研究 提供信息安全专业技术支撑 负责公司信息通信系统和 设备的安全测试工作 负责信息通信系统和设备的缺陷分析 安全设计的符合性审查以及状态评价 负责 执行信息通信安全技术督查及专项检查 五 省电科院 负责信息通信安全研究 为各省 自治区 直辖市 电力公司提供信息安全专业技术支 撑 负责省公司信息通信系统和设备的缺陷分析 安全设计的符合性审查以及状态评价 负责本单位信息 安全技术督查 六 国网信通公司 负责公司总部信息通信系统 一级部署信息系统 直属单位集中部署信息系统和一 级骨干信息通信网的安全运维和应急处置工作 七 省信通 分 公司 负责调管范围内信息通信系统调度监控和应急处置 负责资产管理范围内信息 通信系统 设备和终端的安全运维和应急处置工作 八 地 市 信通分公司 受职能管理部门委托开展本单位信息安全保障工作 第三章 管理要求 第十六条 按照公司制度标准体系建设工作要求和统一部署 由总部统一制定 发布与组织实施信息通信 安全管理制度 实现全职责 全业务 全流程覆盖 确保纵向层级支撑 横向衔接联动 第十七条 按照公司 三集五大 体系设计确定的岗位 公司统一确定信息系统建设 运行 使用等相关岗 位的信息安全职责 各级单位遵照执行并加强管理 各级单位信息通信职能管理部门 电力调度管理部门 应设置专门的信息安全管理岗位 配备安全管理人员 明确安全工作职责 第十八条 加强员工信息安全管理 严格人员录用过程 与关键岗位员工签订保密协议 明确信息安全保 密的内容和职责 切实加强员工信息安全培训工作 提高全员安全意识 及时终止离岗员工的所有访问权 限 对承担公司核心信息系统规划 研发 运维管理等关键岗位人员开展安全培训和考核 对系统运维关键岗 位建立持证上岗制度 明确持证上岗要求 对关键岗位人员进行安全技能考核 将信息安全技能考核内容 纳入公司安规考试 加强对临时来访人员和常驻外包服务人员的信息安全管理 加强外来人员的出入登记和接待管理 严格控 制外来人员活动区域 外来人员进入机房等重要区域 应办理审批登记手续并由相关管理人员全程陪同 相关操作必须有审计及监控 第十九条 网络与信息系统安全管理工作机制如下 一 遵循 统一指挥 密切配合 职责明确 流程规范 响应及时 的协同原则 做好公司信息安全内 外部协同机制的落实工作 二 健全信息安全技术督查工作 加强对信息安全技术督查的一体化管控 强化督查责任落实 深化年 度 专项 日常督查工作 进一步提升督查队伍装备水平 优化督查工作流程 强化督查队伍评价考核 三 落实常态信息安全风险评估工作 与公司春秋季检和迎峰度夏工作相结合 切实将风险评估工作常 态化 及时落实整改 消除安全隐患 四 切实加强网络与信息系统应急管理体系建设 按照综合协调 统一领导 分级负责的原则 在公司 总部 各分部 省 自治区 直辖市 电力公司 直属单位建立应急组织和指挥体系 坚持 安全第一 预防为主 的方针 加强应急响应队伍建设 优化完善应急预案 落实常态应急演练工作 做好应急保障 工作 加强安全风险监测与预警 建立 上下联动 区域协作 的快速响应工作 强化应急处置 五 严格执行信息安全事故通报制度 通报规范见附件 1 做好节假日和特殊时期的安全运行情况报 送工作 六 落实健全网络与信息系统安全准入工作 加强对接入公司网络的各类系统 终端 设备的准入及备 案管理 强化备案信息与上下线相关运行安全工作的准入联动工作 七 严格按照公司安全事故调查规程 开展事故原因分析 做好事故调查工作 坚持 四不放过 原则 有效落实整改 八 贯彻落实信息安全等级保护制度 持续强化信息安全等级保护工作管理 做好系统等级保护定级 备案 建设 测评与整改工作 九 深入开展信息安全动态治理工作 推动各级单位信息安全工作的落实与持续改进 提升信息安全流 程化 标准化和规范化水平 强化隐患排查治理工作 强化从隐患发现到隐患治理的闭环管理工作 消除 信息安全薄弱环节 十 开展信息技术供应链安全管理工作 开展信息技术软硬件设备和服务供应商安全管理 软硬件设备 选型和安全测试工作 逐步实现核心运行系统的国产化 加强外部合作单位和供应商管理 严格外部单位 资质审核 严禁合作单位和供应商在对互联网提供服务的网络和信息系统中存储和运行公司相关业务系统 数据和敏感信息 关键软硬件设备采购应开展产品预先选型和安全检测 对涉及的信息安全软硬件产品和 密码产品要坚持国产化原则 信息安全核心防护产品以自主研发为主 管理信息系统软硬件产品逐步采用 全国产化产品 及时开展各种软硬件漏洞检测及修复 十一 建立信息安全综合评价体系 加强信息安全监督及考核评价 将网络与信息系统安全落实情况纳 入各级单位信息化水平评价 十二 加强密码技术的开发利用以及密码安全保障 落实密钥的统一选型及应用工作 充分发挥密码技 术在信息安全工作中的基础作用 第二十条 加强电力通信网的安全管理 规范电力通信网络安全防护体系 健全针对各类网络在线监测和 安全预警能力 做好对光缆 网络交换设备 物理区域与人员的安全访问管理 禁止通信网管系统未经网 络隔离装置与信息内网互联 禁止通信网管系统与外部维护厂商间进行网络连接 电力通信设备 线路等 应采用冗余保障 网络优化 设备网管防护等措施提高可用性 第二十一条 加强信息内外网网站管理 各级单位对外网站应与公司外网企业门户网站进行整合 内网宣 传网站要与公司内网企业门户进行整合 实现网站统一管理与备案 网站信息发布须严格按照公司审核发 布流程 各级单位网站统一使用公司域名 并规范网站功能设置及网站风格设计 加强内外网邮件统一管 理 禁止各级单位建立独立内外网邮件系统 如确实需要建立 需提前报公司批准 第二十二条 加强信息安全备案准入工作 各级单位要巩固信息安全备案准入成果 加强对采集类业务终 端的安全备案 严格各类信息资产安全备案作为入网的必要条件 加强安全备案数据质量的治理工作 确 保填报信息完整 准确及更新及时 对于未备案的业务系统 网络专线 一经发现立即关停 按照公司有 关要求进行追责及处置 第二十三条 微博微信等新业务安全管理要求如下 一 强化对企业官方微博微信 Wi Fi 网络 其他新业务的安全备案准入与管理 加强微博微信开设 使用的安全管理 加强信息外网无线 Wi Fi 网络的审批 备案与使用管理 二 各级单位要加强官方微博微信的开设与管理 加强对本单位官方微博微信所发布的内容审查与核实 微博微信的发布终端要按照公司办公计算机防护要求部署安全措施 公司两级技术督查队伍在日常的安全 督查中要加强对微博微信发布终端的检查深度和频度 三 各级单位信息外网使用 Wi Fi 要严格落实审核批准与备案工作 要加强 Wi Fi 组网的网络准入 安 全审计 用户身份认证方面的安全防护技术手段 四 各级单位要控制内网第三方专线接入公司信息网络的专线数量 对于确需第三方接入的新业务 要 选择安全的接入方式并强化落实边界安全防护措施 第二十四条 接入安全管理要求如下 一 加强互联网接入以及互联网出口归集统一管理 充分利用公司电力通信链路 以省级单位和三地灾 备中心为主体对下属单位互联网出口进行严格管控 合并 统一设置和集中监控 二 加强非集中办公区域内网接入安全管理 严格履行审批程序 按照公司集中办公区域相关要求落实 信息安全管理与技术措施 非集中办公区域应采用电力通信网络通道接入公司内部网络 如确实需要租用 第三方专线 应在公司进行备案 并严格按照总体防护要求采取相应防护措施 第二十五条 规划计划安全管理要求如下 一 网络与信息系统在可研设计阶段应全面分析其可能面临的主要信息安全风险以及对现有网络与系统 流程的影响 并进行安全需求分析 二 可研阶段信息系统应组织进行信息安全防护设计 做好安全架构规划 形成专项信息安全防护方案 并进行评审 专项信息安全防护方案通过评审后方可进行后续开发工作 涉及认证 密钥以及数据保护等 方面需考虑与公司统一密钥系统集成接口设计 三 网络与信息系统应提前组织开展等级保护定级工作 同时重要系统应提前在公司信息安全归口管理 部门进行备案 第二十六条 建设安全管理要求如下 一 严格遵循信息系统开发管理要求 加强对项目开发环境及测试环境的安全管理 确保与实际运行环 境及办公环境安全隔离 确保开发全过程信息安全管控 二 加强信息系统开发过程中代码编写的规范性 应采用公司统一开发平台进行开发 并严格按照公司 统一安全编程规范进行代码编写 定期进行代码审核 并组织代码安全自测 三 加强代码安全管理 确保开发过程中代码安全保密 落实源代码补丁漏洞工作 及时对代码漏洞进 行反馈及整改 四 规范外部软件及插件的使用 应使用主流的 成熟的外部软件及插件 避免采用非商用且无安全保 证的外部软件及插件 集成外部软件及插件包括开源组件时 应重视接口交互的安全 充分考虑异常的处 理 五 加强电力通信网建设的安全管理 通过识别 评估和分析等手段降低安全风险 保证通信网络建设 过程中安全可控 确保人身 设备及现有网络的安全 第二十七条 运维安全管理要求如下 一 网络与信息系统上线前 重要升级前 与生产系统联合调试前对安全防护设计遵从度 应用软件安 全功能 代码安全 运行环境安全等进行全面测试以及整改加固 通过测试后方可正式上线试运行 二 建立网络与信息系统资产安全管理制度 加强资产的新增 验收 盘点 维护 报废等各环节管理 编制资产清单 根据资产重要程度对资产进行标识 加强对资产 风险分析及漏洞关联管理 三 加强机房出入管理 对机房建筑采取门禁 专人值守等措施 防止非法进入 出入机房需进行登记 四 加强信息通信设备安全管理 建立健全设备安全管理制度 加强设备基线策略管理以及优化部署 制定安全基线策略配置管理要求和技术标准 规范上线 运行软硬件设备信息安全策略以及安全配置 五 建立通信设备软件升级预评估制度 对其必要性和紧急性进行评估论证 并采取相应防范措施后 再进行相关升级工作 六 规范账号权限管理 系统上线稳定运行后 应回收建设开发单位所掌握的账号 各类超级用户账号 禁止多人共用 禁止由非主业不可控人员掌握 临时账号应设定使用时限 员工离职 离岗时 信息系统 的访问权限应同步收回 应定期 半年 对信息系统用户权限进行审核 清理 删除废旧账号 无用账号 及时调整可能导致安全问题的权限分配数据 七 规范账号口令管理 口令必须具有一定强度 长度和复杂度 长度不得小于 8 位字符串 要求是 字母和数字或特殊字符的混合 用户名和口令禁止相同 定期更换口令 更换周期不超过 6 个月 重要系 统口令更换周期不超过 3 个月 最近使用的 4 个口令不可重复 八 强化公司统一漏洞及补丁工作 加强对公司各级单位漏洞的采集 分析 发布 描述的集中统一管 理 实现全网漏洞扫描策略的统一制定 扫描任务的统一执行 实现对各级单位漏洞情况以及内外网补丁 下载 安装情况的监管 加强各种典型漏洞 补丁的测试验证及整改工作 九 加强恶意代码及病毒防范管理 加强对特种木马的监测 确保客户端防病毒软件全面安装 严格要 求内网病毒库的升级频率 加强病毒监测 预警 分析及通报力度 对使用的移动设备必须进行病毒木马 查杀 十 加强远程运维管理 不得通过互联网或信息外网远程运维方式进行设备和系统的维护及技术支持工 作 内网远程运维要履行审批程序 并对各项操作进行监控 记录和审计 有国外单位参与的运维操作需 安排在测试仿真环境 禁止在生产环境进行 十一 规范变更计划 变更操作审批流程 变更测试 变更恢复预案等工作 严格系统变更 系统重要 操作 物理访问和系统接入申报和审批程序 严格执行工作票和操作票制度 加强网络与信息系统检修过 程安全管理 预防网络与信息系统损坏和事故发生 十二 加强安全审计工作 实现对主机 数据库 业务应用等多个层次集中 全面 细粒度安全审计 提高审计记录的统计汇总 综合分析能力 做到事前 事中 事后的问题追溯 十三 明确备份及恢复策略 严格控制数据备份和恢复过程 重要系统和数据备份需纳入公司统一的灾 备系统 十四 涉及敏感信息的系统数据库应部署于信息内网 同时加强对重要地理信息 客户信息等的安全存 储和安全传输等措施的落实 十五 电力通信网的光缆使用年限一般不应超过设计要求 超过设计年限要求的光缆应加强监测 第四章 技术措施 第二十八条 物理安全技术工作要求如下 一 严格执行信息通信机房管理有关规范 确保机房运行环境符合要求 室内机房物理环境安全需满足 对应信息系统等级的等级保护物理安全要求 室外设备物理安全需满足国家对于防盗 电气 环境 噪音 电磁 机械结构 铭牌 防腐蚀 防火 防雷 电源等要求 四级及以上系统应对关键区域实施电磁屏蔽 措施 二 加强办公区域安全管理 员工离开办公区域要及时锁定桌面终端计算机屏幕 防止外来人员接触办 公区域电子信息 三 重要通信设备应满足硬件冗余需求 如主控板卡 时钟板卡 电源板卡 交叉板卡 支路板卡等 至少满足 1 1 冗余需求 一些重要板卡需满足 1 N 冗余需求 四 通信电源应满足电力系统重要业务 双电源 冗余要求 电力系统重要业务应配置两套独立的通信设 备 具备两条独立的路由 并分别由两套独立的电源供电 两套通信设备和两套电源在物理上应完全隔离 第二十九条 网络安全技术工作要求如下 一 电力通信网的数据网划分为电力调度数据网 综合数据通信网 分别承载不同类型的业务系统 电 力调度数据网与综合数据网之间应在物理层面上实现安全隔离 二 加强信息内外网架构管控 做好分区分域安全防护 进一步提升用户服务体验 公司管理信息大区 划分为信息外网和信息内网 信息内外网采用逻辑强隔离设备进行安全隔离 信息内外网内部根据业务分 类划分不同业务区 各业务区按照信息系统防护等级以及业务系统类型进一步划分安全域 加强区域间用 户访问控制 按最小化原则设置用户访问暴露面 防止非授权的跨域访问 实现业务分区分域管理 三 按照公司总体安全防护要求 结合电力通信网各类网络边界特点 严格按照公司要求落实访问控制 流量控制 入侵检测 防护 内容审计与过滤 防隐性边界 恶意代码过滤等安全技术措施 防范跨域跨 边界非法访问及攻击 防范恶意代码传播 不得从任何公共网络直接接入公司内部网络 禁止内 外网接 入通道混用 四 加强互联网边界及对外业务系统安全防护 进一步提升针对互联网出口 DDoS 等典型网络攻击以及 特种病毒木马的防范能力 提高信息外网可靠性及安全性 五 深化信息内外网边界安全防护 加强内外网数据交互安全过滤 保障关键应用快速穿透和信息安全 交互 满足客户服务及时响应需求 六 加强对信息内外网专线的安全防护 对于与银行等外部单位互联的专线要部署逻辑强隔离措施 设 置访问控制策略 进行内容监测与审计 只容许指定的 可信的网络及用户才能进行数据交换 七 加强信息内网远程接入边界安全防护 对于采用无线专网接入公司内部网络的采集等业务应用 应 在网络边界部署公司统一安全接入防护措施 建立专用加密传输通道 并结合公司统一数字证书体系进行 防护 八 信息内网禁止使用无线网络组网 九 信息外网用无线组网的单位 应强化无线网络安全防护措施 无线网络要启用网络接入控制和身份 认证 进行 IP MAC 地址绑定 应用高强度加密算法 防止无线网络被外部攻击者非法进入 确保无线网 络安全 第三十条 终端安全技术工作要求如下 一 办公计算机严格执行 涉密不上网 上网不涉密 纪律 严禁将涉及国家秘密的计算机 存储设备与 信息内外网和其他公共信息网络连接 严禁在信息内网计算机存储 处理国家秘密信息 严禁在连接互联 网的计算机上处理 存储涉及国家秘密和企业秘密信息 严禁信息内网和信息外网计算机交叉使用 严禁 普通移动存储介质和扫描仪 打印机等计算机外设在信息内网和信息外网上交叉使用 涉密计算机按照公 司办公计算机保密管理规定进行管理 二 信息内外网办公计算机应分别部署于信息内外网桌面终端安全域 桌面终端安全域应采取 IP MAC 绑定 安全准入管理 访问控制 入侵检测 病毒防护 恶意代码过滤 补丁管理 事件审计 桌面资产 管理等措施进行安全防护 三 信息内外网办公计算机终端须安装桌面终端管理系统 保密检测系统 防病毒等客户端软件 严格 按照公司要求设置基线策略 并及时进行病毒库升级以及补丁更新 严禁未通过本单位信息通信管理部门 审核以及中国电科院的信息安全测评认定工作 相关部门和个人在信息内外网擅自安装具有拒绝服务 网 络扫描 远程控制和信息搜集等功能的软件 恶意软件 防范引发的安全风险 如确需安装 应履行相 关程序 四 对于不具备信息内网专线接入条件 通过公司统一安全防护措施接入信息内网的信息采集类 移动 作业类终端 需严格执行公司办公终端 严禁内外网机混用 的原则 同时接入信息内网终端在遵循公司现 有终端安全防护要求的基础上 要安装终端安全专控软件进行安全加固 并通过安全加密卡进行认证 确 保其不能连接信息外网和互联网 第三十一条 主机安全技术工作要求如下 一 对操作系统和数据库系统用户进行身份标识和鉴别 具有登录失败处理 限制非法登录次数 设置 连接超时功能 二 操作系统和数据库系统特权用户应进行访问权限分离 对访问权限一致的用户进行分组 访问控制 粒度应达到主体为用户级 客体为文件 数据库表级 禁止匿名用户访问 三 加强补丁的兼容性和安全性测试 确保操作系统 中间件 数据库等基础平台软件补丁升级安全 四 加强主机服务器病毒防护 安装防病毒软件 及时更新病毒库 第三十二条 应用安全技术工作要求如下 一 强化用户登陆身份认证功能 采用用户名及口令进行认证时 应当对口令长度 复杂度 生存周期 进行强制要求 系统应提供用户身份标识唯一和鉴别信息复杂度检查功能 禁止口令在系统中以明文形式 存储 系统应当提供制定用户登录错误锁定 会话超时退出等安全策略的功能 二 规范应用系统权限的设计与使用 实现用户 组织 角色 权限信息统一集中管理 权限分配应按 照最小权限原则 审核角色 系统管理角色 业务操作角色 账号创建角色与权限分配角色等应按照互斥 原则设置权限 三 根据信息系统安全级别强化应用自身安全设计 应包括身份认证 授权 输入输出验证 配置管理 会话管理 加密技术 参数操作 异常管理 日志及审计等方面内容 四 控制单个用户的多重并发会话和最大并发连接数 限制单个用户对系统资源 磁盘空间的最大或最 小使用限度 当系统服务水平降低到预先规定的最小值时 应能检测并报警 五 加强邮件敏感内容检查 邮件病毒查杀 外网邮件行为监测 社会邮箱收发件统计等安全措施 防 范邮件系统攻击及邮件泄密 六 具有控制功能的系统或模块 控制类信息必须通过生产控制大区网络或专线传输 严格遵守电力二 次系统安全防护方案 实现系统主站与终端间基于国家认可密码算法的加密通信 基于数字证书体系的身 份认证 对主站的控制命令和参数设置指令须采取强身份认证及数据完整性验证等安全防护措施 七 对与互联网有广泛交互的应用系统或模块 以及部署在信息外网的系统与网站 要加强权限管理 做好主机 应用的安全加固 加强账号 密码 重要数据等加密存储 对需要穿透访问信息内网的数据或 服务 严格限制访问数据的格式 过滤必要的特殊字符组合以防止注入攻击 建立常态外网安全巡检 加 固 检修以及应急演练等工作机制 做好日常网站备份工作 八 具有采集功能的系统或模块 根据采集信息的保密性 在采用公司专线 光纤 载波等 接入内网 进行信息采集时 应采用身份认证和访问控制措施 不具备专线条件时 应在虚拟专网基础上采用终端身 份认证 访问控制措施 建立加密传输通道进行信息采集 要加强对采集终端存储和处理敏感业务数据的 安全防护 以保证业务数据的保密性和完整性 第三十三条 数据安全技术工作要求如下 一 从终端 网络以及存储三个层面加强对敏感数据进行检测与分析 实现对公司各种敏感数据存储 数据操作权限 数据外发等进行安全保护与控制 二 重要和敏感信息 如商密定级文件 公司 OA 公文 电子文件等 实行加密传输 授权控制 操作 审计及监控 对重要信息实行自动 定期备份 按需进行恢复测试 确保备份数据的可用性 三 严格落实公司电子数据恢复 擦除与销毁管理技术要求 加强处理过程中的存储介质管理 全程现 场监控以及安全保密等工作 第三十四条 深化信息安全监测手段 扩展监控范围 实现对各类网络及边界 网站及应用系统 终端以 及密钥使用情况等的全方位 实时安全监控 做好信息安全监测预警 指标发布及深化治理工作 第三十五条 电网工业控制系统应纳入电力二次系统管理 加强电网工业控制系统安全保障工作 推进工 业控制系统安全检测技术研究和工具研发 做好电网工控系统安全测评 关键设备安全检测及防护整改等 工作 进一步提高漏洞分析 漏洞发布 隐患排查和应急处理能力 第三十六条 加强云计算 物联网 可信计算 下一代互联网等方面的信息安全技术研究与应用 强化对 新技术的检测 验证 评估及审核 超前分析新技术应用带来的安全风险和隐患 提前采取措施予以防范 不得采用与公司信息安全策略与要求相违背的信息通信技术 不得应用存在信息安全隐患的新技术 第三十七条 针对暴露面及新型安全威胁 围绕隐患发现 防护处置 监测对抗 应急恢复等能力 建立 稳定 专业的技术支撑队伍 从研发安全 安全检测 防病毒管理 统一密钥管理 漏洞补丁管理 红蓝 对抗 安全监控 应急恢复 新技术研究与架构设计等方面开展专项技防能力建设 实现技术手段和管理 措施的有效融合 实现内外部综合协同 资源共享和整体联动 提升公司信息安全协同防御和体系对抗能 力 第五章 检查考核 第三十八条 各级单位应建立网络与信息系统安全检查考核机制 根据工作需要 制定科学 规范的检查 考核指标体系 第六章 附 则 第三十九条 本办法由国网信通部负责解释并监督执行 第四十条 本办法自 2014 年 11 月 1 日起施行 原 国家电网公司信息系统安全管理办法 国家电网信 息 2008 201 号 国家电网公司网络与信息系统安全运行情况通报制度 信息技术 2007 65 号 同时废止 附件 1 国家电网公司网络与信息系统安全运行情况通报规范 一 总则 一 为加强国家电网公司 以下简称 公司 网络与信息系统安全运行管理 进一步规范完善公司网络 与信息系统安全运行情况通报工作 有效保障通报工作有序开展 切实落实上情下达 下情上达 协调和 服务保障的任务 依据 电力行业网络与信息安全信息通报暂行办法 中央企业网络与信息安全信息 通报工作指导意见 试行 制定本规范 二 本规范所指网络与信息系统安全运行情况是指信息网络和系统故障和瘫痪 信息系统数据丢失和信 息泄密 信息系统受到病毒感染和恶意渗透 攻击 有害信息在网站传播等信息安全事件以及跟踪发现的 外部信息安全舆情 三 本规范适用于公司总 分 部及所属各级单位的网络与信息系统安全运行情况通报管理工作 四 公司网络与信息系统安全运行情况通报工作按照 谁主管谁负责 谁运营谁负责 的工作原则 实行 统一领导 分级管理 逐级上报 的工作方针 以加强公司各级单位网络与信息系统安全运行的信息共享 和统一应急处置工作 二 职责分工 一 国网信通部负责公司网络与信息系统安全运行情况通报的归口管理工作 主要职责 1 负责建立公司网络与信息系统安全运行情况通报的规章制度 并督促执行 2 负责与国家有关部门建立联系 及时接收和转发国家有关部门发布的信息通报 并按时向国家有关 部门报送相关材料 3 负责汇总总部电力二次系统 电力通信骨干网络 总部信息系统 以及公司各单位的安全运行情况 通报 4 负责建立与国家有关部门的信息安全通报联系 对于重大事件启动联合应急机制 并协调国家相关 部门协助处置 二 国调中心负责汇总公司范围内有关电力二次系统安全运行情况 并抄送国网信通部归口统计 三 国网信通公司负责将电力通信骨干网络和总部信息系统安全运行情况汇总报送国网信通部和国网运 监中心 并将电力通信骨干网络安全运行情况抄送给国调中心 四 公司各级单位信息通信管理部门负责本单位范围内网络与信息系统安全运行情况通报的归口管理工 作 主要职责 1 负责建立本单位信息安全通报工作体系 落实通报负责人 联络员及后备联络员等相关人员与职责 各级单位要指定一名负责人 一名联络员和一名后备联络员 填写公司网络与信息系统安全运行情况通报 基本情况备案表 见附表一 并报送上级主管部门备案 联络人员联系方式如有变动 应及时报告国上 级主管部门 2 负责结合实际情况 建立本单位信息安全通报的规章制度 并督促执行 3 负责汇总本单位范围内电力通信网络和信息系统的安全运行情况 按时按需向上级主管部门报送本 单位快报 月报 年报 特殊时期信息安全日报 安全事件专报 4 负责汇总本单位发现的信息安全事件和突发工作 如公安机关检查情况 以及跟踪发现的外部信 息安全舆情 并报送至上级主管部门 5 负责汇总本单位信息安全重点工作开展情况 突出本单位特色 自行开展的信息安全工作 以及对 公司信息安全工作建议 并报送至上级主管部门 6 负责总结本单位信息安全工作典型经验 并报送至上级主管部门 7 负责向下级单位转发国网信通部发布的各类信息安全事件通报 预警通报 负责接收 汇总反馈情 况 报送至上级主管部门 五 公司各级单位调度部门按照电力二次系统信息报送要求 将本单位电力二次系统安全运行情况上报 国调中心 遇重大 紧急突发安全事件时 抄送给信息通信管理部门 六 中国电科院负责对总部范围内信息安全通报相关工作提供技术支持 并协助开展安全事件 安全隐 患 安全漏洞 安全舆情的分析 研判等工作 八 省公司督查队伍负责对本省内信息安全通报相关工作提供技术支持 并协助开展安全事件 安全隐 患 安全漏洞 安全舆情的分析 研判等工作 三 内容及分类 一 网络和信息系统安全运行情况通报内容主要包括 1 电子公告服务 群发电子邮件以及广播式即时通信等网络服务中反动有害信息的传播情况 2 利用网络从事违法犯罪活动的情况 3 已经确定或可能发生的计算机病毒 网络攻击情况 4 网络恐怖活动的嫌疑情况和预警信息 5 网络或信息系统通信和资源使用异常 网络和信息瘫痪 应用服务中断或数据纂改 丢失等情况 6 网络安全状况 安全形势分析预测等信息 7 跟踪发现的各类外部信息安全舆情 8 其他影响网络与信息安全的信息 二 网络和信息系统安全运行情况通报分为快报 月报 年报 特殊时期安全运行日报以及安全事件专 报 三 公司各级单位的网络与信息系统在运行过程中如出现以下任一情形 需填写网络与信息系统安全运 行快报 格式见附表二 并逐级上报 相关情形包括 1 网络和信息系统发生严重故障和瘫痪 2 信息系统重要数据丢失和信息泄密 3 信息系统受到较大面积病毒感染和恶意渗透 攻击 4 有害信息在网站较大面积传播 5 其他较严重或上级部门指定以快报形式上报的信息安全事件 四 公司各级单位每月需填写网络与信息系统安全运行月报 格式见附表三 并上报上级主管部门 月报应包括以下内容 1 网络与信息系统安全运行指标情况及分析 2 网络与信息系统安全信息情况 3 安全事件统计与分析 4 本月网络与信息系统安全运行工作开展情况 5 对公司信息安全工作建议 五 公司各级单位每年需进行年度总结报告 以下简称年报 并以书面形式上报上级主管部门 年报 应包括以下内容 1 负责运行维护的设备和信息系统的基本情况 2 安全与运行管理工作简况 3 年度信息安全与运行指标工作总结与分析 要对信息系统的主要设备 事故 障碍 故障和异常情 况及原因进行统计 汇总和分析 4 对影响设备和信息系统安全运行的主要原因和问题进行分析 5 下一年度安全与运行拟开展的重点工作 六 根据国家有关规定公司在特殊时期执行日报告制度 公司各级单位在接到相关通知后 根据制度要 求及时向上级主管部门报送网络与信息系统特殊时期安全运行日报 格式见附表四 其中如未发生异常 情况 仍要以日报形式进行平安报告 在此期间 国网信通部负责每日对公司各单位信息安全报告进行汇 总 分析 研判 并将结果及时报送国家有关单位 七 中国电科院需向公司信通部报送各类信息安全事件专报 专报包括 1 信息安全监测深度分析 根据当月信息安全监测情况 基于数字分析公司整体信息安全情况 总结 存在的信息安全隐患问题以及监测工作本身的不足 并提出相关建议 2 信息安全监测发现重大事件 对信息安全监测发现的重大事件进行分析 并提出解决建议 3 信息安全事件分析 不定期跟踪公司及外部信息安全重大事件和典型事件 分析事件成因 问题 以及对公司信息安全工作的启示和举措 4 信息安全舆情跟踪 双周跟踪国内外信息安全事件 漏洞 政策 会议 技术等舆情 5 新技术 新应用 新业务信息安全情况分析 不定期跟踪新技术 新应用 新业务在公司的开展情 况 分析其中信息安全情况 并提出相关建议 四 报送要求 一 公司各级单位通过公司信息通信业务管理系统上报网络与信息系统安全运行月报 日报 安全运行 快报主要通过电子邮件和传真报送 二 公司各级单位在执行快报上报时 需在二十四小时内完成上报工作 特别紧急情况需第一时间通过 电话等方式立即向国网信通部相关负责人员做口头汇报 三 公司各级单位需在每个月前两个工作日内完成上个月的月报上报工作 国网信通部对公司的安全运 行情况汇总分析后 于第三个工作日将公司网络与信息系统安全运行情况报送国家相关单位 四 公司各级单位的年报工作与本年度最后一期月报一并上报 五 公司各级单位应及时 全面 准确报送信息 不得瞒报 缓报 谎报网络与信息系统安全运行情况 六 公司各级单位应按照国家保密规定 做好本单位网络与信息系统安全运行情况通报的保密工作 附表一 网络与信息系统安全运行情况通报基本情况备案表 单位名称 责任部门 安全运行情况通报负责人 姓名 职务 邮编 信通地址 电话 手机 电子邮件 安全运行情况通报联络人 姓名 职务 邮编 信通地址 电话 手机 电子邮件 后备联络人 姓名 职务 邮编 信通地址 电话 手机 电子邮件 其他联络人 填表说明 审核人 批准人 填表人 填报时间 附表二 网络与信息系统安全运行快报 报告单位 报告时间 事件起止时间 自 年 月 日至 年 月 日 审核人 批准人 报告人 通信方式 事件简单描述 事件影响范围和危害程度初步估计 处置措施和初步结果 备注 附表三 网络与信息系统安全运行月报 单位名称 报告时间 系统运行期间 起始日期 截止日期 网络与信息系统安全运行指标情况及分析 网络与信息系统安全信息情况 安全审计统计与分析 本月网络与信息系统安全运行工作开展情况 备注 审核人 批准人 报告人 通信方式 附表四 网络与信息系统特殊时期安全运行日报 单位名称 报告时间 系统运行期间 年 月 日 网络与信息系统运行状况描述 发生的网络与信息系统事件描述 时间 类型 起因与过程 影响范围 损失及危害情况 分析研判结果 整改措施 备注 审核人 批准人 报告人 通信 方式