《电力生产防止电力自动化系统、电力监控系统网络安全、电力通信网及信息系统事故的重点要求.docx》由会员分享,可在线阅读,更多相关《电力生产防止电力自动化系统、电力监控系统网络安全、电力通信网及信息系统事故的重点要求.docx(14页珍藏版)》请在三一办公上搜索。
1、19防止电力自动化系统、电力监控系统网络安全、电力通信网及信息系统事故的重点要求19.1 防止电力自动化系统事故19.1.1 调度自动化主站系统和IlOkV及以上电压等级的厂站的主要设备(数据采集与交换服务器、监视控制服务器、历史数据库服务器、分析决策服务器、磁盘阵列、远动装置、电能量终端等)应采用冗余配置,互为热备,服务器的存储容量和中央处理器负载应满足相关规定要求。备用调度控制系统及其通信通道应独立配置,宜实现全业务备用。19.1.2 主网50OkV(330kV)及以上厂站、22OkV枢纽变电站、大电源、电网薄弱点、通过35kV及以上电压等级线路并网且装机容量40MW及以上的风电场、光伏电
2、站均应部署相量测量装置(PMU)o其测量信息应能满足调度机构需求,并提供给厂站进行就地分析。相量测量装置与主站之间应采用调度数据网络进行信息交互。新能源发电汇集站、直流换流站及近区厂站的相量测量装置应具备连续录波和次/超同步振荡监测功能。19.1.3 调度自动化主站系统应采用专用的、冗余配置的不间断电源(UPS)供电,不应与信息系统、通信系统合用电源,不间断电源涉及的各级低压开关过流保护定值整定应合理。采用模块化的UPS,应避免并联等效电阻过低,引起直流绝缘监测装置监测误告警。UPS单机负载率应不高于40机外供交流电消失后UPS电池满载供电时间应不小于2h。交流供电电源应采用两路来自不同电源点
3、供电。发电厂、变电站远动装置、计算机监控系统及其测控单元、变送器等自动化设备应采用冗余配置的不间断电源或站内直流电源供电。具备双电源模块的装置或计算机,两个电源模块应由不同电源供电。相关设备应加装防雷(强)电击装置,相关机柜及柜间电缆屏蔽层应可靠接地。算机监控系统及其测控单元、变送器及安全防护设备等自动化设备(子站)必须是通过具有国家级检测资质的质检机构检验合格的产品。19.1.5 调度范围内的发电厂、IlOkV及以上电压等级的变电站应采用开放、分层、分布式计算机双网络结构,自动化设备电源模块通信模块应冗余配置,优先采用专用装置,无旋转部件,采用经国家指定部门认证的安全加固的操作系统;至调度主
4、站(含主调和备调)应具有两路不同路由的网络通道(主/备双通道)。19.1.6 发电厂、变电站基(改、扩)建工程中调度自动化设备的设计、选型应符合调度自动化专业有关规程规定,并须经相关调度自动化管理部门同意。现场设备的信息采集、接口和传输规约必须满足调度自动化主站系统的要求。改(扩)建变电站(换流站)的改(扩)建部分和原有部分最终应接入同一监控系统,最终不应采用两套或多套监控系统。19.1.7 在基建调试和启动阶段,生产单位技术监督部门应在启动前检查现场调度自动化设备安装验收情况,调度自动化设备有关的运行规程、操作手册、系统配置图纸等应完整正确并与现场实际接线相符,调度自动化系统主站、子站、调度
5、数据网等必须提前进行调试,确保与一次设备同步投入运行,投产资料文档应同步提交。19.1.8 厂站数据通信网关机、相量测量装置、时间同步装置、调度数据网及安全防护设备等屏柜宜集中布置,双套配置的设备宜分屏放置且两个屏应采用独立电源供电。二次线缆的施工工艺、标识应符合相关标准、规范要求。19.1.9 变电站、发电厂监控系统软件、应用软件升级和参数变更应经过测试并向对应调度中心提交合格测试报告后方可投入运行。19.1.10 主站系统应建立基础数据一体化维护使用机制和考核机制,利用状态估计、综合智能告警、远程浏览、母线功率不平衡统计等手段,加强对基础数据质量的监视与管理,不断提高基础数据(尤其是电网模
6、型参数和运行数据)的完整性、准确性、一致性和及时性。19.1.11 发电厂自动发电控制和自动电压控制子站应具有可靠的技术措施,对接收到的所属调度自动化主站下发的自动发电控制指令和自动电压控制指令进行安全校核,对本地自动发电控制和自动电压控制系统的输出指令进行校验,拒绝执行明显影响电厂或电网安全的指令。除紧急情况外,未经调度许可不得擅自修改自动发电控制和自动电压控制系统的控制策略和相关参数。厂站自动发电控制和自动电压控制系统的控制策略更改后,需要对安全控制逻辑、闭锁策略、监控系统安全防护等方面进行全面测试验证,确保自动发电控制和自动电压控制系统在启动过程、系统维护、版本升级、切换、异常工况等过程
7、中不发出或执行控制指令。19.1.12 调度自动化系统运行维护管理部门应结合本网实际,建立健全各项管理办法和规章制度,应包括但不限于制定和完善调度自动化系统运行管理规程、调度自动化系统运行管理考核办法、机房安全管理制度、系统运行值班与交接班制度、系统运行维护制度、运行与维护岗位职责和工作标准等。19.1.13 应制定和落实调度自动化系统应急预案和故障恢复措施,系统和运行数据应定期备份。19.1.14 按照有关规定的要求,结合一次设备检修或故障处理,定期对调度范围内厂站远动信息(含相量测量装置信息)进行测试。遥信传动试验应具有传动试验记录,遥测精度应满足相关规定要求。19.1.15 调度端及厂站
8、端应配备全站统一的卫星时钟设备和网络授时设备,对站内各种系统和设备的时钟进行统一校正。主时钟应采用双机双时钟源(北斗和GPS)冗余配置。时间同步装置应能可靠应对时钟异常跳变及电磁干扰等情况,避免时钟源切换策略不合理等导致输出时间的连续性和准确性受到影响。被授时系统(设备)对接收到的对时信息应做校验。19.2 防止电力监控系统网络安全事故19.2.1 电力监控系统(或电力二次系统,包括继电保护和安自装置、各类自动化系统、电力通信系统等)安全防护满足中华人民共和国网络安全法、电力监控系统安全防护规定(国家发展改革委令2014年第14号)、电力监控系统网络安全防护导则(GB/T36572)等有关要求
9、,建立健全网络安全防护体系(包括安全防护技术、应急备用措施、全面安全管理、不断发展完善),坚持“安全分区、网络专用、横向隔离、纵向认证”结构安全基本原则,落实网络安全防护措施与电力监控系统同步规划、同步建设、同步使用要求,确保电力监控系统安全防护体系完整可靠,具有数据网络安全防护实施方案和网络安全隔离措施,分区合理、隔离措施完备、可靠,提高电力监控系统安全防护水平。禁止通过外部公共信息网直接对场站内设备进行远程控制和维护。19.2.2 电力监控系统安全防护策略从边界防护逐步过渡到全过程安全防护,禁止选用经国家相关管理部门检测存在信息安全漏洞的设备,信息系统安全保护等级为安全四级的主要设备应满足
10、电磁屏蔽的要求,全面形成具有纵深防御的安全防护体系。19.2.3 生产控制大区内部的系统配置应符合规定要求,硬件应满足要求;生产控制大区一和二区之间应实现逻辑隔离,访问控制规则(ACL)应按最小化原则进行配置;连接生产控制大区和管理信息大区间应安装单向横向隔离装置;发电厂至上一级调度机构电力调度数据网之间应安装纵向加密认证装置,以上两装置应经过国家权威机构的测试和安全认证。19.2.4 调度主站、变电站、统调发电厂生产控制大区的业务系统与终端的纵向通信应优先采用OPGW光纤通信的电力调度数据网等专用数据网络,并采取有效的防护措施;使用无线通信网或非电力调度数据网进行通信的,应设立安全接入区,并
11、采用安全隔离、访问控制、安全认证及数据加密等安全措施。配电网自动化、用电负荷控制、风电场和光伏电站内部控制等业务可以采用无线通信方式,但必须采用网络安全防护措施,防止系统末梢的无线通信直接联入电力控制专用网络。19.2.5 调度主站具有远方控制功能(如系统保护、精准切负荷等)的业务应采用人员、设备和程序的身份认证,具备数据加密等安全技术措施。19.2.6 地级及以上调度机构应建设网络安全管理平台或网络安全态势感知系统,调管厂站侧应部署网络安全监测装置或网络安全态势感知采集装置,实现对调度控制系统、变电站监控系统、发电厂涉网监控系统网络安全事件的监视、告警、分析和审计功能。应建立配电自动化系统、
12、负荷控制系统等其他电力监控系统及其终端的网络安全事件的监测和管理技术手段,并将重要告警信息及时传送至调度机构网络安全管理平台或网络安全态势感知系统。19.2.7 火电厂分散控制系统与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。分散控制系统与生产控制大区其他业务之间至少应采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。分散控制系统禁止采用安全风险高的通用网络服务功能。分散控制系统的重要业务系统内部通信应采用加密认证机制。19.2.8 调度主站、变电站、发电厂电力监控系统工程建设和管理单位(部门)应严格按照安全防护要求,保障横向隔离、纵向认证、
13、调度数字证书、网络安全监测等安全防护技术措施与电力监控系统同步建设,根据要求配置安全防护策略,验收合格方可开展业务调试。19.2.9 变电站、发电厂电力监控系统安全防护实施方案应经过相应调度机构的审核,方案实施完成后应通过相应调度机构参与的验收。19.2.10 调度主站、变电站、发电厂电力监控系统工程建设和管理单位(部)应按照最小化原则,采取白名单方式对安全防护设备的策略进行合理配置。电力监控系统各类主机、网络设备、安防设备、操作系统、应用系统、数据库等应采用强口令,并删除缺省账户。应按照要求对电力监控系统主机及网络设备进行安全加固,关闭空闲的硬件端口,关闭生产控制大区禁用的通用网络服务。19
14、.2.11 调度主站、变电站、发电厂电力监控系统在设备选型及配置时,应使用国家指定部门检测认证的安全加固的操作系统和数据库,禁止选用经国家相关管理部门检测认定并通报存在漏洞和风险的系统和设备。生产控制大区中除安全接入区外,应禁止选用具有无线通信功能的设备。调度主站、变电站、发电厂生产控制大区各业务系统的调试工作,须采用经安全加固的便携式计算机及移动介质,严格按照调度分配的安全策略和网络资源实施;禁止违规连接互联网或跨安全大区直连。应加强现场作业人员的作业管控,禁止将未经病毒查杀的移动介质接入生产系统。19.2.12 调度主站、变电站、发电厂电力监控系统在上线投运之前、升级改造之后应进行安全评估
15、,不符合安全防护规定或存在严重漏洞的禁止投入运行。对于等级保护三级及以上系统和电力行业关键信息基础设施,系统上线前应聘请具备测评资质的机构开展等级保护测评,测评通过后方可允许并网。对于等级保护三级及以上系统和电力行业关键信息基础设施,应同步开展商用密码应用安全性评估工作。19.2.13 严格控制生产控制大区局域网络的延伸,严格控制异地使用键盘、显示器、鼠标(KVM)功能,确需使用的应制定详细的网络安全防护方案并经主管部门审核。19.2.14 调度主站、发电厂电力监控系统应在投入运行后30日内办理等级保护备案手续。已投入运行的电力监控系统,应按照相关要求定期开展等级保护测评及安全防护评估工作。针
16、对测评、评估发现的问题,应及时完成整改。19.2.15 调度主站、变电站、发电厂记录电力监控系统网络运行状态、网络安全事件的日志应保存不少于六个月。应对用户登录本地操作系统、访问系统资源等操作进行身份认证,根据身份与权限进行访问控制,并且对操作行为进行安全审计。应建立责权匹配的用户权限划分机制,落实用户实名制和身份认证措施。严格限制生产控制大区拨号访问和远程运维。19.2.16 调度主站、发电厂应对病毒库、木马库以及入侵检测系统(IDS)规则库更新至六个月内最新版本,在生产控制大区,病毒库、木马库经事先测试对业务系统无影响后进行。19.2.17 调度主站、变电站、发电厂应重点加强内部人员的保密
17、教育、录用离岗等的管理,并定期组织安全防护专业人员技术培训。应对厂家现场服务人员进行网络安全教育,签订安全承诺书,严格控制其工作范围和操作权限。19.2.18 调度主站应加强并网发电企业涉网安全防护的技术监督。禁止各类发电厂生产控制大区任何形式的非法外联,禁止主机设备跨安全区直连,严禁设备厂商或其他服务企业远程进行电力监控系统的控制、调节和运维操作,完善并网发电企业涉网网络安全分区分域体系架构,增强新能源等并网发电企业涉网部分物理安全防护和网络准入,严禁远程集控采用非安全通信方式,严禁将与调度机构通信的远动装置用于给非调度机构的其他单位转发数据。19.2.19 电力监控系统的运维单位(部门)应
18、制定和落实电力监控系统应急预案和故障恢复措施,并定期演练。应定期对关键业务的数据与系统进行备份,建立历史归档数据的异地存放制度。19.2.20 当电力监控系统遭受网络攻击,发生危害网络安全的事件时,运维单位(部门)应按照应急预案,立即采取处置措施,并向上级调度机构以及主管部门报告。对电力监控系统安全事件紧急及重要告警应立即处置,对发现的漏洞和风险应限期整改。19.2.21 调度主站、变电站、发电厂应配置运维网关(堡垒机)、专用安全U盘、专用运维终端等运维装备,在监控后台等重要主机具备U盘监视功能,拆除或禁用不必要的光驱、USB接口、串行口等,严格管控移动介质接入生产控制大区。19.2.22 调
19、度主站应逐步采用基于可信计算的安全免疫防护技术,形成对病毒木马等恶意代码的自动免疫。重要电力监控系统和设备应逐步推广应用以密码硬件为核心的可信计算技术,用于实现计算环境和网络环境安全免疫,免疫未知恶意代码,防范有组织的、高级别的恶意攻击。严禁重要电力控制系统现场修改程序代码,程序代码修改后必须经过专业检测和真型动态模拟测试,且通过安全可信封装保护和安全可信度量,并在备用设备上实测无误后,方可投入在线运行。19.2.23 应将网络安全管理融入电力安全生产管理体系,对全体人员(包括内部人员和外部调试或测试人员)、全部设备(包括安全设备和生产设备等)、全生命周期进行全方位的安全管理。电力监控系统的设
20、计研发、安装调试、运行维护和退役销毁的全生命周期,采集、传输和控制等各环节均应严格考虑安全防护技术。19.2.24 电力监控系统可采用控制专用云技术,但必须与社会公有云及企业管理云实施安全隔离;可采用控制专用物联网技术,但必须与社会公有物联网及企业管理物联网实施安全隔离。19.3 防止电力通信网事故19.3.1 电力通信网的网络规划、设计和改造计划应与电力发展相适应,并保持适度超前,统筹业务布局和运行方式优化,充分满足各类业务应用需求,避免生产控制类业务过度集中承载,强化通信网薄弱环节的改造力度,力求网络结构合理、运行灵活、坚强可靠和协调发展。19.3.2 通信设备选型应与现有网络使用的设备类
21、型一致,保持网络完整性。承载IIOkV及以上电压等级输电线路生产控制类业务的光传输设备应支持双电源供电,核心板卡应满足冗余配置要求。22OkV及以上新建输变电工程应同步设计、建设线路本体光缆。19.3.3 电力新建、改(扩)建等工程需对原有通信系统的网络结构、安装位置、设备配置、技术参数进行改变时,工程建设单位应委托设计单位对通信系统进行设计,深度应达到初步设计要求,经相关电力通信管理部门同意后,按照电力新建、改(扩)建工程建设程序开展相关工作。现场设备的接口和协议应满足通信系统的要求。必要时应根据实际情况制定通信系统过渡方案。19.3.4 电力调度机构、集控中心(站)、22OkV及以上电压等
22、级厂站和通信枢纽站应具备两条及以上完全独立的光缆敷设沟道(竖井)。同一方向的多条光缆或同一传输系统不同方向的多条光缆应避免同路由敷设进入通信机房和主控室。19.3.5 省级及以上电力调度机构应具备三条及以上全程不同路由的出局光缆接入骨干通信网。省级及以上电力备用调度机构、地(市)级调度机构应具备两条及以上全程不同路由的出局光缆接入骨干通信网。19.3.6 通信光缆或电缆应避免与一次动力电缆同沟(架)布放,并完善防火阻燃和阻火分隔等各项安全措施,绑扎醒目的识别标志;如不具备条件,应采取电缆沟(竖井)内部分隔离等措施进行有效隔离。新建通信站应在设计时与全站电缆沟(架)统一规划,满足以上要求。19.
23、3.7 电力调度机构与直调发电厂及重要变电站调度自动化实时业务信息的传输应具有两路不同路由的通信通道(主/备双通道)。调度厂站应具有两种及以上通信方式的调度电话,满足“双设备、双路由、双电源”的要求,且至少保证有一路单机电话。省调及以上调度及许可厂站应至少具备一种光纤通信手段。19.3.8 同一条22OkV及以上电压等级线路的两套继电保护通道、同一系统的有主/备关系的两套安全自动装置通道应至少采用两条完全独立的路由;均采用复用通道的,应由两套独立的通信传输设备分别提供,且传输设备均应由两套电源供电,满足“双设备、双路由、双电源”的要求。19.3.9 双重化配置的继电保护、安全自动控制光电转换接
24、口装置的直流电源应取自不同的电源。单电源供电的继电保护接口装置和为其提供通道的单电源供电通信设备,如外置光放大器、脉冲编码调制设备(PCM),载波设备等,应由同一套电源供电。19.3.10 在配置双套通信直流供电系统(含通信高频开关电源和通信用直流变换电源系统)的厂站,具备双电源接入功能的通信设备应由两套电源独立供电。禁止两套电源负载侧形成并联。19.3.11 电力调度机构、330kV及以上电压等级变电站、通信枢纽站应配备两套独立的通信高频开关电源。每套通信高频开关电源应有两路分别取自不同母线的交流输入,并具备相互独立的自动切换功能。通信高频开关电源每个整流模块交流输入侧应加装独立的断路器。1
25、9.3.12 每套通信直流供电系统的整流或变换模块配置总数量不应少于3块。通信站蓄电池组供电后备时间不少于4小时,地处偏远的无人值班通信站应大于抢修人员携带必要工器具抵达通信站的时间且不小于8小时。19.3.13 电力调度机构、33OkV及以上电压等级变电站、通信枢纽站的通信机房,应配备不少于两套具备独立控制和来电自启功能的专用机房空调,在空调“Nl”情况下机房温度、湿度应满足设备运行要求,且空调电源不应取自同一路交流母线。空调送风口不应处于机柜正上方。19.3.14 通信高频开关电源与机房空调不应共用机房交流配电屏。电源监控系统应采用站内通信直流供电系统、UPS等具备后备时间的供电方式。19
26、.3.15 通信机房、通信设备(含电源设备)的防雷和过电压防护能力应满足电力系统通信站防雷和过电压防护相关标准、规定的要求。19.3.16 跨越高速铁路、高速公路和重要输电通道(“三跨”)的架空输电线路区段光缆不应使用全介质自承式光缆(ADSS),宜选用全铝包钢结构的光纤复合架空地线(C)PGW)。19.3.17 电力一次系统配套通信项目应随电力一次系统建设同步设计、同步实施、同步投运,以满足电力发展需要。19.3.18 通信设备应在安装、调试、入网试验等各个阶段严格执行电力系统通信运行管理和工程建设、验收等方面的标准、规定。19.3.19 应从保证工程质量和通信设备安全稳定运行的要求出发,合
27、理安排新建、改建和技改工程的工期,严格把好质量关,满足提前调试的条件,不得因赶工期减少调试项目,降低调试质量。19.3.20 用于传输继电保护和安全自动装置业务的通信通道投运前应进行测试验收,其传输时延、误码率、倒换时间等技术指标应满足继电保护和安全自动装置技术规程(GB/T14285)和光纤通道传输保护信息通用技术条件(DIT364)的要求。传输线路电流差动保护的通信通道应满足收、发路径和时延相同的要求。19.3.21 通信高频开关电源系统投运前应进行双交流输入切换试验、电源系统告警信号的校核验证。通信蓄电池组投运前应进行全核对性放电试验。通信设备投运前应进行双电源倒换测试。19.3.22
28、安装调试人员应严格按照通信业务运行方式单的内容进行设备配置和接线。通信调度应在业务开通前与现场工作人员核对通信业务运行方式单的相关内容,确保业务图实相符。19.3.23 严格按照OPGW及其他光缆施工工艺要求进行施工。OPGW光缆应在进站门型架顶端、最下端固定点(余缆前)和光缆末端分别通过匹配的专用接地线可靠接地,其余部分应与构架绝缘。采用分段绝缘方式架设的输电线路C)PGW光缆,绝缘段接续塔引下的OPGW光缆与构架之间的最小绝缘距离应满足安全运行要求,接地点应与构架可靠连接。19.3.24 OPGW,ADSS等光缆在进站门型架处应悬挂醒目光缆标识牌。应防止引入光缆封堵不严或接续盒安装不正确,
29、造成光缆保护管内或接续盒内进水结冰,导致光纤受力引起断纤故障的发生。引入光缆应采用阻燃、防水功能的非金属光缆,并在沟道内全程穿防护子管或使用防火槽盒。引入光缆从门型架至电缆沟地埋部分应全程穿热镀锌钢管,钢管应全程密闭并与站内接地网可靠连接,钢管埋设路径上应设置地埋光缆标识或标牌,钢管地面部分应与构架固定。19.3.25 直埋光缆(通信电缆)在地面应设置清晰醒目的标识。承载继电保护、安全自动装置业务的专用通信线缆、配线端口等应采用醒目颜色的标识。19.3.26 通信设备应采用独立的断路器或直流熔断器供电,禁止并接使用。各级断路器或熔断器保护范围应逐级配合,下级不应大于其对应的上级断路器或熔断器的
30、额定容量,避免出现越级跳闸,导致故障范围扩大。19.3.27 通信机房应满足密闭防尘和温度、湿度要求,不宜安装窗户,若有窗户应具备遮阳功能,防止阳光直射机柜和设备。19.3.28 各级通信调度负责监视及控制所辖范围内通信网的运行情况,指挥、协调通信网故障处理。通信调度员应具有较强的判断、分析、沟通、协调和管理能力,熟悉所辖通信网络状况和业务运行方式,上岗前应进行培训和考核。19.3.29 通信站内主要设备及机房动力环境的告警信号应上传至24小时有人值班的场所。通信电源系统及为通信设备供电的其他电源系统的状态及告警信息应纳入实时监控,满足通信运行要求。19.3.30 通信蓄电池组核对性放电试验周
31、期不得超过两年,运行年限超过四年的蓄电池组,应每年进行一次全核对性放电试验。蓄电池单体浮充电压应严格按照电源运行规程设定,避免造成蓄电池欠充或过充。19.3.31 通信直流供电系统新增负载时,应及时核算电源及蓄电池组容量,如不满足安全运行要求,应对电源实施改造或调整负载。每年春、秋检期间应对电源系统进行负荷校验、主备切换试验、告警信息验证。19.3.32 连接两套通信直流供电系统的直流母联断路器应采用手动切换方式。通信直流供电系统正常运行时,禁止闭合直流母联断路器。19.3.33 通信检修工作应严格遵守电力通信检修管理规定相关要求,对通信检修票的业务影响范围、采取的措施等内容应严格审查核对,对
32、影响一次电力生产业务的检修工作应按一次电力检修管理办法办理相关手续。严格按照通信检修票工作内容开展工作,严禁超范围、超时间检修。19.3.34 通信运行部门应与电力一次线路建设、运维及市政施工部门建立沟通协调机制,避免因电力建设、检修或市政施工对光缆运行造成影响。对可能影响电力通信光缆正常运行的城市施工,电力通信运行部门应提前告知建设单位电力通信光缆的保护要求,现场确认防止光缆中断的措施落实情况,并告知光缆受损或中断后采取的措施。项目建设单位应配合做好电力通信光缆的保护和应急处置。19.3.35 通信运行部门应与一次线路建设、运行维护部门建立工作联系制度。因一次线路施工或检修对通信光缆造成影响
33、时,一次线路建设、运行维护部门应提前通知通信运行部门,并按照电力通信检修管理规定办理相关手续,如影响上级通信电路,应报上级通信调度审批后,方可批准办理开工手续。防止人为原因造成通信光缆非计划中断。19.3.36 检修施工单位需要同时办理电力和通信检修申请时,应在得到电力调度和通信调度双许可后,方可开展检修工作。19.3.37 线路运行维护部门应结合线路巡检每半年对OPGW光缆进行专项检查,并将检查结果报通信运行部门。通信运行部门应每半年对ADSS和普通光缆进行专项检查,重点检查站内及线路光缆的外观、接续盒固定线夹、接续盒密封垫等,并对光缆备用纤芯的衰耗特性进行测试对比。19.3.38 每年雷雨
34、季节前应对接地系统进行检查和维护。检查连接处是否紧固、接触是否良好、接地引下线有无锈蚀、接地体附近地面有无异常,必要时应开挖地面抽查地下隐蔽部分锈蚀情况。独立通信站、综合大楼接地网的接地电阻应每年进行一次测量,变电站通信接地网应纳入变电站接地网测量内容和周期。微波塔上除架设本站必须的通信装置外,不得架设或搭挂可构成雷击威胁的其他装置。19.3.39 加强通信设备、网管系统运行管理,落实数据备份、病毒防范和网络安全防护要求。通信网管应定期开展网络安全等级保护定级备案和测评工作,及时整改测评中发现的安全隐患。19.3.40 应定期开展机房和设备除尘工作。每季度应对通信设备的滤网、防尘罩等进行清洗,
35、做好设备防尘、防虫工作。19.3.41 通信设备检修或故障处理中,应严格按照通信设备和仪表使用手册进行操作,避免误操作或对通信设备及人员造成损伤。在采用光时域反射仪测试光纤时,应断开对端通信设备;在插拔拉曼放大器尾纤时,应先关闭泵浦激光器。19.3.42 调度交换机运行数据应每月进行备份,当系统数据变动时,应及时备份。调度录音系统应每周进行检查,确保运行可靠、录音效果良好、录音数据准确无误、存储容量充足。调度录音系统服务器应保持时间同步。19.3.43 因通信设备故障、施工改造或电路优化工作等原因,需要对原有通信业务运行方式进行调整时,如在48小时之内不能恢复原运行方式,应编制和下达新的通信业
36、务运行方式单。19.3.44 落实通信专业在电网大面积停电及突发事件发生时的组织机构和技术保障措施;完善各类通信设备和系统的现场处置方案和应急预案,定期开展反事故演习,检验应急预案的有效性,提高通信网预防和应对突发事件的能力。19.3.45 架设有通信光缆的一次线路计划退运前,应通知相关通信运行管理部门,并根据业务需要制订改造调整方案,确保通信系统可靠运行。19.4 防止信息系统事故19.4.1 信息系统的需求阶段应充分考虑到信息安全,进行风险分析,开展等级保护定级工作;设计阶段应明确系统自身安全功能一设计以及安全防护部署设计,形成专项信息安全防护设计。19.4.2 加强信息系统开发阶段的管理
37、,建立完善内部安全测试机制,确保项目开发人员遵循信息安全管理和信息保密要求,并加强对项目开发环境的安全管控,确保开发环境与实际运行环境安全隔离。19.4.3 建立并完善信息系统安全管理机构,强化管理确保各项安全措施落实到位。19.4.4 定期开展风险评估,并通过质量控制及应急措施消除或降低评估工作中可能存在的风险。19.4.5 在技术上合理配置和设置物理环境、网络、主机系统、应用系统、数据等方面的设备及安全措施;在管理上不断完善规章制度,持续改善安全保障机制。19.4.5.1 信息网络设备及其系统设备可靠,符合相关要求;总体安全策略、设备安全策略、网络安全策略、应用系统安全策略、部门安全策略等
38、应正确,符合规定。19.4,5.2构建网络基础设备和软件系统安全可信,没有预留后门或逻辑炸弹。接入网络用户及网络上传输、处理、存储的数据可信,杜绝非授权访问或恶意篡改。19.4,5,3路由器、交换机、服务器、邮件系统、目录系统、数据库、域名系统、安全设备、密码设备、密钥参数、交换机端口、IP地址、用户帐号、服务端口等网络资源统一管理。19.4.6 信息系统上线前测试阶段,应严格进行安全功能测试、代码安全检测等内容;并按照合同约定及时进行软件著作权资料的移交。19.4.7 通过灾备系统的实施做好信息系统及数据的备份,以应对自然灾难可能会对信息系统造成毁灭性的破坏。网络节点具有备份恢复能力,并能够
39、有效防范病毒和黑客的攻击所引起的网络拥塞、系统崩溃和数据丢失。19.4.8 信息系统投入运行前,应对访问策略和操作权限进行全面清理,复查账号权限,核实安全设备开放的端口和策略,确保信息系统投运后的信息安全;信息系统投入运行须同步纳入监控。19.4.9 在信息系统运行维护、数据交互和调试期间,认真履行相关流程和审批制度,执行工作票和操作票制度,不得擅自进行在线调试和修改,相关维护操作在测试环境通过后再部署到正式环境。19.4.10 配备信息安全管理人员,并开展有效的管理、考核、审查与培训。19.4.11 加强网络与信息系统安全审计工作,安全审计系统要定期生成审计报表,审计记录应受到保护,并进行备份,避免删除、修改或破坏。
