电力二次系统安全防护事故处理预案
1 事故类型和危险程度分析
1.1事故类型
因马莲台电厂二次系统安全防护设备事故或障碍,使系统不能正常工作或信息安全受到威胁,发生下列情况之一者,均可启动本预案:
(a )由外网攻击引起的系统硬、软件故障,发生实时系统主要服务器(包括数据库服务器、远动服务器、采集服务器、通信服务器)双机崩溃,且在较长时间内无法恢复正常运行时;
(b )重要信息泄露时,主要包括口令、密码、IP 地址、二次防护拓扑图、数据网配置、纵向加密认证装置IC 卡、公钥、私钥等;
(c )各边界安全设备发生故障,且在短时间内不能恢复时;
(d )因发电厂自动化系统出现安全漏洞和各种各样的威胁,影响信息安全时;
(e )因黑客、恶意代码等通过各种形式对二次系统发起恶意破坏和攻击或安全I 、II 区PC 机病毒感染时。
1.2危险程度分析
马莲台电厂二次系统崩溃或瘫痪而失控,并由此导致一次系统事故。
2 应急处置基本原则
2.1 预防为主
坚持安全第一、预防为主和预控关口前移的原则,加强对电力二次系统安全防护设备的运行管理,不断完善各项管理制度、不断完善各岗位职责、确保系统安全运行的质量,及时发现运行中存在的安全问题,采取切实有效的措施加以处理和解决;加强专业技术培训,不断提高专业技术人员的素质和解决问题、处理问题的能力。
2.2 统一指挥
对电力二次系统安全防护突发事件,在事故应急处理领导小组的指挥下,做到组织落实、措施得力,以便迅速恢复发电厂自动化各系统的正常运行,为电网调度指挥提供准确、可靠的数据和信息。
2.3 迅速响应
发生恶意破坏和攻击及由此引发电力系统事故时,所有相关人员迅速到达故障现场,收集故障信息、判断故障原因、及时进行事故处理和情况通报。
2.4 保护重点
遵循先保证生产控制大区实时控制区系统,再保证生产控制大区非实时控制区系统的安全原则进行事故处理。
3 组织机构及其职责
3.1应急领导小组
组 长:厂长
副组长:生技部主任、副主任
成 员:生技部、电控部、发电部、安监部相关成员;后勤保障小组(车队、物资部等)
3.2 应急领导小组职责
应急领导小组是应急管理工作的领导机构,事故发生后,应急领导小组赶赴事故现场进行现场指挥,统一领导马莲台电厂二次安全防护系统突发事件的应急处理工作,其主要职责是:贯彻落实上级公司的有关事故应急救援与处理法规、规定; 统一领导马莲台电厂二次安全防护系统事故抢险及应急处理工作;研究重大应急决策和部署;督促制定应急预案,下达应急指令;宣布进入和解除预警状态或应急状态;宣布实施和终止应急预案;负责向上级公司汇报事故情况等。
3.3各应急成员职责
(a )及时掌握发电厂自动化系统的运行状况和故障情况;
(b )向突发事件应急处理领导小组汇报事故情况;
(c )落实领导小组下达的应急处理指令,监督应急预案的执行情况;
(d )组织、指挥事故抢修,组织相关人员进行事故支援,收集相关信息资料,进行分析判断,为事故处理提供依据。及时有效地控制事态的发展,迅速、快捷恢复系统正常运行; (e )督促和检查事故抢修和应急处理工作的落实情况,及时发现问题,加以解决; (f )组织事故的善后处置工作。
(g )参加事故调查和分析。
3.4 后勤保障小组主要职责
(a )在应急领导小组的领导下,主要负责后勤保障工作,主要包括:联系和安排抢修所需车辆;提供抢修所需要的工器具、仪器仪表、备品备件、材料等等;为抢修人员提供生活保障。
(b )负责工器具、仪器仪表的日常检查、维护保养、保管工作,保证工器具、仪器仪表均处于良好状态。
(c )负责备品备件、材料等物品的保管工作,保证具有足够数量的主要自动化设备的备品备件和材料以供抢险所用。
3.5 应急预案框架与流程图
二次安全防护应急事件
二次安全防护应急领导小组
运行维护人员
应急工作小组
后勤保障小组
启动应急程序
事故抢险
事故救援
技术保障
备品、备件保障
人员保障
二次安全防护系统恢复
应急结束
事故调查
改进措施
4 预防与预警
4.1 危险源监控
4.1.1常规预防措施
(a )厂长是第一安全负责人,对突发事件的处理进行组织和指挥。
(b )值班人员应熟悉了解应急预案流程,以便随时处理突发事件。
(c )各系统管理员每月对所辖系统的操作系统、数据库系统、用户文件系统进行全备份工作,妥善管理好备份介质。
(d )生技部、电控部定期组织分析二次系统安全防护运行中出现的问题,购置必要的备品备件,并妥善保存。
(e )专责人应至少每月对备品备件进行检查或试验,保证备品备件可用性。
(f )各系统的软件功能、系统结构、系统硬件、数据库和各种配置参数改变应按规定做好记录。
(g )管理好各系统的各种技术文档、值班记录和其它记录,以便随时查阅。 (h )二次系统安全防护应急故障处理情况应通告相关负责人和事故领导小组。
(i )对预案中未有遇见的,恢复难度较大,恢复操作存在风险的应通知相关负责人,由相关负责人组织研究处理办法。必要时,相关负责人应提请领导小组研究处理办法。
(j )各专责人按规定定期检查各自管辖范围的设备运行情况,发现异常及时通告系统管理员及相关负责人。
4.1.2主要危险点
(a )横向隔离装置
(b )纵向认证加密装置
(c )远动系统和电能量计量系统
(d )拨号网关服务器
(e )重要信息
4.1.3危险点预控措施
4.1.3.1横向隔离装置
(a )加强安全I 、II 区与III 区正反向物理隔离装置的检查和维护;
(b )备用隔离装置应正常,安装后就可以可靠使用;
(c )正反向物理隔离装置应满足安全防护功能要求;
(d )定期检查设备工作状况,保证电源、设备、网络线正常。
4.1.3.2纵向认证加密装置
(a )加强纵向认证加密装置的检查和维护,定期进行密通、明通或旁路方式切换工作; (b )纵向认证加密装置应有更换备用装置,备用隔离装置应正常,安装后就可以可靠使用;
(c )纵向认证加密装置应满足《电力专用纵向加密认证装置技术规范》;
(d )加强纵向认证加密装置IC 卡和备用装置的安全管理;
(e )定期检查设备工作状况,保证电源、设备、网络线正常。
4.1.3.3发电厂自动化系统防护
(a )严格执行自动化系统安全防护的管理规定;
(b )加强自动化设备和重要信息的安全管理;
(c )做好通信电缆的防雷和屏蔽措施,防止雷击和强干扰信号现象发生;
(d )加强数据网路由和交换设备的运行监视,保证网络通信的正常运行;
(e )定期对自动化系统(包括电能量计量系统、同步相量测量系统、远动信息系统、自动电压控制系统等)进行防病毒软件升级;
(f )定期更新防病毒软件,防止I 、II 区PC 机受到病毒袭击;
(g )关闭软盘驱动、光盘驱动、USB 接口、串行口等,加强安全管理,通过安全管理措施实施严格监控;
(h )禁止生产控制大区内部的E-Mail 服务,禁止内部通用的WEB 服务;
(i )对不存在外部网络联系的孤立业务系统,要遵守所在安全区的防护要求。
4.1.3.4拨号网关服务器
(a )加强对拨号网关服务器的运行维护,确保其正常运行;
(b )加强对公钥、私钥的安全管理;
(c) 定期进行系统功能测试,保证公钥和私钥的可靠性和有效性;
(d) 严格管理厂家远程维护工作,保证维护过程有专人监督,防止系统运行发生意外; (e) 禁止无安全措施的拨号访问。
4.1.3.5重要信息
(a) 加强信息的保密性、完整性管理,确保信息安全;
(b) 定期对口令进行修改,杜绝空口令或弱口令。
4.2 预警行动
4.2.1发布事故通知
(a )二次系统安全防护小组成员向运行值班员通报事故发生信息和I 、II 区系统信息不可信通知,并告知运行值班员采用电话与调度联系,同时将事故情况向领导小组和调度部门及时汇报。
(b )工作小组了解事故情况后,及时向领导小组或应急处理办公室汇报,请求启动应急预案,必要时通知有关厂家来现场协助解决。
4.2.2 纵向认证加密装置故障事故方案
4.2.2.1装置掉电
检查供电UPS 系统是否存在故障,检查装置的电源模块是否存在故障。及时恢复电源,确认电源正常后,重启装置并检查电力调度数据网络连通性。
4.2.2.2纵向认证加密装置不工作
首先检查纵向认证加密装置电源是否工作正常;其次检查网络线的连接是否正常;然后检查IC 卡的连接是否正常。根据检查结果分别进行针对性处理,若是IC 卡故障,应立即启用备用IC 卡。
4.2.2.3装置硬件故障
通知有关维护人员,更换故障设备,故障设备要与厂家进行分析,并及时维修好; 重新配置装置,启动装置后检查电力调度数据网络连通性。
4.2.2.4装置软件故障
按下装置旁路按钮,通知中调、网调将装置旁路;通知专责人员检查装置配置、应用策略、告警信息等,故障恢复后,再次按下装置旁路按钮,通知中调、网调恢复装置在线,并检查电力调度数据网络连通性。
4.2.2.5纵向加密装置连接情况
4.2.2.5.1当发现业务通信异常时,按以下步骤检查加密装置:
(a)纵向加密的网口灯是否处于点亮的状态
(b)正常情况下,纵向加密装置的电源指示灯、通信指示灯都应该处于点 亮状态; (c)检查一下与之相连的网线是否松动;
4.2.2.5.2若黑客在调度数据网搭线窃听传输数据时,应检查装置是否在密通方式,在密通方式下,黑客仍可以窃取数据,要断开该数据网络的连接,及时上报上级部门并保护现场,等待调度部门和专家进行分析;
4.2.2.5.3若黑客在专用通道上搭线窃听传输数据时,应立即断开专用通道与系统的连接并报警;
4.2.2.5.4若由集团攻击造成的故障,要立即断开与各系统的网络连接,及时向调度部门报告并保护现场,等待调度部门和专家进行分析;
4.2.2.5.5及时向调度、信息主管部门汇报。
4.2.3 横向隔离装置故障事故方案
4.2.3.1装置掉电
检查电源情况,及时恢复电源,确认电源正常后,重启装置并检查信息局域网络连通性。
4.2.3.2装置硬件故障
通知有关维护人员,修复或更换故障设备,重新配置装置,启动装置后检查自信息局域网络连通性。
4.2.3.3装置软件故障
通知专责人员检查装置配置、告警信息等,故障排除后,重新导入配置,启动装置后检查信息局域网络连通性。
4.2.4防火墙故障
4.2.4.1设备掉电
检查电源情况,及时恢复电源,确认电源正常后,重启设备并检查信息局域网络连通性。
4.2.4.2设备硬件故障
通知有关专责人员,修复或更换故障设备,重新配置防火墙,启动后检查信息局域网络连通性。
4.2.4.3设备软件故障
通知专责人员检查防火墙配置、告警信息等,故障排除后,检查信息局域网络连通性。
4.2.5电力调度数据网纵向边界
当发现调度数据网交换数据不刷新时,首先检查通信服务器和路由交换设备的运行工况,确认正常后,检查通信服务器的服务进程是否工作正常;其次检查通信服务器与SCADA 服务器的通信服务进程是否工作正常;然后检查SCADA 服务器是否正常,将得到的数据进行全网广播。根据检查结果分别进行针对性处理,必要时进行采集进程重启、纵向加密认证装置重启或数据服务器切换。若切机后仍无法使数据恢复正常,则用最新的备份文件进行恢复。
4.2.5.1链路问题
通道发生故障造成数据网络骨干链路中断,形成网络孤岛。这时检查通信端和各个点之间的链路情况,条件允许的话可以用一个内网的地址将自己的笔记本连入到内网之后,先ping 与自己相连一侧的装置通信情况,如果不通请检查装置的连线是否正确,装置和交换机要用交叉线相连,若有VLAN 请确认内网通信机和装置是在同一个VLAN 段中,如果这样还是不通,可以直接将笔记本接到装置的网口上测试ping 通情况,如果这时还是不通,请检查硬件是否正常工作;装置ping 通后可以ping 内网一侧的下一路由是否可以到达;请检查装置外网口和外网交换机之间的连线是否正确,如果有VLAN 请确认是否在同一VLAN 段中;如果网关可达那么就可以ping 对端的通信机的网关地址,如果不可达则是链路本身有问题,请厂家协助解决相关问题。
4.2.5.2协商问题
在链路连通的情况下如果装置间的密钥没有协商成功,请首先检查通信装置的规则配置上是否正确,如装置隧道地址、证书名称等,如果确认规则没有问题之后可以先使用; 如果加密卡工作不正常,需要开箱重新拔插加密卡,如果这样还是不正常,请检查加密卡是否硬件故障;
4.2.5.3装置断电旁路
如果最后仍然无法排除问题,则建议将加密装置断电,保证实时数据转发。
加密装置接入于业务交换机和核心交换机之间,当一台设备出现故障后,OSPF 域自动选路选择切换至另一台加密认证网关工作。如果两台纵向加密认证网关都故障,将加密网关的电源关闭,启用自动旁路功能。如果短接装置仍然出现链路不通,则并非加密装置问题,建议检查链路中网络通道、其它网络设备或者系统软件。
(d )故障恢复
如果现场采用单机运行,并且有人配置,将原有的网线恢复,绕过加密装置,这样就可以完全排除加密装置带来的影响。
4.2.6 发电厂自动化设备事故处理方案
4.2.6.1发生自动化系统故障时,本单位技术人员若确认不是病毒感染或攻击造成,应启动相关事故处理预案;
4.2.6.2确认是病毒感染造成生产控制大区系统故障,要立即进行手动更新杀毒软件,直至系统正常运行。并及时上报,查找病毒来源加强防范;
4.2.6.3确认是外部攻击造成生产控制大区系统故障,非授权修改电力控制系统配置或程序,将被攻击的服务器从网络中剔除,保留现场,以便进行故障分析;
4.2.6.4确认是外部攻击造成生产控制大区系统故障,电厂要切断安全之间的物理连接;
4.2.6.5如果攻击仍然存在,则切断调度数据网与调度自动化系统的连接,并及时上报宁夏省调和西北网调。
4.2.7拨号网关服务器事故处理方案
4.2.7.1当确认是拨号网关服务器造成生产控制大区系统故障,要立即断开与各系统的网络连接,查找病毒来源加强防范;
4.2.7.2要通知有关厂家立即断开与上下级的网络连接,查找原因、进行分析,保证密钥的安全和签名的有效性;
4.2.7.3及时向上级调度部门报告并保护现场,等待上级调度部门和专家进行分析。
4.2.8重要信息泄露事故处理方案
4.2.8.1口令、证书等信息泄露,应立即报警,然后修改口令或密码,对证书系统进行更新,并上报上级调度部门;
4.2.8.2黑客在数据网或专用通道上搭线窃听明文传输的敏感信息(为后续做准备),应立即报警,然后进行跟踪,查明黑客来自何方,断开调度数据网或专用通道与系统的连接;在有纵向加密认证装置和横向隔离装置部署的情况下,还有此类现象发生,应断开所有连接,及时向调度部门报告并保护现场,等待调度部门和专家进行分析。
5信息报告程序
5.1本厂24小时应急值班电话:0951-4927311,0951-4927312。
5.2当发生二次安全防护突发事件时,值长立即汇报应急指挥领导小组。
5.3应急指挥领导小组接到值长二次安全防护突发事件的汇报后,宣布启动二次系统安
全防护应急预案,并电话通知各应急处置组组长。
5.4应急指挥领导小组成员到达现场了解故障情况后,由应急组长向上级主管单位、当地政府安全监督机构、电监会派出机构汇报事故信息,最迟不超过1小时。
5.5突发事件报告内容主要包括:报告部门(单位)、报告人,联系人和联系方式,报告时间,事故发生的时间、地点和现场情况;事故的简要经过、财产损失情况的初步估计;事故原因的初步分析;事故发生后已经采取的措施、效果及下一步工作方案;
5.7其它需要报告的事项。
6应急处置
6.1 响应分级
二次系统安全防护应急预案根据可能影响的范围分成一般级和重大级。
6.1.1 Ⅰ级响应
突发二次系统安全防护一般故障,导致10%以下自动化系统信息中断时间超过8小时,影响调度实时数据监视和控制;或由于自动化系统关键服务器发生较大范围故障且中断时间超过4小时,严重影响电网调度和行政管理时。
6.1.2 Ⅱ级响应
突发重大二次系统安全防护事件,造成10%以上自动化系统信息中断时间超过8小时;自动化系统受到自然灾害、病毒、黑客攻击、人为破坏等导致系统瘫痪不能正常工作时;机房电源因故中断短时间不能恢复、主系统全停或发生严重故障时间超过4小时,严重影响电网正常调度运行。
6.2 响应程序
应急工作流程总体上分为:运行监控和预案启动,应急处理和控制,事后评估和整改等三个环节。
6.2.1 该预案由应急组长宣布启动后,应急处置组副组长立即召集所属应急处置组成员及时到达事故现场,部署应急处置工作进行紧急救援。
6.2.2应急组长派出前线指挥人员,由前线指挥人员负责协调各项应急处置工作的开展,合理调配应急资源。
6.2.3应急响应程序启动后,由前线指挥人员负责向上级主管单位、当地政府安全监督机构、电监会派出机构汇报应急工作信息。
6.2.4各岗位人员按照本预案进行先期处理。
6.2.5应急结束
当满足下列条件时,应急处理工作组报请应急处理领导小组解除应急状态:
1)自动化各系统和二次安全防护装置恢复正常;
2)无其它对电网安全稳定存在重大影响或严重威胁的各类事件。
6.2.6事故调查
6.2.6.1 由上级公司安监部组成事故调查组进行事故调查,马莲台电厂相关专业 技术人员配合。各有关部门认真配合调查组的工作,坚持实事求是、科学、准确、及时地查清事故原因、发生过程、恢复情况、事故损失、事故责任等,提出防范措施和事故责任处理意见。
6.2.6.2应急处置工作结束后进行事故调查。事故调查组到达现场后应认真听取现场 应急处置工作情况介绍,并与现场应急指挥机构协调。
6.2.6.3事故调查工作包括:调查组的组成,应急救援情况的调查,事故现场调查,技 术分析,事故原因的判定,事故性质和责任的查明,编写事故调查报告,提出安全预防措施建
议。
6.2.7 故障处理评估
6.2.7.1系统恢复正常运行,事故处理完毕,领导小组应按有关规定组织或参与对 事故原因的调查和对事故处理过程的评估。
6.2.7.2根椐事故调查和评估的结果,各部门应采取具体措施对本次事故暴露的问题及时进行整改,进一步完善和改进事故处理预案。
6.3处置措施
6.3.1 二次安全防护系统事故或故障之后,各专业相关人员会同调度自动化系统开发厂家技术工程师联合分析、研究事故发生原因,吸取事故教训,提出具体措施,消除系统隐患,完善二次安全防护系统相关功能,优化相关软件,定期备份系统(包括系统应用程序、操作系统、系统配置、系统数据库等的备份),提高二次安全防护系统运行可靠性。进一步完善和改进应对突发事件二次安全防护系统应急预案。
6.3.2 各相关地区、各有关部门应及时总结社会应急救援工作的经验和教训,进一步完善和改进二次安全防护系统应急救援、事故抢险与紧急处置体系。
7应急物资与装备保障
7.1应急队伍:应急队伍包括运行人员、检修维护部人员、消防队员等。
7.2应急物资与装备:应急装备包括通信工具、人员防护装备等必备物资及专用工具等。各应急专业组在现场相关地点存放常用应急工具。
7.3通信与信息:建立包括厂领导及各部门领导、专业负责人和电网调度等人员在内的通信录,并保证主任以上岗位人员手机24小时联系畅通。
7.4经费:财务部按照规定标准提取,在成本中列支, 专门用于完善和改进企业应急救援体系建设、监控设备定期检测、应急救援物资采购、应急救援演习和应急人员培训等。保障应急状态时应急经费的及时到位。
电力二次系统安全防护事故处理预案
1 事故类型和危险程度分析
1.1事故类型
因马莲台电厂二次系统安全防护设备事故或障碍,使系统不能正常工作或信息安全受到威胁,发生下列情况之一者,均可启动本预案:
(a )由外网攻击引起的系统硬、软件故障,发生实时系统主要服务器(包括数据库服务器、远动服务器、采集服务器、通信服务器)双机崩溃,且在较长时间内无法恢复正常运行时;
(b )重要信息泄露时,主要包括口令、密码、IP 地址、二次防护拓扑图、数据网配置、纵向加密认证装置IC 卡、公钥、私钥等;
(c )各边界安全设备发生故障,且在短时间内不能恢复时;
(d )因发电厂自动化系统出现安全漏洞和各种各样的威胁,影响信息安全时;
(e )因黑客、恶意代码等通过各种形式对二次系统发起恶意破坏和攻击或安全I 、II 区PC 机病毒感染时。
1.2危险程度分析
马莲台电厂二次系统崩溃或瘫痪而失控,并由此导致一次系统事故。
2 应急处置基本原则
2.1 预防为主
坚持安全第一、预防为主和预控关口前移的原则,加强对电力二次系统安全防护设备的运行管理,不断完善各项管理制度、不断完善各岗位职责、确保系统安全运行的质量,及时发现运行中存在的安全问题,采取切实有效的措施加以处理和解决;加强专业技术培训,不断提高专业技术人员的素质和解决问题、处理问题的能力。
2.2 统一指挥
对电力二次系统安全防护突发事件,在事故应急处理领导小组的指挥下,做到组织落实、措施得力,以便迅速恢复发电厂自动化各系统的正常运行,为电网调度指挥提供准确、可靠的数据和信息。
2.3 迅速响应
发生恶意破坏和攻击及由此引发电力系统事故时,所有相关人员迅速到达故障现场,收集故障信息、判断故障原因、及时进行事故处理和情况通报。
2.4 保护重点
遵循先保证生产控制大区实时控制区系统,再保证生产控制大区非实时控制区系统的安全原则进行事故处理。
3 组织机构及其职责
3.1应急领导小组
组 长:厂长
副组长:生技部主任、副主任
成 员:生技部、电控部、发电部、安监部相关成员;后勤保障小组(车队、物资部等)
3.2 应急领导小组职责
应急领导小组是应急管理工作的领导机构,事故发生后,应急领导小组赶赴事故现场进行现场指挥,统一领导马莲台电厂二次安全防护系统突发事件的应急处理工作,其主要职责是:贯彻落实上级公司的有关事故应急救援与处理法规、规定; 统一领导马莲台电厂二次安全防护系统事故抢险及应急处理工作;研究重大应急决策和部署;督促制定应急预案,下达应急指令;宣布进入和解除预警状态或应急状态;宣布实施和终止应急预案;负责向上级公司汇报事故情况等。
3.3各应急成员职责
(a )及时掌握发电厂自动化系统的运行状况和故障情况;
(b )向突发事件应急处理领导小组汇报事故情况;
(c )落实领导小组下达的应急处理指令,监督应急预案的执行情况;
(d )组织、指挥事故抢修,组织相关人员进行事故支援,收集相关信息资料,进行分析判断,为事故处理提供依据。及时有效地控制事态的发展,迅速、快捷恢复系统正常运行; (e )督促和检查事故抢修和应急处理工作的落实情况,及时发现问题,加以解决; (f )组织事故的善后处置工作。
(g )参加事故调查和分析。
3.4 后勤保障小组主要职责
(a )在应急领导小组的领导下,主要负责后勤保障工作,主要包括:联系和安排抢修所需车辆;提供抢修所需要的工器具、仪器仪表、备品备件、材料等等;为抢修人员提供生活保障。
(b )负责工器具、仪器仪表的日常检查、维护保养、保管工作,保证工器具、仪器仪表均处于良好状态。
(c )负责备品备件、材料等物品的保管工作,保证具有足够数量的主要自动化设备的备品备件和材料以供抢险所用。
3.5 应急预案框架与流程图
二次安全防护应急事件
二次安全防护应急领导小组
运行维护人员
应急工作小组
后勤保障小组
启动应急程序
事故抢险
事故救援
技术保障
备品、备件保障
人员保障
二次安全防护系统恢复
应急结束
事故调查
改进措施
4 预防与预警
4.1 危险源监控
4.1.1常规预防措施
(a )厂长是第一安全负责人,对突发事件的处理进行组织和指挥。
(b )值班人员应熟悉了解应急预案流程,以便随时处理突发事件。
(c )各系统管理员每月对所辖系统的操作系统、数据库系统、用户文件系统进行全备份工作,妥善管理好备份介质。
(d )生技部、电控部定期组织分析二次系统安全防护运行中出现的问题,购置必要的备品备件,并妥善保存。
(e )专责人应至少每月对备品备件进行检查或试验,保证备品备件可用性。
(f )各系统的软件功能、系统结构、系统硬件、数据库和各种配置参数改变应按规定做好记录。
(g )管理好各系统的各种技术文档、值班记录和其它记录,以便随时查阅。 (h )二次系统安全防护应急故障处理情况应通告相关负责人和事故领导小组。
(i )对预案中未有遇见的,恢复难度较大,恢复操作存在风险的应通知相关负责人,由相关负责人组织研究处理办法。必要时,相关负责人应提请领导小组研究处理办法。
(j )各专责人按规定定期检查各自管辖范围的设备运行情况,发现异常及时通告系统管理员及相关负责人。
4.1.2主要危险点
(a )横向隔离装置
(b )纵向认证加密装置
(c )远动系统和电能量计量系统
(d )拨号网关服务器
(e )重要信息
4.1.3危险点预控措施
4.1.3.1横向隔离装置
(a )加强安全I 、II 区与III 区正反向物理隔离装置的检查和维护;
(b )备用隔离装置应正常,安装后就可以可靠使用;
(c )正反向物理隔离装置应满足安全防护功能要求;
(d )定期检查设备工作状况,保证电源、设备、网络线正常。
4.1.3.2纵向认证加密装置
(a )加强纵向认证加密装置的检查和维护,定期进行密通、明通或旁路方式切换工作; (b )纵向认证加密装置应有更换备用装置,备用隔离装置应正常,安装后就可以可靠使用;
(c )纵向认证加密装置应满足《电力专用纵向加密认证装置技术规范》;
(d )加强纵向认证加密装置IC 卡和备用装置的安全管理;
(e )定期检查设备工作状况,保证电源、设备、网络线正常。
4.1.3.3发电厂自动化系统防护
(a )严格执行自动化系统安全防护的管理规定;
(b )加强自动化设备和重要信息的安全管理;
(c )做好通信电缆的防雷和屏蔽措施,防止雷击和强干扰信号现象发生;
(d )加强数据网路由和交换设备的运行监视,保证网络通信的正常运行;
(e )定期对自动化系统(包括电能量计量系统、同步相量测量系统、远动信息系统、自动电压控制系统等)进行防病毒软件升级;
(f )定期更新防病毒软件,防止I 、II 区PC 机受到病毒袭击;
(g )关闭软盘驱动、光盘驱动、USB 接口、串行口等,加强安全管理,通过安全管理措施实施严格监控;
(h )禁止生产控制大区内部的E-Mail 服务,禁止内部通用的WEB 服务;
(i )对不存在外部网络联系的孤立业务系统,要遵守所在安全区的防护要求。
4.1.3.4拨号网关服务器
(a )加强对拨号网关服务器的运行维护,确保其正常运行;
(b )加强对公钥、私钥的安全管理;
(c) 定期进行系统功能测试,保证公钥和私钥的可靠性和有效性;
(d) 严格管理厂家远程维护工作,保证维护过程有专人监督,防止系统运行发生意外; (e) 禁止无安全措施的拨号访问。
4.1.3.5重要信息
(a) 加强信息的保密性、完整性管理,确保信息安全;
(b) 定期对口令进行修改,杜绝空口令或弱口令。
4.2 预警行动
4.2.1发布事故通知
(a )二次系统安全防护小组成员向运行值班员通报事故发生信息和I 、II 区系统信息不可信通知,并告知运行值班员采用电话与调度联系,同时将事故情况向领导小组和调度部门及时汇报。
(b )工作小组了解事故情况后,及时向领导小组或应急处理办公室汇报,请求启动应急预案,必要时通知有关厂家来现场协助解决。
4.2.2 纵向认证加密装置故障事故方案
4.2.2.1装置掉电
检查供电UPS 系统是否存在故障,检查装置的电源模块是否存在故障。及时恢复电源,确认电源正常后,重启装置并检查电力调度数据网络连通性。
4.2.2.2纵向认证加密装置不工作
首先检查纵向认证加密装置电源是否工作正常;其次检查网络线的连接是否正常;然后检查IC 卡的连接是否正常。根据检查结果分别进行针对性处理,若是IC 卡故障,应立即启用备用IC 卡。
4.2.2.3装置硬件故障
通知有关维护人员,更换故障设备,故障设备要与厂家进行分析,并及时维修好; 重新配置装置,启动装置后检查电力调度数据网络连通性。
4.2.2.4装置软件故障
按下装置旁路按钮,通知中调、网调将装置旁路;通知专责人员检查装置配置、应用策略、告警信息等,故障恢复后,再次按下装置旁路按钮,通知中调、网调恢复装置在线,并检查电力调度数据网络连通性。
4.2.2.5纵向加密装置连接情况
4.2.2.5.1当发现业务通信异常时,按以下步骤检查加密装置:
(a)纵向加密的网口灯是否处于点亮的状态
(b)正常情况下,纵向加密装置的电源指示灯、通信指示灯都应该处于点 亮状态; (c)检查一下与之相连的网线是否松动;
4.2.2.5.2若黑客在调度数据网搭线窃听传输数据时,应检查装置是否在密通方式,在密通方式下,黑客仍可以窃取数据,要断开该数据网络的连接,及时上报上级部门并保护现场,等待调度部门和专家进行分析;
4.2.2.5.3若黑客在专用通道上搭线窃听传输数据时,应立即断开专用通道与系统的连接并报警;
4.2.2.5.4若由集团攻击造成的故障,要立即断开与各系统的网络连接,及时向调度部门报告并保护现场,等待调度部门和专家进行分析;
4.2.2.5.5及时向调度、信息主管部门汇报。
4.2.3 横向隔离装置故障事故方案
4.2.3.1装置掉电
检查电源情况,及时恢复电源,确认电源正常后,重启装置并检查信息局域网络连通性。
4.2.3.2装置硬件故障
通知有关维护人员,修复或更换故障设备,重新配置装置,启动装置后检查自信息局域网络连通性。
4.2.3.3装置软件故障
通知专责人员检查装置配置、告警信息等,故障排除后,重新导入配置,启动装置后检查信息局域网络连通性。
4.2.4防火墙故障
4.2.4.1设备掉电
检查电源情况,及时恢复电源,确认电源正常后,重启设备并检查信息局域网络连通性。
4.2.4.2设备硬件故障
通知有关专责人员,修复或更换故障设备,重新配置防火墙,启动后检查信息局域网络连通性。
4.2.4.3设备软件故障
通知专责人员检查防火墙配置、告警信息等,故障排除后,检查信息局域网络连通性。
4.2.5电力调度数据网纵向边界
当发现调度数据网交换数据不刷新时,首先检查通信服务器和路由交换设备的运行工况,确认正常后,检查通信服务器的服务进程是否工作正常;其次检查通信服务器与SCADA 服务器的通信服务进程是否工作正常;然后检查SCADA 服务器是否正常,将得到的数据进行全网广播。根据检查结果分别进行针对性处理,必要时进行采集进程重启、纵向加密认证装置重启或数据服务器切换。若切机后仍无法使数据恢复正常,则用最新的备份文件进行恢复。
4.2.5.1链路问题
通道发生故障造成数据网络骨干链路中断,形成网络孤岛。这时检查通信端和各个点之间的链路情况,条件允许的话可以用一个内网的地址将自己的笔记本连入到内网之后,先ping 与自己相连一侧的装置通信情况,如果不通请检查装置的连线是否正确,装置和交换机要用交叉线相连,若有VLAN 请确认内网通信机和装置是在同一个VLAN 段中,如果这样还是不通,可以直接将笔记本接到装置的网口上测试ping 通情况,如果这时还是不通,请检查硬件是否正常工作;装置ping 通后可以ping 内网一侧的下一路由是否可以到达;请检查装置外网口和外网交换机之间的连线是否正确,如果有VLAN 请确认是否在同一VLAN 段中;如果网关可达那么就可以ping 对端的通信机的网关地址,如果不可达则是链路本身有问题,请厂家协助解决相关问题。
4.2.5.2协商问题
在链路连通的情况下如果装置间的密钥没有协商成功,请首先检查通信装置的规则配置上是否正确,如装置隧道地址、证书名称等,如果确认规则没有问题之后可以先使用; 如果加密卡工作不正常,需要开箱重新拔插加密卡,如果这样还是不正常,请检查加密卡是否硬件故障;
4.2.5.3装置断电旁路
如果最后仍然无法排除问题,则建议将加密装置断电,保证实时数据转发。
加密装置接入于业务交换机和核心交换机之间,当一台设备出现故障后,OSPF 域自动选路选择切换至另一台加密认证网关工作。如果两台纵向加密认证网关都故障,将加密网关的电源关闭,启用自动旁路功能。如果短接装置仍然出现链路不通,则并非加密装置问题,建议检查链路中网络通道、其它网络设备或者系统软件。
(d )故障恢复
如果现场采用单机运行,并且有人配置,将原有的网线恢复,绕过加密装置,这样就可以完全排除加密装置带来的影响。
4.2.6 发电厂自动化设备事故处理方案
4.2.6.1发生自动化系统故障时,本单位技术人员若确认不是病毒感染或攻击造成,应启动相关事故处理预案;
4.2.6.2确认是病毒感染造成生产控制大区系统故障,要立即进行手动更新杀毒软件,直至系统正常运行。并及时上报,查找病毒来源加强防范;
4.2.6.3确认是外部攻击造成生产控制大区系统故障,非授权修改电力控制系统配置或程序,将被攻击的服务器从网络中剔除,保留现场,以便进行故障分析;
4.2.6.4确认是外部攻击造成生产控制大区系统故障,电厂要切断安全之间的物理连接;
4.2.6.5如果攻击仍然存在,则切断调度数据网与调度自动化系统的连接,并及时上报宁夏省调和西北网调。
4.2.7拨号网关服务器事故处理方案
4.2.7.1当确认是拨号网关服务器造成生产控制大区系统故障,要立即断开与各系统的网络连接,查找病毒来源加强防范;
4.2.7.2要通知有关厂家立即断开与上下级的网络连接,查找原因、进行分析,保证密钥的安全和签名的有效性;
4.2.7.3及时向上级调度部门报告并保护现场,等待上级调度部门和专家进行分析。
4.2.8重要信息泄露事故处理方案
4.2.8.1口令、证书等信息泄露,应立即报警,然后修改口令或密码,对证书系统进行更新,并上报上级调度部门;
4.2.8.2黑客在数据网或专用通道上搭线窃听明文传输的敏感信息(为后续做准备),应立即报警,然后进行跟踪,查明黑客来自何方,断开调度数据网或专用通道与系统的连接;在有纵向加密认证装置和横向隔离装置部署的情况下,还有此类现象发生,应断开所有连接,及时向调度部门报告并保护现场,等待调度部门和专家进行分析。
5信息报告程序
5.1本厂24小时应急值班电话:0951-4927311,0951-4927312。
5.2当发生二次安全防护突发事件时,值长立即汇报应急指挥领导小组。
5.3应急指挥领导小组接到值长二次安全防护突发事件的汇报后,宣布启动二次系统安
全防护应急预案,并电话通知各应急处置组组长。
5.4应急指挥领导小组成员到达现场了解故障情况后,由应急组长向上级主管单位、当地政府安全监督机构、电监会派出机构汇报事故信息,最迟不超过1小时。
5.5突发事件报告内容主要包括:报告部门(单位)、报告人,联系人和联系方式,报告时间,事故发生的时间、地点和现场情况;事故的简要经过、财产损失情况的初步估计;事故原因的初步分析;事故发生后已经采取的措施、效果及下一步工作方案;
5.7其它需要报告的事项。
6应急处置
6.1 响应分级
二次系统安全防护应急预案根据可能影响的范围分成一般级和重大级。
6.1.1 Ⅰ级响应
突发二次系统安全防护一般故障,导致10%以下自动化系统信息中断时间超过8小时,影响调度实时数据监视和控制;或由于自动化系统关键服务器发生较大范围故障且中断时间超过4小时,严重影响电网调度和行政管理时。
6.1.2 Ⅱ级响应
突发重大二次系统安全防护事件,造成10%以上自动化系统信息中断时间超过8小时;自动化系统受到自然灾害、病毒、黑客攻击、人为破坏等导致系统瘫痪不能正常工作时;机房电源因故中断短时间不能恢复、主系统全停或发生严重故障时间超过4小时,严重影响电网正常调度运行。
6.2 响应程序
应急工作流程总体上分为:运行监控和预案启动,应急处理和控制,事后评估和整改等三个环节。
6.2.1 该预案由应急组长宣布启动后,应急处置组副组长立即召集所属应急处置组成员及时到达事故现场,部署应急处置工作进行紧急救援。
6.2.2应急组长派出前线指挥人员,由前线指挥人员负责协调各项应急处置工作的开展,合理调配应急资源。
6.2.3应急响应程序启动后,由前线指挥人员负责向上级主管单位、当地政府安全监督机构、电监会派出机构汇报应急工作信息。
6.2.4各岗位人员按照本预案进行先期处理。
6.2.5应急结束
当满足下列条件时,应急处理工作组报请应急处理领导小组解除应急状态:
1)自动化各系统和二次安全防护装置恢复正常;
2)无其它对电网安全稳定存在重大影响或严重威胁的各类事件。
6.2.6事故调查
6.2.6.1 由上级公司安监部组成事故调查组进行事故调查,马莲台电厂相关专业 技术人员配合。各有关部门认真配合调查组的工作,坚持实事求是、科学、准确、及时地查清事故原因、发生过程、恢复情况、事故损失、事故责任等,提出防范措施和事故责任处理意见。
6.2.6.2应急处置工作结束后进行事故调查。事故调查组到达现场后应认真听取现场 应急处置工作情况介绍,并与现场应急指挥机构协调。
6.2.6.3事故调查工作包括:调查组的组成,应急救援情况的调查,事故现场调查,技 术分析,事故原因的判定,事故性质和责任的查明,编写事故调查报告,提出安全预防措施建
议。
6.2.7 故障处理评估
6.2.7.1系统恢复正常运行,事故处理完毕,领导小组应按有关规定组织或参与对 事故原因的调查和对事故处理过程的评估。
6.2.7.2根椐事故调查和评估的结果,各部门应采取具体措施对本次事故暴露的问题及时进行整改,进一步完善和改进事故处理预案。
6.3处置措施
6.3.1 二次安全防护系统事故或故障之后,各专业相关人员会同调度自动化系统开发厂家技术工程师联合分析、研究事故发生原因,吸取事故教训,提出具体措施,消除系统隐患,完善二次安全防护系统相关功能,优化相关软件,定期备份系统(包括系统应用程序、操作系统、系统配置、系统数据库等的备份),提高二次安全防护系统运行可靠性。进一步完善和改进应对突发事件二次安全防护系统应急预案。
6.3.2 各相关地区、各有关部门应及时总结社会应急救援工作的经验和教训,进一步完善和改进二次安全防护系统应急救援、事故抢险与紧急处置体系。
7应急物资与装备保障
7.1应急队伍:应急队伍包括运行人员、检修维护部人员、消防队员等。
7.2应急物资与装备:应急装备包括通信工具、人员防护装备等必备物资及专用工具等。各应急专业组在现场相关地点存放常用应急工具。
7.3通信与信息:建立包括厂领导及各部门领导、专业负责人和电网调度等人员在内的通信录,并保证主任以上岗位人员手机24小时联系畅通。
7.4经费:财务部按照规定标准提取,在成本中列支, 专门用于完善和改进企业应急救援体系建设、监控设备定期检测、应急救援物资采购、应急救援演习和应急人员培训等。保障应急状态时应急经费的及时到位。