2022新能源光伏電站電力監(jiān)控系統(tǒng)安全防護(hù)管理制度

新能源光伏電站電力監(jiān)控系統(tǒng)安全防護(hù)管理制度目錄TOC\o"1-3"\h\u8647光伏電站電力監(jiān)控系統(tǒng)安全防護(hù)管理制度 4199931、總則 4250402、組織機(jī)構(gòu)及安全職責(zé)分工 5105851.1領(lǐng)導(dǎo)小組 593811.2領(lǐng)導(dǎo)小組職責(zé) 6284761.3工作小組 68851.4工作小組職責(zé) 6119063、建設(shè)及運(yùn)行管理制度細(xì)則 7274264、應(yīng)急管理制度細(xì)則 8238385、附則 9112691本管理辦法自發(fā)布之日起執(zhí)行。 9152142本管理辦法由XXXXX光伏電站負(fù)責(zé)解釋。 96343光伏電站電力監(jiān)控系統(tǒng)安全聯(lián)合防護(hù)應(yīng)急預(yù)案 1077321、總則 10135541.1、編制目的 10157051.2、工作原則 10146391.3、適用范圍 10219512、職責(zé)及分工 1087762.應(yīng)急保障小組：組長：XXX 1078553、應(yīng)急響應(yīng) 11269843.1、響應(yīng)程序 11224343.2、應(yīng)急處置 12141304、后期處置 1965245、預(yù)防措施 2012445光伏電站信息系統(tǒng)機(jī)房管理標(biāo)準(zhǔn) 21118881、總則 21132482、值班制度 2136193、巡視制度 22194423.1網(wǎng)絡(luò)運(yùn)行設(shè)備的巡視 22183783.2機(jī)房環(huán)境的巡視 2281673.2.1機(jī)房門窗的關(guān)閉情況 22128843.2.2機(jī)房的衛(wèi)生情況 23291043.2.3機(jī)房的燈光狀況 23150803.2.4機(jī)房的溫度、溫度及空氣狀況 23113203.2.5認(rèn)真做好記錄 23203863.3機(jī)房設(shè)備的巡視 23239254、日常管理制度 23197675、運(yùn)行維護(hù)制度 24281426、安全保密制度 25186236.1網(wǎng)絡(luò)運(yùn)行安全管理 2568166.2系統(tǒng)設(shè)備安全管理 25293016.3認(rèn)真遵守國家的各項(xiàng)保密制度 26259157、外來人員管理制度 26138328、附則 2716496光伏電站教育培訓(xùn)管理制度 28573光伏電站外來人員管理制度 2921373光伏電站計(jì)算機(jī)系統(tǒng)管理制度 30119561.總則 30141672.監(jiān)控系統(tǒng)計(jì)算機(jī)的管理 30309822.1電廠監(jiān)控系統(tǒng)計(jì)算機(jī) 30250572.2監(jiān)控系統(tǒng)計(jì)算機(jī) 3070513.工程師站及辦公用計(jì)算機(jī)的管理： 30225393.1工程師站計(jì)算機(jī) 30213823.2辦公用計(jì)算機(jī) 31178784.計(jì)算機(jī)數(shù)據(jù)管理： 3165445.附則 3121393電力監(jiān)控系統(tǒng)安全評(píng)估制度 3298451.總則 3224982.安全評(píng)估制度 32286423.附則 3224986光伏電站主機(jī)加固安全管理制度 34254921.總則 34199552.權(quán)限管理 3473963.訪問控制管理 34105154.服務(wù)器密碼及口令管理 34286545.用戶密碼及口令管理 3555926.密碼及口令設(shè)定要求 35160287.設(shè)備及子系統(tǒng)的維護(hù)管理 355880光伏電站主機(jī)加固技術(shù)方案 37285091.1Windows服務(wù)器 37300651.2Linux 38231291.3Mysql 4159931.root 41269612.刪除默認(rèn)數(shù)據(jù)庫和數(shù)據(jù)庫用戶 41130601.4Oracle 51183291.5調(diào)度數(shù)據(jù)網(wǎng)及二次安防加固 58258551.5.1網(wǎng)絡(luò)設(shè)備 58109571.5.2縱向加密 60125621、不允許存在未建立完成的隧道 60169372、不允許存在除ICMP之外的明通策略 61251843、不允許存在源IP、端口到目的IP、端口過大的策略 6124824、日志服務(wù)器和遠(yuǎn)程管理功能需要配置 61134491.5.3防火墻 61光伏電站電力監(jiān)控系統(tǒng)安全防護(hù)管理制度1、總則（〔201536（2014年第14號(hào)令），特制定本管理辦法。網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則。管理和技術(shù)并重、綜合防范”為方針，遵循“統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一組織開發(fā)“的原則。理辦法的要求。理制度、應(yīng)急管理制度、檢查評(píng)估及整改制度。2、組織機(jī)構(gòu)及安全職責(zé)分工領(lǐng)導(dǎo)小組組長：XXX副組長：XXX、XXX成員：XXX、XXX、XXX、XXX領(lǐng)導(dǎo)小組職責(zé)急預(yù)案的啟動(dòng)。工作小組組長：XXX副組長：XXX、XXX成員：XXX、XXX、XXX、XXX工作小組職責(zé)生產(chǎn)運(yùn)營部負(fù)責(zé)組織XXXXX光伏電站電力監(jiān)控系統(tǒng)總體14合同條款或保密協(xié)議的方式保證其所提供的設(shè)備及系統(tǒng)符合規(guī)定要作，禁止關(guān)鍵技術(shù)和設(shè)備的擴(kuò)散。毒軟件或防火墻軟件版本。一般工作人員應(yīng)熟練掌握并嚴(yán)格遵守本專業(yè)的各項(xiàng)安全管理制度。設(shè)備等的維護(hù)管理。3、建設(shè)及運(yùn)行管理制度細(xì)則網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證的原則。護(hù)文字應(yīng)每年滾動(dòng)修訂、完善?？傮w方案。后方可實(shí)施。本單位安全防護(hù)設(shè)備的運(yùn)行和管理，及時(shí)處置異常情況。行審批流程，備份配置變更記錄。報(bào)告，關(guān)鍵安全設(shè)備應(yīng)啟用備品備件替換。運(yùn)行。1.10.在對(duì)電力監(jiān)控系統(tǒng)運(yùn)行過程中，如發(fā)現(xiàn)部分應(yīng)用系統(tǒng)及網(wǎng)還不能完成，則對(duì)責(zé)任人進(jìn)行批評(píng)并依據(jù)相關(guān)規(guī)定進(jìn)行處罰。4、應(yīng)急管理制度細(xì)則個(gè)方面并定期開展演練。定的地方，并根據(jù)學(xué)習(xí)的結(jié)果不斷的完善應(yīng)急預(yù)案。85、附則本管理辦法自發(fā)布之日起執(zhí)行。本管理辦法由XXXXX光伏電站負(fù)責(zé)解釋。光伏電站電力監(jiān)控系統(tǒng)安全聯(lián)合防護(hù)應(yīng)急預(yù)案1、總則、編制目的有效防止、控制XXXXX光伏電站生產(chǎn)大區(qū)監(jiān)控系統(tǒng)由于遭到黑客、、工作原則遵循“安全第一，預(yù)防為主，綜合治理”為方針，堅(jiān)持防御和救《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》（國能安全〔2015〕36）（201414制定XXXXX光伏電站電力監(jiān)控系統(tǒng)安全聯(lián)合防護(hù)應(yīng)急預(yù)案。、適用范圍適用于本公司電力監(jiān)控系統(tǒng)故障事件的應(yīng)急處置和應(yīng)急救援工作。2、職責(zé)及分工2.應(yīng)急保障小組：組長：XXX副組長：XXX、XXX成員：XXX、XXX、XXX、XXX2.2、應(yīng)急保障小組職責(zé)1）負(fù)責(zé)應(yīng)急預(yù)案的制訂、修訂，組建應(yīng)急專業(yè)指揮隊(duì)伍，組織實(shí)施和演練;檢查監(jiān)督作為重大事故的預(yù)防措施和應(yīng)急的各項(xiàng)準(zhǔn)備工作。實(shí)施救援行動(dòng);向上級(jí)和地調(diào)有關(guān)主管部門匯報(bào)事故情況，配合地調(diào)及省調(diào)相關(guān)部門做好應(yīng)急處理，必要時(shí)向公安機(jī)關(guān)報(bào)案、求助;組織事后的事故調(diào)查、分析，總結(jié)應(yīng)急救援工作經(jīng)驗(yàn)教訓(xùn)。3）應(yīng)急保障小組分工及省調(diào)相關(guān)部門處理事故，防止事故進(jìn)一步擴(kuò)大;負(fù)責(zé)組織對(duì)事故的調(diào)查和向上級(jí)主管部門匯報(bào)工作，批準(zhǔn)所采取的糾正預(yù)防措施;及控制恢復(fù)情況。做好事故后的調(diào)查報(bào)告及總結(jié)。3、應(yīng)急響應(yīng)、響應(yīng)程序該預(yù)案由生產(chǎn)廠長宣布啟動(dòng)；迅速組織召集各應(yīng)急處置負(fù)責(zé)人，部署應(yīng)急處置工作。由生產(chǎn)經(jīng)理負(fù)責(zé)協(xié)調(diào)各項(xiàng)應(yīng)急處置工作的開展，合理調(diào)配應(yīng)急資源；生產(chǎn)經(jīng)理在接到應(yīng)急預(yù)案啟動(dòng)命令后，立即召集全部應(yīng)急處應(yīng)急處理；應(yīng)急響應(yīng)程序啟動(dòng)后，由生產(chǎn)經(jīng)理負(fù)責(zé)向上級(jí)調(diào)度匯報(bào)應(yīng)急工作信息。、應(yīng)急處置總體原則起，若是內(nèi)部人為誤操作引起馬上組織恢復(fù)正常工作狀態(tài)，并上報(bào)應(yīng)急領(lǐng)導(dǎo)小組。根據(jù)實(shí)際情況通過應(yīng)急領(lǐng)導(dǎo)小組考慮是否上報(bào)上級(jí)調(diào)度。應(yīng)及時(shí)向上級(jí)調(diào)度報(bào)告緊急狀態(tài)，考慮是否應(yīng)斷開網(wǎng)路改用外部通信設(shè)施進(jìn)行系統(tǒng)監(jiān)控，防止擴(kuò)大事故范圍從而引起整個(gè)電網(wǎng)的癱瘓。周邊的上網(wǎng)設(shè)備進(jìn)行聯(lián)系，請(qǐng)求同時(shí)做好防范工作，并協(xié)助配合對(duì)本系統(tǒng)進(jìn)行監(jiān)控、協(xié)調(diào)與救援幫助。必要時(shí)及時(shí)報(bào)警（110）作。行系統(tǒng)恢復(fù)，力爭在最短的時(shí)間內(nèi)把故障消除恢復(fù)正常運(yùn)行。內(nèi)提交防范整改措施，做好整改計(jì)劃并立即實(shí)施。組織加大監(jiān)控力度防止二次攻擊，并做好應(yīng)對(duì)二次攻擊的戰(zhàn)略計(jì)劃。及相關(guān)部門。應(yīng)急細(xì)則站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)故障應(yīng)急處理接入交換機(jī)故障運(yùn)行環(huán)境描述及故障現(xiàn)象：接入交換機(jī)主要用于業(yè)務(wù)的接入，接入該交換機(jī)的業(yè)務(wù)網(wǎng)絡(luò)中斷。事故處置信息和告警信息或者聯(lián)系廠家反饋故障現(xiàn)象并提供解決方案。2M運(yùn)行環(huán)境描述及故障現(xiàn)象：當(dāng)調(diào)度路由器出現(xiàn)故障時(shí)表現(xiàn)為廠內(nèi)所有業(yè)務(wù)同時(shí)中斷且調(diào)度數(shù)據(jù)網(wǎng)路由器2M綠燈不顯示，并且上聯(lián)SDH有告警聲。事故處置檢查路由器至SDH2MSDH光纖發(fā)生故障傳輸業(yè)務(wù)網(wǎng)絡(luò)光纖中斷。事故處置應(yīng)先聯(lián)系鎮(zhèn)江供電公司通信部門以確定光纖斷接點(diǎn)位置，然后根用纖芯標(biāo)簽標(biāo)示。加密裝置故障運(yùn)行環(huán)境描述及故障現(xiàn)象加密裝置出現(xiàn)故障時(shí)表現(xiàn)為該條鏈路業(yè)務(wù)中斷。故障處置選擇用網(wǎng)絡(luò)跳線跳過加密裝置或者斷電旁路加密裝置觀察業(yè)務(wù)運(yùn)行障現(xiàn)象并提供解決方案。5.III區(qū)防火墻故障運(yùn)行環(huán)境描述及故障現(xiàn)象III區(qū)防火墻出現(xiàn)故障時(shí)表現(xiàn)為該條鏈路業(yè)務(wù)中斷。故障處置IIIIII若防火墻狀態(tài)燈閃爍正常，則觀察防火墻內(nèi)外網(wǎng)口燈閃爍是否正常，若內(nèi)外網(wǎng)口燈閃爍不正常或者燈熄滅，則需檢查接口網(wǎng)線是否松動(dòng)，可嘗試重新插拔網(wǎng)線，再觀察燈光閃爍情況。若仍不能解決問題，則需聯(lián)系廠家反饋故障現(xiàn)象并提供解決方案。6、電源故障故障現(xiàn)象描述鳴報(bào)警。事故處理信電源故障告警信息，并及時(shí)聯(lián)系維修人員檢查原因、處理故障。行。并啟用備用柴油發(fā)電機(jī)。站內(nèi)機(jī)房故障應(yīng)急處理機(jī)房環(huán)境溫度異常處理故障現(xiàn)象描述:機(jī)房監(jiān)控系統(tǒng)發(fā)出溫度超限值18～26度報(bào)警。事故處置則需立即通知設(shè)備廠家到廠維修。機(jī)房環(huán)境濕度異常處理故障現(xiàn)象描述:巡檢時(shí)發(fā)現(xiàn)濕度儀濕度超限值55%報(bào)警。事故處置增加備用移動(dòng)式除濕機(jī)并通知空調(diào)廠家到廠維修。機(jī)房環(huán)境失火異常處理故障現(xiàn)象描述機(jī)房有濃煙，明火冒出或者聞到燒焦氣味和火災(zāi)報(bào)警開啟。事故處置當(dāng)值人員發(fā)現(xiàn)通信機(jī)房內(nèi)有冒煙現(xiàn)象或聞到燒焦氣味時(shí)，可能是和防止起火點(diǎn)復(fù)燃，不得隨意離開現(xiàn)場和將事故隱瞞不報(bào)119120站內(nèi)主機(jī)故障應(yīng)急處理主機(jī)網(wǎng)絡(luò)故障故障現(xiàn)象描述：主機(jī)ping突然不通網(wǎng)關(guān)或者ping不通遠(yuǎn)端設(shè)備。事故處理IPIP和網(wǎng)關(guān)配置是否丟失（windows服務(wù)器使用cmd命令行輸入ipconfigLinuxifconfig），如果丟失需要重新配IParparp-darparparparp上報(bào)省公司DDOSDDOSping源進(jìn)行查殺。主機(jī)狀態(tài)故障主機(jī)硬件故障故障現(xiàn)象描述提示內(nèi)存空間不足等。故障處理接線，若為硬件故障則需迅速更換相應(yīng)備品備件。3.主機(jī)被非法入侵導(dǎo)致故障1.1.故障描述常操作指令。1.2侵源，或者在windows系統(tǒng)下使用netstat-aLinux系統(tǒng)下使用netstat-a毒查殺。4、后期處置1、后期處置內(nèi)容置、現(xiàn)場恢復(fù)堅(jiān)持安全第一的原則。財(cái)務(wù)部根據(jù)損失情況以及保險(xiǎn)范圍，做好保險(xiǎn)理賠工作。、按“四不放過”原則，對(duì)本次事故進(jìn)行認(rèn)真調(diào)查，找出事故原組織相關(guān)人員進(jìn)行學(xué)習(xí)。2、事故調(diào)查與應(yīng)急評(píng)估2.1、發(fā)生電力監(jiān)控系統(tǒng)系統(tǒng)安全故障事件后，按照國家法律、法規(guī)2.2、電力監(jiān)控系統(tǒng)安全故障事件應(yīng)急處置后，組織或聘請(qǐng)有關(guān)專家3、應(yīng)急工作總結(jié)與評(píng)價(jià)理工作中存在的問題和個(gè)人要給予批評(píng)和處罰。5、預(yù)防措施1、通信與信息講機(jī)、通話機(jī)等，以保證在廠內(nèi)通訊設(shè)備發(fā)生故障時(shí)應(yīng)急。2、保障措施期檢查，發(fā)現(xiàn)隱患及時(shí)處理。估，做到有備無患。到防患于未然。21合演習(xí)。、通過預(yù)案演練總結(jié)所暴露出的問題和不足，按期完成整改。光伏電站信息系統(tǒng)機(jī)房管理標(biāo)準(zhǔn)1、總則5值班制度巡視制度日常管理制度運(yùn)行維護(hù)制度安全保密制度外來人員管理制度2、值班制度機(jī)房在生產(chǎn)發(fā)電期間保持有人值班值班人員要遵守值班守則值班守則判斷能力。務(wù)無關(guān)的任何私事，不得擅自離開崗位。各項(xiàng)規(guī)定，并督促進(jìn)入機(jī)房人員嚴(yán)格遵守。巡視記錄表，發(fā)現(xiàn)問題及時(shí)向相關(guān)管理人員反映。記錄。領(lǐng)導(dǎo)?？呻x崗。必須嚴(yán)格遵守各項(xiàng)相關(guān)管理規(guī)定和消防管理規(guī)定。3、巡視制度網(wǎng)絡(luò)運(yùn)行設(shè)備的巡視CPU防火墻的工作狀況網(wǎng)站的工作狀況網(wǎng)絡(luò)交換機(jī)的工作狀況客戶端的網(wǎng)絡(luò)運(yùn)行速度認(rèn)真做好記錄機(jī)房環(huán)境的巡視機(jī)房門窗的關(guān)閉情況機(jī)房的衛(wèi)生情況機(jī)房的燈光狀況機(jī)房的溫度、溫度及空氣狀況認(rèn)真做好記錄機(jī)房設(shè)備的巡視以保證網(wǎng)絡(luò)安全，正常的運(yùn)行。主配電柜的供電電壓、電流。電源裝置的輸出電壓、電流和負(fù)載功率。電源裝置電池的狀況空調(diào)的工作狀況。消防報(bào)警系統(tǒng)的工作狀況。查看所有機(jī)房設(shè)備的報(bào)警記錄。認(rèn)真做好巡視記錄。4、日常管理制度每日清理機(jī)房的環(huán)境衛(wèi)生。到機(jī)房工作的人員要聽從值班人員管理鞋，并定期清理自己的專用工作服和工作鞋。與工作無關(guān)的事宜。易爆、強(qiáng)磁、腐蝕性物體等危險(xiǎn)物品進(jìn)入機(jī)房。無關(guān)的設(shè)備。機(jī)房內(nèi)不能存放任何食品。嚴(yán)禁在機(jī)房內(nèi)使用其它用電器。嚴(yán)禁在機(jī)房內(nèi)存放雜物。嚴(yán)禁在機(jī)房大聲喧嘩、玩電子游戲、聊天等。INTERNET件。在機(jī)房工作必須按操作規(guī)程正確操作、使用各類設(shè)備。非機(jī)房工作人員不能隨意進(jìn)入機(jī)房。非機(jī)房工作人員進(jìn)入機(jī)房必須登記和服從值班人員管理。防雷：需按國家的規(guī)定對(duì)機(jī)房的設(shè)備進(jìn)行接地，對(duì)進(jìn)出機(jī)施及設(shè)備接地進(jìn)行檢測。防火：需按國家的規(guī)定進(jìn)行消防設(shè)施的安裝。消防報(bào)警及24嚴(yán)格執(zhí)行進(jìn)出機(jī)房不得攜帶其他物品的規(guī)定。防蟲害：經(jīng)常檢查機(jī)房的頂棚上和地板下的封閉情況。不得在機(jī)房內(nèi)存放食品，不得在機(jī)房內(nèi)堆放雜物。5、運(yùn)行維護(hù)制度2否可靠。UPS2UPSUPS對(duì)電池進(jìn)行放電。水更換。及報(bào)警設(shè)備的可靠性、檢查消防設(shè)備的電池、噴頭。靠性、檢查接地狀況。調(diào)整和清潔、地板下、天棚板上進(jìn)行清潔。6、安全保密制度網(wǎng)絡(luò)運(yùn)行安全管理INTERNETINTERNET行升級(jí)。經(jīng)常對(duì)計(jì)算機(jī)病毒進(jìn)行檢測。系統(tǒng)設(shè)備安全管理進(jìn)入機(jī)房不得帶拷貝工具和便攜機(jī)。機(jī)房內(nèi)所有服務(wù)器都應(yīng)設(shè)有帶密碼的屏幕保護(hù)。網(wǎng)管人員操作后應(yīng)將服務(wù)器處于鎖定狀態(tài)。非網(wǎng)管人員不得私自操作任何服務(wù)器。認(rèn)真遵守國家的各項(xiàng)保密制度收、發(fā)要登記，定期集中銷毀廢棄的涉密紙物。必須同時(shí)在場陪同。嚴(yán)禁與機(jī)房工作無關(guān)的人員進(jìn)入機(jī)房非機(jī)房工作人員在機(jī)房工作時(shí)必須有機(jī)房值班人員陪同機(jī)房內(nèi)各類服務(wù)器應(yīng)由專人分類管理建立設(shè)備、資料責(zé)任制7、外來人員管理制度做如下規(guī)定：1、外來人員必須登記，登記外來人員登記表。2、外來人員禁止進(jìn)入生產(chǎn)場所。3、牽扯外來人員施工，需辦理工作票，進(jìn)行安全培訓(xùn)后方可進(jìn)行工作。8、附則8.1本管理辦法自發(fā)布之日起執(zhí)行光伏電站教育培訓(xùn)管理制度求：安全的警惕性和自覺性。二、對(duì)局域網(wǎng)用戶進(jìn)行安全教育和培訓(xùn)，使用戶自覺遵守和維護(hù)的網(wǎng)絡(luò)安全知識(shí)。容。四、不定期地邀請(qǐng)公安機(jī)關(guān)有關(guān)人員進(jìn)行信息安全方面的培訓(xùn)，五、遇到安全問題時(shí)，及時(shí)匯報(bào)上級(jí)領(lǐng)導(dǎo)，采取措施及時(shí)解決。光伏電站外來人員管理制度做如下規(guī)定：1、外來人員必須登記，登記外來人員登記表。2、外來人員禁止進(jìn)入生產(chǎn)場所。3、牽扯外來人員施工，需辦理工作票，進(jìn)行安全培訓(xùn)后方可進(jìn)行工作。光伏電站計(jì)算機(jī)系統(tǒng)管理制度總則為保證電廠生產(chǎn)辦公用計(jì)算機(jī)設(shè)備本身和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行，以及相關(guān)工作的正常開展,保證存儲(chǔ)在計(jì)算機(jī)中的信息和數(shù)據(jù)不被破壞,防止操作系統(tǒng)程序及應(yīng)用軟件系統(tǒng)不被非法更改或破壞,特制定本辦法,加強(qiáng)計(jì)算機(jī)系統(tǒng)管理。監(jiān)控系統(tǒng)計(jì)算機(jī)的管理電廠監(jiān)控系統(tǒng)計(jì)算機(jī)《運(yùn)規(guī)》、《調(diào)規(guī)》及相關(guān)規(guī)定和要求進(jìn)行操作。監(jiān)控系統(tǒng)計(jì)算機(jī)工程師站及辦公用計(jì)算機(jī)的管理：工程師站計(jì)算機(jī)的插入和操作，嚴(yán)禁進(jìn)行與工作無關(guān)的任何操作。辦公用計(jì)算機(jī)計(jì)算機(jī)數(shù)據(jù)管理：寫合格，打印后交由場領(lǐng)導(dǎo)審核批準(zhǔn)后，方可上報(bào)電網(wǎng)公司。附則本管理辦法自發(fā)布之日起執(zhí)行電力監(jiān)控系統(tǒng)安全評(píng)估制度總則XX未然，特制定電力監(jiān)控系統(tǒng)安全評(píng)估制度。安全評(píng)估制度監(jiān)控系統(tǒng)在投運(yùn)前、升級(jí)改造之后必須進(jìn)行安全評(píng)估。力監(jiān)控系統(tǒng)安全評(píng)估的相關(guān)規(guī)定，進(jìn)行定期安全評(píng)估。結(jié)果應(yīng)及時(shí)向上級(jí)主管部門匯報(bào)、備案。何形式攜帶出公司，并按國家有關(guān)要求做好保密工作。影響電力監(jiān)控系統(tǒng)的安全穩(wěn)定運(yùn)行。系統(tǒng)的相關(guān)管理規(guī)定。附則本管理辦法自發(fā)布之日起執(zhí)行。光伏電站主機(jī)加固安全管理制度總則（包括數(shù)據(jù)和進(jìn)程）權(quán)限管理人員賦予相應(yīng)的訪問權(quán)限和操作權(quán)限。訪問控制管理操作人員登錄進(jìn)入關(guān)鍵的業(yè)務(wù)系統(tǒng)以及對(duì)關(guān)鍵的控制操作應(yīng)該進(jìn)行賬號(hào)身份認(rèn)證及操作權(quán)限控制。USBu服務(wù)器密碼及口令管理負(fù)責(zé)人和系統(tǒng)管理員商議確定，必須兩人同時(shí)在場設(shè)定。時(shí)由系統(tǒng)管理員記錄封存。密碼及口令要定期更換（視網(wǎng)絡(luò)具體情況要銷毀原記錄，裝飾新密碼或口令記錄封存人，經(jīng)生產(chǎn)副總指示后再更換密碼和口令。用戶密碼及口令管理（簽字或電話通知），管理員核實(shí)后，履行審批手續(xù)，并用戶檔案做更新記載。更換密碼及口令，并設(shè)專人負(fù)責(zé)保密和維護(hù)工作。密碼及口令設(shè)定要求88符組合作為自己的密碼。設(shè)備及子系統(tǒng)的維護(hù)管理關(guān)閉遠(yuǎn)程登陸端口，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)等。充分準(zhǔn)備各個(gè)設(shè)備及子系統(tǒng)的維護(hù)資料及維護(hù)工具。備份，并經(jīng)常進(jìn)行預(yù)演。對(duì)軟件進(jìn)行加固。一旦出現(xiàn)安全故障應(yīng)該及時(shí)報(bào)告、保護(hù)現(xiàn)場、恢復(fù)系統(tǒng)。光伏電站主機(jī)加固技術(shù)方案Windows服務(wù)器1、停止或刪除不需要的服務(wù)：C:>services.msc用不必要的服務(wù)。（如：snmpmessageDHCPClient務(wù)、DNSClient2、刪除默認(rèn)網(wǎng)絡(luò)共手工刪除默認(rèn)共創(chuàng)建autosharedel.bat文件，鍵入如下內(nèi)容netsharec$/delnetshared$/delnetsharee$/del? netshareipc$/delnetshareadmin$/del創(chuàng)建此文件的快捷方式，將其拖放到開始->程序->啟動(dòng)欄中這樣每次重啟系統(tǒng)后系統(tǒng)會(huì)動(dòng)刪除默認(rèn)共享。3Administrator：WindowsAdministrator帳號(hào)是不能被停用的，攻擊者可以利用這一點(diǎn)對(duì)Administrator4、配置系統(tǒng)審核策略：在控制面板－管理工具－本地安全策略-本地策略中指定需要的審核策略。5guest必要的系統(tǒng)帳號(hào)。如主機(jī)不需開放IISwww服務(wù)，可刪除或禁用IUSR_yourputername、IWAM_yourputername6、設(shè)置較強(qiáng)的密碼策略：建議進(jìn)行下列更改，啟用“密碼必須符合86002Linux1、為不同的管理員分配不同的賬號(hào)：為用戶創(chuàng)建賬號(hào)：#useraddusername#創(chuàng)建賬號(hào)#passwdusername#設(shè)置密碼修改權(quán)限：#chmod750directory#755戶分配不同的賬號(hào)，設(shè)置不同的口令及權(quán)限信息等。2shell#userdellp#groupdellp如果下面這些系統(tǒng)默認(rèn)帳號(hào)不需要的話，建議刪除。lp,sync,shutdown,halt,news,uucp,operator,games,gophershelluucp,ftpnewsFTP/bin/bash/bin/shShell/etc/passwdshell/bin/false/dev/nullusernameshell為/dev/null。3、限制超級(jí)管理員遠(yuǎn)程登錄：SSH:#vi/etc/ssh/sshd_config把PermitRootLoginyes改為PermitRootLoginnosshd在/etc/securetty文件中配置：CONSOLE=/dev/tty014、對(duì)系統(tǒng)賬號(hào)進(jìn)行登錄限制：Vi/etc/passwd例如修改lynn:x:500:500::/home/lynn:/sbin/bash更改為：lynn:x:500:500::/home/lynn:/sbin/nologin該用戶就無法登錄了。5、為空口令用戶設(shè)置密碼：awk-F:'($2==""){print$1}'/etc/passwdrootLinuxpasswd加口令。例如：passwdtesttest。6httpd.conf內(nèi)容、記錄格式。LogLevelnoticeErrorLoglogs/error_logLogFormat"%h%l%u%t\"%r\"%>s%b\"%{Accept}i\"\"%{Referer}i\"\"%{User-Agent}i\""binedCustomLoglogs/access_logbinedErrorLogSyslog，ErrorLogsyslogCustomLogLogFormatLogLevelnotice。7ApacheServeraccess.confOptionsIncludesNOEXECApacheServerApache的執(zhí)行程序，而造成服務(wù)器系統(tǒng)的公開化。access.confhttpd.conf修改：OptionsIncludesNoexec8、拒絕服務(wù)防范：(1)httpd.confTimeout10KeepAliveOnKeepAliveTimeout15AcceptFilterSSHdata9HTML#rm-rf/usr/local/apache2/htdocs/*刪除缺省的CGI腳本：#rm–rf/usr/local/apache2/cgi-bin/*刪除Apache說明文件：#rm–rf/usr/local/apache2/manual刪除源代碼文件：#rm-rf/path/to/httpd-2.2.4*同。MysqlrootMySQLroot8MySQLmysaladminrootmysqluser修改方法如下所示：#/usr/local/mysql/bin/mysqladmin-urootpassword“upassword”//使用mysqladmin#mysql>usemysql;r=’root’;#mysql>flushprivileges;//強(qiáng)制刷新內(nèi)存授權(quán)表，否則用的還是在內(nèi)存緩沖的口令刪除默認(rèn)數(shù)據(jù)庫和數(shù)據(jù)庫用戶一般情況下，MySQLphpmysqlMySQLtestroot#mysql>dropdatabasetest;//刪除數(shù)據(jù)庫test#usemysql;#deletefromdb;//#mysql>deletefromuserwherenot(user=root);//root的用戶#mysql>deletefromuserwhereuser=’root’andpassword=”;//刪除root，盡量重復(fù)操作QueryOK,2rowsaffected(0.00sec)#mysql>flushprivileges;//強(qiáng)制刷新內(nèi)存授權(quán)表。3.改變默認(rèn)mysql管理員帳號(hào)關(guān)于密碼的管理MD5()SHA1()mysqlpassword（）sqlusersmsyqlrootMySQL因?yàn)槿魏尉哂蠪ILE權(quán)限的用戶能夠用root創(chuàng)建文件(例如，~root/.bashrc)mysqldroot–user=rootmysqldlinuxmysqlMySQL。Unixusermy.f[mysqld]組的用戶名。#vi/etc/my.f[mysqld]user=mysql該命令使服務(wù)器用指定的用戶來啟動(dòng)，無論你手動(dòng)啟動(dòng)或通過mysqld_safemysql.servermysqluserlinuxrootmysqlduserrootMySQLlinuxmysqldlinux禁止遠(yuǎn)程連接數(shù)據(jù)庫netstat-ant3306mysqld庫，默認(rèn)情況是允許遠(yuǎn)程連接數(shù)據(jù)的。為了禁止該功能，啟動(dòng)sqlTCP/IP的權(quán)利，保證安全性。假如需要遠(yuǎn)程管理數(shù)據(jù)庫，可通過安裝PhpMyadminmysql聽端口的數(shù)據(jù)通過。#vi/etc/my.cf將#skip-networking停止數(shù)據(jù)庫#/usr/local/mysql/bin/mysqld_safe–user=mysql&//后臺(tái)用mysql用戶啟動(dòng)mysql限制連接用戶的數(shù)量my.fmysqldmax_user_connectionsGRANT戶允許的使用范圍。#vi/etc/my.f[mysqld]max_user_connections28.用戶目錄權(quán)限限制mysql/usr/local/mysql，而對(duì)應(yīng)的數(shù)據(jù)庫文件在/usr/local/mysql/var問。確保mysqld運(yùn)行時(shí)，只使用對(duì)數(shù)據(jù)庫目錄具有讀或?qū)憴?quán)限的linux用戶來運(yùn)行。#chown-Rroot/usr/local/mysql///mysql主目錄給root#chown-Rmysql.mysql/usr/local/mysql/var//確保數(shù)據(jù)庫目錄權(quán)限所屬mysql用戶9.命令歷史記錄保護(hù)shell.bash_history，如果而登陸數(shù)據(jù)庫后的操作將記錄在.mysql_history作時(shí)，應(yīng)該使用-p#rm.bash_history.mysql_history//刪除歷史記錄#ln-s/dev/null.bash_history//shellmysql10.MySQLmysqlloaddatalocalinfile5.0MySQL“LOADDATALOCALINFILE”命令。網(wǎng)絡(luò)上流傳的一些攻擊方法中就有LOADDATALOCALINFILELOADDATALOCALINFILE/etc/passwd”進(jìn)一個(gè)數(shù)據(jù)庫表，然后SELECTmy.flocal-infile=0local-infile=0mysql。#/usr/local/mysql/bin/mysqld_safe–user=mysql–local-infile=0&#mysql>loaddatalocalinfile’ intotableusersfieldsterminatedby‘,’;#ERROR1148(42000):TheusedmandisnotallowedwiththisMySQLversion–local-infile=0mysqld關(guān)閉。MySQLMySQLSELECTINSERTUPDATEDELETE（user）。它的附加的功能包括有匿名的用戶并對(duì)MySQLLOADDATAINFILEuser，db，hostuseruseruser定的數(shù)據(jù)庫、表或列授權(quán)，F(xiàn)ILELOADDATAINFILESELECT…INTOOUTFILE語句讀和寫服務(wù)器上的文件任何被授予FILE權(quán)限的用戶都能讀或?qū)慚ySQL服務(wù)器能讀或?qū)懙娜魏挝募?說明用戶可以讀任何數(shù)據(jù)庫目錄下的文件因?yàn)榉?wù)器可以訪問這些文件）FILE權(quán)限允許用戶在MySQL服務(wù)器具有寫權(quán)限的目錄下創(chuàng)建新文件，但不能覆蓋已有文件在user表的File_priv設(shè)置Y或N。，所以當(dāng)你不需要對(duì)服務(wù)器文件讀取時(shí)，請(qǐng)關(guān)閉該權(quán)限。#mysql>loaddatainfile’ sqlfile.txt’intotableloadfile.usersfieldsterminatedby‘,’;QueryOK,4rowsaffected(0.00sec)//讀取本地信息sqlfile.txt’Records:4Deleted:0Skipped:0Warnings:0#mysql>updateusersetFile_priv=’N’whereuser=’root’;//禁止讀取權(quán)限QueryOK,1rowaffected(0.00sec)Rowsmatched:1Changed:1Warnings:0mysql>flushprivileges;//刷新授權(quán)表QueryOK,0rowsaffected(0.00sec)#mysql>loaddatainfile’ intotableusersfieldsterminatedby‘,’;//重登陸讀取文件#ERROR1045(28000):Accessdeniedforuser‘root’(usingpassword:YES)//失敗#mysql>select*fromloadfile.usersintooutfile‘ fieldsterminatedby‘,’;ERROR1045(28000):Accessdeniedforuser‘root’(usingpassword:YES)SHOWGRANTSREVOKEchrootMySQLChrootlinux程序的時(shí)候。WebWebMySQLPHPWebPHPMySQLphpwebWebMySQLMySQLwebWebMySQLweb至少檢查以下清單：WebMySQL試試修改動(dòng)態(tài)URL，可以在其中添加%22(‘”’)、%23(‘#’)和%27(‘’’)。URL擊。MySQLMySQLMySQL任何不需要的訪問權(quán)限。數(shù)據(jù)庫備份策略使用mysqldump進(jìn)行備份非常簡單，如果要備份數(shù)據(jù)庫”nagios_db_backup”，使用命令，同時(shí)使用管道gzipRsynccrontab#!/bin/shtime=`date+”(“%F”)”%R`$/usr/local/mysql/bin/mysqldump-unagios-pnagiosnagios|gzip>/home/sszheng/nfs58/nagiosbackup/nagios_backup.$time.gz#crontab-l#mhdommondowmand0000***/home/sszheng/shnagios/backup.sh恢復(fù)數(shù)據(jù)使用命令：gzip-dnagios_backup.\(2008-01-24\)00\:00.gznagios_backup.(2008-01-24)00:00#mysql–uroot-pnagios</home/sszheng/nfs58/nagiosbackup/nagios_backup.\(2008-01-24\)12\:00Mysqld–local-infile[={0|1}]–local-infile=0LOCALinLOADDATA語句。–old-passwords強(qiáng)制服務(wù)器為新密碼生成短(pre-4.1)密碼哈希。當(dāng)服務(wù)器必須支持舊版本客戶端程序時(shí)，為了保證兼容性這很有用。(OBSOLETE)–safe-show-databaseMySQLSHOWDATABASESMySQL5.1SHOWDATABASES據(jù)庫名的訪問。–safe-user-create如果啟用，用戶不能用GRANT語句創(chuàng)建新用戶，除非用戶有mysql.user表的INSERT權(quán)限如果你想讓用戶具有授權(quán)權(quán)限來創(chuàng)新用戶，你應(yīng)給用戶授予下面的權(quán)限：mysql>GRANTINSERT(user)ONmysql.userTO‘ @'host_name’;GRANT授予該權(quán)限。–secure-auth不允許鑒定有舊(pre-4.1)16.information_schema$cfg['servers'][$i]['hide_db']=‘information_schema’;PHPIDSmemechae代理knock1.php?id=11.php/?id=1Oracle1.為不同的管理員分配不同的賬號(hào)createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;role，rolerole2.刪除或鎖定無效賬號(hào)select*fromall_users;select*fromdba_users;限制超級(jí)管理員遠(yuǎn)程登錄Oracle以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。使用showparameterREMOTE_LOGIN_PASSWORDFILENONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE檢查在$ORACLE_HOME/network/admin/sqlnet.ora文 件 中 參 數(shù)SQLNET.AUTHENTICATION_SERVICES是否被設(shè)置成NONE。使用數(shù)據(jù)庫角色（ROLE）一．創(chuàng)建角色,修改角色創(chuàng)建角色，不指定密碼：createroletestrole；創(chuàng)建角色，指定密碼：createroletestroleidentifiedbypasswd;修改角色：alterroletestroleidentifiedbypasswd;給角色授予權(quán)限。GrantselectonTable_nametotestrole;把角色賦予用戶：（特別說明，授予角色不是實(shí)時(shí)的。如下：）granttestroletoUser_Name;二、起用角色：給用戶賦予角色，角色并不會(huì)立即起作用。setroletestroleidentifiedbypasswd立即生效；無密碼的角色：setroletestrole；對(duì)用戶的屬性進(jìn)行控制，包括密碼策略、資源限制可通過下面類似命令來創(chuàng)建profile，并把它賦予一個(gè)用戶SQL>showparameterresource_limitSQL>altersystemsetresource_limit=true;CREATEPROFILEprofile_nameLIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERuser_namePROFILEprofile_name;6.缺省密碼長度復(fù)雜度限制642PASSWORD_VERIFY_FUNCTION度示例:SQL>CREATEORREPLACEFUNCTIONmy_password_verify(usernameVARCHAR2,passwordVARCHAR2,old_passwordVARCHAR2)RETURNBOOLEANIS2BEGIN3IFLENGTH(password)<6THEN4raise_application_error(-20001,''Passwordmustbeatleast6characterslong'');5ENDIF;6RETURN(TRUE);7END;SQL>createprofileTEST_PROFILElimit2password_verify_functionMY_PASSWORD_VERIFY;7.對(duì)密碼重復(fù)使用的限制為用戶建profile,指定PASSWORD_REUSE_MAX為５當(dāng)前使用的密碼，必需在密碼修改５次后才能再次被使用密碼重試限制profile，F(xiàn)AILED_LOGIN_ATTEMPTS如果連續(xù)６次連接該用戶不成功，用戶將被鎖定修改默認(rèn)密碼可通過下面命令來更改默認(rèn)用戶的密碼：ALTERUSERuser_nameIDENTIFIEDBYpasswd;下面是默認(rèn)用戶密碼列表：CTXSYSCTXSYSDBSNMPDBSNMPLBACSYSLBACSYSMDDATAMDDATAMDSYSMDSYSDMSYSDMSYSOLAPSYSMANAGERORDPLUGINSORDPLUGINSORDSYSORDSYSOUTLNOUTLNSI_INFORMTN_SCHEMASI_INFORMTN_SCHEMASYSCHANGE_ON_INSTALLSYSMANCHANGE_ON_INSTALLSYSTEMMANAGER啟用日志記錄功能createtablelogin_log--(session_idintnotnull,--sessionidlogin_on_timedate,--登入時(shí)間login_off_timedate,--登出時(shí)間user_in_dbvarchar2(30),--登入的dbusermachinevarchar2(20),--機(jī)器名ip_addressvarchar2(20),--ip地址run_programvarchar2(20)--以何程序登入);createorreplacetriggerlogin_on_info--記錄登入信息的觸發(fā)器afterlogonondatabaseBegininsertintologin_log(session_id,login_on_time,login_off_time,user_in_db,machine,ip_address,run_program)selectAUDSID,sysdate,null,sys.login_user,machine,SYS_CONTEXT('USERENV','IP_ADDRESS'),programfromv$sessionwhereAUDSID=USERENV('SESSIONID');--END;createorreplacetriggerlogin_off_info--記錄登出信息的觸發(fā)器beforelogoffondatabaseBeginupdatelogin_logsetlogin_off_time=sysdatewheresession_id=USERENV('SESSIONID');--當(dāng)前SESSIONexceptionwhenothersthennull;END;記錄用戶對(duì)設(shè)備的操作createtableemployees_log(whovarchar2(30),actionvarchar2(20));whendate);createorreplacetriggerbiud_employ_copybeforeinsertorupdateordeleteonemployees_copydeclarel_actionemployees_log.action%type;beginifinsertingthenl_action:='insert';elsifupdatingthenl_action:='delete';elsifdeletingthenl_action:='update';elseraise_application_error(-2001,'youshouleneverevergetthiserror.');endif;insertintoemployees_log(who,action,when)values(user,l_action,sysdate);endbiud_employ_copy;12.記錄系統(tǒng)安全事件createtablejax_event_table(eventnamevarchar2(30),timedate);createtriggertr_startupafterstartupondatabasebegininsertintojax_event_tablevalues(ora_sysevent,sysdate);end;createtriggertr_s