1總則

　　1.1編制目的

　　為了提高墨子灣電站對(duì)電力二次系統(tǒng)安全防護(hù)現(xiàn)場(chǎng)處置方案（計(jì)算機(jī)監(jiān)控系統(tǒng)部分）的應(yīng)急響應(yīng)和處理能力，建立快速、有效的搶險(xiǎn)、救援機(jī)制，最大限度地減輕電力二次系統(tǒng)安全防護(hù)不嚴(yán)造成的損失，保障現(xiàn)場(chǎng)人員的人身和財(cái)產(chǎn)安全，根據(jù)本站實(shí)際情況制定本處置方案。

　　1.2編制依據(jù)

　　依據(jù)《中華人民共和國(guó)安全生產(chǎn)法》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、國(guó)家電力監(jiān)管委員會(huì)第5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》、電監(jiān)會(huì)《電力突發(fā)事件應(yīng)急演練導(dǎo)則（試行）》、《電力企業(yè)現(xiàn)場(chǎng)應(yīng)急方案編制導(dǎo)則（試行）》、《中水遵義分公司突發(fā)事件總體應(yīng)急預(yù)案》制定本處置方案。

　　1.3適用范圍

　　本處置方案適用于中水遵義分公司墨子灣電站電力二次安全防護(hù)系統(tǒng)（計(jì)算機(jī)監(jiān)控系統(tǒng)部分）遭受黑客、惡意代碼等攻擊時(shí)。

　　2單位概況

　　2.1應(yīng)急資源概況

　　應(yīng)急力量由現(xiàn)場(chǎng)運(yùn)行值班人員、當(dāng)值值長(zhǎng)、自動(dòng)班人員等組成。現(xiàn)場(chǎng)運(yùn)行人員主要負(fù)責(zé)巡視檢查設(shè)備、在值長(zhǎng)的指令下進(jìn)行故障的隔離、檢查及監(jiān)視故障情況和影響范圍，同時(shí)應(yīng)做好現(xiàn)場(chǎng)匯報(bào)聯(lián)系工作。自動(dòng)班人員主要負(fù)責(zé)現(xiàn)場(chǎng)故障的檢查及處理。

　　2.2危險(xiǎn)分析

　　電力二次系統(tǒng)安全防護(hù)主要的風(fēng)險(xiǎn)如下：

|<123>>

　　2.2.1與集控中心EMS系統(tǒng)連接的縱向加密認(rèn)證裝置失效，惡意代碼或黑客通過(guò)集控通訊站攻擊計(jì)算機(jī)監(jiān)控系統(tǒng)；

　　2.2.2惡意代碼或黑客通過(guò)與省調(diào)相連的鏈路攻擊我廠(chǎng)計(jì)算機(jī)監(jiān)控系統(tǒng)；

　　2.2.3與狀態(tài)檢測(cè)系統(tǒng)數(shù)據(jù)服務(wù)器連接的硬件防火墻失效，惡意代碼或黑客通過(guò)硬件防火墻攻擊計(jì)算機(jī)監(jiān)控系統(tǒng);

　　2.2.4ON-call系統(tǒng)服務(wù)器通過(guò)單向串口向計(jì)算機(jī)監(jiān)控系統(tǒng)傳輸惡意代碼或黑客攻擊;

　　3應(yīng)急保障

　　3.1機(jī)構(gòu)與職責(zé)

　　墨子灣電站電力二次系統(tǒng)安全防護(hù)（計(jì)算機(jī)監(jiān)控系統(tǒng)部分）處置組織機(jī)構(gòu)應(yīng)包括以下部門(mén)：后勤人員、運(yùn)行值班人員等。

　　3.1.1運(yùn)行班組的應(yīng)急職責(zé)

　　3.1.1.1負(fù)責(zé)發(fā)生計(jì)算機(jī)監(jiān)控系統(tǒng)遭受攻擊時(shí)的應(yīng)急操作。

　　3.1.1.2當(dāng)值值長(zhǎng)負(fù)責(zé)在計(jì)算機(jī)監(jiān)控系統(tǒng)遭受攻擊時(shí)向發(fā)電部、生產(chǎn)部、安監(jiān)部匯報(bào)有關(guān)情況，并通知相關(guān)專(zhuān)業(yè)班組。

　　3.1.1.3當(dāng)班值長(zhǎng)負(fù)責(zé)指揮運(yùn)行人員進(jìn)行遭受設(shè)備的隔離操作。

　　3.1.1.4當(dāng)值值長(zhǎng)負(fù)責(zé)應(yīng)急結(jié)束后向發(fā)電部匯報(bào)并安排指揮恢復(fù)設(shè)備運(yùn)行情況。

　　3.1.2后勤人員的應(yīng)急職責(zé)

　　3.1.2.1負(fù)責(zé)督促自動(dòng)班做好計(jì)算機(jī)監(jiān)控系統(tǒng)遭受惡意代碼或黑客攻擊所需的應(yīng)急物資儲(chǔ)備。

　　3.1.2.2負(fù)責(zé)組織自動(dòng)班做好計(jì)算機(jī)監(jiān)控系統(tǒng)遭受惡意代碼或黑客攻擊應(yīng)急預(yù)案的演練。

　　3.1.2.4負(fù)責(zé)組織自動(dòng)班做好計(jì)算機(jī)監(jiān)控系統(tǒng)遭受惡意代碼或黑客攻擊事故發(fā)生原因的調(diào)查、分析。

3>>

　　3.2物資與裝備

　　班組應(yīng)該保證具有足夠的備品備件。

　　4應(yīng)急處置

　　4.1當(dāng)電力生產(chǎn)安全I(xiàn)區(qū)出現(xiàn)安全事件。遭受惡意代碼的攻擊時(shí)，由發(fā)電部當(dāng)值值長(zhǎng)立即向上級(jí)電力調(diào)度機(jī)構(gòu)報(bào)告，并將相關(guān)的工作站進(jìn)行離線(xiàn)操作；自動(dòng)班人員立即查看各工作站進(jìn)程，終止異常進(jìn)程；若異常進(jìn)程不能清除，則斷開(kāi)該工作站與監(jiān)控系統(tǒng)的網(wǎng)絡(luò)連接。單獨(dú)進(jìn)行病毒的查殺。若上位機(jī)各工作站都遭受攻擊，則采用現(xiàn)地控制方式，防止事件擴(kuò)大。

　　4.2當(dāng)部署在安全區(qū)Ⅰ、Ⅱ之間的防火墻及其隔離設(shè)備不起作用時(shí)，自動(dòng)班人員監(jiān)視數(shù)據(jù)的傳輸情況，觀察數(shù)據(jù)的流向，保證文件的機(jī)密性和完整性，并審查訪(fǎng)問(wèn)控制規(guī)則是否有效，比較近期運(yùn)行日志，監(jiān)視系統(tǒng)內(nèi)任何產(chǎn)生的行為進(jìn)行審計(jì)。

　　4.3當(dāng)發(fā)現(xiàn)計(jì)算機(jī)監(jiān)控系統(tǒng)上有遠(yuǎn)程登錄訪(fǎng)問(wèn)時(shí)，對(duì)遠(yuǎn)程用戶(hù)的身份與權(quán)限進(jìn)行認(rèn)證，并對(duì)其操作行為進(jìn)行安全審計(jì)。

　　4.4當(dāng)與調(diào)度通訊的鏈路遭受攻擊后，自動(dòng)班人員注意監(jiān)視調(diào)度的下行數(shù)據(jù)，保證下行數(shù)據(jù)文件的機(jī)密性和完整性，若調(diào)度下發(fā)的指令有錯(cuò)誤，則匯報(bào)省調(diào)后將AGC系統(tǒng)控制權(quán)切換到廠(chǎng)站級(jí)。

　　5注意事項(xiàng)

　　5.1在處理異常情況時(shí)注意做好異常報(bào)文的收集和保存，為分析事件原因提供材料。

3