5. 网络安全隐患排查清单.docx
附件5
网络安全隐患排查清单
序号
隐患性质
隐患分类
专业子类
隐患内容
判定依据
查证方法
1
设备类
网络
电力监控系统
电力监控系统横向边界未部署专用隔离设备;未按照最小化原则,采取白名单方式对横向单向安全隔离装置的策略进行合理配置
《电力监控系统安全防护总体方案》2.3
查阅网络拓扑图,检查生产控制大区与管理信息大区之间是否部署电力专用横向单向隔离装置,检查生产控制大区内部Ⅰ、Ⅱ区之间是否部署防火墙
2
设备类
网络
电力监控系统
调度数据网纵向边界未部署电力专用纵向加密认证装置;未按照最小化原则,采取白名单方式对纵向加密认证装置的策略进行合理配置
《电力监控系统安全防护总体方案》2.4
检查调度数据网纵向边界是否部署电力专用纵向加密认证装置或加密卡
3
设备类
网络
电力监控系统
电力监控系统未部署入侵检测装置;入侵检测装置规则库未定期离线更新
《电力监控系统安全防护总体方案》3.5
检查入侵检测配置、设备版本情况、网络拓扑
4
设备类
网络
电力监控系统
电力监控系统中存在未修复的高危漏洞
《国家电网有限公司电力监控系统网络安全运行管理规定》第三十五条
使用专用渗透测试装备,检测漏洞存在情况
5
管理类
网络
电力监控系统
自2018年以来,首台机组投运后或者电力监控系统改造后电站未按照要求向调度机构或上级主管单位提交《电力监控系统安全防护方案》及方案实施后的现场验收。
《电力监控系统安全防护总体方案》
检查《电力监控系统安全防护方案》提交审核及现场验收情况的报告
6
管理类
网络
电力监控系统
未建立电力监控系统网路安全防护台帐,未明确各设备负责人、运维职责等。
检查电力监控系统网路安全防护台帐及设备分工职责及责任人
7
设备类
网络
电力监控系统
电站生产控制区内设备包括安全防护设备,存在弱口令或者默认账号、默认密码。
抽查设备检查账号及密码
8
管理类
网络
电力监控系统
未建立针对外来人员进入机房工作的管理手册,或未按照手册履行相关程序
抽查外来人员进入机房工作记录单。
9
设备类
网络
网络信息
管理信息大区网络边界未部署安全防护设备并定期进行特征库升级
《国家电网有限公司十八项电网重大反事故措施》16.5.3.6、16.5.2.7
查阅网络拓扑图,并进行现场核查
10
管理类
网络
电力监控系统、网络信息
未按要求开展网络安全等级保护备案和测评
《中华人民共和国网络安全法》第二十一条
《国家电网有限公司十八项电网重大反事故措施》16.5.3.1
查阅等级保护测评备案资料
11
设备类
网络
电力监控系统
电力监控系统存在监视不足和监视盲区
部分旧型号设备、嵌入式设备不支持接入网络安全监测装置,存在无法及时发现网络安全异常隐患
《电力监控系统安全防护总体方案》3.13
检查网络安全管理平台冗余配置情况,对照设备清单检查资产接入情况
12
管理类
网络
电力监控系统
电站电力监控系统网络拓扑图未及时更新,设备改造或更换后未及时更新拓扑图。
检查电力监控系统网络拓扑图及设备台帐
13
设备类
网络
电力监控系统
接入电力监控系统的移动设备如调试笔记本终端U盘等未按要求分别由专人保管
《电力监控系统安全防护总体方案》
现场检查移动接入设备的使用记录。
14
设备类
网络
电力监控系统
1.电站电力监控系统未部署统一管理的恶意代码监测系统
2.恶意代码监测系统存在客户端漏装、特征库未升级、客户端软件故障等情况,可能造成监测盲点
《电力监控系统安全防护总体方案》3.3
现场核查和系统核查
15
设备类
网络
电力监控系统
1.电站站控层交换机使用工业交换机,无法进行安全加固,不支持接入网络安全监测装置
2.延伸网络使用简易交换机或HUB,无法进行安全加固,不支持接入网络安全监测装置
《国家电网有限公司十八项电网重大反事故措施》16.2.2.4
现场核查
16
管理类
网络
电力监控系统
调度III区业务未转入安全II区或者互联网大区
资料查阅和现场核查
17
设备类
网络
网络信息
采购未经具备资格的机构安全认证合格或者安全检测符合要求的网络关键设备和网络安全专用产品
《国家电网有限公司十八项电网重大反事故措施》16.5.2.6、16.5.2.9
资料查阅和现场核查
18
设备类
网络
网络信息
一、二类信息系统设计未充分考虑网络、主机、数据库、存储等环节的冗余或集群设计,不满足“N-1”冗余要求.
《国家电网有限公司十八项电网重大反事故措施》16.4.1.8
资料查阅、现场核查和系统核查
19
设备类
网络
网络信息
1.网络边界未部署防火墙等边界设备
2.防火墙没有采用“最小化”和“白名单”策略进行配置
《国家电网公司通信安全管理办法》第二十条
现场核查
20
设备类
网络
电力通信
1.通信电源不具备两