还剩13页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
桐柏豫能凤凰风电有限公司纳川风电场网络安全风险评估及维护服务项技术规范书二O二二年九月招标方网络的行为,否则招标方有权追究投标方的责任
(2)标准性原则评估方案的设计与实施应依据国家信息安全风险评估的标准进行
(3)规范性原则工作过程和相关文档应具有很好的规范性,可以便于项目的跟踪和控制
(4)可控性原则评估服务的进度要跟上进度表的安排,保证招标方对于评估工作的可控性
(5)整体性原则评估的范围和内容应当整体全面,包括国家信息安全风险评估相关要求涉及的各个层面
(6)最小影响原则评估工作应尽可能小的影响系统和网络的正常运行,不能对现有网络的运行和业务的正常产生显著影响项目范围针对全厂电力监控系统及相关业务系统所涉及的所有软硬件资产及相关管理文档包括但不限于以下,物理安全,网络安全,操作系统安全,数据库安全,通用服务安全,应用系统安全,安全措施,数据恢复及备份,信息安全评估管理,信息安全的宣传及监督等工作质量要求为保证本次评估服务的质量,投标方要依据以下标准开展工作
(1)根据标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时保质,与招标方签署保密协议
(2)指派工作经验丰富、技术实力雄厚的项目经理,结合技术领先、结论可靠的评估工具为招标方做全面的电力监控系统安全风险评估承诺评估过程按照国家标准进行,并保证对客户的资料严格保密
(3)在指定的地点进行评估工作,按照国家标准制定的报告模板规范进行电力监控系统安全风险评估报告的编写,在评估期间和评估结束后,对评估中的重要资料和结果做好严格保密
(4)在关键评估内容实施前(如扫描或工具测试),和招标方充分沟通和协商,并制定详细的实施方案,确保在项目实施过程中不对招标方的监控系统造成影响提供电力监控系统风险评估报告印刷装订版各3份,并提供扫描电子版本1份,其中应包含拓扑图、安全风险整改建议、后续安全风险处置方式、扫描工作摘要等,出具正式的评估报告并通过河南省调的审核
四、风险评估后安全整改根据安全评估结果出具风险处理计划,结合资产面临威胁和存在脆弱性合理统计归纳,出具安全解决方案整改建议报告,并结合安全整改报告进行需求分析制定安全整改实施计划,并负责配合实施整改,提高电力监控系统安全防护能力
五、电力监控系统安全防护方案编制投标方须根据《电力监控系统网络安全运行管理规定》要求及现场设备环境编制符合省地调要求的电力监控系统安全防护方案,其具体要求如下业务系统设备根据现场实际设备安装情况,分安全I、H、III区,列出各业务系统的具体设备信息,所列设备应与拓扑图一致网络设备根据现场实际设备安装情况,详细介绍路由器、交换机设备等网络设备、附现场专网机柜照片、全部专网交换机和站控层交换机的端口设计图与现场实际接线照片安全防护设备根据现场实际设备安装情况,详细介绍横向隔离、纵向加密、防火墙、网络安全监测装置、入侵检测等安全防护设备,并提供全部安防设备的实物照片清晰展示端口接线情况网络安全防护安全区之间的横向防护设备和防护策略配置纵向界面防护调度端通信的纵向防护设备和防护策略配置第三界面防护非调度机构传输数据或接受控制指令的功能的详细防护方案系统本体安全防护安全I、II、HI区主机和交换机加固情况,具体加固依据、加固对象,每个加固对象的加固项目和出具的加固证明电力监控系统安全管理组织机构运行管理规定,包括但不限于门禁管理、人员管理、权限管理、访问控制管理、日常维护管理、应用系统数据备份管理、培训管理等制度电力监控系统拓扑图涵盖电力监控系统全部设备并标明各设备间的物理连接关系,应包含网络安全监测装置以及根据电厂实际管理情况拟定电力监控系统网络安全运行管理规定,出具电力监控系统应急预案,安全加固清单和加固项
六、电力监控系统安全防护配置信息报告依据《电力监控系统安全防护规定》(国家发展和改革委员会2014年第14号)、《电力行业网络与信息安全管理办法》(国能安全[2014]317号)、《电力监控系统安全防护总体方案》(国能安全[2015136号)、《电力行业信息系统安全等级保护基本要求》等行业有关规定及方案,对电厂电力监控系统网络安全配置进行审核,所有设备需按照最小化原则进行配置对投运时现场出具的配置信息报告进行审核,若有信息变更需重新出具出配置信息报告符合省地调的具体要求并负责省地调的备案工作网络安全相关配置信息截图,相应配置文件,生产厂家、型号和网络拓扑图等信息置于报告中;配置截图按类别粘贴于报告中,配置文件按类别命名并单独放于另附的文件中配置文件需与截图对应,设备命名和数量需与网络拓扑图对应若现场未配置模板中的隔离装置、防火墙、入侵检测装置等安防设备,需在相应部分说明原因若有其它重要配置未在列表中,则补充截图注明电力监控系统网络拓扑图重新核对拓扑图,应涵盖系统全部设备并标明设备间的物理连接关系,包含网络安全监测装置
七、风险评估工期项目进度(工期)要求本项目的全部工作任务应在合同签订后,15个工作日内完成,并通过调度等各方验收招标方另行通知的情况下以通知为准
八、项目组织机构与实施人员要求投标方工作人员必须实施进场安全教育培训,经招标方考核合格后方可上岗如果发现投标方指派的人员不能胜任工作,投标方应无条件更换人员直至合格为止投标方必须严格执行、遵守招标方的各项规章制度,接受招标方对评估工作的监督、考核及验收,服从招标方生产管理调度投标方应针对本项目建立完整的项目组织体系并保证其有效运行投标方的项目组织机构中应包含实施本项目所必须的各类专业技术和管理人员,其中包括但不限于项目总负责人、评估人员、安全管理人员等方面的专业人员投标方的项目组织机构中应拥有一个完整的项目实施团队项目团队全体成员均应具有良好的服务意识和正确的工作态度投标方拟选派的项目负责人应具有丰富的实践经验、较强的项目推动与沟通管理能力
九、项目验收
1、验收标准投标方出具的电力监控系统网络安全风险评估报告、电力监控系统网络安全防护方案,符合省地调的具体要求投标方出具的报告需经省地调备案后,由招标方和中标方双方签字验收
2、技术资料交付清单本次项目涉及到电力监控系统网络安全风险评估及整改备案、网络安全防护方案与配置信息报告的编制审核备案工作,具体交付清单如下
十、差异表投标方要将投标文件和招标文件的差异之处汇集成表,技术部分和商务部分要单独列表差异表投标人根据实际情况填写
十一、售后服务自通过验收之日起一年为售后服务期,一年内出现有关电力系统网络安全的问题2小时内回应,8小时内给予解决方案服务方公司须提供维护人员能够8个小时内到达现场的依据维护人员必须具备相关实施经验如需添加物理连接,由招标方负责采购所需材料,中标方负责整改完善,相关费用由双方协商解决一总则1二项目概况及工作范围1三标准规范技术要求2四风险评估后安全整改7五电力监控系统安全防护方案编制7方电力监控系统安全防护配置信息报告8七风险评估工期8八项目组织机构与实施人员要求9九项目验收9十差异表10十一售后服务10
一、总则本规范书适用于桐柏豫能凤凰风电有限公司纳川风电场涉网安全专项整改服务采购相关技术规范书,它提出了针对本需求所包括的功能设计、性能、结构、安装等方面的技术要求本规范书提出的要求是最低限度的技术要求,并未对一切技术细节作出规定,也未充分引述有关标准和技术条文,供方应提供符合本规范书和工业标准的优质产品本规范书所使用的标准和供方所执行的标准不一致时,按较高标准执行
1.4投标方应保证所提供的服务满足国家有关于此的一般规定
1.5本规范书未尽事项可另以书面方式或技术协议方式补充
二、项目概况及工作范围项目概况纳川风电场接入南阳桐柏贤能变电站,风电场通过五条35kV集电线路,将风机所发电能送入纳川风电场升压站,由一条220kV纳贤线送入电网纳川风场位于河南省南阳市桐柏县大河镇境内,总规划容量为100MW场址海拔高度300m至640m风电场属于山地风电场,总面积约12km2场址南侧有国道G312省道S206东面有S49高速,交通运输条件便利为进一步深入贯彻《中华人民共和国网络安全法》、全面落实《关于加强电力行业网络安全工作指导意见》(国能发安全[2018J72号)等国家及行业主管部门相关政策法规、文件精神依据《河南电力调度控制中心关于下发2022年调度自动化及网络安全重点工作的通知》电力调控机构相关标准要求,桐柏豫能凤凰风电有限公司纳川风电场将全面开展电力监控系统网络安全风险评估工作工作内容及范围依据《河南电力调度控制中心关于2022年统调电厂安全防护重点工作通知》《关于加强电力行业网络安全工作指导意见》(国能发安全
[2018]72号)要求和格式,并完成以下四项工作投标方完成纳川风电场220kV升压站电力监控系统主机设备、网络设备、安全设备等按河南调度部门相关要求进行网络安全风险评估并将网络安全防护方案、配置信息及风险评估报告等评估结果上传调度0MS系统,并通过河南调度部门审核
2.2完成纳川风电场220kV升压站电力监控系统主机设备、网络设备、安全设备按河南调度部门相关要求进行安全加固,细化设备配置信息,优化安全策略,扫描系统漏洞问题并消缺整改并将整改情况上传调度0MS系统,并通过河南调度部门审核按照招标方要求,对纳川风电场的网络安全监测设备进行维护,设备软件进行技术支持服务;通过省电力公司及地市的远程以及指导现场值班人员运维,人员需24小时无条件提供技术支持,远方指导无法完成工作的需8小时内安排技术人员到场解决问题,保证及时发现问题,解决问题,最大程度的减少上级部门的考核;配合上级机关进行网络安全监测设备的相关检查;配合业务厂家进行对上级调度机构相关业务配置或修改;按照“外部侵入有效阻断、外力干扰有效隔离、内部介入有效遏制、安全风险有效管控”原则,满足《国家电网有限公司十八项电网重大反事故措施》要求,实现网络安全事件处置能力的显著提升一年内负责协调调度关系、解决网安告警及调度要求的整改事项,对往年风评提出的问题进行整改,满足相关网络安全要求
三、标准、规范、要求
1、本项目实施所依据的标准和规范《中华人民共和国网络安全法》(2017年6月1日正式施行)《中华人民共和国国家安全法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》《计算机病毒防治管理办法》《计算机信息网络国际联网安全保护管理办法》《计算机信息系统安全专用产品分类原则》《信息安全等级保护管理办法》(公通字
[2007]43号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安
[2007]861号)关于印发《信息安全等级保护备案实施细则》的通知(公信安
[2007]1360号)《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息
[2007]34号)《电力行业信息系统等级保护定级工作指导意见》(电监信息
[2007]44号)《计算机信息系统安全保护等级划分准则》GB17859-1999《信息安全技术网络安全等级保护定级指南》GA/T1389-2017《信息安全技术网络安全等级保护基本要求》GB/T22239-2019《信息安全技术网络安全等级保护测评要求》GB/T28448-2019《信息安全技术信息安全风险评估规范》GB/T20984-2007《信息安全技术网络安全等级保护测评过程指南》GB/T28449-2018《电力监控系统安全防护规定》发改委14号令《电力监控系统安全防护总体方案》国能安全[201536号国能发安全201872号-国家能源局《关于加强电力行业网络安全工作的指导意见》国能综通安全202047号《国家能源局综合司关于开展电力行业网络安全责任暨电力监控系统安全防护落实情况专项监管的通知》《国家电网安质2018396号国家电网公司电力安全工作规程》信息、电力通信、电力监控部分豫监能安全202088号《河南能源监管办关于开展河南省电力行业网络安全责任暨电力监控系统安全防护落实情况专项监管工作的通知》
2、相关工作要求投标方在开展工作期间必须服从场站的管理,按照场站的要求有序开展工作中标方无法如期开展工作,无法如期完工或不服从场站的工作安排,招标方有权利拒绝支付合同款投标方工作过程中产生的纠纷及安全事故由中标方负责投标方应能提供相应税率的增值税专用发票投标方应认真阅读招标要求并按要求提交相应文件,在招标方确定招标或询价结果后,接受询价或招标结果,认真履行责任5投标方应确保工作完成后验收合格,招标方在投标方履行全部合同规定的职责并对本次服务验收合格后完成合同款项的支付投标方所提供的服务、设备、物资等必须符合国家的相关标准,并确保其质量合格,技术性能符合甲方要求
3、资质业绩要求在中华人民共和国注册并具有独立法人资格(不接受分公司投标或报价),乙方应具备必须具有风险评估资质,中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质(CCRC)或中国信息安全测评中心颁发的信息安全服务资质证书(风险评估类),证书不允许代理投标方应具有近3年内在电力行业5个及以上风险评估业绩,且所提交的评估报告已通过相关部门的审核
4、风险评估技术要求本次风险评估工作依据《电力监控系统安全防护规定》(国家发展改革委2014年第14号令)、《电力监控系统安全防护评估规范》、《信息安全风险评估规范》、《电力监控系统安全防护总体方案》(国能安全【2015】36号文)、《发电厂监控系统安全防护方案》、《信息系统安全等级保护基本要求》、《信息安全等级保护管理办法》等国家标准,从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地为保障网络和信息安全评估原则基本要求安全分区、网络专用、横向隔离、纵向认证评估范围包含待评估所有关键资产,包括网络范围、主机范围、应用系统范围、制度与管理范围严格按照电力监控系统安全防护评估流程实施并出具符合省、地调要求的风险评估报告、安全整改建议及安全整改报告电力监控系统资产评估包含资产识别和资产赋值,需要对业务系统进行分析,将每一项电力监控系统按照所属业务系统进行归类,并在业务系统划分的基础上评估系统安全性电力监控系统威胁评估利用电力系统安全威胁列表对当前电力监控系统所面临的主要安全威胁进行判定,包含威胁统计、威胁赋值与计算安全分区合理性评估对电力监控系统安全区的划分是否合理进行检查及合理性评估,包含各安全区中业务系统网络架构合理性评估边界完成性评估对安全I、n和ni区之间的边界连接情况进行审核,确定在规定的边界点外没有短路情况节点通信关系分析通过对业务系统数据流和业务网络结构审核,对电力监控系统节点间通信关系进行分析安全区中哪些业务系统功能模块需要同其他安全区进行通信及安全要求边界安全性评估对安全区边界点的防护强度、访问机制力度和粒度的审核,评估安全区边界的防护是否符合总体方案要求主机安全评估对业务系统范围内的主机记性安全漏洞扫描、设备审计,评估系统漏洞及风险网络系统评估对调度数据网、本地局域网的网络结构、网络设备的安全性、网络管理情况、网络配置评估安全管理评估评估包括管理策略和管理制度、业务系统管理分析,安全管理制度文档分析发现制度中的缺陷业务系统安全评估对业务系统软件提供的安全功能和自身的安全配置审核评估,确实能够业务系统软件安全缺陷现有安全技术措施评估对现有安全技术措施,安全分区情况、安全隔离装置、防火墙和防病毒系统等部署情况、管理运维情况进行审核评估,确定防护措施存在问题评估服务原则本次电力监控系统网络安全风险评估服务的实施应满足以下原则1保密原则对评估的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害序号技术服务成果形式单位数量1电力监控系统网络安全风险评估报告纸质版+电子版套32电力监控系统网络安全防护方案纸质版+电子版套3序号招标文件投标文件条目简要内容条目简要内容。