安全检查问题闭环管理操作手册

安全检查问题闭环管理操作手册（共5篇）

篇1：安全检查问题闭环管理操作手册

1.1.安全检查问题闭环管理 1.1.1.功能简介

各管理层级进行安全检查并发现需整改问题后，将安全检查问题清单下发至相关单位（可以是直接下级或间接下级），相关人员对问题进行整改，并由问题整改单位的上级单位进行复核。发起检查单位可随时查看已下发问题的整改完成情况，如果复核未通过，则可再次下发安全检查问题清单，直至问题闭环整改复核通过。

1.1.2.业务流程

检查单位开始复核单位整改单位下发整改通知整改单位填写整改完成情况复核单位进行逐级复核检查单位进行最终复核不通过是否复核通过通过结束通过是否复核通过不通过图1

图2 1.1.3.系统操作

1.1.3.1 下发检查通知（总部/省公司）

1.操作角色：总部/省公司基建部安全管理专责 2.操作步骤

1)点击□1处安全管理，进入安全管理分析查询页面；（图

1）

图1

2)点击□2安全检查问题闭环管理，进入链接页面；（图1）

3)点击□3下发检查通知，进入下发安全检查问题整改通知页面；（图1）

图2

4)进入下发安全检查问题整改问题页面后，点击□1上载链接，进行上载整改要求文件，点击□2检查类型下拉框（日检查、周检查、月检查、随机检查、专项检查、春秋季大检查、流动红旗检查、优质工程检查、安全管理评价、质量监督检查），选择类型后，点击□3保存按钮；点击□4增加工程按钮，进入增加工程页面；（图2）

图3

5)在□1处填项目名称和单体工程名称，点击查询按钮，可进行查询工程；在□2复选框中勾选工程，点击□3处添加按钮即可添加工程并返回下发安全检查问题整改通知页面；（图3）

图4

6)在□1复选框中勾选工程，点击□2删除按钮，可删除整改列表；点击3导出明细按钮，可导出工程明细；点□4添加链接，进入安全整改□问题页面；（图4）

图5

7)方法一：点击□1处下载模板按钮，可下载模板，填写模板后点击导入按钮，即可将数据导入，点击导出数据可将数据导出；（图5）8)方法二：点击□3处新增按钮可在页面中添加一条记录，在□2处填写安全整改问题，点击上载链接进行上载检查附件；（注：责任单位属性为接收该流程的单位）（图5）

9)在□2处勾选复选框，点击□3处删除按钮，可上传记录，点击保存按钮即可保存数据，并返回下发安全检查问题整改通知页面。（图5）

图6 10)增加完安全整改问题后，可在□1处查看增加安全整改问题个数，点击2处提交按钮，即可下发该流程。□ 1.1.3.2 填写整改问题(省公司/建管单位)1.操作角色：省公司/建管单位安全管理专责 2.操作步骤

1)点击待办任务，查看新触发的节点；

图7

2)点击□1节点名称链接，进入“整改单位填写整改问题”页面；（图7）

图8

3)在□1处选择问题提出单位，点击查询按钮，可查询需整改问题；点击导出按钮可导出明细；（图8）

4)在□2处填写整改问题处理结果并上载整改附件，勾选复选框后，点击□3处得提交按钮，即可提交整改情况。

1.1.3.3 安全检查问题分配(业主)1.操作角色：业主项目经理 2.操作步骤

1)登录现场系统点击□1安全管理—□2安全检查，进入安全检查列表页面。（图9）

图9

2)点击□3节点名称链接，进入“安全检查基本信息”页面；（图9）

图10

3)点击修改按钮，进入修改页面；（图10）

图11

4)□1选择检查日期，□2选择受检单位，□3选择复核人，□4添加整改要求附件，□5添加检查附件，点击□6选择需整改单位，点击□7保存按钮，即可保存页面数据，点击发布按钮，即将该流程发布给所选的受检单位。（图11）

1.1.3.4 整改问题(施工)1.操作角色：施工项目经理 2.操作步骤

1)登录现场系统点击□1安全管理—□2问题整改，进入问题整改列表页面。（图12）

图12

2)点击□3节点名称链接，进入“安全检查信息”页面；（图12）

图13

3)点击需整改按钮，进入安全检查问题整改反馈表页面；（图13）

图14

4)□1上传整改附件，□2选择整改责任人、整改时间，填写问题处理结果；点击□3查看流程图按钮，可查看整改流程，点击保存按钮，即可保存该页面数据，点击传递按钮，将该流程结果传递给复查人审核。（图14）

1.1.3.5 安全检查复查(监理)1.操作角色：总监理工程师 2.操作步骤

1)登录现场系统点击□1安全管理—□2安全检查复查，进入问题整改列表页面。（图15）

图15

2)点击□3节点名称链接，进入“安全检查信息”页面；（图15）

图16

3)点击需复查按钮，进入安全检查问题整改反馈表复查页面；（图16）

图17

4)□1填写复查意见，点击□2查看流程图按钮，可查看整改流程，点击保存按钮，即可保存该页面数据，点击传递按钮，将该流程结果传递给二级复查人审核。（图17）1.1.3.6 安全检查二级复查(业主)1.操作角色：业主项目经理 2.操作步骤

1)登录现场系统点击□1安全管理—□2安全检查复查，进入问题整改列表页面。（图18）

图18

2)点击□3节点名称链接，进入“安全检查信息”页面；（图18）

图19

3)点击需复查按钮，进入安全检查问题整改反馈表复查页面；（图19）

图20

4)□1填写复查意见，点击□2查看流程图按钮，可查看整改流程，点击保存按钮，即可保存该页面数据，点击传递按钮，将该流程结果提交至网省基建部安全管理专责。（图20）

1.1.3.7 安全检查问题整改分析查询

1.操作角色：总部/省公司基建部安全管理专责 2.操作步骤

1)点击待办任务，查看新触发的节点；（图21）

图21

2)点击□1处节点名称链接，进入“安全检查问题整改分析查询”页面；（图21）

图22

3)在□1处选择安全检查时间及省公司，点击查询按钮，即可查询安全检查问题整改明细。（图22）

4)在□2处勾选对应的工程复选框，如果通过，点击□3处通过按钮，即问题整改通过；如果不通过，需先填写复核不通过意见,然后点击3处不通过按钮，即回退给整改单位重新填写整改问题处理结果。□（图22）

图23

5)点击总体情况页签，在□1处选择安全检查时间及电压等级，点击查询按钮，可查看问题归类、严重级别、责任单位属性的总体情况；点及导出按钮，可导出明细；（图23）

图24

6)点击查看发起检查问题页签，在□1处选择安全检查时间、省公司及复核结果，点击查询按钮，可查看发起检查问题的明细；点及导出按钮，可导出明细；（图24）

篇2：安全检查问题闭环管理操作手册

目的：建立设备安全操作、巡回检查规程，便于及时发现和消除隐患，管好、用好设备，维护设备安全生产的良好状态，防止设备、人身事故的发生。范围：生产中投入使用的所有设备。

责任：工程设备部部长、设备操作人员、车间主任

内容：

1.设备使用部门必须对使用的设备妥善保管，建立设备台帐和设备档案，合理使用并经常保养和维修，使设备经常保持良好状态，减少和防止意外的设备事故，以保证生产正常进行。

2.各车间的设备要指定专人操作，专人保管，非操作人员禁止动用设备，以防止事故发生。

3.设备操作人员必须严格遵守操作规程，严禁违章操作，做到四懂(懂结构、懂原理、懂性能、懂用途)，三会(会使用、会保养、会排除故障)；上岗操作要做到定时、定点、定质、定量润滑。

4.设备维修人员必须保证所使用设备的零件齐全完整，仪表灵敏，准确，无跑、冒、滴、漏现象发生。

5.设备操作人员要严格遵守操作规程，发现异常现象应及时查明原因，并作好记录，严禁超负荷运转和随便拆洗机械设备。

6.巡检路线以主要设备为主，并兼顾一般设备。

7.设备维修人员每周巡检一次，及时掌握设备运行情况，了解设备存在的隐患，制定合理检修计划。

8.巡检形式：操作人员→维修人员→车间主任→工程设备部部长→主管副总的信息反馈系统。

9.设备维修人员对巡检中发现的事故隐患，应及时采取措施消除，以便更好地服务于生产。

篇3：安全检查问题闭环管理操作手册

电力部门生产控制区采取“安全分区、网络专用、横向隔离、纵向认证”、管理信息区采用“分区分域、安全接入、动态感知、全面防护”的安全防护策略,虽强化了管理信息区与生产控制区的信息安全防线,但并不能完全隔绝或防御所有的网络攻击[1]。采用工业以太网技术以及开放的IEC 61850技术的智能变电站,蕴含着一定的信息安全隐患[2],为此,国际电工技术委员会提出了IEC 62351标准《电力系统管理及关联的信息交换:数据和通信安全性》[3],但符合该标准的变电站目前还处于理论研究阶段或工程实施起步阶段[4,5]。继电保护自身的网络攻击防御能力也尚在理论研究阶段,两个核心场景分别为量测量[6,7]以及定值[8]被欺诈或被篡改。大量已投运的数字化保护装置自身尚无网络攻击防御能力。

根据电力系统运行方式配置的继电保护定值,直接关系到继电保护作为电网安全可靠运行第一道屏障是否有效。现代电网结构日益复杂,正常运行方式量多,临时运行方式经常出现,及时甚至在线定值更新十分必要[9,10],定值是否与运行方式匹配也必须在线追踪[11]。如果运行方式一改变,就要派人到现场进行停电修改,需要耗费大量人力和成本,停电造成的经济损失和安全危害更大,因此继电保护远方操作势在必行[12,13,14,15,16,17,18]。

信息化条件下,应实施定值计算、远方操作、在线运行、现场维护等继电保护运行管理全流程集成及管控。继电保护远方操作,是全流程集成及管控的一个重要环节。一般意义的远方操作包括定值设置、定值运行区更改、远方投退软压板和远方复归信号。广义扩展,应包括定值定期自动校验、远方对配置文件系统的更改。现场监护下的保护装置厂家、人员对继电保护装置的系统升级等,运维人员对运行继电保护装置的定期检验检修、测试和日常维护等现场操作,也应纳入运维类“操作票”。从而,从变电站内外发起的涉及继电保护装置运行变更及维护的所有操作将通过规范化的操作工作票,实现继电保护操作的定义、核定、授权、监护、记录、执行核销等环节的全封闭监管。

显然,继电保护的远方操作已涉及继电保护内部核心数据的信息开放问题,一旦被攻破并引发误动、拒动,加之协同攻击,则电网很有可能陷入大面积停电乃至崩溃。因此,必须提出有效的信息安全防御措施。

文献[12]介绍了常规变电站微机保护不停电整定配置的功能及其应用,未涉及信息安全。文献[13]采用基于可扩展置标语言(XML)的定值单跨区传输技术,通过网络安全隔离以及对XML引入数字签名、MD5加密等技术,将定值单从位于安全Ⅲ区的调度中心下发到位于安全Ⅱ区的变电站定值单管理子系统,通过现场人员手动,而不是远方直接操作完成继电保护的定值修改。文献[14]提出了“远程虚拟连接”或“直连虚拟链路”来实现远程直接连接保护装置进行远程控制。文献[15,16,17]介绍了不同电网基于远动系统、保信系统的实践,均未对传输报文采取严格的信息安全措施。文献[18]定义了基于CIM/E格式的定值单文件,实现调度Ⅲ区继电保护整定值计算系统和调度Ⅰ区继电保护远程修改定值系统的集成,但是未对定值单进行很好的建模,因此规范性、管控性、适应性不强,也没有对定值单下发变电站进行信息安全防护。文献[19]探讨了远程修改继电保护变电站配置描述语言(SCL)配置文件,采用了国际XML Security标准[20,21],但未在工程中实施。总之,目前远方操作的工程应用尝试,多注重于通信架构及通信协议扩展,也关注到了一些工程应用风险防范,但对远方操作继电保护的网络攻击威胁及防御存在严重的认识不足,甚至提出了“直连虚拟链路”[14]的继电保护远程操作完全开放、信息安全风险极高的方案。

由于继电保护装置资源有限,而且属于间隔级设备,数量大,因此即便未来的数字化继电保护装置具备一定的信息安全防御能力,一种统一负责变电站内网络信息安全,以及确保与变电站外部交互信息安全的变电站站级网络攻击防御系统也是必须的。本文提出的变电站继电保护操作信息安全模块(substation secure operation module for protective relay,SOMR),就是担任变电站继电保护操作信息安全的专用模块。基于远方操作变电站保护装置的安全威胁分析,本文提出了较为完整的广义继电保护远方操作信息安全防御系统解决方案,并对关键环节进行了设计。

1 远方操作网络攻击及防御初步分析

1.1 网络攻击及安全威胁分析

从通信安全理论分析[22]可知,网络环境下的主机主要遭遇被动攻击和主动攻击两类安全威胁。被动攻击有窃听和分析两种手段,主要威胁信息的保密性,但不对系统产生破坏;而主动攻击以冒充、抵赖、篡改等手段,威胁信息的完整性、可用性和真实性,或利用操作系统的缺陷攻击,甚至远程控制和操作设备以制造重大事故,另外还会占用大量网络宽带,制造大量无用业务流量,使得服务器瘫痪。

因此,本文认为对远方操作继电保护或智能电子设备(IED)的网络攻击可以划分为两类:一类为面向性能的攻击,称为PTA(performance target attack)类;另一类为直接面向数据的攻击,称为DTA(data target attack)。PTA与DTA合作,可形成协同攻击。

PTA包括合法或非法主机直接发起,或通过已寄生在主机的各类病毒发起,目的在于占用或消耗网络通信资源以阻断IED正常通信,降低或摧毁IED通信及响应能力以瘫痪IED,如蠕虫病毒发起的网络频繁拒绝服务(Do S)攻击或者网络风暴等。

PTA是对继电保护的间接攻击或协同攻击,可能造成严重后果:①阻断保护装置与过程层的正常通信,继电保护面对电网故障时不能作用,或不能对智能断路器进行跳闸操作,更可怕的是在网络瘫痪期间向继电保护发送呈现故障的采样测量值(SMV)欺诈数据,在网络恢复时诱使保护进行跳闸;②阻断保护装置与间隔层的正常通信,使保护装置之间不能进行相互的配合如闭锁等,也可能在网络瘫痪期间进行欺诈数据交互,以实现恶意目的;③阻断保护装置与站控层、调控中心的正常通信,使得站控层、调控中心对该保护装置失盲、失控,并在失盲、失控期间实施欺诈数据交互,以实现恶意目的。

DTA对继电保护装置的网络攻击,包括:①未授权的主机访问保护继电保护装置(第1类);②授权的主机以未授权的命令对继电保护装置进行操作(第2类);③授权的主机以授权的命令,持续、反复、频繁访问继电保护装置(第3类);④授权命令的内容被篡改(第4类)等。前3类网络攻击属于欺诈行为,其中第3类企图占用继电保护大量的半连接时间和内存,大量占用网络带宽,以影响继电保护的正常功能与性能。第4类网络攻击属于篡改行为。对于第3类和第4类网络攻击,说明攻击者已完全掌握了授权体系的秘密,寄生在某一授权主机,并以其作为垫脚石,发起继电保护装置欺诈攻击。

1.2 信息安全标准IEC 62351及防御初步分析

IEC 62351是国际电工技术委员会第57技术委员会,针对有关通信协议(IEC 60870-5,IEC 60870-6,IEC 61850,IEC 61970,IEC 61968系列和DNP 3)而开发的数据和通信安全标准[3]。

IEC 62351-3提供任何包括传输控制协议/互联网协议(TCP/IP)平台的安全性规范,包括IEC60870和IEC 61850系列。它规定了使用传输层安全(TLS)协议,而不是另起炉灶。

认证和加密是IEC 62351标准的核心内容:认证,从简单的地址认证方式过渡到利用安全证书,确保信息通信的合法性和完整性;加密,从通过物理隔离保证数据保密性发展到利用TLS和虚拟局域网来进行保密传输,作用在于保证通信过程中信息的私有性,防止黑客获取保密信息。

IEC 62351-7用于涉及信息基础设施的网络和系统管理的安全防护;通过为电力系统运行环境制定抽象的网络和系统管理数据对象,类似简单网络管理协议(SNMP)中的管理信息库(MIB),来提供网络管理功能,预防入侵检测、拒绝服务攻击等。显然,PTA的防御主要基于IEC 62351-7的措施,而本文的研究重点在于DTA的防御,对于继电保护远方操作而言,主要是报文来源的合法性以及传输的安全性和实时性。

2 远方操作防御系统整体架构

2.1 信息系统整体架构

图1是调控中心远方操作继电保护的3种主流通信方式,均通过变电站的一个中间装置(或统称子站),实现对继电保护的站内操作,子站或为远程终端单元(RTU)[15,17],或为主站子站基于103/104协议的保信子站[16],或为主站子站基于IEC 61850的保信子站[18,23,24]。图中,SCADA表示数据采集与监控,EMS表示能量管理系统,MMS表示多媒体短信服务,MU表示合并单元。

建立包括“继电保护远方操作票”在内的调控中心统一操作票管理系统或管理模块,从调控中心安全Ⅲ区拟票,一直到继电保护成功操作返回,实施严密且闭环的工程应用及信息安全防护措施。

2.2 通信方式选择

从图1可知,调控中心到继电保护的通信分为3段。

第1段,由调控中心管理区到调控中心运行区,确保拟票正确和严格复核,信息安全采用双向物理隔离进行通信[13,18]。

第2段,从调控中心运行区到变电站子站,具有2种通信方式。一种借助于SCADA及远动通道,其改造工作量较大:或改造RTU实现对继电保护的操作,或扩展104协议兼容103协议。另一种基于保信系统、保信子站,较早的系统子站与主站采用103/104协议,目前国内不少系统已升级为子站与主站间采用IEC 61850通信[18,23,24],并具备XML的文件传输能力。

第3段,子站操作继电保护,通信协议较统一:对于数字式继电保护,子站将保护装置作为服务器,子站作为客户端,通过MMS通信协议实施对继电保护的操作;定值相关操作,通过定值组控制块(SGCB)来管理与控制激活定值区Sele PTActive SG、编辑定值区Select Edit SG、读定值Get SGValues、写定值Set SGValues、确认编辑区定值Confirm Edit SGValues等基本控制服务。而对于常规继电保护,通过103/104协议实现操作。

本文提出基于XML操作工作票,以及在基于IEC 61850保信子站上嵌入SOMR的方案。主要理由是:①确保操作票的连贯性、连续和闭环追踪;②最大限度利用或复用现有系统;③设计的XML内容,可直接编入子站操作继电保护的命令,使得子站操作继电保护十分简便,同时XML的信息安全,已有国际较为成熟的XML Security标准。

2.3 信息安全模块功能

设计的SOMR主要有以下功能。

1)广义远方操作继电保护的信息安全关口和实际操作实施者,使得远方操作不能直接操作继电保护。

2)接入PTA网络攻击检测系统。与PTA网络攻击检测系统协同,并由SOMR统一上送主站。

3 远方操作工作票及安全操作设计

3.1 操作工作票XML模型

远方操作工作票(ROS)模型类似于变电站SCL描述,其类图见图2。

ROS分为头部分Header,Date Type Templates及ROS操作实体。ROS操作实体包括:①继电保护对象类,包括变电站Substation、装置通信端口信息Communication和IED;②操作内容及执行结果,包括操作类别Operate Type、操作命令信息Operate Command Type、操作命令执行结果及执行时间Operate CommandResult、校验信息Check Value。其中,Operate Type枚举值为:①定值设置;②定值运行区更改;③远方投退软压板;④远方复归信号;⑤定值定期自动校验;⑥现场运维授权监督及痕迹记录等。Check Value,按Operate Type输送保护操作前的校验信息,如定值修改前下发的当前定值参数或特征值、定值运行区更改前的当前运行定制的区号、投退软压板前的当前软压板状态等;提供校验机制可避免多主站对同一继电保护装置的操作,即如果具体操作前发现现行值与下发的检验值不同,则不继续操作,而返回告警。Operate Command Type可以直接采用IEC 61850的相应命令定义,如激活定值区Sele PTActive SG、写定值Set SGValues等。

根据国际标准化组织W3C(World Wide Web Consortium)和IETF(Internet Engineering Task Force)共同制定的XML Security标准[20,21],可以在XML文件中加入两个描述XML加密、签名信息的属性标签,对XML文件中的元素进行多粒度的保护。因此设计的信息安全类包括加密和数字签名部分。加密部分包括5个类:Encrypted Data为加密后文档的根元素,其类型为Encrypted Data Type,由其他4种类型Encryption Method,Key Info,Cipher Data,Encryption Properties复合而成,其中,Encryption Method表示加密算法,Key Info表示密钥信息,Cipher Data表示加密后的密文信息,Encryption Properties表示加密过程中的一些附加属性。数字签名部分包括4个类:Signature是签名后文档的根元素,其类型为Signature Type,由其他3种类型Signed Info,Signature Value,Key Info复合而成,其中,Signed Info表示签名所用到的算法,包括签名算法、摘要算法等,Signature Value表示签名值,Key Info表示签名的密钥及数字证书等信息。

3.2 XML操作票的数字签名及加密

数字签名采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密;每个用户拥有一把仅为本人所掌握的私钥,用其进行解密和签名,同时拥有一把公钥并可对外公开,用于加密和验证签名;对一个文件或信息签名时,签名者通过签名函数计算出被签署信息唯一的信息摘要,然后使用签名者的私钥将信息摘要转化为数字签名,其得到的数字签名对于被签署的信息和用以创建数字签名的私钥而言都是独一无二的。

操作票的数字签名及加密的流程如下。

1)发送人从数据库中将定值单文件导出并生成XML文档中的操作实体。

2)发送人生成自己的公钥和私钥。

3)发送人用不可逆加密算法,生成定值单文件的信息摘要,并使用私钥将定值单的信息摘要加密,生成数字签名。

4)根据图2的模型,生成加密操作工作票文件。

3.3 XML操作票的MMS传输

如图1,将信息安全子站作为服务器,调度端工作站作为客户端,采用IEC 61850文件传输模型并以MMS报文实现。客户端和服务器的安全处理功能包括3个方面:①安全属性处理,目的是为了防止重放、中间人等攻击,主要包括时间戳、有效期、发送者、接收者等安全属性;②加密处理,对XML实施的加解密技术;③签名处理,对XML实施的数字签名技术。

IEC 61850-7-2抽象通信服务接口(ACSI)包括了下列文件服务,属于客户端发起,由服务器提供服务:①Get File,将文件内容从服务器传输到客户端,映射到MMS File Open,FileRead和File Close服务序列;②Set File,将文件内容从客户端传输到服务器,映射到MMS Obtain File服务;③Delete File,在服务器的文件仓库中删除文件,映射到MMS File Delete服务;④Get File Attribute Values,在服务器的文件仓库中获取指定文件的属性,映射到MMS File Directory服务序列。

调控中心工作站先建立与变电站的信息安全模块的通信,然后以MMS Obtain File将加密的XML操作票传输到安保子站,客户用此服务通知服务器向客户索取一个文件,当服务器收到Obtain File服务请求后,服务器顺序发出File Open,FileRead,File Close到客户端。

若为防止这些命令被窃取,也可再次进行对形成的MMS报文实施数字签名和加密。

3.4 XML操作票的签名验证和解密

信息安全模块对MMS Obtain File方式接收到加密的XML文件后,将先读取发送人的公钥,使用公钥验证接收的数字签名,确认定值单文件来自发送人,然后使用不可逆算法,创建接收到的定值单的信息摘要,比较2个信息摘要,如果两者相同,则可以确信定值单在签发后并未做任何改变。定值单被签发后如果有任何字节发生改变,2个摘要就会有所不同,据此可以判别定值单是否被更改。

3.5 信息安全模块对继电保护的操作

信息安全模块作为客户端,对继电保护的定值设置、定值区更改、投退软压板、复归信号等操作,均遵循相应的IEC 61850 MMS或103协议进行操作,不做赘述。对于定值定期校验,也可采用相应协议召唤或查询现行定值,实施定期校验,然后将结果以报告方式回复主站。

对于现场运维,所有维护电脑只能与SOMR进行连接,并通过SOMR对指定继电保护实施操作;对维护人身份进行验证;按照操作票的授权开放相应的间隔、保护设备以及操作命令;对违反授权的任何操作,进行记录并告警;记录维护全过程,包括在继电保护装置上的相应日志等数据;对维护时间进行限制;维护结束后,将所有记录上送主站。

3.6 其他信息安全防御策略

从图1可知,本方案还涉及以下的信息安全问题。

1)IEC 61850 MMS通信,包括主站与子站,以及子站与继电保护之间的IEC 61850 MMS通信。前者涉及原有主站、子站间的通信是否已实施了相应的认证和加密措施,由于篇幅有限,在此不做展开;而后者取决于继电保护装置是否有或如何实现认证和加解密。

2)PTA防御。对于PTA的防御,有赖于基于IEC 62351-7网络攻击检测与防御子系统。该子系统将对变电站的出站交换机、MMS网交换机进行镜像连接,对变电站通信网络实现监听,对非法连接、异常报文进行拦截、记录和告警;对网络风暴、Do S攻击等进行告警;根据工业病毒特征库,对可能的病毒现象进行预警;对IED的自动重启进行记录,对其异常进行告警;与SOMR通信,汇合报文非法性、篡改等诊断信息,综合后统一通过SOMR向主站发送告警。

4 结语

本文所提解决方案的特点如下。

1)所有广义继电保护远方操作,纳入统一的操作工作票闭环监控,对操作相关业务进行全面定义及分段实施;操作票首先在SOMR进行认证;但由于目前继电保护装置没有信息安全措施,因此SOMR与继电保护装置的通信,仍难以有信息安全防御措施。

2)本文将原先在变电站侧对继电保护直接的现场维护操作纳入继电保护的“广义远方操作”范畴,必须经过站内SOMR进行操作审计和记录,割断了所有对继电保护直接操作的可能性,大大降低了对继电保护直接操作的频度和操作风险。

3)提出的SOMR建议嵌入已有的基于IEC61850的保信子站,可充分复用IEC 61850保信子站的功能,同时维持对变电站继电保护操作的统一操作界面,扩展性强。

本文所提方案重点在于通过工作票授权的广义继电保护远方操作的闭环管控;即便未来严格执行IEC 62351标准,该方案仍然是必要且有效的。

篇4：创建山航特色的安全闭环管理体系

实行安全闭环管理方法“三步法”

在不断推进各项安全管理工作的同时，山航注重总结经验、创新发展，逐渐形成了山航特色的安全闭环管理“三步法”，即：预防管理、过程管理和结果管理。

预防管理。为避免发生不安全事件、人为差错等而采取预防保证措施。实施预防管理可以促使管理者更多地进行自我控制，落实部门主体责任，通过对运行环境、飞机状态、人员行为进行监控，识别不安全诱因，及时采取预防措施，使安全水平始终处于可接受状态，即安全关口前移的防范性制度建设。

过程管理。安全过程管理的两个基本理念：一是日常飞行运行活动主要要素处于受控状态；二是不断改进提升过程要素的品质。在公司安全管理体系中的具体体现就是安全管理过程考核制度、员工综合业绩考核制度、基于员工信息报告的风险管理制度、飞行品质管控制度等。

结果管理。强调以结果为导向，重在对一定等级的不安全事件的调查分析处理，是公司推行严格管理的载体，事件处理不仅仅是处罚，而是要真正分析事件原因、识别事件风险、制定缓解控制措施，进而不断完善预防性政策制度。

预防性安全管理做法

（一）实施航班计划“绿蓝橙”工程，均衡机组实力搭配，规避弱弱搭配

2009年，公司正式实施航班计划“绿蓝橙”工程，围绕飞行员技术等级、经历时间、人员特点、英语能力以及机场类别、特点等条件，分别将机长、副驾驶、航线划为绿、蓝、橙三大类、七小类。通过机长-副驾驶、机长-机场（航线）的合理搭配，从定量的角度最大限度的均衡机组实力搭配，实现了安全关口前移。科学、合理地进行飞行计划排班，对机长和副驾驶、机长和机场的搭配进行预先干预和把关，有效规避机组、航线搭配不恰当带来的安全隐患，是公司“预防性”安全管理的具体实践。

“绿蓝橙”工程的实施共分为三个阶段：第一个阶段是机长与副驾驶的匹配，避免机长-副驾驶弱弱搭配；第二个阶段是机长与机场（航线）的匹配，避免人员技术水平与所飞航线难易程度的不匹配；第三个阶段是飞行人员与其12个日历月内的飞行品质情况匹配，根据其阶段时间内的飞行品质情况决定其本人所属类别，在排班过程中匹配相应航线。上述飞行计划排班规则均已嵌入公司FOC机组排班系统，有效避免了人与人、人与航线之间的搭配不合理，同时也一定程度上释放了飞行干部的工作精力。“绿蓝橙”工程自2009年初实施至今，公司飞行人员数量从当时的431名发展到目前的744名，共完成航班生产任务约70余万小时。

（二）全面实施飞行品质超限治理，有效提升飞行品质

山航在飞行品质管控方面做了大量工作，从对飞行机队的总体分析到对个体事件的精细化分析；从飞行部整体层面到大队、中队层面，直至飞行人员个性化分析层面；从差错事件以上事件到严重典型超限、典型超限，直至三级超限治理，不断深化，建立了较为完善的管控制度，并逐级细化，强化了飞行品质的趋势分析。

近几年来，山航飞行品质三级超限率逐年下降，典型超限率，在治理前期呈明显下降趋势，目前也已稳定在较低的发生率。飞行品质治理以来三级超限率已由2008年的20.9%降低为2013年的5%，2014年第一季度为3.5%；典型超限率由2008年的5.5‰降低到2013年的2.4‰，2014年第一季度为2.1‰。

（三）建立防空停联动机制，连续12年无空停事件

山航一贯重视发动机系统的可靠性管理，自2001年至今，连续12年未发生空停事件，2013年发生一起厂家原因的空停事件。一方面与山航机队机龄相对年轻有关，另一方也得益于公司的防空停联动工作机制。

公司成立了航安部牵头的防空停领导小组，制订防空停工作措施，每季度召开防空停协调会，探讨公司防空停工作开展情况、季节性维护或操作注意事项，并对各部门之间的工作进行协调和沟通，从上至下做好防空停工作。

机务维修系统作为防空停工作的关键环节，制定了定期的发动机周会、月会制度，重点监控公司发动机技术状况、机队重要故障及重要改装通告等情况。同时掌握国内及世界机队发动机运行情况和最新技术动态，及时了解国际、国内空停信息。运用SMS的理念，结合山航机队实际状况，确定山航各机型发动机空停风险点，制定相应的预防措施；加强发动机监控，积极推动安全新技术的应用；积极与厂家合作，开发了发动机超限报监控软件，实现发动机超限的实时监控，有效避免了潜在的空停隐患。

（四）突出主体责任落实，推进外委安全监管