電力二次系統(tǒng)安全防護題庫

電力二次系統(tǒng)平安防護題庫

電力二次系統(tǒng)平安防護題庫

1.電力二次系統(tǒng)平安防護目標是什么？

答：抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和

攻擊,特別是能夠抵御集團式攻擊,預(yù)防由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系

統(tǒng)的崩潰或癱瘓.

2.電監(jiān)會5號令中電力二次系統(tǒng)是指什么？

答：包括電力監(jiān)控系統(tǒng)、繼電保護和安自裝置、負荷限制、電力通信及數(shù)

據(jù)網(wǎng)絡(luò)等.

3.電監(jiān)會5號令中電力監(jiān)控系統(tǒng)是指什么？

答：是指用于監(jiān)視和限制電網(wǎng)及電廠生產(chǎn)運行過程的、基于計算機及網(wǎng)絡(luò)

技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備等.包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量治理系統(tǒng)、變電

站自動化系統(tǒng)、換流站計算機監(jiān)控系統(tǒng)、發(fā)電廠計算機監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、微機

繼電保護和平安自動裝置、廣域相量測量系統(tǒng)、負荷限制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯

級調(diào)度自動化系統(tǒng)、電能?計量計費系統(tǒng)、實時電力市場的輔助限制系統(tǒng)等.

4.電監(jiān)會5號令中電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)指什么？

答：是指各級電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò)、電力生產(chǎn)專用撥號網(wǎng)絡(luò)等.

5.電監(jiān)會5號令中限制區(qū)指什么？

答：是指由具有實時監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)

或?qū)Ｓ猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)構(gòu)成的平安區(qū)域.

6.電監(jiān)會5號令中非限制區(qū)指什么？

答：是指在生產(chǎn)限制范圍內(nèi)由在線運行但不直接參與限制、是電力生產(chǎn)過

程的必要環(huán)節(jié)、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的平安區(qū)

域.

7.電力二次系統(tǒng)的平安防護原那么？

答：電力二次系統(tǒng)平安防護原那么是平安分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向

認證,保證電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的平安.

8.電力二次系統(tǒng)如何進行平安分區(qū)？

答：發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計算機和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系

統(tǒng),原那么上劃分為生產(chǎn)限制大區(qū)和治理信息大區(qū).

生產(chǎn)限制大區(qū)可以分為限制區(qū)〔平安區(qū)D和m曜制區(qū)［平安區(qū)n）；治理信

息大區(qū)內(nèi)部在不影響生產(chǎn)限制大區(qū)平安的前提下,可以根據(jù)各企業(yè)不同平安要求劃分平安

區(qū).

根據(jù)應(yīng)用系統(tǒng)實際情況,在滿足總體平安要求的前提下,可以簡化平安

的設(shè)置,但是應(yīng)當預(yù)防通過廣域網(wǎng)形成不同平安區(qū)的縱向交叉連接.

9.電力二次系統(tǒng)中不同的平安分區(qū)相應(yīng)的平安等級是什么？

答：不同的平安區(qū)域確定了不同的平安防護要求,從而決定了不同的平安

等級和防護水平.生產(chǎn)限制大區(qū)的平安等級高于治理信息大區(qū)，其中限制區(qū)〔安全區(qū)工謝平

安等級相當于計算機信息系統(tǒng)平安保護等級的第4級三游制區(qū)〔安全區(qū)H）相當于計

算機信息系統(tǒng)平安保護等級的第3級,平安分區(qū)是電力二次安

全防護體系的結(jié)構(gòu)根底.

10.生產(chǎn)限制大區(qū)中平安區(qū)1（限制區(qū)〕的典型系統(tǒng)是什么？

答：包括調(diào)度自動化系統(tǒng)〔SCADA/EMSX廣域相量測量系統(tǒng)、配電自

動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)、平安自動限制系統(tǒng)、低頻/低壓自

動減載系統(tǒng)、負荷限制系統(tǒng)等.

11.生產(chǎn)限制大區(qū)中平安區(qū)口G曜制區(qū)〕的典型系統(tǒng)是什么？

答：調(diào)度員培訓模擬系統(tǒng)〔DTSI水調(diào)自動化系統(tǒng)、維電保護及故障錄

波信息治理系統(tǒng)、電能量計量系統(tǒng)、批發(fā)電力交易系統(tǒng)等.

12.業(yè)務(wù)系統(tǒng)分區(qū)規(guī)那么？

答：綜合考慮業(yè)務(wù)系統(tǒng)或功能模塊的實時性、使用者、主要功能、設(shè)備場

所、各業(yè)務(wù)系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式、對電力系統(tǒng)的影響等因素，按以下規(guī)那

么將業(yè)務(wù)系統(tǒng)或功能模塊置于適宜的平安區(qū)：

(1)實時限制系統(tǒng)或未來可能有實時限制功能的系統(tǒng)應(yīng)置于平安區(qū)工.

(2)電力二次系統(tǒng)中不允許把應(yīng)屬于高平安等級區(qū)域的業(yè)務(wù)系統(tǒng)遷移到

低平安等級區(qū)域運行；但允許把屬于低平安等級區(qū)域的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高平安

等級區(qū)域,由屬于高平安等級區(qū)域的人員限制和使用.

(3)盡可能將業(yè)務(wù)系統(tǒng)完整置于一個平安內(nèi)；當某些業(yè)務(wù)系統(tǒng)的次要功

能與根據(jù)主要功能所選定的平安區(qū)不一致時,可根據(jù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流程將不同的功能模

塊［或子系統(tǒng)〕分置于適宜的平安區(qū)中，各功能模塊〔或子系統(tǒng)〕經(jīng)過平安區(qū)之間的通信聯(lián)

接整個業(yè)務(wù)系統(tǒng).

(4)與外部邊界網(wǎng)絡(luò)不存在聯(lián)系的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng),對其劃分

規(guī)那么不作要求,但需遵守所在平安區(qū)的平安防護要求.

根據(jù)實際情況,平安區(qū)1和平安區(qū)II不一定同時存在.某一平安區(qū)不存在

的條件是其本身不存在該平安區(qū)的業(yè)務(wù),且與其它電力二次系統(tǒng)在該平安區(qū)不存在“縱

向"互聯(lián).如果省略某平安區(qū)而導(dǎo)致上下級平安區(qū)的縱向交叉,那么應(yīng)該構(gòu)造一個最小平安

區(qū)并安裝平安區(qū)間的隔離裝置,以保持平安防護體系的完整性.

13.電力二次系統(tǒng)平安區(qū)連接的拓撲結(jié)構(gòu)有幾種，各有什么特點？

答：電力二次系統(tǒng)平安區(qū)連接的拓撲結(jié)構(gòu)有鏈式、三角和星形結(jié)構(gòu)三種.

14.如何構(gòu)建平安隔離的電力調(diào)度數(shù)據(jù)網(wǎng)?

答：電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng),采用基

于SDH/PDH上的不同通道、不同光波長、不同纖芯等方式，在物理層面上實現(xiàn)與電力

企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的平安隔離.電力調(diào)度數(shù)據(jù)網(wǎng)是電力二次平安防護體系

的重要網(wǎng)絡(luò)根底.

15.在生產(chǎn)限制大區(qū)與治理信息大區(qū)之間的平安要求是什么？

答：在生產(chǎn)限制大區(qū)與治理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認

證的電力專用橫向單向平安隔離裝置,隔離強度應(yīng)接近或到達物理隔離.

16.生產(chǎn)限制大區(qū)內(nèi)部的平安區(qū)之間的平安防護要求是什么？

答：生產(chǎn)限制大區(qū)內(nèi)部的平安區(qū)之間應(yīng)當采用具有訪問限制功能的設(shè)備、

防火墻或者相當功能的設(shè)施，實現(xiàn)邏輯隔離.具體隔離裝置的選擇還需要考慮業(yè)務(wù)所需帶寬

及實時性的要求.

17.什么類型的數(shù)據(jù)才能穿越專用橫向單向平安隔離裝置？

答:嚴格禁止￡加皿Web、TelnetxRlogin.FTP等通用網(wǎng)絡(luò)效勞和

以B/S或6/S方式的數(shù)據(jù)庫訪問功能穿越專用橫向單向平安隔離裝置,僅允許純數(shù)據(jù)的單

向平安傳輸.

18.防火墻的特點是什么？

答：防火墻〔價€亞乂“〕是指設(shè)置在不同網(wǎng)絡(luò)〔如可信任的企業(yè)內(nèi)部網(wǎng)和不可信

任的公共網(wǎng)〕或網(wǎng)絡(luò)平安域之間的一系列部件的組合.它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信

息的唯一出入口，能根據(jù)企業(yè)的平安政策〔允許、拒絕、監(jiān)測〕限制出入網(wǎng)絡(luò)的信息流，且

本身具有較強的抗攻擊水平.它是提供信息平安效勞，實現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施.

19.專用橫向單向平安隔離裝置分為幾種？

答：專用橫向單向平安隔離裝置分為正向型和反向型.

20.反向平安隔離裝置的特點是什么？

答：反向平安隔離裝置采取簽名認證和數(shù)據(jù)過濾舉措,僅允許純文本數(shù)據(jù)

通過，并嚴格防范病毒、木馬等惡意代碼進入生產(chǎn)限制大區(qū).

21.在生產(chǎn)限制大區(qū)與廣域網(wǎng)的縱向交接處如何實現(xiàn)平安防護？

答：在生產(chǎn)限制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當設(shè)置經(jīng)過國家指定部門檢

測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關(guān)及相應(yīng)設(shè)施,實現(xiàn)雙向身份認證、數(shù)

據(jù)加密和訪問限制.如暫時不具備條件,可采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問限制技術(shù)臨時

代替.

22.在治理信息大區(qū)與廣域網(wǎng)的縱向交接處如何實現(xiàn)平安防護？

答：治理信息大區(qū)應(yīng)采用硬件防火墻等平安設(shè)備接入電力企業(yè)數(shù)據(jù)網(wǎng).

23.對處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)如何實現(xiàn)平安防護？

答：對處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān),應(yīng)進行操作系統(tǒng)的平安加固.根據(jù)

具體業(yè)務(wù)的重要程度及信息的敏感程度，對生產(chǎn)限制大區(qū)的外部通信網(wǎng)關(guān)應(yīng)該具備加密、認

證和過濾的功能.

24.傳統(tǒng)的基于專用通道的通信是否需要平安防護？

答：傳統(tǒng)的基于專用通道的通信不涉及網(wǎng)絡(luò)平安問題,可采用線路加密技

術(shù)保護關(guān)鍵廠站及關(guān)鍵業(yè)務(wù).

25.生產(chǎn)限制大區(qū)內(nèi)部平安區(qū)工是否允許WEB效勞？

答:生產(chǎn)限制大區(qū)內(nèi)部平安區(qū)工禁止平安區(qū)工的Web效勞.

26.生產(chǎn)限制大區(qū)內(nèi)部平安區(qū)0是否允許WEB效勞？

答：允許4Kn內(nèi)部采用B/S結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)旭僅限于業(yè)務(wù)系統(tǒng)內(nèi)部

使用.允許平安區(qū)0縱向平安Web效勞,經(jīng)過平安加固且支持HTTPS的平安

Web效勞器和Web瀏覽工作站應(yīng)在專用網(wǎng)段,應(yīng)由業(yè)務(wù)系統(tǒng)向Web效勞器單

向主動傳送數(shù)據(jù).

27.電力調(diào)度數(shù)字證書的特點？

答：電力調(diào)度數(shù)字證書是專用于電力調(diào)度業(yè)務(wù)需要的數(shù)字證書,主要用于

生產(chǎn)限制大區(qū)，可使用于交互式登錄的身份認證、網(wǎng)絡(luò)身份認證、通信數(shù)據(jù)加密及認證

〔包括數(shù)據(jù)完整性和數(shù)據(jù)源認證〕等.

電力調(diào)度證書系統(tǒng)根據(jù)電力調(diào)度治理體系進行配置,省級及以上調(diào)度中央

和有實際業(yè)務(wù)需要的地區(qū)調(diào)度限制中央應(yīng)該建立電力調(diào)度證書效勞系統(tǒng).

28.電力調(diào)度系統(tǒng)數(shù)字證書的建立原那么？

答：（1）統(tǒng)一規(guī)劃數(shù)字證書的信任體系，各級電力調(diào)度證書系統(tǒng)用于頒發(fā)

本調(diào)度中央及調(diào)度對象相關(guān)人員和設(shè)備證書.上下級電力調(diào)度證書系統(tǒng)通過信任鏈構(gòu)成認

證體系,預(yù)防產(chǎn)生交叉認證.

（2）采用統(tǒng)一的數(shù)字證書格式和加密算法.

（3）原那么上離線生成、離線裝入、離線治理,保證調(diào)度數(shù)字證書的生成、

發(fā)放、治理以及密鑰的生成、理脫離網(wǎng)絡(luò)，獨立運行；

（4）優(yōu)化調(diào)度數(shù)字證書系統(tǒng)應(yīng)用接口，推進其應(yīng)用和普及；（5）相關(guān)應(yīng)用系

統(tǒng)嵌入數(shù)字證書效勞,以提升實時性和可靠性.

29.電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)承載的業(yè)務(wù)是什么？

答：電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是專用網(wǎng)絡(luò),承載的業(yè)務(wù)是電力實時限制業(yè)務(wù)、在

線生產(chǎn)業(yè)務(wù)以及本網(wǎng)網(wǎng)管業(yè)務(wù).

30.如何實現(xiàn)對電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)路由的防護？

答：對路由器之間的路由信息交換進行數(shù)字簽名,保證信息的完整性與可

信性.

31.如何對電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備進行平安配置？

答：網(wǎng)絡(luò)設(shè)備的平安配置包括關(guān)閉或限定網(wǎng)絡(luò)效勞、預(yù)防使用默認路由、

網(wǎng)絡(luò)邊界關(guān)閉OSPF路由功能、采用平安增強的SNMPV2及以上版本的網(wǎng)管系統(tǒng)、及

時更新軟件、使用平安的治理方式、限制登錄的網(wǎng)絡(luò)地址、記錄設(shè)備日志、設(shè)置高強度的

密碼、適當配置訪問限制列表、封閉空閑的網(wǎng)絡(luò)端口等.

32.如何實現(xiàn)對電力企業(yè)數(shù)據(jù)網(wǎng)的防護？

答：電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內(nèi)聯(lián)網(wǎng),其平安防護由各個企業(yè)負責.其

中,電網(wǎng)企業(yè)的數(shù)據(jù)網(wǎng)即為電力數(shù)據(jù)通信網(wǎng),該網(wǎng)承載業(yè)務(wù)主要為電力綜合信息、電力調(diào)度

生產(chǎn)治理業(yè)務(wù)、電力內(nèi)部數(shù)字語音視頻以及網(wǎng)管業(yè)務(wù)，該網(wǎng)不經(jīng)營對外業(yè)務(wù).電力數(shù)據(jù)通信

網(wǎng)使用私有網(wǎng)絡(luò)地址,與外部互聯(lián)網(wǎng)以及其它外部網(wǎng)絡(luò)沒有直接的網(wǎng)絡(luò)連接,采用虛擬專網(wǎng)

技術(shù)構(gòu)造三個子網(wǎng)：調(diào)度子網(wǎng)、信息子網(wǎng)以及語音視頻子網(wǎng),分別對應(yīng)電網(wǎng)企業(yè)的電力調(diào)度

生產(chǎn)治理、電力綜合信息、電力內(nèi)部

字語音視頻三類業(yè)務(wù).

33.如何實現(xiàn)對電力監(jiān)控系統(tǒng)的備份及恢復(fù)？

答：必須定期對電力監(jiān)控系統(tǒng)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與系統(tǒng)進行備份,建立歷史

歸檔數(shù)據(jù)的異地存放制度,保證在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng),保證

系統(tǒng)的可用性.

對關(guān)鍵主機設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵部件進行相應(yīng)的冗余配置,平安區(qū)1的

業(yè)務(wù)應(yīng)采用熱備份方式,其它平安區(qū)的業(yè)務(wù)系統(tǒng)可根據(jù)需要選用熱備份、溫備份、冷備份

等備份方式,預(yù)防單點故障影響系統(tǒng)可靠性.

34.如何實現(xiàn)對電力二次系統(tǒng)惡意代碼的防范？

答：對病毒、木馬等惡意代碼的防護是電力二次系統(tǒng)平安防護所必須的安

全舉措,生產(chǎn)限制大區(qū)應(yīng)該統(tǒng)一部署惡意代碼防護系統(tǒng),治理信息大區(qū)建議統(tǒng)一部署惡意代

碼防護系統(tǒng),禁止生產(chǎn)限制大區(qū)與治理信息大區(qū)共用一個防惡意代碼

理效勞器.對生產(chǎn)限制大區(qū),禁止以任何方式連接外部網(wǎng)絡(luò)進行病毒或木馬特征碼的在線

更新.

增強防病毒、木馬等惡意代碼的治理,保證特征碼的及時更新,及時查看

查殺記錄,隨時掌握威脅狀況.

35.如何在生產(chǎn)限制大區(qū)部署防火墻？

答：防火墻產(chǎn)品可以部署在平安區(qū)1與平安區(qū)II之間,實現(xiàn)兩個區(qū)域的邏

輯隔離、報文過濾、訪問限制等功能.生產(chǎn)限制大區(qū)與治理信息大區(qū)采用的防火墻平安策

略的側(cè)重點應(yīng)有所不同.

36.如何在生產(chǎn)限制大區(qū)部署入侵檢測系統(tǒng)？

答：生產(chǎn)限制大區(qū)統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測系統(tǒng),其平安策略的設(shè)置重

在捕獲網(wǎng)絡(luò)異常行為、分析潛在威脅以及事后平安審計,不宜使用實時阻斷功能.

禁止使用入侵檢測與防火墻的聯(lián)動.

增強入侵檢測系統(tǒng)的使用與治理,合理設(shè)置檢測規(guī)那么,及時分析檢測報告，

準確識別攻擊,及時發(fā)出告警信息,充分發(fā)揮其在平安事件檢測與恢復(fù)中的作用.

37.如何在生產(chǎn)限制大區(qū)進行主機加固？

答：主機平安防護首先要確定平安策略,然后采取適當?shù)姆绞皆鰪娖淦桨?/p>

性,通過合理地設(shè)置系統(tǒng)配置、效勞、權(quán)限,可有效減少平安薄弱環(huán)節(jié).

38.如何對操作系統(tǒng)進行平安加固？

答：操作系統(tǒng)平安加固舉措包括：升級到當前系統(tǒng)版本、安裝后續(xù)的補丁

合集、加固系統(tǒng)TCP/IP配置、根據(jù)系統(tǒng)應(yīng)用要求關(guān)閉不必要的效勞、關(guān)閉SNMP

協(xié)議預(yù)防利用其遠程溢出漏洞獲取系統(tǒng)限制權(quán)或限定訪問范圍、為■超級用戶或特權(quán)用戶

設(shè)定復(fù)雜的口令、修改弱口令或空口令、禁止任何應(yīng)用程序以超級用戶身份運行、設(shè)定系

統(tǒng)日志和審計行為等.

39.數(shù)據(jù)庫的加固舉措包括什么？

答：數(shù)據(jù)庫的應(yīng)用程序進行必要的平安審核、及時刪除不再需要的數(shù)據(jù)庫、

安裝補丁、使用平安的密碼策略和賬號策略、限定治理員權(quán)限的用戶范圍、禁止多個治理

員共享用戶賬戶和口令、禁止一般用戶使用數(shù)據(jù)庫治理員的用戶名和口

令、增強數(shù)據(jù)庫日志的治理、治理擴展存儲過程、數(shù)據(jù)定期備份等.

40.電力調(diào)度數(shù)字證書的應(yīng)用范圍？！

答：電力調(diào)度系統(tǒng)建設(shè)基于公鑰技術(shù)的分布式的調(diào)度數(shù)字證書系統(tǒng),由相

關(guān)主管部門統(tǒng)一頒發(fā)調(diào)度數(shù)字證書，為電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)上的關(guān)鍵應(yīng)用、關(guān)鍵用

戶和關(guān)鍵設(shè)備提供數(shù)字證書效勞.在數(shù)字證書根底上可以在調(diào)度系統(tǒng)與網(wǎng)絡(luò)關(guān)鍵環(huán)節(jié)實現(xiàn)

高強度的身份認證、平安的數(shù)據(jù)傳輸以及可靠的行為審計.

41.在電力調(diào)度數(shù)字證書中何為人員證書？

答：人員證書指關(guān)鍵業(yè)務(wù)的用戶、系統(tǒng)治理人員以及必要的應(yīng)用維護與開

發(fā)人員，在訪問系統(tǒng)、進行操作時需要持有的證書,主要用于用戶登錄網(wǎng)絡(luò)與操作系統(tǒng)、登

錄應(yīng)用系統(tǒng),以及訪問應(yīng)用資源、執(zhí)行應(yīng)用操作命令時對用戶的身份進行認證，與其它實體

通信過程中的認證、加密與簽名，以及行為審計.

42.在電力調(diào)度數(shù)字證書中何為程序證書？

答：程序證書指關(guān)鍵應(yīng)用的模塊、進程、效勞器程序運行時需要持有的證

書,主要用于應(yīng)用程序與遠方程序進行平安的數(shù)據(jù)通信,提供雙方之間的認證、

據(jù)的加密與簽名功能.

43.在電力調(diào)度數(shù)字證書中何為設(shè)備證書？

答：設(shè)備證書指網(wǎng)絡(luò)設(shè)備、效勞器主機等，在接入本地網(wǎng)絡(luò)系統(tǒng)與其它實

體通信過程中需要持有的證書,主要用于本地設(shè)備接入認證,遠程通信實體之間的認證,以

及實體之間通信過程的數(shù)據(jù)加密與簽名.

44.縱向加密認證裝置有何特點？

答：縱向加密認證裝置具有類似過濾防火墻的功能,并為廣域網(wǎng)通信提供

認證與加密功能，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性、完整性保護.加密認證網(wǎng)關(guān)除具有加密認證裝置

的全部功能外，還應(yīng)實現(xiàn)電力應(yīng)用層協(xié)議及報文內(nèi)容的識別功能.

45.如何實現(xiàn)遠程撥號訪問的平安防護？

答：當遠程撥號訪問生產(chǎn)限制大區(qū)時,要求遠方用戶使用平安加固的

LINUX或UNIX系統(tǒng)平臺以預(yù)防將病毒、木馬等惡意代碼引入生產(chǎn)限制大區(qū).

遠程撥號訪問應(yīng)采用調(diào)度數(shù)字證書,進行登錄認證和訪問認證.

46.撥號訪問的防護有那兩種方式,有何特點？

答：撥號訪問的防護可以采用鏈路層保護方式或者網(wǎng)絡(luò)層保護方式.鏈路

保護方式使用專用鏈路加密設(shè)備,實現(xiàn)兩端鏈路加密設(shè)備相互進行認證和對鏈路幀進行加

密等平安功能.網(wǎng)絡(luò)保護方式采用VPN技術(shù)在撥號效勞器(RAS)與遠程撥入用戶建立

加密通道,實現(xiàn)對網(wǎng)絡(luò)層數(shù)據(jù)的機密性與完整性保護.

47.線路加密設(shè)備可用于什么通道上實現(xiàn)平安防護？

答：線路加密設(shè)備可用于傳統(tǒng)的專線遠動裝置〔RTUI繼電保護裝置、

平安自動裝置、負荷治理裝置等專用通道上的數(shù)據(jù)加密防護，預(yù)防通過搭線等方式篡改限

制命令及敏感數(shù)據(jù).要求該設(shè)備具有一定強度的對稱加密功能.

48.平安文件網(wǎng)關(guān)的用途？

答：平安文件網(wǎng)關(guān)主要用于電力系統(tǒng)各級部門之間平安的文件傳輸,部署

在平安區(qū)口，采用加密、認證等技術(shù),保證文件的機密性、完整性.可用于調(diào)度報表、檢修方

案、發(fā)電方案、交易報價等文件的傳輸場合.

49.平安審計的用途？

答：平安審計是平安治理的重要環(huán)節(jié),應(yīng)在生產(chǎn)限制大區(qū)內(nèi)引入相對集中

的、智能的平安審計系統(tǒng)，通過技術(shù)手段，對網(wǎng)絡(luò)運行日志、操作系統(tǒng)運行日志、

據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運行日志、平安設(shè)施運行日志等進行統(tǒng)一平安審計,及時自

動分析系統(tǒng)平安事件,實現(xiàn)系統(tǒng)平安運行治理.

50.國家電力監(jiān)管委員會在電力二次系統(tǒng)平安防護的作用？

答：國家電力監(jiān)管委員會負責電力二次系統(tǒng)平安防護的監(jiān)管,組織制定電

力二次系統(tǒng)平安防護技術(shù)標準并監(jiān)督實施.

51.電力企業(yè)如何實現(xiàn)平安分級負責制？

答：電力企業(yè)應(yīng)當根據(jù)“誰主管誰負責，誰經(jīng)營誰負責"的原那么,建立電

力二次系統(tǒng)平安治理制度，將電力二次系統(tǒng)平安防護及其信息報送納入日常平安

生產(chǎn)治理體系,落實分級負責的責任制.

52.電力調(diào)度機構(gòu)的平安負責范圍？■

答：電力調(diào)度機構(gòu)負責直接調(diào)度范圍內(nèi)的下一■級電力調(diào)度和變電站的二次系統(tǒng)平安防護

的技術(shù)監(jiān)督.

53.發(fā)電廠內(nèi)涉及到調(diào)度的業(yè)務(wù)系統(tǒng)的平安負責單位？

答：發(fā)電廠內(nèi)涉及到調(diào)度的業(yè)務(wù)系統(tǒng)〔包括發(fā)電廠輸變電局部、全廠/機

組AGC功能、人丫口無功電壓限制功能、電廠報價終端、電量計費系統(tǒng)、故障錄波系統(tǒng)

等〕由電力調(diào)度機構(gòu)和發(fā)電廠的上級主管單位共同實施技術(shù)監(jiān)督.

54.電力二次系統(tǒng)平安評估方式是什么？

答：電力二次系統(tǒng)平安評估采用以自評估為主、檢查評估為輔的方式，并

納入電力系統(tǒng)平安評價體系.

55.平安評估的內(nèi)容是什么？

答：平安評估的內(nèi)容包括：風險評估、攻擊演習、漏洞掃描、平安體系的

評估、平安設(shè)備的部署及性能評估、平安治理舉措的評估等.對生產(chǎn)限制大區(qū)安全評估的

所有記錄、數(shù)據(jù)、結(jié)果等均不得以任何形式、任何借口攜帶出被評估單位,要按國家有關(guān)

要求做好保密工作.

56.何時需要進行平安評估？

答：電力二次系統(tǒng)的新系統(tǒng)在投運之前、老系統(tǒng)進行平安整改之后或進行

重大改造或升級之后必須進行平安評估；電力二次系統(tǒng)應(yīng)該定期〔每年或每兩年〕進行平

安評估.

57.電力二次系統(tǒng)相關(guān)設(shè)備及系統(tǒng)的開發(fā)單位的平安責任？

答：電力二次系統(tǒng)相關(guān)設(shè)備及系統(tǒng)的開發(fā)單位、供給商應(yīng)以合同條款或保

密協(xié)議的方式保證所提供的設(shè)備及系統(tǒng)符合?電力二次系統(tǒng)平安防護規(guī)定?和本方案的要

求,并在設(shè)備及系統(tǒng)的生命期內(nèi)對此負責.

58.平安裝置的可用性指標？

答：平安裝置的可用性指標到達99.99%.

59.設(shè)備和應(yīng)用系統(tǒng)的接入治理？

答：新接入電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的節(jié)點、設(shè)備和應(yīng)用系統(tǒng)，其接入技術(shù)方案

和平安防護舉措須經(jīng)負責本級電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的調(diào)度機構(gòu)核準,并送上一級電力調(diào)度機

構(gòu)備案.在已經(jīng)建立平安防護體系的電力二次系統(tǒng)中,接入任何新的設(shè)備和應(yīng)用及效勞,必

須立案申請、審查批準后,方可在平安治理人員的監(jiān)管下實施接入.

60.生產(chǎn)限制大區(qū)的工作站、效勞器平安治理要求？

答：各業(yè)務(wù)系統(tǒng)位于生產(chǎn)限制大區(qū)的工作站、效勞器均嚴格禁止以各種方

式開通與互聯(lián)網(wǎng)的連接；限制開通撥號功能，必須配置強認證機制；在生產(chǎn)限制大區(qū)中的

PC機等應(yīng)該撤除可能傳播病毒等惡意代碼的軟盤驅(qū)動、光盤驅(qū)動、USB接口、串行口等,

或通過平安治理平臺實施嚴格治理.

61.對電力二次系統(tǒng)生產(chǎn)限制區(qū)中的平安產(chǎn)品有何要求？

答：接入電力二次系統(tǒng)的生產(chǎn)限制區(qū)中的平安產(chǎn)品,必須具有公安部平安

產(chǎn)品銷售許可,獲得國家指定機構(gòu)平安檢測證實,用于廠站的設(shè)備還需有電力系統(tǒng)電磁兼容

檢測證實.

62.日常運行的平安治理制度包括那些？

答：日常運行的平安治理制度包括：門禁治理、人員治理、權(quán)限治理、訪

問限制治理、平安防護系統(tǒng)的維護治理、常規(guī)設(shè)備及各系統(tǒng)的維護治理、惡意代碼〔病毒

及木馬等〕的防護治理、審計治理、數(shù)據(jù)及系統(tǒng)的備份治理、用戶口令密鑰及數(shù)字證書的

治理、培訓治理等治理制度.

63.如何進行電力二次系統(tǒng)聯(lián)合防護和應(yīng)急處理？

答：建立健全電力二次系統(tǒng)平安的聯(lián)合防護和應(yīng)急機制,電力調(diào)度機構(gòu)負

責統(tǒng)一指揮調(diào)度范圍內(nèi)的電力二次系統(tǒng)平安應(yīng)急處理.各電力企業(yè)的電力二次系統(tǒng)必須制

定應(yīng)急處理預(yù)案并經(jīng)過預(yù)演或模擬驗證.

64.當電力生產(chǎn)限制大區(qū)出現(xiàn)平安事故時如何處理？

答：當電力生產(chǎn)限制大區(qū)出現(xiàn)平安事故，尤其是遭到黑客、惡意代碼攻擊

和其他人為破壞時,應(yīng)當立即向其上級電力調(diào)度機構(gòu)和信息平安主管部門報告，必須按應(yīng)急

處理預(yù)案立即采取相應(yīng)的平安應(yīng)急舉措.并通報有網(wǎng)絡(luò)連接的相鄰單位〔有關(guān)的調(diào)度中央

及發(fā)電廠和變電站〕，聯(lián)合采取緊急防護舉措,以預(yù)防事件擴大.同時注意保護事故現(xiàn)場,以

便進行調(diào)查取證和事故分析.當系統(tǒng)遭到破壞時,應(yīng)當根據(jù)預(yù)先制定的應(yīng)急方案盡快實施恢

復(fù).

65.什么是網(wǎng)絡(luò)平安？

答：網(wǎng)絡(luò)平安是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不

因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)可以連續(xù)可靠正常地運行,網(wǎng)絡(luò)效

勞不被中斷.

66?什么是計算機病毒？

答：是指編制或者在計算機程序中插入的破壞計算機數(shù)據(jù),影響計算機使

用，并能自我復(fù)制的一組計算機指令或者程序代碼.

67.什么是木馬?

答：木馬是一種帶有惡意性質(zhì)的遠程限制軟件.木馬一般分為客戶端

（client〕和效勞器端〔§€八「1客戶端就是本地使用的各種命令的限制臺，效勞器端那

么是要給別人運行,只有運行過效勞器端的計算機才能夠完全受控.木馬不會像病毒那樣去

感染文件.

68.什么叫入侵檢測？答：入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,

擴展系統(tǒng)管

理員的平安治理水平〔包括平安審計、監(jiān)視、進攻識別和響應(yīng)〕，提升信息平安根底結(jié)構(gòu)的

完整性.它從計算機網(wǎng)絡(luò)系統(tǒng)中的假設(shè)干關(guān)鍵點收集信息,并分析這些信息,檢查網(wǎng)絡(luò)中是

否有違反平安策略的行為和遭到襲擊的跡象.

69.加密技術(shù)是指什么？

答：加密技術(shù)是最常用的平安保密手段,利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)?/p>

亂碼〔加密〕傳送,到達目的地后再用相同或不同的手段復(fù)原〔解密〕.

加密技術(shù)包括兩個元素：算法和密鑰.算法是將普通的信息或者可以理

解的信息與一串數(shù)字〔密鑰〕結(jié)合，產(chǎn)生不可理解的密文的步驟,密鑰是用來對數(shù)據(jù)進行編

碼和解密的一種算法.在平安保密中,可通過適當?shù)蔫€加密技術(shù)和管理機制來保證網(wǎng)絡(luò)的信

息通信平安.

70防火墻種類有幾種？

答：防火墻產(chǎn)品又可分為包過濾型防火墻、應(yīng)用級網(wǎng)關(guān)型防火墻和代理服

務(wù)型防火墻.

71虛擬專用網(wǎng)「11八21PrivateNetwork,VPN）M￡A?

答：VPN被定義為通過一公共網(wǎng)絡(luò)［Internet）立的臨時的、平安的

連接，是一條穿過混亂的公用網(wǎng)絡(luò)的平安、穩(wěn)定的隧道，它是對企業(yè)內(nèi)部網(wǎng)的擴

展.

72計算機病毒的特征？

答：傳染性、隱蔽性、潛伏性、破壞性、不可預(yù)見性等.

73什么是MPLSVPN?

答MPLSVPNe—AS7MPLS（MultiprotocolLabelSwitching,

多協(xié)議標記交換］技術(shù)的卬VPN是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡化核心

路由器的路由選擇方式,利用結(jié)合傳統(tǒng)路由技術(shù)的標記交換實現(xiàn)的IP

虛擬專用網(wǎng)絡(luò)〔卬VPN）,可用來構(gòu)造寬帶的Intranet、Extranet,滿足多種靈活的業(yè)

務(wù)需求.

74什么是NAT?

答：NAT（NetworkAddress1加5的修.由是指網(wǎng)絡(luò)地址轉(zhuǎn)換.

75限制區(qū)〔平安區(qū)工〕的平安等級相當于計算機信息系統(tǒng)平安保護等級的第幾級?

答：限制區(qū)〔平安區(qū)工〕的平安等級相當于計算機信息系統(tǒng)平安保護等級

的第4級.

76三漪制區(qū)〔平安區(qū)口海當于計算機信息系統(tǒng)平安保護等級的第幾級？

答三陶制歐平安區(qū)口相當于計算機信息系統(tǒng)平安保護等級的第3級.

77什么是SDH?

答:同步數(shù)字系列e丫皿楠?門.八DigitalHierarchy:SDH）:是國際電

聯(lián)于1988年在北美SONET的根底上提出的一種新的傳輸體制,是為實現(xiàn)在物理傳輸網(wǎng)

絡(luò)中傳送經(jīng)適當配置的信息而標準化的數(shù)字傳輸結(jié)構(gòu)體系.

78什么是PVC?

答：PVC（PermanentVirtual0「3過）永久虛電路,所謂虛電路，就是

兩個用戶終端設(shè)備在開始互相發(fā)送和接收數(shù)據(jù)之前,需要通過網(wǎng)絡(luò)建立邏輯上的連接，一旦

這種連接建立之后，就在網(wǎng)絡(luò)中保持已建立的數(shù)據(jù)通路，用戶發(fā)送的數(shù)據(jù)（以分組為單位）

將按順序通過網(wǎng)絡(luò)到達終點.永久連接的虛電路稱為永久虛電路.

79什么是.乂2區(qū)？$：DMZ(De-MilitarizedZone)"國事化區(qū)為了配置

治理方便，

內(nèi)部網(wǎng)中需要向外提供效勞的效勞器放在一個單獨的網(wǎng)段,這個網(wǎng)段便是非軍事化區(qū).傳統(tǒng)

硬件防火墻一般至少應(yīng)具備三個端口，分別接內(nèi)網(wǎng),外網(wǎng)和DMZ區(qū).

80什么是DoS?

S：DoS(Denyof5€1八&§)拒絕效勞攻擊,拒絕效勞攻擊專門設(shè)計用

來阻止授權(quán)用戶對系統(tǒng)以及系統(tǒng)數(shù)據(jù)進行訪問,通常采用的攻擊方式是讓系統(tǒng)服務(wù)器超載

或者讓系統(tǒng)死機.

81對于孤立業(yè)務(wù)系統(tǒng)如何進行平安防護？

答：與外部邊界網(wǎng)絡(luò)不存在聯(lián)系的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng),對其平安區(qū)

劃分可不作要求,但需遵守所在平安區(qū)的平安防護要求.

82電力調(diào)度數(shù)據(jù)網(wǎng)邏輯子網(wǎng)的劃分？

答：電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng),分別連接

限制區(qū)和非限制區(qū)《子網(wǎng)之間可采用MPLS-VPN技術(shù)、平安隧道技術(shù)、PVC技術(shù)或路

由獨立技術(shù)等來構(gòu)造子網(wǎng).

83電力二次系統(tǒng)平安區(qū)連接的拓撲結(jié)構(gòu)各有什么特點？

答：鏈式結(jié)構(gòu)中的限制區(qū)具有較高的累積平安強度，但總體層次較多；三

角結(jié)構(gòu)各區(qū)可直接相連，效率較高，但所用隔離設(shè)備較多；星形結(jié)構(gòu)所用設(shè)備簡單、容易實

施,但中央點故障影響三個區(qū).三種模式均能滿足電力二次系統(tǒng)平安防護體系的要求,可根

據(jù)本地具體情況選用.

84如何實現(xiàn)對生產(chǎn)限制大區(qū)內(nèi)惡意代碼防護系統(tǒng)中病毒或木馬特征碼的

更新?

答：對生產(chǎn)限制大區(qū),禁止以任何方式連接外部網(wǎng)絡(luò)進行病毒或木馬特征

碼的在線更新,只能使用離線更新方式進行更新.

85對生產(chǎn)限制大區(qū)所選用的防火墻有何要求？

答：生產(chǎn)限制大區(qū)所選用的防火墻必須為國產(chǎn)硬件防火墻，其功能、性能、

電磁兼容性必須經(jīng)過相關(guān)測試.

86專用橫向單向平安隔離裝置如何使用？

答：從生產(chǎn)限制大區(qū)向治理信息大區(qū)傳輸信息必須采用正向平安隔離裝置；

由治理信息大區(qū)向生產(chǎn)限制大區(qū)的少量單向數(shù)據(jù)傳輸必須經(jīng)反向平安隔離裝置.

87如何對關(guān)鍵應(yīng)用系統(tǒng)〔如能量治理系統(tǒng)SCADA/EMS/DMS等〕的主

效勞器及通信網(wǎng)關(guān)進行主機加固？

答：關(guān)鍵應(yīng)用系統(tǒng)〔如能量治理系統(tǒng)SCADA/EMS/DMS、變電站自動

化系統(tǒng)、電廠監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、電力交易系統(tǒng)等〕的主效勞器，以及網(wǎng)絡(luò)邊界

處的通信網(wǎng)關(guān)、Web效勞器等，應(yīng)該采用加固的LINUX或UNIX等平安操作系統(tǒng).主機

平安加固方式包括：平安配置、平安補丁、采用專用的軟件強化操作系統(tǒng)訪問限制水平、

以及配置平安的應(yīng)用程序.

88如何對業(yè)務(wù)系統(tǒng)的專用主機或者工作站進行主機加固？

答：作為業(yè)務(wù)系統(tǒng)的專用主機或者工作站,應(yīng)嚴格治理操作系統(tǒng)及應(yīng)用軟

件的安裝與使用，禁止不必要的應(yīng)用.通過及時更新操作