3二次系统安防题库

1、判断题1. 雷电系统与能量管理系统均在同一个安全区中。（）2. EMS DTS均在同一个局域网中。（）3. EMSW WAM的在同一个安全区中。（）4. E-mail、Web Telnet、Rlogin等服务可以穿越控制区（安全区I）与非控制区（安全区H）之间的隔离设备。（）5. EMS系统禁止开通EMAIL、WEBA及其它与业务无关的通用网络服务。（）6. 各业务系统位于生产控制大区的工作站、服务器均严格禁止以各种方式开通与互联网的连接。 （）7. 在生产控制大区中的 PC机等应该拆除可能传播病毒等恶意代码的软盘驱动、光盘驱动、USB接口、串行口等，或通过安全管理平台实施严格管理。（）8.

2、已投运的EMS系统不需要进行安全评估，新建设的EM繇统必须经过安全评估合格后后方可投运。（）9. 防火墙只能对IP 地址进行限制和过滤？（）10. 数字证书是电子的凭证，它用来验证在线的个人、组织或计算机的合法身份。（）11. 国家经贸委2002 第 30 号令是电力二次系统安全防护规定。 （）12. 国家电力监管委员会第5 号令中规定电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。（）13. 计算机黑客是对电子信息系统的正常秩序构成了威胁和破坏的人群的称谓。（）14. 虚拟专用网（VPN） 就是在国际互联网网络上建立属于自己的私有数据网络。（）15. 电力二次系统安全评估方式以

3、自评估与检查评估相结合的方式开展，并纳入电力系统安全评价体系。（）16. 蠕虫是具有欺骗性的文件（宣称是良性的，但事实上是恶意的），是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。（）二、填）？）和（） 。） 、 脆弱性和现有安全措施。）？） ，分别连接控制区和）保护方式。1. 国家电力监管委员会令第5 号中电力调度数据网络是指（2. 国家电力监管委员会第5 号令是（）？3. 电力二次系统安全防护原则是“（、保障电力监控系统和电力调度数据网络的安全。4. （）是电力二次系统安全防护体系的结构基础。5. 专用横向单向安全隔离装置按照数据通信方向分为（6. 安全评估的主要内容是评估二次系

4、统的（） 、 （7. 电力二次系统涉及到的数据通信网络包括（） 、 （8. 电力调度数据网划分为逻辑隔离的（）和（非控制区。9. 拨号访问的防护可以采用（）保护方式或者（10. 电力调度数字证书系统的技术体制是依照电力调度管理体制建立基于（）技术的分布式的电力调度数字证书系统。11. 网络风险是丢失需要保护的资产的可能性。风险的两个组成部分：（） 攻击的可能的途径；（ ）可能破坏网络系统环境安全的动作或事件。12. 防火墙可分为包过滤型防火墙、（）型防火墙和（）型防火墙。13. 根据技术原理，入侵检测系统IDS 可分为以下两类：基于（）的入侵检测系统和基于（）的入侵检测系统。14. 实现纵向加

5、密认证功能的设备有：（）和（） 。15. 电力调度数字证书分为：人员证书、（ ）证书、 （）证书三类。16. VPN 采用（）技术、加密技术、（ ）技术和身份认证技术来保证其安全。三、单选1. 电力二次系统的安全防护策略：（）A、实时控制、严格管理、加强防范、横向隔离。日安全分区、实时控制、严防病毒、隔离认证。C安全分区、网络专用、横向隔离、纵向认证。D实时控制、严格划分、严防病毒、横纵认证。2. 整个电力二次系统原则上分为两个安全大区：（）A、实时控制大区、生产管理大区。日生产控制大区、管理信息大区。C生产控制大区、生产应用大区。D实时控制大区、信息管理大区。3. 安全区H的典型系统包括：（

6、）A （1） DTS系统（2）统计报表系统（2）管理信息系统（MIS） （4）办公自动化系统 9A日（1） DMIS系统（2）统计报表系统（3）雷电监测系统（4）气象信息接入等C （1） DTS系统（2）保护信息管理系统（3）电能量计量系统（4）电力市场运营系统 等D、 （ 1）管理信息系统（MIS） （ 2）办公自动化系统（OA） （ 3）雷电监测系统（4）客户服务系统等4. 下列不属于网络安全的技术是：（ ）A. 防火墙 B. 加密狗 C. 认证 D. 防病毒5. 网络安全的特征：（）3）隐蔽性（4）可控性。3）可用性（4）可控性。3）可用性（4）隐蔽性3）安全性（4）可靠性A、 （1）程

7、序性（2）完整性B、 （1）保密性（2）完整性C、 （1）程序性（2）潜伏性D、 （1）保密性（2）潜伏性6. 计算机病毒六大特性：（）A、 （1）程序性（2）破坏性（B、 （1）潜伏性（2）寄生性（C、 （1）程序性（2）破坏性（D、 （1）破坏性（2）程序性（3）繁殖性（4）寄生性（3）危害性（4）破坏性（3）传染性（4）寄生性（3）繁殖性（4）隐蔽性（5）隐蔽性（6）潜伏性5）传染性（6）繁殖性5）隐蔽性（6）潜伏性5）寄生性（6）危害性7. 以下关于VPN的说法中哪一项是正确的？（）A、 VPN 是虚拟专用网的简称，它只能由ISP 维护和实施B、 VPN 是只能在第二层数据链路层上实现

8、加密C IPSEC是也是VPN的一种D、 VPN 使用通道技术加密，但没有身份验证功能8. 假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段？（ ）A、缓冲区溢出B、地址欺骗C、拒绝服务D、暴力攻击9. 当你感觉到你的Win2000运行速度明显减慢，当你打开任务管理器后发现CPU的使用率达到了百分之百，你最有可能认为你受到了哪一种攻击。（）A、特洛伊木马B、拒绝服务C、欺骗D、中间人攻击10. 国家电力监管委员会令第5 号电力二次系统安全防护规定于2004 年 12 月 20 日公布，自（）起施行。A、 2005 年 1 月 1 日 B 、 2

9、005 年 2 月 1 日 C、 2005 年 5 月 1 日 D、 2005年 6月 1 日11. 电力调度数据网应当基于（）在专用通道上使用独立的网络设备组网。A、ATMB、光纤 C、SDH/PDH D、PDH12. 防火墙产品可以部署在（）之间。A、安全区I与安全区II之间B、安全区I与安全区III之间C、安全区II与安全 区 III 之间 D 、安全区I 与安全区IV 之间13. 国家电力监管委员会第5 号令中明确（） 负责电力二次系统安全防护的监管，制定电力二次系统安全防护技术规范并监督实施。A、国家电网公司 B、信息安全管理部门C、调度机构D、国家电力监管委员会14. 对于电力监控

10、系统应该（）安全评估。A、每年进行一次B、每半年进行一次C、定时 D、经常15. （） 设计用来将自己从一台计算机复制到另一台计算机，但是它自动进行。首先，它控制计算机上可以传输文件或信息的功能，其次还可单独传播并大量复制。A蠕虫B、病毒 C、木马D、黑客16. （ ）是一种含有非预期或者隐藏功能的计算机程序，是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。A蠕虫B、病毒 C、木马D、黑客17. MS-DO舞作系统在计算机操作系统的安全等级中为（）类？A A类 B 、B类 C 、C类 D 、D类18. Microsoft IE 中安全区域中（）区域为安全级别为低级

11、，包含用户确认不会损坏计算机或数据的 Web站点。A、 Internet 区域B本地Intranet 区域C受信任站点区域D受限站点区域19. 当发生涉及调度数据网络和控制系统安全的事件时，应立即向上一级调度机构报告，同时报国调中心，并在（） 小时内提供书面报告。A、 4 B、 8 C、 12D、 2420. 电力二次系统安全防护的特点是具有（）和动态性。A、 系统性B、 安全性C、 开放性D、 稳定性21. 应用级防火墙不工作在以下OSI 分层的那一层？（）A、 物理层B、 网络层C、 传输层D、 应用层22. 接入电力调度数据网络的设备和应用系统，其接入技术方案和安全防护措施须经（）核准。

12、A、当地网络安全部门B、上级调度机构 C、直接负责的电力调度机构D、当地公安部门四、多选题1. 在保证密码安全中，我们应采取正确的措施有？（）A、 不用生日做密码B、 不要使用少于5 位的密码C、 不要使用纯数字D、 不要将密码设得非常复杂2. 在黑客入侵的探测阶段，他们会使用下面哪些方面方法来尝试入侵？（ ）A、 破解密码B、 确定系统默认的配置C、 寻找泄露的信息D、 击败访问控制E、 确定资源的位置F、 击败加密机制3. 电力监控系统包括（）？A、调度自动化系统 B、变电站自动化系统 C、电能量计量计费系统D、调度生产管理系统4. 电力调度数据网逻辑子网的划分技术有（）？A MPLS-V

13、PN术B、安全隧道技术 C、PVC技术 D 、静态路由技术5. 加密认证网关具有（）功能？A、认证 B、加密 C、安全过滤D 、对数据通信应用层协议及报文的处理功能。6. 生产控制大区部署的入侵检测系统的主要作用是（）？A、捕获网络异常行为B、分析潜在威胁 C 、安全审计 D、查杀病毒7. 主机加固方式包括（）。A、安全配置 B、安全补丁 C、加装防病毒软件D、采用专用软件强化操作系统访问控制能力8. 日常安全管理制度包括（）？A、门禁管理 B、人员管理C、权限管理 D、访问控制管理9. 网络安全的特征是（）？A 保密性B、完整性C、可用性D、可控性。10. 网络安全的关键技术有（）哪些？A、

14、身份认证技术 B、访问控制技术C、主机安全技术D、隔离技术11. 网络攻击类型有（）？A、阻断攻击 B、截取攻击C 、篡改攻击D 、伪造攻击12. 计算机病毒的特征包括（）？A控制性 B、隐蔽性C、潜伏性 D、破坏性13. 防火墙基本功能有（）？A、过滤进、出网络的数据 B、管理进、出网络的访问行为C 、封堵某些禁止的业务 D 、提供事件记录流的信息源E 、对网络攻击检测和告警。14. 关于电力二次系统安全评估的那些说法是正确的？（ ）A、电力二次系统在投运之前需要进行安全评估B 、电力二次系统升级改造之后需要进行安全评估C 、已投入运行的系统不需要进行安全评估D 、电力监控系统应该每年进行一

15、次安全评估。） 等通过各种形式对系统发起的恶意D 、 病毒15. 电力二次系统安全防护的重点是抵御（破坏和攻击，能够抵御集团式攻击。A、 黑客B、 邮件C、 普通用户16. 下列哪种网络安全产品不能有效地进行网络访问控制。（）A、VPN B、防火墙C、入侵检测系统D、路由器17. 根据技术原理，IDS 可分为以下两类（） 。A、基于用户的入侵检测系统B 、 基于客户机的入侵检测系统C、基于网络的入侵检测系统D 、 基于主机的入侵检测系统18. 调度数据网包括（） 。A、各级电力调度专用广域数据网络B 、 用于远程维护调度专用拨号网络C、用于远程采集的专用拨号网络D 、数据通信网络五、简答题1.

16、 国家经贸委2002 第 30 号令公布时间和施行时间分别是哪日？答： 电网和电厂计算机监控系统及调度数据网络安全防护规定于 2002 年 5 月 8日公布，自 2002 年 6 月 8 日起施行。2. 国家经贸委2002 第 30 号令规定所称“电力监控系统”是指什么？答：包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等； “调度数据网络”包括各级电力调度专用广域数据网络、用于远程维护及电能量计费等的调度专用拨号网络、各计

17、算机监控系统内部的本地局域网络等。3. 国家电力监管委员会令第5 号中电力二次系统是指什么？答：电力二次系统，包括电力监控系统、电力通信及数据网络等。4. 国家电力监管委员会令第5 号中的电力监控系统是指什么？答： 是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。5. 国家电力监管委员

18、会令第5 号中控制区指什么？答： 是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。6. 国家电力监管委员会令第5 号中非控制区指什么？答： 是指在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。7. 国家电力监管委员会第5 号令的监督范围？答：电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等应当符合国家电力监管委员会第5 号令的要求。8. 电力二次系统安全防护的总要求是什么？答： 电力二次系统的安全防护主要针对网络系统和基于网络的生产控制系统，

19、重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要敏感数据的安全。9. 电力二次系统安全防护目标？答：抵御黑客、病毒、 恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。10. 电力二次系统安全防护的总体安全防护水平取决于什么？答： 电力二次系统安全防护是复杂的系统工程，其总体安全防护水平取决于系统中最薄弱点的安全水平。11. 电力二次系统安全防护的机制？答： 电力二次系统安全防护过程是长期的动态过程，各单位应当严格落实总体安全防护原则， 建立和完善以安全防护原则为中心的安全监测、快速响应

20、、安全措施、审计评估等步骤组成的循环机制。12. 电力二次系统安全防护总体方案的安全分区？答：一生产控制大区：安全区I （控制区） ，安全区n （非控制区）管理信息大区：安全区 iii （生产管理区），安全区IV （管理信息区）13. 电力二次系统如何进行安全分区？答：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（安全区I）和非控制区（安全区n）；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是

21、应当避免通过广域网形成不同安全区的纵向交叉连接。14. 安全区 I 的典型系统包括哪些？答：调度自动化系统（SCADA/EM及 广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统、继电保护、安全自动控制系统、低频/ 低压自动减载系统、负荷控制系统等。15. 安全区 I 的业务系统或功能模块的典型特征是什么？答： 是电力生产的重要环节、安全防护的重点与核心；直接实现对一次系统运行的实时监控；纵向使用电力调度数据网络或专用通道。16. 安全区n的典型系统包括哪些？答：调度员培训模拟系统（ DTS） 、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场

22、运营系统等。17. 安全区n的业务系统或功能模块的典型特征是什么？答：所实现的功能为电力生产的必要环节；在线运行，但不具备控制功能；使用电力调度数据网络，与控制区（安全区I ）中的系统或功能模块联系紧密。18. 省级以上调度中心安全区III 的典型系统包括哪些？答：调度生产管理系统（DMIS） 、调度报表系统（日报、旬报、月报、年报）、雷电监测系统、气象信息接入等。19. 安全区 IV 的系统一般包括哪些？答：管理信息系统（MIS） 、办公自动化系统（OA） 、客户服务系统等。20. 省级以上调度中心二次系统安全防护各安全区的典型系统？答：安全区I ：能量管理系统、广域相量测量系统、安全自动控

23、制系统、调度数据网网络管理及安全告警系统等；安全区II ：调度员培训模拟系统、电能量计量系统、电力市场运营系统、继电保护和故障录波信息管理系统、调度计划管理系统、在线稳定计算系统等；安全区III ：调度生产管理系统、雷电监测系统、气象/卫星云图系统、电力市场监管信息系统接口等；安全区IV:办公自动化、 Web服务等。21. 生产控制大区内部安全防护是如何要求？ 答：1）禁止生产控制大区内部的E-Mail服务，禁止控制区（安全区I）内通用的Web服务。允许非控制区（安全区H）内部业务系统采用B/S结构，但仅限于业务系统内部使用。允许提供纵向安全Web服务，可以采用经过安全加固且支持HTTPS勺安

24、全Web服务器和WebJ览工作站。2）生产控制大区重要业务（如SCADA/AGC电力市场交易等）的远程通信必须采用加密认证机制，对已有系统应逐步改造。3）生产控制大区内的业务系统间应该采取VLA明口访问控制等安全措施，限制系统间的直接互通。4）生产控制大区的拨号访问服务，服务器和用户端均应使用经国家指定部门认证的安全加固的操作系统，并采取加密、认证和访问控制等安全防护措施。5）生产控制大区边界上可部署入侵检测系统IDS。6） 生产控制大区应部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS 管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。7）生产控制大区应该统一

25、部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。22. 管理信息大区安全要求是什么？答：应当统一部署防火墙、IDS、恶意代码防护系统等通用安全防护设施。23. 生产控制大区连接的广域网我们称为什么，采用什么技术构造？答：与生产控制大区连接的广域网为电力调度数据网（SGDnet） ；电力调度数据网（SGDnet）采用IP交换技术体制，构建在SDH用通道上面（即IP over SDH技术构造） 。24. 如何构建安全隔离的电力调度数据网?答：电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基于SDH/PDH不同通道、不同光波长、不同纤芯等方式

26、，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。25. 电力二次安全防护体系的重要网络基础是什么？ 答：电力调度数据网是电力二次安全防护体系的重要网络基础。26. 电力调度数据网络承载的业务是什么？答： 电力调度数据网络是与生产控制大区相连接的专用网络，承载电力实时控制、在线生产交易等业务。27. 电力调度数据网逻辑子网的划分？划分子网的技术有哪些？答： 电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。可采用MPLS-VPN术、安全隧道技术、PVC技术、静态路由等构造子网。28. 如何实现对电力调度数据网网络路由的防护？答： 采用虚拟专网技术，将

27、电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网， 分别对应控制业务和非控制生产业务，保证实时业务的封闭性和高等级的网络服务质量。 29. 如何对电力调度数据网网络设备进行安全配置？答： 网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、网络边界关闭OSPFM由功能、采用安全增强的SNMPv2及以上版本的网管协议、使用安全的管理方式、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。30. 与管理信息大区连接的广域网我们称为什么?答： 与管理信息大区连接的广域网为电力企业数据网或互联网，电力企业数据网为电力企业内联网。电网企业数

28、据网即为电力数据通信网SGTnet。31. 国家电网公司企业数据网称为什么？承载哪些业务？答：国家电网公司企业数据网称为国家电力数据通信网（SGTnet） ，该网主要承载电力综合信息、电力调度生产管理业务、电力内部数字语音视频等业务。32. 在生产控制大区与管理信息大区之间的安全要求是什么？答： 在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离。33. 什么装置是横向防护的关键设备？答： 电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施，是横向防护的关键设备。34. 专用横向单向安全隔离装

29、置的作用？答：正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。 反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。35. 正向安全隔离装置的功能？答：仅允许纯数据的单向安全传输。36. 反向安全隔离装置的功能？答：集中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。37. 专用横向单向安全隔离装置如何使用？答： 从生产控制大区向管理信息大区传输数据必须采用正向安全隔离装置；由管理信息大区向生产控制大区的少量单向数据传输必须经反向安全隔离装置

30、。38. 穿越专用横向单向安全隔离装置的信息要求？答：严格禁止 E-Mail、Web Telnet、Rlogin、FTP等通用网络服务和以 B/S或C/S方 式的数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据的单向安全传输。39. 生产控制大区内部的安全区之间的安全防护要求是什么？答： 生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离。40. 控制区（安全区I）与非控制区（安全区H）之间的隔离要求？答：控制区（安全区I）与非控制区（安全区H）之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。禁止安全风险高的

31、通用网络服务穿越该边界。41. 电力专用横向单向安全隔离装置检测证明？答： 必须通过公安部安全产品销售许可，获得国家指定机构安全检测证明，用于厂站的设备还需通过电力系统电磁兼容检测。42. 在生产控制大区与广域网的纵向交接处如何实现安全防护？答： 在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力 专用纵向加密认证装置或者加密认证网关及相应设施。43. 什么是电力二次安全防护体系的纵向防线？答：纵向加密认证是电力二次安全防护体系的纵向防线。44. 数据的远方安全传输以及纵向边界的安全防护采用什么技术措施？答：采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向

32、边界的安全防护。45. 实现纵向加密认证功能的设备有哪些？各有何特点？答：实现纵向加密认证功能的设备有：纵向加密认证装置和加密认证网关。纵向加密认证装置：为广域网通信提供认证与加密功能，实现数据传输的机密性、完整性保护，同时具有类似防火墙的安全过滤功能。加密认证网关：除具有加密认证装置的全部功能外，还应实现对电力系统数据通信应用层协议及报文的处理功能。46. 对处于外部网络边界的通信网关如何实现安全防护？答：对处于外部网络边界的通信网关，应进行操作系统的安全加固，对于新上的系统应支持加密认证的功能。47. 对于调度中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应采取什么防护措施？答：应

33、当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。48. 电力调度数字证书的应用范围？答：电力调度数字证书系统主要用于生产控制大区，为电力监控系统及电力调度数据网上的关键应用、关键用户和关键设备提供数字证书服务，实现高强度的身份认证、安全的数据传输以及可靠的行为审计。49. 简述电力调度数字证书类型？答：电力调度数字证书分为：人员证书、程序证书、设备证书三类。人员证书：指用户在访问系统、进行操作时对其身份进行认证所需要持有的证书。程序证书：指关键应用的模块、进程、服务器程序运行时需要持有的证书。设备证书：指网络设备、服务器

34、主机等，在接入本地网络系统与其它实体通信过程中需要持有的证书。50. 电力调度数字证书系统的建立原则？答：(1)统一规划数字证书的信任体系，各级电力调度证书系统用于颁发本调度中心及调度对象相关人员和设备证书。上下级电力调度证书系统通过信任链构成认证体系；(2)采用统一的数字证书格式和加密算法；(3)提供规范的应用接口，支持相关应用系统和安全专用设备嵌入电力调度数字证书服务；(4)电力调度数字证书的生成、发放、管理以及密钥的生成、管理应当脱离网络，独立运行。51. 对电网调度自动化系统的备份与恢复有何要求？答：应当定期对电网调度自动化系统的数据与系统进行备份，建立历史归档数据的异地存放制度。52

35、. 对省级以上调度中心的电网调度自动化系统的容灾有要求否？答：对省级以上调度中心的电网调度自动化系统应当逐步实现异地的系统级容灾功能。53. 电力二次系统中应当如何防范恶意代码？答：应当及时更新特征码， 查看查杀记录。禁止生产控制大区与管理信息大区共用一套 防恶意代码管理服务器。54. 如何实现对生产控制大区内恶意代码防护系统中特征码的更新？答：对生产控制大区，禁止以任何方式连接外部网络进行病毒或木马特征码的在线更新，只能使用离线更新方式进行更新。55. 对生产控制大区所选用的防火墙有何要求？答：生产控制大区应当选用国产硬件防火墙，其功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。56

36、. 如何在生产控制大区部署防火墙？答：防火墙产品可以部署在安全区I 与安全区II 之间，实现两个区域的逻辑隔离、报文过滤、访问控制等功能。57. 如何在生产控制大区部署入侵检测系统？答： 生产控制大区可以统一部署一套网络入侵检测系统，应当合理设置检测规则，及时捕获网络异常行为、分析潜在威胁、进行安全审计。（不宜使用实时阻断功能，禁止使用入侵检测与防火墙的联动）58. 生产控制大区部署的入侵检测系统的主要作用是什么？答：其主要的功能用于捕获网络异常行为、分析潜在威胁、进行安全审计。59. 哪些地方应该使用安全加固的操作系统？答：能量管理系统SCADA/EMS变电站自动化系统、电厂监控系统、配电网

37、自动化系统、电力市场运营系统等关键应用系统的主服务器，以及网络边界处的通信网关、Web服务器等，应该使用安全加固的操作系统。60. 主机加固的方式包括哪些？答：主机加固方式包括：安全配置、安全补丁、采用专用软件强化操作系统访问控制能力、以及配置安全的应用程序。61. 在非控制区（安全区n）如何提供Web服务？答：在非控制区（安全区H）应用电力调度数字证书实现支持HTTPS的纵向安全 Web服务，能够对浏览器客户端访问进行身份认证及加密传输。62. 关键应用系统如何实现计算机系统本地访问控制？答： 能量管理系统、厂站端生产控制系统、电能量计量系统及电力市场运营系统等业务系统， 应当逐步采用电力调

38、度数字证书，对用户登录本地操作系统、访问系统资源等操作进行身份认证，根据身份与权限进行访问控制，并且对操作行为进行安全审计。63. 简述电力二次系统中关于远程拨号访问的防护策略？答：通过远程拨号访问生产控制大区时，要求远方用户使用安全加固的操作系统平台，结合调度数字证书技术，进行登录认证和访问认证。对于通过拨号服务器（RAS访问本地网络与系统的远程拨号访问的方式，应当采用网 络层保护，应用VPN技术建立加密通道。 对于以远方终端直接拨号访问的方式，应当采用链路层保护，使用专用的链路加密设备。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。64. 拨号访问的防护一般有哪两种方式？

39、答：拨号访问的防护可以采用链路层保护方式或者网络层保护方式。链路保护方式使用专用的链路加密设备。网络保护方式应用VPN术建立加密通道。65. 对于通过拨号服务器（RAS的远程拨号访问，采用哪种防护方式？答：对于通过拨号服务器（RA9访问本地网络与系统的远程拨号访问的方式，应当采用网络层保护，应用 VPN术建立加密通道。66. 安全文件网关的功能？答：安全文件网关采用加密、认证等技术实现文件的安全传输，保证文件的机密性、完整性。67. 安全审计的作用？答：生产控制大区应当具备安全审计功能，可对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自

40、动分析，及时发现各种违规行为以及病毒和黑客的攻击行为。68. 国家电力监管委员会第5 号令中明确国家电力监管委员会在电力二次系统安全防护的职责是什么？答： 国家电力监管委员会第5 号令中明确国家电力监管委员会负责电力二次系统安全防护的监管，制定电力二次系统安全防护技术规范并监督实施。69. 国家电力监管委员会第5 号令中如何规定电力企业的安全防护责任？答：电力企业应当按照“谁主管谁负责，谁运营谁负责”的原则，建立健全电力二次系统安全管理制度，将电力二次系统安全防护工作及其信息报送纳入日常安全生产管理体系，落实分级负责的责任制。70. 国家电力监管委员会第5 号令中对电力二次系统安全防护的技术监

41、督是如何规定的？答： 电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂输变电部分的二次系统安全防护的技术监督，发电厂内其它二次系统可由其上级主管单位实施技术监督。71. 国家电力监管委员会第5 号令要求对生产控制大区安全评估的所有记录、数据、 结果等如何保管？答：应按国家有关要求做好保密工作。72. 国家电力监管委员会第5 号令中规定当电力生产控制大区出现安全事故时如何处理？答： 当电力生产控制大区出现安全事故，尤其是遭受黑客或恶意代码的攻击时，应当立即向其上级电力调度机构报告，并联合采取紧急防护措施，防止事件扩大，同时注意保护现场，以便进行调查取证。73. 国家电力监管委员

42、会第5 号令中如何规定电力二次系统相关设备及系统的开发单位、供应商的安全责任？答： 电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证其所提供的设备及系统符合电力二次系统安全防护规定的要求，并在设备及系统的生命期内对此负责。74. 国家电力监管委员会第5 号令中如何规定电力二次系统专用安全产品的开发单位、使用单位及供应商的安全责任是？答： 电力二次系统专用安全产品的开发单位、使用单位及供应商，应当按国家有关要求做好保密工作，禁止关键技术和设备的扩散。75. 国家电力监管委员会第5 号令中对实施方案的审核有什么规定？答： 电力调度机构、发电厂、变电站等运行单位的电力二次

43、系统安全防护实施方案须经过上级信息安全主管部门和相应电力调度机构的审核，方案实施完成后应当由上述机构验收。接入电力调度数据网络的设备和应用系统，其接入技术方案和安全防护措施须经直接负责的电力调度机构核准。76. 发电厂内涉及到电力调度的生产控制系统和装置的安全防护由谁负责？答： 发电厂内涉及到电力调度的生产控制系统和装置，如发电厂的输变电二次系统、自动发电控制功能、无功电压控制功能、电厂报价终端、电能量采集装置、故障录波装置和安全自动控制装置等，由电力调度机构和发电厂的上级主管单位共同实施技术监督，发电厂内其它二次系统安全防护可由其上级主管单位实施技术监督。77. 设备和应用系统的接入管理要求

44、？答： 接入电力调度数据网络的节点、设备和应用系统，其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准。78. 生产控制大区的各业务系统是否可以与互联网相连？答： 生产控制大区的各业务系统禁止以各种方式与互联网连接，并严格限制电子邮件的使用。79. 对电力二次系统生产控制大区中的安全产品有何要求？答： 接入电力二次系统生产控制大区中的安全产品，应当获得国家指定机构安全检测证明，用于厂站的设备还需有电力系统电磁兼容检测证明。80. 日常安全管理制度包括哪些？答：日常安全管理制度包括：门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理

45、、恶意代码的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。81. 如何进行电力二次系统联合防护和应急处理？答： 建立健全电力二次系统安全的联合防护和应急机制。由电监会负责对电力二次系统安全防护的监管，电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。各电力企业的电力二次系统必须制定应急处理预案并经过预演或模拟验证。当电力生产控制大区出现安全事件，尤其是遭到黑客、恶意代码攻击和其他人为破坏时，应当立即向其上级电力调度机构报告，同时按应急处理预案采取安全应急措施。相应电力调度机构应当立即组织采取紧急联合防护措施，以防止事件扩大。同时注意保护

46、现场，以便进行调查取证和分析。事件发生单位及相应调度机构应当及时将事件情况向相关电力监管部门和信息安全主管部门报告82. 国调自 200667 号文对安全事件的汇报要求是什么？答： 当发生涉及调度数据网络和控制系统安全的事件时，应立即向上一级调度机构报告，同时报国调中心，并在8 小时内提供书面报告。对隐报、缓报、谎报者，将按国家和公司有关规定，追究相关单位和当事人的责任。83. 国调自 200667 号文对涉及二次系统安全防护秘密资料的管理要求是什么？答： 凡涉及二次系统安全防护秘密的各种载体，应设专人管理，未经批准不得复制和摘抄。所有员工不准在各类媒体上发表涉及二次系统安全防护秘密的内容和信

47、息。84. 电力二次系统安全评估的目的？答： 电力二次系统安全评估是根据电力二次系统安全防护总体方案的要求对电力二次系统的总体安全防护水平进行评价。通过评估二次系统的资产、威胁、 脆弱性和现有安全措施，进行量化的风险计算与分析，从而发现系统存在的安全风险并提出整改建议。85. 何时需要进行安全评估？答： 电力二次系统在投运之前、升级改造之后必须进行安全评估；已投入运行的系统应该定期进行安全评估，对于电力监控系统应该每年进行一次安全评估。86. 对安全评估的方案与结果的要求是什么？答： 安全评估方案及结果应及时向上级主管部门汇报、备案。 对生产控制大区安全评估的所有记录、数据、 结果等均不得以任

48、何形式携带出被评估单位，按国家有关要求做好保密工作。87. 安全评估时应注意的事项是什么？答： 电力二次系统安全评估应严格控制实施风险，确保评估工作不影响电力二次系统的安全稳定运行。评估前制定相应的应急预案，实施过程应符合电力二次系统的相关管理规定。88. 如何实现IEC61970 国际标准与电力二次系统安全防护的结合?答：在应用IEC61970 国际标准时，应根据电力二次系统安全防护总体方案的原则，将IEC61970 国际标准规定的功能模块适当的置于各安全区中，从而实现国际标准与我国电力二次系统安全防护的有机结合。89. 什么是网络安全?答： 网络安全是指网络系统的硬件、软件及其系统中的数据

49、受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、 泄露，系统可以连续可靠正常地运行，网络服务不被中断。90. 简要说明安全的发展历史？答：1） 通信安全解决数据传输的安全密码技术2） 计算机安全解决计算机信息载体及其运行的安全正确实施主体对客体的访问控制3） 网络安全解决在分布网络环境中对信息载体及其运行提供安全保护完整的信息安全保障体系91. 网络安全处理一般有哪些过程？答： 1）评估；2）策略制定；3）实施；4）运行管理；5）审计。92. 网络安全的关键技术有哪些？答： 1）身份认证技术；2）访问控制技术；3）主机安全技术；4）防火墙技术；5）密码技术；6）反入侵技术；7）防病毒技术；

50、8）安全审计技术；9）安全管理技术等。93. 网络攻击类型有哪些？答： 1）阻断攻击：针对可用性攻击；2）截取攻击：针对机密性攻击；3）篡改攻击：针对完整性攻击；4）伪造攻击：针对真实性攻击。94. 什么是病毒？答： 计算机病毒（Computer Virus）, 根据 中华人民共和国计算机信息系统安全保护条例，病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。95. 计算机病毒的特征？答：传染性、隐蔽性、潜伏性、破坏性、不可预见性等。96. 什么是蠕虫？答：与病毒相似，蠕虫也是设计用来将自己从一台计算机复制

51、到另一台计算机，但是它自动进行。首先，它控制计算机上可以传输文件或信息的功能。一旦您的系统感染蠕虫，蠕虫即可独自传播。最危险的是，蠕虫可大量复制。97. 蠕虫的特点？答：病毒的子类。通常，蠕虫传播无需用户操作，并可通过网络分发它自己的完整副本（可能有改动）。蠕虫会消耗内存或网络带宽，从而可能导致计算机崩溃。98. 什么是木马?答：木马是一种含有非预期或者隐藏功能的计算机程序。木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。99. 木马的特点？答：它是具有欺骗性的文件（宣称是良性的，但事实上是恶意的），是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。特

52、洛伊木马与病毒的重大区别是特洛伊木马不具传染性。特洛伊木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码，要使特洛伊木马传播，必须在计算机上有效地启用这些程序。现在的木马一般主要以窃取用户相关信息为主要目的。相对病毒而言，病毒破坏你的信息，而木马窃取你的信息。100. 病毒、木马、蠕虫之间的差异是什么？答：三者差异，其实现在已经越来越小了。蠕虫，现在具体指那些通过漏洞或者电子邮件等快速传播的程序，它们大都以快速传播为目的，以此躲避彻底查杀，蠕虫一般很少感染可执行文件。当攻击者进入你的系统后，它会放置一个木马，或者，攻击者会欺骗你运行木马。木马的作用是帮助攻击者更加容易地操作你的电脑，它们很少

53、自行破坏文件，因为它们一般要长期待在你的系统中。病毒，最大类的东西，按照现在的分类趋势，病毒几乎能够涵盖木马和蠕虫，它泛指那些对用户有害的程序，又特指其中会自我传播的那一部分。早期的，一般意义的病毒是指会感染文件的文件型病毒。101. 什么是加密技术?答：加密技术是最常用的安全保密手段, 利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术包括两个元素：算法和密钥。算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来

54、保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥 需要保密。102. 什么是MPLS VPN？答：MPLS VPh一种基于 MPLS （Multiprotocol Label Switching ,多协议标记交换） 技术的IP VPN是在网络路由和交换设备上应用MPLS术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP 虚拟专用网络（IP VPN） ，可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。103. 什么是NAT？答：NAT（ Network Address Translation） 是指网络地址转换。104. 什么是SDH？答：同步数字系列（Synchronous Digital Hierarchy:S