電力二次系統(tǒng)安全防護(hù)題庫(kù)100道.doc

電力二次系統(tǒng)安全防護(hù)題庫(kù) 1.電力二次系統(tǒng)安全防護(hù)目標(biāo)是什么？答：抵御黑客、病毒、惡意代碼等通過(guò)各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團(tuán)式攻擊，防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。2.電監(jiān)會(huì)5號(hào)令中電力二次系統(tǒng)是指什么？答：包括電力監(jiān)控系統(tǒng)、繼電保護(hù)和安自裝置、負(fù)荷控制、電力通信及數(shù)據(jù)網(wǎng)絡(luò)等。3.電監(jiān)會(huì)5號(hào)令中電力監(jiān)控系統(tǒng)是指什么？答：是指用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運(yùn)行過(guò)程的、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備等。包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動(dòng)化系統(tǒng)、換流站計(jì)算機(jī)監(jiān)控系統(tǒng)、發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)、配電自動(dòng)化系統(tǒng)、微機(jī)繼電保護(hù)和安全自動(dòng)裝置、廣域相量測(cè)量系統(tǒng)、負(fù)荷控制系統(tǒng)、水調(diào)自動(dòng)化系統(tǒng)和水電梯級(jí)調(diào)度自動(dòng)化系統(tǒng)、電能量計(jì)量計(jì)費(fèi)系統(tǒng)、實(shí)時(shí)電力市場(chǎng)的輔助控制系統(tǒng)等。4.電監(jiān)會(huì)5號(hào)令中電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)指什么？答：是指各級(jí)電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò)、電力生產(chǎn)專用撥號(hào)網(wǎng)絡(luò)等。5.電監(jiān)會(huì)5號(hào)令中控制區(qū)指什么？答：是指由具有實(shí)時(shí)監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)或?qū)Ｓ猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。6.電監(jiān)會(huì)5號(hào)令中非控制區(qū)指什么？答：是指在生產(chǎn)控制范圍內(nèi)由在線運(yùn)行但不直接參與控制、是電力生產(chǎn)過(guò)程的必要環(huán)節(jié)、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。7.電力二次系統(tǒng)的安全防護(hù)原則？答：電力二次系統(tǒng)安全防護(hù)原則是安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證,保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。8.電力二次系統(tǒng)如何進(jìn)行安全分區(qū)？答：發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)，原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。 生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)I)和非控制區(qū)(安全區(qū))；管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)。 根據(jù)應(yīng)用系統(tǒng)實(shí)際情況，在滿足總體安全要求的前提下，可以簡(jiǎn)化安全區(qū)的設(shè)置，但是應(yīng)當(dāng)避免通過(guò)廣域網(wǎng)形成不同安全區(qū)的縱向交叉連接。9.電力二次系統(tǒng)中不同的安全分區(qū)相應(yīng)的安全等級(jí)是什么？答：不同的安全區(qū)域確定了不同的安全防護(hù)要求，從而決定了不同的安全等級(jí)和防護(hù)水平。生產(chǎn)控制大區(qū)的安全等級(jí)高于管理信息大區(qū)，其中控制區(qū)（安全區(qū)）的安全等級(jí)相當(dāng)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的第4級(jí)，非控制區(qū)（安全區(qū)II）相當(dāng)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的第3級(jí)。安全分區(qū)是電力二次安全防護(hù)體系的結(jié)構(gòu)基礎(chǔ)。10.生產(chǎn)控制大區(qū)中安全區(qū)I（控制區(qū)）的典型系統(tǒng)是什么？答：包括調(diào)度自動(dòng)化系統(tǒng)（SCADA/EMS）、廣域相量測(cè)量系統(tǒng)、配電自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、發(fā)電廠自動(dòng)監(jiān)控系統(tǒng)、安全自動(dòng)控制系統(tǒng)、低頻/低壓自動(dòng)減載系統(tǒng)、負(fù)荷控制系統(tǒng)等。11.生產(chǎn)控制大區(qū)中安全區(qū)II（非控制區(qū)）的典型系統(tǒng)是什么？答：調(diào)度員培訓(xùn)模擬系統(tǒng)（DTS）、水調(diào)自動(dòng)化系統(tǒng)、繼電保護(hù)及故障錄波信息管理系統(tǒng)、電能量計(jì)量系統(tǒng)、批發(fā)電力交易系統(tǒng)等。12.業(yè)務(wù)系統(tǒng)分區(qū)規(guī)則？答：綜合考慮業(yè)務(wù)系統(tǒng)或功能模塊的實(shí)時(shí)性、使用者、主要功能、設(shè)備場(chǎng)所、各業(yè)務(wù)系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式、對(duì)電力系統(tǒng)的影響等因素，按以下規(guī)則將業(yè)務(wù)系統(tǒng)或功能模塊置于合適的安全區(qū)：（1）實(shí)時(shí)控制系統(tǒng)或未來(lái)可能有實(shí)時(shí)控制功能的系統(tǒng)應(yīng)置于安全區(qū)。（2）電力二次系統(tǒng)中不允許把應(yīng)屬于高安全等級(jí)區(qū)域的業(yè)務(wù)系統(tǒng)遷移到低安全等級(jí)區(qū)域運(yùn)行；但允許把屬于低安全等級(jí)區(qū)域的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高安全等級(jí)區(qū)域，由屬于高安全等級(jí)區(qū)域的人員控制和使用。（3）盡可能將業(yè)務(wù)系統(tǒng)完整置于一個(gè)安全內(nèi)；當(dāng)某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時(shí)，可根據(jù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流程將不同的功能模塊（或子系統(tǒng)）分置于合適的安全區(qū)中，各功能模塊（或子系統(tǒng)）經(jīng)過(guò)安全區(qū)之間的通信聯(lián)接整個(gè)業(yè)務(wù)系統(tǒng)。（4）與外部邊界網(wǎng)絡(luò)不存在聯(lián)系的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)，對(duì)其劃分規(guī)則不作要求，但需遵守所在安全區(qū)的安全防護(hù)要求。根據(jù)實(shí)際情況，安全區(qū)I和安全區(qū)II不一定同時(shí)存在。某一安全區(qū)不存在的條件是其本身不存在該安全區(qū)的業(yè)務(wù)，且與其它電力二次系統(tǒng)在該安全區(qū)不存在“縱向”互聯(lián)。如果省略某安全區(qū)而導(dǎo)致上下級(jí)安全區(qū)的縱向交叉，則應(yīng)該構(gòu)造一個(gè)最小安全區(qū)并安裝安全區(qū)間的隔離裝置，以保持安全防護(hù)體系的完整性。13.電力二次系統(tǒng)安全區(qū)連接的拓?fù)浣Y(jié)構(gòu)有幾種，各有什么特點(diǎn)？答：電力二次系統(tǒng)安全區(qū)連接的拓?fù)浣Y(jié)構(gòu)有鏈?zhǔn)?、三角和星形結(jié)構(gòu)三種。14.如何構(gòu)建安全隔離的電力調(diào)度數(shù)據(jù)網(wǎng)?答：電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用基于SDH/PDH上的不同通道、不同光波長(zhǎng)、不同纖芯等方式，在物理層面上實(shí)現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)是電力二次安全防護(hù)體系的重要網(wǎng)絡(luò)基礎(chǔ)。15.在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的安全要求是什么？答：在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。16.生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間的安全防護(hù)要求是什么？答：生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問(wèn)控制功能的設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。具體隔離裝置的選擇還需要考慮業(yè)務(wù)所需帶寬及實(shí)時(shí)性的要求。17.什么類型的數(shù)據(jù)才能穿越專用橫向單向安全隔離裝置？答：嚴(yán)格禁止E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫(kù)訪問(wèn)功能穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。18.防火墻的特點(diǎn)是什么？答：防火墻（firewall）是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策（允許、拒絕、監(jiān)測(cè)）控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。19.專用橫向單向安全隔離裝置分為幾種？答：專用橫向單向安全隔離裝置分為正向型和反向型。20.反向安全隔離裝置的特點(diǎn)是什么？答：反向安全隔離裝置采取簽名認(rèn)證和數(shù)據(jù)過(guò)濾措施，僅允許純文本數(shù)據(jù)通過(guò)，并嚴(yán)格防范病毒、木馬等惡意代碼進(jìn)入生產(chǎn)控制大區(qū)。21.在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處如何實(shí)現(xiàn)安全防護(hù)？答：在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過(guò)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制。如暫時(shí)不具備條件，可采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制技術(shù)臨時(shí)代替。22.在管理信息大區(qū)與廣域網(wǎng)的縱向交接處如何實(shí)現(xiàn)安全防護(hù)？答：管理信息大區(qū)應(yīng)采用硬件防火墻等安全設(shè)備接入電力企業(yè)數(shù)據(jù)網(wǎng)。23.對(duì)處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)如何實(shí)現(xiàn)安全防護(hù)？答：對(duì)處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)，應(yīng)進(jìn)行操作系統(tǒng)的安全加固。根據(jù)具體業(yè)務(wù)的重要程度及信息的敏感程度，對(duì)生產(chǎn)控制大區(qū)的外部通信網(wǎng)關(guān)應(yīng)該具備加密、認(rèn)證和過(guò)濾的功能。24.傳統(tǒng)的基于專用通道的通信是否需要安全防護(hù)？答：傳統(tǒng)的基于專用通道的通信不涉及網(wǎng)絡(luò)安全問(wèn)題，可采用線路加密技術(shù)保護(hù)關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。25.生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)是否允許WEB服務(wù)？答：生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)禁止安全區(qū)的Web服務(wù)。26.生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)是否允許WEB服務(wù)？答：允許安全區(qū)內(nèi)部采用B/S結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)，但僅限于業(yè)務(wù)系統(tǒng)內(nèi)部使用。允許安全區(qū)縱向安全Web服務(wù)，經(jīng)過(guò)安全加固且支持HTTPS的安全Web服務(wù)器和Web瀏覽工作站應(yīng)在專用網(wǎng)段，應(yīng)由業(yè)務(wù)系統(tǒng)向Web服務(wù)器單向主動(dòng)傳送數(shù)據(jù)。27.電力調(diào)度數(shù)字證書的特點(diǎn)？答：電力調(diào)度數(shù)字證書是專用于電力調(diào)度業(yè)務(wù)需要的數(shù)字證書，主要用于生產(chǎn)控制大區(qū)，可使用于交互式登錄的身份認(rèn)證、網(wǎng)絡(luò)身份認(rèn)證、通信數(shù)據(jù)加密及認(rèn)證（包括數(shù)據(jù)完整性和數(shù)據(jù)源認(rèn)證）等。電力調(diào)度證書系統(tǒng)按照電力調(diào)度管理體系進(jìn)行配置，省級(jí)及以上調(diào)度中心和有實(shí)際業(yè)務(wù)需要的地區(qū)調(diào)度控制中心應(yīng)該建立電力調(diào)度證書服務(wù)系統(tǒng)。28.電力調(diào)度系統(tǒng)數(shù)字證書的建立原則？答：（1）統(tǒng)一規(guī)劃數(shù)字證書的信任體系，各級(jí)電力調(diào)度證書系統(tǒng)用于頒發(fā)本調(diào)度中心及調(diào)度對(duì)象相關(guān)人員和設(shè)備證書。上下級(jí)電力調(diào)度證書系統(tǒng)通過(guò)信任鏈構(gòu)成認(rèn)證體系，防止產(chǎn)生交叉認(rèn)證。（2）采用統(tǒng)一的數(shù)字證書格式和加密算法。（3）原則上離線生成、離線裝入、離線管理，確保調(diào)度數(shù)字證書的生成、發(fā)放、管理以及密鑰的生成、管理脫離網(wǎng)絡(luò)，獨(dú)立運(yùn)行；（4）優(yōu)化調(diào)度數(shù)字證書系統(tǒng)應(yīng)用接口，推進(jìn)其應(yīng)用和普及；（5）相關(guān)應(yīng)用系統(tǒng)嵌入數(shù)字證書服務(wù)，以提高實(shí)時(shí)性和可靠性。29.電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)承載的業(yè)務(wù)是什么？答：電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是專用網(wǎng)絡(luò)，承載的業(yè)務(wù)是電力實(shí)時(shí)控制業(yè)務(wù)、在線生產(chǎn)業(yè)務(wù)以及本網(wǎng)網(wǎng)管業(yè)務(wù)。30.如何實(shí)現(xiàn)對(duì)電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)路由的防護(hù)？答：對(duì)路由器之間的路由信息交換進(jìn)行數(shù)字簽名，保證信息的完整性與可信性。31.如何對(duì)電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置？答：網(wǎng)絡(luò)設(shè)備的安全配置包括關(guān)閉或限定網(wǎng)絡(luò)服務(wù)、避免使用默認(rèn)路由、網(wǎng)絡(luò)邊界關(guān)閉OSPF路由功能、采用安全增強(qiáng)的SNMPv2及以上版本的網(wǎng)管系統(tǒng)、及時(shí)更新軟件、使用安全的管理方式、限制登錄的網(wǎng)絡(luò)地址、記錄設(shè)備日志、設(shè)置高強(qiáng)度的密碼、適當(dāng)配置訪問(wèn)控制列表、封閉空閑的網(wǎng)絡(luò)端口等。32.如何實(shí)現(xiàn)對(duì)電力企業(yè)數(shù)據(jù)網(wǎng)的防護(hù)？答：電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內(nèi)聯(lián)網(wǎng)，其安全防護(hù)由各個(gè)企業(yè)負(fù)責(zé)。其中，電網(wǎng)企業(yè)的數(shù)據(jù)網(wǎng)即為電力數(shù)據(jù)通信網(wǎng)，該網(wǎng)承載業(yè)務(wù)主要為電力綜合信息、電力調(diào)度生產(chǎn)管理業(yè)務(wù)、電力內(nèi)部數(shù)字語(yǔ)音視頻以及網(wǎng)管業(yè)務(wù)，該網(wǎng)不經(jīng)營(yíng)對(duì)外業(yè)務(wù)。電力數(shù)據(jù)通信網(wǎng)使用私有網(wǎng)絡(luò)地址，與外部互聯(lián)網(wǎng)以及其它外部網(wǎng)絡(luò)沒有直接的網(wǎng)絡(luò)連接，采用虛擬專網(wǎng)技術(shù)構(gòu)造三個(gè)子網(wǎng)：調(diào)度子網(wǎng)、信息子網(wǎng)以及語(yǔ)音視頻子網(wǎng)，分別對(duì)應(yīng)電網(wǎng)企業(yè)的電力調(diào)度生產(chǎn)管理、電力綜合信息、電力內(nèi)部數(shù)字語(yǔ)音視頻三類業(yè)務(wù)。33.如何實(shí)現(xiàn)對(duì)電力監(jiān)控系統(tǒng)的備份及恢復(fù)？答：必須定期對(duì)電力監(jiān)控系統(tǒng)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與系統(tǒng)進(jìn)行備份，建立歷史歸檔數(shù)據(jù)的異地存放制度，確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)，保證系統(tǒng)的可用性。對(duì)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵部件進(jìn)行相應(yīng)的冗余配置，安全區(qū)I的業(yè)務(wù)應(yīng)采用熱備份方式，其它安全區(qū)的業(yè)務(wù)系統(tǒng)可根據(jù)需要選用熱備份、溫備份、冷備份等備份方式，避免單點(diǎn)故障影響系統(tǒng)可靠性。34.如何實(shí)現(xiàn)對(duì)電力二次系統(tǒng)惡意代碼的防范？答：對(duì)病毒、木馬等惡意代碼的防護(hù)是電力二次系統(tǒng)安全防護(hù)所必須的安全措施。生產(chǎn)控制大區(qū)應(yīng)該統(tǒng)一部署惡意代碼防護(hù)系統(tǒng)，管理信息大區(qū)建議統(tǒng)一部署惡意代碼防護(hù)系統(tǒng)，禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一個(gè)防惡意代碼管理服務(wù)器。對(duì)生產(chǎn)控制大區(qū)，禁止以任何方式連接外部網(wǎng)絡(luò)進(jìn)行病毒或木馬特征碼的在線更新。加強(qiáng)防病毒、木馬等惡意代碼的管理，保證特征碼的及時(shí)更新，及時(shí)查看查殺記錄，隨時(shí)掌握威脅狀況。35.如何在生產(chǎn)控制大區(qū)部署防火墻？答：防火墻產(chǎn)品可以部署在安全區(qū)I與安全區(qū)II之間，實(shí)現(xiàn)兩個(gè)區(qū)域的邏輯隔離、報(bào)文過(guò)濾、訪問(wèn)控制等功能。生產(chǎn)控制大區(qū)與管理信息大區(qū)采用的防火墻安全策略的側(cè)重點(diǎn)應(yīng)有所不同。36.如何在生產(chǎn)控制大區(qū)部署入侵檢測(cè)系統(tǒng)？答：生產(chǎn)控制大區(qū)統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，其安全策略的設(shè)置重在捕獲網(wǎng)絡(luò)異常行為、分析潛在威脅以及事后安全審計(jì)，不宜使用實(shí)時(shí)阻斷功能。禁止使用入侵檢測(cè)與防火墻的聯(lián)動(dòng)。加強(qiáng)入侵檢測(cè)系統(tǒng)的使用與管理，合理設(shè)置檢測(cè)規(guī)則，及時(shí)分析檢測(cè)報(bào)告，準(zhǔn)確識(shí)別攻擊，及時(shí)發(fā)出告警信息，充分發(fā)揮其在安全事件檢測(cè)與恢復(fù)中的作用。37.如何在生產(chǎn)控制大區(qū)進(jìn)行主機(jī)加固？答：主機(jī)安全防護(hù)首先要確定安全策略，然后采取適當(dāng)?shù)姆绞皆鰪?qiáng)其安全性。通過(guò)合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，可有效減少安全薄弱環(huán)節(jié)。38.如何對(duì)操作系統(tǒng)進(jìn)行安全加固？答：操作系統(tǒng)安全加固措施包括：升級(jí)到當(dāng)前系統(tǒng)版本、安裝后續(xù)的補(bǔ)丁合集、加固系統(tǒng)TCP/IP配置、根據(jù)系統(tǒng)應(yīng)用要求關(guān)閉不必要的服務(wù)、關(guān)閉SNMP協(xié)議避免利用其遠(yuǎn)程溢出漏洞獲取系統(tǒng)控制權(quán)或限定訪問(wèn)范圍、為超級(jí)用戶或特權(quán)用戶設(shè)定復(fù)雜的口令、修改弱口令或空口令、禁止任何應(yīng)用程序以超級(jí)用戶身份運(yùn)行、設(shè)定系統(tǒng)日志和審計(jì)行為等。39.數(shù)據(jù)庫(kù)的加固措施包括什么？答：數(shù)據(jù)庫(kù)的應(yīng)用程序進(jìn)行必要的安全審核、及時(shí)刪除不再需要的數(shù)據(jù)庫(kù)、安裝補(bǔ)丁、使用安全的密碼策略和賬號(hào)策略、限定管理員權(quán)限的用戶范圍、禁止多個(gè)管理員共享用戶賬戶和口令、禁止一般用戶使用數(shù)據(jù)庫(kù)管理員的用戶名和口令、加強(qiáng)數(shù)據(jù)庫(kù)日志的管理、管理擴(kuò)展存儲(chǔ)過(guò)程、數(shù)據(jù)定期備份等。40.電力調(diào)度數(shù)字證書的應(yīng)用范圍？答：電力調(diào)度系統(tǒng)建設(shè)基于公鑰技術(shù)的分布式的調(diào)度數(shù)字證書系統(tǒng)，由相關(guān)主管部門統(tǒng)一頒發(fā)調(diào)度數(shù)字證書，為電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)上的關(guān)鍵應(yīng)用、關(guān)鍵用戶和關(guān)鍵設(shè)備提供數(shù)字證書服務(wù)。在數(shù)字證書基礎(chǔ)上可以在調(diào)度系統(tǒng)與網(wǎng)絡(luò)關(guān)鍵環(huán)節(jié)實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸以及可靠的行為審計(jì)。41.在電力調(diào)度數(shù)字證書中何為人員證書？答：人員證書指關(guān)鍵業(yè)務(wù)的用戶、系統(tǒng)管理人員以及必要的應(yīng)用維護(hù)與開發(fā)人員，在訪問(wèn)系統(tǒng)、進(jìn)行操作時(shí)需要持有的證書。主要用于用戶登錄網(wǎng)絡(luò)與操作系統(tǒng)、登錄應(yīng)用系統(tǒng)，以及訪問(wèn)應(yīng)用資源、執(zhí)行應(yīng)用操作命令時(shí)對(duì)用戶的身份進(jìn)行認(rèn)證，與其它實(shí)體通信過(guò)程中的認(rèn)證、加密與簽名，以及行為審計(jì)。42.在電力調(diào)度數(shù)字證書中何為程序證書？答：程序證書指關(guān)鍵應(yīng)用的模塊、進(jìn)程、服務(wù)器程序運(yùn)行時(shí)需要持有的證書，主要用于應(yīng)用程序與遠(yuǎn)方程序進(jìn)行安全的數(shù)據(jù)通信，提供雙方之間的認(rèn)證、數(shù)據(jù)的加密與簽名功能。43.在電力調(diào)度數(shù)字證書中何為設(shè)備證書？答：設(shè)備證書指網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)等，在接入本地網(wǎng)絡(luò)系統(tǒng)與其它實(shí)體通信過(guò)程中需要持有的證書，主要用于本地設(shè)備接入認(rèn)證，遠(yuǎn)程通信實(shí)體之間的認(rèn)證，以及實(shí)體之間通信過(guò)程的數(shù)據(jù)加密與簽名。44.縱向加密認(rèn)證裝置有何特點(diǎn)？答：縱向加密認(rèn)證裝置具有類似過(guò)濾防火墻的功能，并為廣域網(wǎng)通信提供認(rèn)證與加密功能，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證裝置的全部功能外，還應(yīng)實(shí)現(xiàn)電力應(yīng)用層協(xié)議及報(bào)文內(nèi)容的識(shí)別功能。45.如何實(shí)現(xiàn)遠(yuǎn)程撥號(hào)訪問(wèn)的安全防護(hù)？答：當(dāng)遠(yuǎn)程撥號(hào)訪問(wèn)生產(chǎn)控制大區(qū)時(shí)，要求遠(yuǎn)方用戶使用安全加固的LINUX或UNIX系統(tǒng)平臺(tái)，以防止將病毒、木馬等惡意代碼引入生產(chǎn)控制大區(qū)。遠(yuǎn)程撥號(hào)訪問(wèn)應(yīng)采用調(diào)度數(shù)字證書，進(jìn)行登錄認(rèn)證和訪問(wèn)認(rèn)證。46.撥號(hào)訪問(wèn)的防護(hù)有那兩種方式，有何特點(diǎn)？答：撥號(hào)訪問(wèn)的防護(hù)可以采用鏈路層保護(hù)方式或者網(wǎng)絡(luò)層保護(hù)方式。鏈路保護(hù)方式使用專用鏈路加密設(shè)備，實(shí)現(xiàn)兩端鏈路加密設(shè)備相互進(jìn)行認(rèn)證和對(duì)鏈路幀進(jìn)行加密等安全功能。網(wǎng)絡(luò)保護(hù)方式采用VPN技術(shù)在撥號(hào)服務(wù)器（RAS）與遠(yuǎn)程撥入用戶建立加密通道，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層數(shù)據(jù)的機(jī)密性與完整性保護(hù)。47.線路加密設(shè)備可用于什么通道上實(shí)現(xiàn)安全防護(hù)？答：線路加密設(shè)備可用于傳統(tǒng)的專線遠(yuǎn)動(dòng)裝置（RTU）、繼電保護(hù)裝置、安全自動(dòng)裝置、負(fù)荷管理裝置等專用通道上的數(shù)據(jù)加密防護(hù)，防止通過(guò)搭線等方式篡改控制命令及敏感數(shù)據(jù)。要求該設(shè)備具有一定強(qiáng)度的對(duì)稱加密功能。48.安全文件網(wǎng)關(guān)的用途？答：安全文件網(wǎng)關(guān)主要用于電力系統(tǒng)各級(jí)部門之間安全的文件傳輸，部署在安全區(qū)II，采用加密、認(rèn)證等技術(shù)，保證文件的機(jī)密性、完整性。可用于調(diào)度報(bào)表、檢修計(jì)劃、發(fā)電計(jì)劃、交易報(bào)價(jià)等文件的傳輸場(chǎng)合。49.安全審計(jì)的用途？答：安全審計(jì)是安全管理的重要環(huán)節(jié)，應(yīng)在生產(chǎn)控制大區(qū)內(nèi)引入相對(duì)集中的、智能的安全審計(jì)系統(tǒng)，通過(guò)技術(shù)手段，對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)訪問(wèn)日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一安全審計(jì)，及時(shí)自動(dòng)分析系統(tǒng)安全事件，實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。 50.國(guó)家電力監(jiān)管委員會(huì)在電力二次系統(tǒng)安全防護(hù)的作用？答：國(guó)家電力監(jiān)管委員會(huì)負(fù)責(zé)電力二次系統(tǒng)安全防護(hù)的監(jiān)管，組織制定電力二次系統(tǒng)安全防護(hù)技術(shù)規(guī)范并監(jiān)督實(shí)施。51.電力企業(yè)如何實(shí)現(xiàn)安全分級(jí)負(fù)責(zé)制？答：電力企業(yè)應(yīng)當(dāng)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)經(jīng)營(yíng)誰(shuí)負(fù)責(zé)”的原則，建立電力二次系統(tǒng)安全管理制度，將電力二次系統(tǒng)安全防護(hù)及其信息報(bào)送納入日常安全生產(chǎn)管理體系，落實(shí)分級(jí)負(fù)責(zé)的責(zé)任制。52.電力調(diào)度機(jī)構(gòu)的安全負(fù)責(zé)范圍？答：電力調(diào)度機(jī)構(gòu)負(fù)責(zé)直接調(diào)度范圍內(nèi)的下一級(jí)電力調(diào)度和變電站的二次系統(tǒng)安全防護(hù)的技術(shù)監(jiān)督。53.發(fā)電廠內(nèi)涉及到調(diào)度的業(yè)務(wù)系統(tǒng)的安全負(fù)責(zé)單位？答：發(fā)電廠內(nèi)涉及到調(diào)度的業(yè)務(wù)系統(tǒng)（包括發(fā)電廠輸變電部分、全廠/機(jī)組AGC 功能、AVR無(wú)功電壓控制功能、電廠報(bào)價(jià)終端、電量計(jì)費(fèi)系統(tǒng)、故障錄波系統(tǒng)等）由電力調(diào)度機(jī)構(gòu)和發(fā)電廠的上級(jí)主管單位共同實(shí)施技術(shù)監(jiān)督。54.電力二次系統(tǒng)安全評(píng)估方式是什么？答：電力二次系統(tǒng)安全評(píng)估采用以自評(píng)估為主、檢查評(píng)估為輔的方式，并納入電力系統(tǒng)安全評(píng)價(jià)體系。55.安全評(píng)估的內(nèi)容是什么？答：安全評(píng)估的內(nèi)容包括：風(fēng)險(xiǎn)評(píng)估、攻擊演習(xí)、漏洞掃描、安全體系的評(píng)估、安全設(shè)備的部署及性能評(píng)估、安全管理措施的評(píng)估等。對(duì)生產(chǎn)控制大區(qū)安全評(píng)估的所有記錄、數(shù)據(jù)、結(jié)果等均不得以任何形式、任何借口攜帶出被評(píng)估單位，要按國(guó)家有關(guān)要求做好保密工作。56.何時(shí)需要進(jìn)行安全評(píng)估？答：電力二次系統(tǒng)的新系統(tǒng)在投運(yùn)之前、老系統(tǒng)進(jìn)行安全整改之后或進(jìn)行重大改造或升級(jí)之后必須進(jìn)行安全評(píng)估；電力二次系統(tǒng)應(yīng)該定期（每年或每?jī)赡辏┻M(jìn)行安全評(píng)估。57.電力二次系統(tǒng)相關(guān)設(shè)備及系統(tǒng)的開發(fā)單位的安全責(zé)任？答：電力二次系統(tǒng)相關(guān)設(shè)備及系統(tǒng)的開發(fā)單位、供應(yīng)商應(yīng)以合同條款或保密協(xié)議的方式保證所提供的設(shè)備及系統(tǒng)符合電力二次系統(tǒng)安全防護(hù)規(guī)定和本方案的要求，并在設(shè)備及系統(tǒng)的生命期內(nèi)對(duì)此負(fù)責(zé)。58.安全裝置的可用性指標(biāo)？答：安全裝置的可用性指標(biāo)達(dá)到99.99%。59.設(shè)備和應(yīng)用系統(tǒng)的接入管理？答：新接入電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的節(jié)點(diǎn)、設(shè)備和應(yīng)用系統(tǒng)，其接入技術(shù)方案和安全防護(hù)措施須經(jīng)負(fù)責(zé)本級(jí)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的調(diào)度機(jī)構(gòu)核準(zhǔn)，并送上一級(jí)電力調(diào)度機(jī)構(gòu)備案。在已經(jīng)建立安全防護(hù)體系的電力二次系統(tǒng)中，接入任何新的設(shè)備和應(yīng)用及服務(wù)，必須立案申請(qǐng)、審查批準(zhǔn)后，方可在安全管理人員的監(jiān)管下實(shí)施接入。60.生產(chǎn)控制大區(qū)的工作站、服務(wù)器安全管理要求？答：各業(yè)務(wù)系統(tǒng)位于生產(chǎn)控制大區(qū)的工作站、服務(wù)器均嚴(yán)格禁止以各種方式開通與互聯(lián)網(wǎng)的連接；限制開通撥號(hào)功能，必須配置強(qiáng)認(rèn)證機(jī)制；在生產(chǎn)控制大區(qū)中的PC機(jī)等應(yīng)該拆除可能傳播病毒等惡意代碼的軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、USB接口、串行口等，或通過(guò)安全管理平臺(tái)實(shí)施嚴(yán)格管理。61.對(duì)電力二次系統(tǒng)生產(chǎn)控制區(qū)中的安全產(chǎn)品有何要求？答：接入電力二次系統(tǒng)的生產(chǎn)控制區(qū)中的安全產(chǎn)品，必須具有公安部安全產(chǎn)品銷售許可，獲得國(guó)家指定機(jī)構(gòu)安全檢測(cè)證明，用于廠站的設(shè)備還需有電力系統(tǒng)電磁兼容檢測(cè)證明。62.日常運(yùn)行的安全管理制度包括那些？答：日常運(yùn)行的安全管理制度包括：門禁管理、人員管理、權(quán)限管理、訪問(wèn)控制管理、安全防護(hù)系統(tǒng)的維護(hù)管理、常規(guī)設(shè)備及各系統(tǒng)的維護(hù)管理、惡意代碼（病毒及木馬等）的防護(hù)管理、審計(jì)管理、數(shù)據(jù)及系統(tǒng)的備份管理、用戶口令密鑰及數(shù)字證書的管理、培訓(xùn)管理等管理制度。63.如何進(jìn)行電力二次系統(tǒng)聯(lián)合防護(hù)和應(yīng)急處理？答：建立健全電力二次系統(tǒng)安全的聯(lián)合防護(hù)和應(yīng)急機(jī)制，電力調(diào)度機(jī)構(gòu)負(fù)責(zé)統(tǒng)一指揮調(diào)度范圍內(nèi)的電力二次系統(tǒng)安全應(yīng)急處理。各電力企業(yè)的電力二次系統(tǒng)必須制定應(yīng)急處理預(yù)案并經(jīng)過(guò)預(yù)演或模擬驗(yàn)證。64.當(dāng)電力生產(chǎn)控制大區(qū)出現(xiàn)安全事故時(shí)如何處理？答：當(dāng)電力生產(chǎn)控制大區(qū)出現(xiàn)安全事故，尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時(shí)，應(yīng)當(dāng)立即向其上級(jí)電力調(diào)度機(jī)構(gòu)和信息安全主管部門報(bào)告，必須按應(yīng)急處理預(yù)案立即采取相應(yīng)的安全應(yīng)急措施。并通報(bào)有網(wǎng)絡(luò)連接的相鄰單位（有關(guān)的調(diào)度中心及發(fā)電廠和變電站），聯(lián)合采取緊急防護(hù)措施，以防止事件擴(kuò)大。同時(shí)注意保護(hù)事故現(xiàn)場(chǎng)，以便進(jìn)行調(diào)查取證和事故分析。當(dāng)系統(tǒng)遭到破壞時(shí)，應(yīng)當(dāng)按照預(yù)先制定的應(yīng)急方案盡快實(shí)施恢復(fù)。65.什么是網(wǎng)絡(luò)安全?答：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)可以連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。66.什么是計(jì)算機(jī)病毒？答：是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。67. 什么是木馬?答：木馬是一種帶有惡意性質(zhì)的遠(yuǎn)程控制軟件。木馬一般分為客戶端（client）和服務(wù)器端（server）。客戶端就是本地使用的各種命令的控制臺(tái)，服務(wù)器端則是要給別人運(yùn)行，只有運(yùn)行過(guò)服務(wù)器端的計(jì)算機(jī)才能夠完全受控。木馬不會(huì)像病毒那樣去感染文件。68. 什么叫入侵檢測(cè)？答：入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。69.加密技術(shù)是指什么?答：加密技術(shù)是最常用的安全保密手段，利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。 加密技術(shù)包括兩個(gè)元素：算法和密鑰。算法是將普通的信息或者可以理解的信息與一串?dāng)?shù)字（密鑰）結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來(lái)對(duì)數(shù)據(jù)進(jìn)行編碼和解密的一種算法。在安全保密中，可通過(guò)適當(dāng)?shù)蔫€加密技術(shù)和管理機(jī)制來(lái)保證網(wǎng)絡(luò)的信息通信安全。70防火墻種類有幾種？答：防火墻產(chǎn)品又可分為包過(guò)濾型防火墻、應(yīng)用級(jí)網(wǎng)關(guān)型防火墻和代理服務(wù)型防火墻。71虛擬專用網(wǎng)(Virtual Private Network, VPN)的定義？答：VPN 被定義為通過(guò)一公共網(wǎng)絡(luò)( Internet) 建立的臨時(shí)的、安全的連接, 是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道, 它是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。72計(jì)算機(jī)病毒的特征？答：傳染性、隱蔽性、潛伏性、破壞性、不可預(yù)見性等。73什么是MPLS VPN？答：MPLS VPN是一種基于MPLS （Multiprotocol Label Switching，多協(xié)議標(biāo)記交換）技術(shù)的IP VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IP VPN），可用來(lái)構(gòu)造寬帶的Intranet、Extranet，滿足多種靈活的業(yè)務(wù)需求。74什么是NAT？答：NAT（Network Address Translation)是指網(wǎng)絡(luò)地址轉(zhuǎn)換。75控制區(qū)（安全區(qū)）的安全等級(jí)相當(dāng)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的第幾級(jí)？答：控制區(qū)（安全區(qū)）的安全等級(jí)相當(dāng)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的第4級(jí)。76非控制區(qū)（安全區(qū)II）相當(dāng)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的第幾級(jí)？答：非控制區(qū)（安全區(qū)II）相當(dāng)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的第3級(jí)。77什么是SDH？答：同步數(shù)字系列(Synchronous Digital Hierarchy:SDH)：是國(guó)際電聯(lián)于1988年在北美SONET的基礎(chǔ)上提出的一種新的傳輸體制，是為實(shí)現(xiàn)在物理傳輸網(wǎng)絡(luò)中傳送經(jīng)適當(dāng)配置的信息而標(biāo)準(zhǔn)化的數(shù)字傳輸結(jié)構(gòu)體系。78什么是PVC？答：PVC（Permanent Virtual Circuit)永久虛電路，所謂虛電路，就是兩個(gè)用戶終端設(shè)備在開始互相發(fā)送和接收數(shù)據(jù)之前，需要通過(guò)網(wǎng)絡(luò)建立邏輯上的連接，一旦這種連接建立之后 ，就在網(wǎng)絡(luò)中保持已建立的數(shù)據(jù)通路，用戶發(fā)送的數(shù)據(jù)(以分組為單位)將按順序通過(guò)網(wǎng)絡(luò)到達(dá)終點(diǎn)。永久連接的虛電路稱為永久虛電路。79什么是DMZ區(qū)？答：DMZ（De-Militarized Zone)）非軍事化區(qū)，為了配置管理方便，內(nèi)部網(wǎng)中需要向外提供服務(wù)的服務(wù)器放在一個(gè)單獨(dú)的網(wǎng)段，這個(gè)網(wǎng)段便是非軍事化區(qū)。傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口,分別接內(nèi)網(wǎng),外網(wǎng)和DMZ區(qū)。80什么是DoS？答：DoS（Deny of Services)拒絕服務(wù)攻擊，拒絕服務(wù)攻擊專門設(shè)計(jì)用來(lái)阻止授權(quán)用戶對(duì)系統(tǒng)以及系統(tǒng)數(shù)據(jù)進(jìn)行訪問(wèn)，通常采用的攻擊方式是讓系統(tǒng)服務(wù)器超載或者讓系統(tǒng)死機(jī)。81對(duì)于孤立業(yè)務(wù)系統(tǒng)如何進(jìn)行安全防護(hù)？ 答：與外部邊界網(wǎng)絡(luò)不存在聯(lián)系的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)，對(duì)其安全區(qū)劃分可不作要求，但需遵守所在安全區(qū)的安全防護(hù)要求。82電力調(diào)度數(shù)據(jù)網(wǎng)邏輯子網(wǎng)的劃分？答：電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接控制區(qū)和非控制區(qū)。子網(wǎng)之間可采用MPLS-VPN技術(shù)、安全隧道技術(shù)、PVC技術(shù)或路由獨(dú)立技術(shù)等來(lái)構(gòu)造子網(wǎng)。83電力二次系統(tǒng)安全區(qū)連接的拓?fù)浣Y(jié)構(gòu)各有什么特點(diǎn)？答：鏈?zhǔn)浇Y(jié)構(gòu)中的控制區(qū)具有較高的累積安全強(qiáng)度，但總體層次較多；三角結(jié)構(gòu)各區(qū)可直接相連，效率較高，但所用隔離設(shè)備較多；星形結(jié)構(gòu)所用設(shè)備簡(jiǎn)單、容易實(shí)施，但中心點(diǎn)故障影響三個(gè)區(qū)。三種模式均能滿足電力二次系統(tǒng)安全防護(hù)體系的要求，可根據(jù)本地具體情況選用。84如何實(shí)現(xiàn)對(duì)生產(chǎn)控制大區(qū)內(nèi)惡意代碼防護(hù)系統(tǒng)中病毒或木馬特征碼的更新？答：對(duì)生產(chǎn)控制大區(qū)，禁止以任何方式連接外部網(wǎng)絡(luò)進(jìn)行病毒或木馬特征碼的在線更新，只能使用離線更新方式進(jìn)行更新。85對(duì)生產(chǎn)控制大區(qū)所選用的防火墻有何要求？ 答：生產(chǎn)控制大區(qū)所選用的防火墻必須為國(guó)產(chǎn)硬件防火墻，其功能、性能、電磁兼容性必須經(jīng)過(guò)相關(guān)測(cè)試。86專用橫向單向安全隔離裝置如何使用？答：從生產(chǎn)控制大區(qū)向管理信息大區(qū)傳輸信息必須采用正向安全隔離裝置；由管理信息大區(qū)向生產(chǎn)控制大區(qū)的少量單向數(shù)據(jù)傳輸必須經(jīng)反向安全隔離裝置。87如何對(duì)關(guān)鍵應(yīng)用系統(tǒng)（如能量管理系統(tǒng)SCADA/EMS/DMS等）的主服務(wù)器及通信網(wǎng)關(guān)進(jìn)行主機(jī)加固？答：關(guān)鍵應(yīng)用系統(tǒng)（如能量管理系統(tǒng)SCADA/EMS/DMS、變電站自動(dòng)化系統(tǒng)、電廠監(jiān)控系統(tǒng)、配電自動(dòng)化系統(tǒng)、電力交易系統(tǒng)等）的主服務(wù)器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān)、Web服務(wù)器等，應(yīng)該采用加固的LINUX或UNIX等安全操作系統(tǒng)。主機(jī)安全加固方式包括：安全配置、安全補(bǔ)丁、采用專用的軟件強(qiáng)化操作系統(tǒng)訪問(wèn)控制能力、以及配置安全的應(yīng)用程序。88如何對(duì)業(yè)務(wù)系統(tǒng)的專用主機(jī)或者工作站進(jìn)行主機(jī)加固？答：作為業(yè)務(wù)系統(tǒng)的專用主機(jī)或者工作站，應(yīng)嚴(yán)格管理操作系統(tǒng)及應(yīng)用軟件的安裝與使用，禁止不必要的應(yīng)用。通過(guò)及時(shí)更新操作系統(tǒng)安全補(bǔ)丁，消除系統(tǒng)內(nèi)核及平臺(tái)的漏洞與后門。安裝主機(jī)加固軟件，強(qiáng)制進(jìn)行權(quán)限分配，保證對(duì)系