电力二次系统安全防护题库.docx

电力二次系统平安防护题库电力二次系统平安防护题库1 .电力二次系统平安防护目标是什么？答：抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,预防由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪.2 .电监会5号令中电力二次系统是指什么？答：包括电力监控系统、继电保护和安自装置、负荷限制、电力通信及数据网络等.3 .电监会5号令中电力监控系统是指什么？答：是指用于监视和限制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等.包括电力数据采集与监控系统、能量治理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和平安自动装置、广域相量测量系统、负荷限制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助限制系统等.4 .电监会5号令中电力调度数据网络指什么？答：是指各级电力调度专用广域数据网络、电力生产专用拨号网络等.5 .电监会5号令中限制区指什么？答：是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的平安区域.6 .电监会5号令中非限制区指什么?答：是指在生产限制范围内由在线运行但不直接参与限制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的平安区域.7 .电力二次系统的平安防护原那么？答：电力二次系统平安防护原那么是平安分区、网络专用、横向隔离、纵向认证,保证电力监控系统和电力调度数据网络的平安.8 .电力二次系统如何进行平安分区？答：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原那么上划分为生产限制大区和治理信息大区.生产限制大区可以分为限制区平安区D和m曜制区平安区n）；治理信息大区内部在不影响生产限制大区平安的前提下,可以根据各企业不同平安要求划分平安区.根据应用系统实际情况,在满足总体平安要求的前提下,可以简化平安的设置,但是应当预防通过广域网形成不同平安区的纵向交叉连接.9 .电力二次系统中不同的平安分区相应的平安等级是什么？答：不同的平安区域确定了不同的平安防护要求,从而决定了不同的平安等级和防护水平.生产限制大区的平安等级高于治理信息大区,其中限制区安全区工谢平安等级相当于计算机信息系统平安保护等级的第4级三游制区安全区U）相当于计算机信息系统平安保护等级的第3级.平安分区是电力二次安全防护体系的结构根底.10 .生产限制大区中平安区1（限制区的典型系统是什么？答：包括调度自动化系统CSCADA/EMSX广域相量测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统、平安自动限制系统、低频/低压自动减载系统、负荷限制系统等.11 .生产限制大区中平安区口G曜制区的典型系统是什么？答：调度员培训模拟系统DTSI水调自动化系统、维电保护及故障录波信息治理系统、电能量计量系统、批发电力交易系统等.12 .业务系统分区规那么？答：综合考虑业务系统或功能模块的实时性、使用者、主要功能、设备场所、各业务系统间的相互关系、广域网通信方式、对电力系统的影响等因素,按以下规那么将业务系统或功能模块置于适宜的平安区：(1)实时限制系统或未来可能有实时限制功能的系统应置于平安区工.(2)电力二次系统中不允许把应属于高平安等级区域的业务系统迁移到低平安等级区域运行；但允许把属于低平安等级区域的业务系统的终端设备放置于高平安等级区域,由属于高平安等级区域的人员限制和使用.(3)尽可能将业务系统完整置于一个平安内；当某些业务系统的次要功能与根据主要功能所选定的平安区不一致时,可根据业务系统的数据流程将不同的功能模块或子系统分置于适宜的平安区中,各功能模块或子系统经过平安区之间的通信联接整个业务系统.(4)与外部边界网络不存在联系的业务系统为孤立业务系统,对其划分规那么不作要求,但需遵守所在平安区的平安防护要求.根据实际情况,平安区1和平安区Il不一定同时存在.某一平安区不存在的条件是其本身不存在该平安区的业务,且与其它电力二次系统在该平安区不存在“纵向"互联.如果省略某平安区而导致上下级平安区的纵向交叉,那么应该构造一个最小平安区并安装平安区间的隔离装置,以保持平安防护体系的完整性.13 .电力二次系统平安区连接的拓扑结构有几种,各有什么特点？答：电力二次系统平安区连接的拓扑结构有链式、三角和星形结构三种.14 .如何构建平安隔离的电力调度数据网?答：电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于SDH/PDH上的不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与电力企业其它数据网及外部公共信息网的平安隔离.电力调度数据网是电力二次平安防护体系的重要网络根底.15 .在生产限制大区与治理信息大区之间的平安要求是什么？答：在生产限制大区与治理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向平安隔离装置,隔离强度应接近或到达物理隔离.16 .生产限制大区内部的平安区之间的平安防护要求是什么？答：生产限制大区内部的平安区之间应当采用具有访问限制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离.具体隔离装置的选择还需要考虑业务所需带宽及实时性的要求.17 .什么类型的数据才能穿越专用横向单向平安隔离装置？答：严格禁止£加皿Web.TelnetvRloginvFTP等通用网络效劳和以B/S或"S方式的数据库访问功能穿越专用横向单向平安隔离装置,仅允许纯数据的单向平安传输.18 .防火墙的特点是什么？答：防火墙价亚刈是指设置在不同网络如可信任的企业内部网和不可信任的公共网）或网络平安域之间的一系列部件的组合.它是不同网络或网络平安域之间信息的唯一出入口，能根据企业的平安政策允许、拒绝、监测限制出入网络的信息流,且本身具有较强的抗攻击水平.它是提供信息平安效劳，实现网络和信息平安的根底设施.19 .专用横向单向平安隔离装置分为几种？答：专用横向单向平安隔离装置分为正向型和反向型.20 .反向平安隔离装置的特点是什么?答：反向平安隔离装置采取签名认证和数据过滤举措,仅允许纯文本数据通过,并严格防范病毒、木马等恶意代码进入生产限制大区.21 .在生产限制大区与广域网的纵向交接处如何实现平安防护？答：在生产限制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问限制.如暂时不具备条件,可采用硬件防火墙或网络设备的访问限制技术临时代替.22 .在治理信息大区与广域网的纵向交接处如何实现平安防护？答：治理信息大区应采用硬件防火墙等平安设备接入电力企业数据网.23 对处于外部网络边界的通信网关如何实现平安防护？答：对处于外部网络边界的通信网关,应进行操作系统的平安加固.根据具体业务的重要程度及信息的敏感程度,对生产限制大区的外部通信网关应该具备加密、认证和过滤的功能.24 .传统的基于专用通道的通信是否需要平安防护？答：传统的基于专用通道的通信不涉及网络平安问题,可采用线路加密技术保护关键厂站及关键业务.25 .生产限制大区内部平安区工是否允许WEB效劳？答：生产限制大区内部平安区工禁止平安区工的Web效劳.26 .生产限制大区内部平安区O是否允许WEB效劳？答：允许4Kn内部采用B/S结构的业务系统旭仅限于业务系统内部使用.允许平安区O纵向平安Web效劳,经过平安加固且支持HTTPS的平安Web效劳器和Web浏览工作站应在专用网段,应由业务系统向Web效劳器单向主动传送数据.27 .电力调度数字证书的特点？答：电力调度数字证书是专用于电力调度业务需要的数字证书,主要用于生产限制大区,可使用于交互式登录的身份认证、网络身份认证、通信数据加密及认证包括数据完整性和数据源认证等.电力调度证书系统根据电力调度治理体系进行配置,省级及以上调度中央和有实际业务需要的地区调度限制中央应该建立电力调度证书效劳系统.28 .电力调度系统数字证书的建立原那么？答：1）统一规划数字证书的信任体系,各级电力调度证书系统用于颁发本调度中央及调度对象相关人员和设备证书.上下级电力调度证书系统通过信任链构成认证体系,预防产生交叉认证.（2）采用统一的数字证书格式和加密算法.（3）原那么上离线生成、离线装入、离线治理,保证调度数字证书的生成、发放、治理以及密钥的生成、理脱离网络,独立运行；（4）优化调度数字证书系统应用接口,推进其应用和普及；（5）相关应用系统嵌入数字证书效劳,以提升实时性和可靠性.29 .电力调度数据网络承载的业务是什么？答：电力调度数据网络是专用网络,承载的业务是电力实时限制业务、在线生产业务以及本网网管业务.30 .如何实现对电力调度数据网网络路由的防护？答：对路由器之间的路由信息交换进行数字签名,保证信息的完整性与可信性.31 .如何对电力调度数据网网络设备进行平安配置？答：网络设备的平安配置包括关闭或限定网络效劳、预防使用默认路由、网络边界关闭OSPF路由功能、采用平安增强的SNMPV2及以上版本的网管系统、及时更新软件、使用平安的治理方式、限制登录的网络地址、记录设备日志、设置高强度的密码、适当配置访问限制列表、封闭空闲的网络端口等.32 .如何实现对电力企业数据网的防护？答：电力企业数据网为电力企业内联网,其平安防护由各个企业负责.其中，电网企业的数据网即为电力数据通信网,该网承载业务主要为电力综合信息、电力调度生产治理业务、电力内部数字语音视频以及网管业务,该网不经营对外业务.电力数据通信网使用私有网络地址,与外部互联网以及其它外部网络没有直接的网络连接,采用虚拟专网技术构造三个子网：调度子网、信息子网以及语音视频子网,分别对应电网企业的电力调度生产治理、电力综合信息、电力内部字语音视频三类业务.33 .如何实现对电力监控系统的备份及恢复？答：必须定期对电力监控系统关键业务的数据与系统进行备份,建立历史归档数据的异地存放制度,保证在数据损坏或系统崩溃的情况下快速恢复数据与系统,保证系统的可用性对关键主机设备、网络设备或关键部件进行相应的冗余配置,平安区1的业务应采用热备份方式,其它平安区的业务系统可根据需要选用热备份、温备份、冷备份等备份方式,预防单点故障影响系统可靠性.34 .如何实现对电力二次系统恶意代码的防范？答：对病毒、木马等恶意代码的防护是电力二次系统平安防护所必须的安全举措.生产限制大区应该统一部署恶意代码防护系统,治理信息大区建议统一部署恶意代码防护系统,禁止生产限制大区与治理信息大区共用一个防恶意代码理效劳器.对生产限制大区,禁止以任何方式连接外部网络进行病毒或木马特征码的在线更新.增强防病毒、木马等恶意代码的治理,保证特征码的及时更新,及时查看查杀记录,随时掌握威胁状况.35 .如何在生产限制大区部署防火墙？答：防火墙产品可以部署在平安区1与平安区Il之间,实现两个区域的逻辑隔离、报文过滤、访问限制等功能.生产限制大区与治理信息大区采用的防火墙平安策略的侧重点应有所不同.36 .如何在生产限制大区部署入侵检测系统？答：生产限制大区统一部署一套网络入侵检测系统,其平安策略的设置重在捕获网络异常行为、分析潜在威胁以及事后平安审计,不宜使用实时阻断功能.禁止使用入侵检测与防火墙的联动.增强入侵检测系统的使用与治理,合理设置检测规那么,及时分析检测报告，准确识别攻击,及时发出告警信息,充分发挥其在平安事件检测与恢复中的作用.37 .如何在生产限制大区进行主机加固？答：主机平安防护首先要确定平安策略,然后采取适当的方式增强其平安性.通过合理地设置系统配置、效劳、权限可有效减少平安薄弱环节.38 .如何对操作系统进行平安加固？答：操作系统平安加固举措包括：升级到当前系统版本、安装后续的补丁合集、加固系统TCP/IP配置、根据系统应用要求关闭不必要的效劳、关闭SNMP协议预防利用其远程溢出漏洞获取系统限制权或限定访问范围、为超级用户或特权用户设定复杂的口令、修改弱口令或空口令、禁止任何应用程序以超级用户身份运行、设定系统日志和审计行为等.39 .数据库的加固举措包括什么？答：数据库的应用程序进行必要的平安审核、及时删除不再需要的数据库、安装补丁、使用平安的密码策略和账号策略、限定治理员权限的用户范围、禁止多个治理员共享用户账户和口令、禁止一般用户使用数据库治理员的用户名和口令、增强数据库日志的治理、治理扩展存储过程、数据定期备份等.40 .电力调度数字证书的应用范围？!答：电力调度系统建设基于公钥技术的分布式的调度数字证书系统,由相关主管部门统一颁发调度数字证书,为电力监控系统及调度数据网上的关键应用、关键用户和关键设备提供数字证书效劳.在数字证书根底上可以在调度系统与网络关键环节实现高强度的身份认证、平安的数据传输以及可靠的行为审计.41 .在电力调度数字证书中何为人员证书？答：人员证书指关键业务的用户、系统治理人员以及必要的应用维护与开发人员,在访问系统、进行操作时需要持有的证书.主要用于用户登录网络与操作系统、登录应用系统,以及访问应用资源、执行应用操作命令时对用户的身份进行认证,与其它实体通信过程中的认证、加密与签名，以及行为审计.42 .在电力调度数字证书中何为程序证书？答：程序证书指关键应用的模块、进程、效劳器程序运行时需要持有的证书,主要用于应用程序与远方程序进行平安的数据通信,提供双方之间的认证、据的加密与签名功能.43 .在电力调度数字证书中何为设备证书？答：设备证书指网络设备、效劳器主机等,在接入本地网络系统与其它实体通信过程中需要持有的证书,主要用于本地设备接入认证,远程通信实体之间的认证,以及实体之间通信过程的数据加密与签名.44 .纵向加密认证装置有何特点？答：纵向加密认证装置具有类似过滤防火墙的功能,并为广域网通信提供认证与加密功能,实现数据传输的机密性、完整性保护.加密认证网关除具有加密认证装置的全部功能外,还应实现电力应用层协议及报文内容的识别功能.45 .如何实现远程拨号访问的平安防护？答：当远程拨号访问生产限制大区时,要求远方用户使用平安加固的LINUX或UNIX系统平台以预防将病毒、木马等恶意代码引入生产限制大区.远程拨号访问应采用调度数字证书,进行登录认证和访问认证.46 .拨号访问的防护有那两种方式,有何特点？答：拨号访问的防护可以采用链路层保护方式或者网络层保护方式.链路保护方式使用专用链路加密设备,实现两端链路加密设备相互进行认证和对链路帧进行加密等平安功能.网络保护方式采用VPN技术在拨号效劳器RAS）与远程拨入用户建立加密通道,实现对网络层数据的机密性与完整性保护.47 .线路加密设备可用于什么通道上实现平安防护？答：线路加密设备可用于传统的专线远动装置RTUI继电保护装置、平安自动装置、负荷治理装置等专用通道上的数据加密防护,预防通过搭线等方式篡改限制命令及敏感数据.要求该设备具有一定强度的对称加密功能.48 .平安文件网关的用途？答：平安文件网关主要用于电力系统各级部门之间平安的文件传输,部署在平安区口,采用加密、认证等技术,保证文件的机密性、完整性.可用于调度报表、检修方案、发电方案、交易报价等文件的传输场合.49 .平安审计的用途？答：平安审计是平安治理的重要环节,应在生产限制大区内引入相对集中的、智能的平安审计系统,通过技术手段,对网络运行日志、操作系统运行日志、据库访问日志、业务应用系统运行日志、平安设施运行日志等进行统一平安审计,及时自动分析系统平安事件,实现系统平安运行治理.50 .国家电力监管委员会在电力二次系统平安防护的作用？答：国家电力监管委员会负责电力二次系统平安防护的监管,组织制定电力二次系统平安防护技术标准并监督实施.51 .电力企业如何实现平安分级负责制？答：电力企业应当根据“谁主管谁负责,谁经营谁负责的原那么,建立电力二次系统平安治理制度,将电力二次系统平安防护及其信息报送纳入日常平安生产治理体系,落实分级负责的责任制.52 .电力调度机构的平安负责范围？答：电力调度机构负责直接调度范围内的下一级电力调度和变电站的二次系统平安防护的技术监督.53 .发电厂内涉及到调度的业务系统的平安负责单位？答：发电厂内涉及到调度的业务系统包括发电厂输变电局部、全厂/机组AGC功能、人丫口无功电压限制功能、电厂报价终端、电量计费系统、故障录波系统等由电力调度机构和发电厂的上级主管单位共同实施技术监督.54 .电力二次系统平安评估方式是什么？答：电力二次系统平安评估采用以自评估为主、检查评估为辅的方式,并纳入电力系统平安评价体系.55 .平安评估的内容是什么？答：平安评估的内容包括：风险评估、攻击演习、漏洞扫描、平安体系的评估、平安设备的部署及性能评估、平安治理举措的评估等.对生产限制大区安全评估的所有记录、数据、结果等均不得以任何形式、任何借口携带出被评估单位,要按国家有关要求做好保密工作.56 .何时需要进行平安评估？答：电力二次系统的新系统在投运之前、老系统进行平安整改之后或进行重大改造或升级之后必须进行平安评估；电力二次系统应该定期每年或每两年进行平安评估.57 .电力二次系统相关设备及系统的开发单位的平安责任？答：电力二次系统相关设备及系统的开发单位、供给商应以合同条款或保密协议的方式保证所提供的设备及系统符合?电力二次系统平安防护规定?和本方案的要求,并在设备及系统的生命期内对此负责.58 .平安装置的可用性指标？答：平安装置的可用性指标到达99.99%.59 ,设备和应用系统的接入治理？答：新接入电力调度数据网络的节点、设备和应用系统,其接入技术方案和平安防护举措须经负责本级电力调度数据网络的调度机构核准,并送上一级电力调度机构备案.在已经建立平安防护体系的电力二次系统中,接入任何新的设备和应用及效劳,必须立案申请、审查批准后,方可在平安治理人员的监管下实施接入.60 .生产限制大区的工作站、效劳器平安治理要求？答：各业务系统位于生产限制大区的工作站、效劳器均严格禁止以各种方式开通与互联网的连接；限制开通拨号功能,必须配置强认证机制；在生产限制大区中的PC机等应该撤除可能传播病毒等恶意代码的软盘驱动、光盘驱动、USB接口、串行口等,或通过平安治理平台实施严格治理.61 .对电力二次系统生产限制区中的平安产品有何要求？答：接入电力二次系统的生产限制区中的平安产品,必须具有公安部平安产品销售许可,获得国家指定机构平安检测证实,用于厂站的设备还需有电力系统电磁兼容检测证实.62 .日常运行的平安治理制度包括那些？答：日常运行的平安治理制度包括：门禁治理、人员治理、权限治理、访问限制治理、平安防护系统的维护治理、常规设备及各系统的维护治理、恶意代码病毒及木马等的防护治理、审计治理、数据及系统的备份治理、用户口令密钥及数字证书的治理、培训治理等治理制度.63 .如何进行电力二次系统联合防护和应急处理？答：建立健全电力二次系统平安的联合防护和应急机制,电力调度机构负责统一指挥调度范围内的电力二次系统平安应急处理.各电力企业的电力二次系统必须制定应急处理预案并经过预演或模拟验证.64 .当电力生产限制大区出现平安事故时如何处理？答：当电力生产限制大区出现平安事故,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,应当立即向其上级电力调度机构和信息平安主管部门报告，必须按应急处理预案立即采取相应的平安应急举措.并通报有网络连接的相邻单位有关的调度中央及发电厂和变电站，联合采取紧急防护举措,以预防事件扩大.同时注意保护事故现场,以便进行调查取证和事故分析.当系统遭到破坏时,应当根据预先制定的应急方案尽快实施恢复.65 .什么是网络平安？答：网络平安是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络效劳不被中断.66 .什么是计算机病毒？答：是指编制或者在计算机程序中插入的破坏计算机数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码.67 .什么是木马？答：木马是一种带有恶意性质的远程限制软件.木马一般分为客户端(client和效劳器端§八1客户端就是本地使用的各种命令的限制台，效劳器端那么是要给别人运行,只有运行过效劳器端的计算机才能够完全受控.木马不会像病毒那样去感染文件.68 .什么叫入侵检测？答：入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的平安治理水平包括平安审计、监视、进攻识别和响应，提升信息平安根底结构的完整性.它从计算机网络系统中的假设干关键点收集信息,并分析这些信息,检查网络中是否有违反平安策略的行为和遭到袭击的迹象.69.加密技术是指什么？答：加密技术是最常用的平安保密手段,利用技术手段把重要的数据变为乱码加密传送,到达目的地后再用相同或不同的手段复原解密.加密技术包括两个元素：算法和密钥.算法是将普通的信息或者可以理解的信息与一串数字密钥结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法.在平安保密中,可通过适当的钥加密技术和管理机制来保证网络的信息通信平安.70防火墙种类有几种？答：防火墙产品又可分为包过滤型防火墙、应用级网关型防火墙和代理服务型防火墙.71虚拟专用网(FlA21privateNetwork5VPN)ME?答：VPN被定义为通过一公共网络Internet)立的临时的、平安的连接，是一条穿过混乱的公用网络的平安、稳定的隧道,它是对企业内部网的扩展.72计算机病毒的特征?答：传染性、隐蔽性、潜伏性、破坏性、不可预见性等.73什么是MPLSVPN?答MPLSVPNeS7MPLS（MultiprotocolLabelSwitching,多协议标记交换技术的卬VPN是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络卬VPN）,可用来构造宽带的ImranehEXtranet满足多种灵活的业务需求.74什么是NAT?答：NAT（NetworkAddress1加5的修.由是指网络地址转换.75限制区平安区工的平安等级相当于计算机信息系统平安保护等级的第几级?答：限制区平安区工的平安等级相当于计算机信息系统平安保护等级的第4级.76三漪制区平安区口海当于计算机信息系统平安保护等级的第几级？答三陶制欧平安区口相当于计算机信息系统平安保护等级的第3级.77什么是SDH?答：同步数字系列e丫皿楠门.八DigitalHierarchyiSDH）:是国际电联于1988年在北美SONET的根底上提出的一种新的传输体制,是为实现在物理传输网络中传送经适当配置的信息而标准化的数字传输结构体系.78什么是PVC?答：PVC（PermanentVirtual03过）永久虚电路,所谓虚电路,就是两个用户终端设备在开始互相发送和接收数据之前,需要通过网络建立逻辑上的连接,一旦这种连接建立之后，就在网络中保持已建立的数据通路,用户发送的数据（以分组为单位）将按顺序通过网络到达终点.永久连接的虚电路称为永久虚电路.79什么是.乂2区？$：DMZ(De-MilitarizedZone)”国事化区,为了配置治理方便，内部网中需要向外提供效劳的效劳器放在一个单独的网段,这个网段便是非军事化区.传统硬件防火墙一般至少应具备三个端口，分别接内网,外网和DMZ区.80什么是DoS?S:DoS(Denyof51人&§)拒绝效劳攻击,拒绝效劳攻击专门设计用来阻止授权用户对系统以及系统数据进行访问,通常采用的攻击方式是让系统服务器超载或者让系统死机.81对于孤立业务系统如何进行平安防护？答：与外部边界网络不存在联系的业务系统为孤立业务系统,对其平安区划分可不作要求,但需遵守所在平安区的平安防护要求.82电力调度数据网逻辑子网的划分？答：电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接限制区和非限制区子网之间可采用MPLS-VPN技术、平安隧道技术、PVC技术或路由独立技术等来构造子网.83电力二次系统平安区连接的拓扑结构各有什么特点？答：链式结构中的限制区具有较高的累积平安强度,但总体层次较多；三角结构各区可直接相连,效率较高,但所用隔离设备较多；星形结构所用设备简单、容易实施,但中央点故障影响三个区.三种模式均能满足电力二次系统平安防护体系的要求,可根据本地具体情况选用.84如何实现对生产限制大区内恶意代码防护系统中病毒或木马特征码的更新?答：对生产限制大区,禁止以任何方式连接外部网络进行病毒或木马特征码的在线更新,只能使用离线更新方式进行更新85对生产限制大区所选用的防火墙有何要求？答：生产限制大区所选用的防火墙必须为国产硬件防火墙,其功能、性能、电磁兼容性必须经过相关测试.86专用横向单向平安隔离装置如何使用？答：从生产限制大区向治理信息大区传输信息必须采用正向平安隔离装置；由治理信息大区向生产限制大区的少量单向数据传输必须经反向平安隔离装置.87如何对关键应用系统如能量治理系统SCADA/EMS/DMS等的主效劳器及通信网关进行主机加固？答：关键应用系统如能量治理系统SCADA/EMS/DMS、变电站自动化系统、电厂监控系统、配电自动化系统、电力交易系统等的主效劳器,以及网络边界处的通信网关、Web效劳器等,应该采用加固的LlNUX或UNIX等平安操作系统.主机平安加固方式包括：平安配置、平安补丁、采用专用的软件强化操作系统访问限制水平、以及配置平安的应用程序.88如何对业务系统的专用主机或者工作站进行主机加固？答：作为业务系统的专用主机或者工作站,应严格治理操作系统及应用软件的安装与使用，禁止不必要的应用.通过及时更新操作系统平安补丁,消除系统内核及平台的漏洞与后门.安装主机加固软件,强制进行权限分配,保证对系统的资源包括数据与进程的访问符合规定的主机平安策略,预防主机权限被滥用.应用软件升级到平安版本，更新应用软件的平安补丁,严格限制应用的权限,增强应用系统用户认证与权限限制.89对于通过RAS访问本地网络与系统的远程拨号访问,建议采用何种保护方式？答：对于通过RAS访问本地网络与系统的远程拨号访问,建议采用网络层保护方式.90对于以远方终端的方式通过被访问的主机的串行接口直接访问的情况，议采用何种保护举措.答：对于以远方终端的方式通过被访问的主机的串行接口直接访问的情况，议采用链路层保护举措.91对调度中央的实时限制系统是否需要需异地容灾备份？答：对调度中央的实时限制系统,在具备条件的前提下,逐步实现异地的据与系统备份,提供系统级容灾功能,保证在大规模灾难情况下保持系统业务的连续性.92如何实现计算机系统本地访问限制？答：结合用户数字证书技术,对用户登录本地操作系统、访问系统资源等操作进行身份认证,根据身份与权限进行访问限制,并且对操作行为进行平安审计.对于调度端平安区I中的SCADASA,平安区口中的电量计费系统及电力市场交易系统,厂站端的限制系统等重要应用系统,应逐步采用本地访问限制手段进行保护.93电力企业的关键部门如何进行平安评估？答：电力企业的关键部门应该建立自主的评估队伍,掌握评估技术和方法，配备必要的工具,定期进行评估,可聘请电力部门的有关单位联合进行评估.上级主管单位可对下级单位进行定期或不定期的检查性平安评估.94电力二次系统专用平安产品的开发单位的平安责任是什么？答：电力二次系统专用平安产品的开发单位、使用单位及供给商,应当按家有关要求做好保密工作,禁止关键技术和设备的扩散(用于其它行业以及出口到国外).95什么是PKI?S：PKI(PublicKeyInfraStnJStUre)公钥根底设施加曲就是利用公共密钥理论和技术建立的提供平安效劳的根底设施.96什么是CA?$：CA(CertificateAuthority)证书认证中央工人是PKI的核心执行机构,是PKl的主要组成局部,通常称它为认证中央.它是数字证书的申请注册、证书签发和治理机构.97入侵检测系统的种类？答：入侵检测系统IDS分为主机级HIDS和网络级NIDS.98VPN具有那几种技术来保证其平安？答：隧道技术、加密技术、密钥治理技术和身份认证技术.99如何实现IEC61970等国际标准与电力二次平安防护的结合？答：实施这些标准必须坚持合理划分平安区域的原那么,将标准规定的功能模块恰当的置于各平安区域之中,从而实现国际标准与平安防护的有机统一.100电力二次系统的平安防护实施方案经那个部门审核才能实施？答：电力企业各运行单位的电力二次系统的平安防护实施方案必须经过上级信息平安主管部门和相应电力调度机构的审核,完工后必须经过上述机构验收.