电力二次系统安全一百题

1. 电力二次系统安全防护目标是什么？
答：抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。

2. 电监会5号令中电力二次系统是指什么？
答：包括电力监控系统、继电保护和安自装置、负荷控制、电力通信及数据网络等。

3. 电监会5号令中电力监控系统是指什么？
答：是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。

包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。

4. 电监会5号令中电力调度数据网络指什么？
答：是指各级电力调度专用广域数据网络、电力生产专用拨号网络等。

5. 电监会5号令中控制区指什么？
答：是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。

6. 电监会5号令中非控制区指什么？
答：是指在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。

7. 电力二次系统的安全防护原则？
答：电力二次系统安全防护原则是安全分区、网络专用、横向隔离、纵向认证,保障电力监控系统和电力调度数据网络的安全。

8. 电力二次系统如何进行安全分区？
答：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。

生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。

根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。

9. 电力二次系统中不同的安全分区相应的安全等级是什么？
答：不同的安全区域确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。

生产控制大区的安全等级高于管理信息大区，其中控制区（安全区Ⅰ）的安全等级相当于计算机信息系统安全保护等级的第4级，非控制区（安全区II）相当于计算机信息系统安全保护等级的第3级。

安全分区是电力二次安全防护体系的结构基础。

10. 生产控制大区中安全区I（控制区）的典型系统是什么？
答：包括调度自动化系统（SCADA/EMS）、广域相量测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等。

11. 生产控制大区中安全区II（非控制区）的典型系统是什么？
答：调度员培训模拟系统（DTS）、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等。

12. 业务系统分区规则？
答：综合考虑业务系统或功能模块的实时性、使用者、主要功能、设备场所、各业务系统间的相互关系、广域网通信方式、对电力系统的影响等因素，按以下规则将业务系统或功能模块置于合适的安全区：
（1）实时控制系统或未来可能有实时控制功能的系统应置于安全区Ⅰ。

（2）电力二次系统中不允许把应属于高安全等级区域的业务系统迁移到低安全等级区域运行；但允许把属于低安全等级区域的业务系统的终端设备放置于高安全等级区域，由属于高安全等级区域的人员控制和使用。

（3）尽可能将业务系统完整置于一个安全内；当某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可根据业务系统的数据流程将不同的功能模块（或子系统）分置于合适的安全区中，各功能模块（或子系统）经过安全区之间的通信联接整个业务系统。

（4）与外部边界网络不存在联系的业务系统为孤立业务系统，对其划分规则不作要求，但需遵守所在安全区的安全防护要求。

根据实际情况，安全区I和安全区II不一定同时存在。

某一安全区不存在的条件是其本身不存在该安全区的业务，且与其它电力二次系统在该安全区不存在“纵向”互联。

如果省略某安全区而导致上下级安全区的纵向交叉，则应该构造一个最小安全区并安装安全区间的隔离装置，以保持安全防护体系的完整性。

13. 电力二次系统安全区连接的拓扑结构有几种，各有什么特点？
答：电力二次系统安全区连接的拓扑结构有链式、三角和星形结构三种。

14. 如何构建安全隔离的电力调度数据网?
答：电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基于SDH/PDH上的不同通道、不同光波长、不同纤芯等方式，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。

电力调度数据网是电力二次安全防护体系的重要网络基础。

15. 在生产控制大区与管理信息大区之间的安全要求是什么？
答：在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离。

16. 生产控制大区内部的安全区之间的安全防护要求是什么？
答：生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。

具体隔离装置的选择还需要考虑业务所需带宽及实时性的要求。

17. 什么类型的数据才能穿越专用横向单向安全隔离装置？
答：严格禁止E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务和以B/S或C/S方式的数据库访问功能穿越专用横向单向安全隔离装置，仅允许纯数据的单向安全传输。

18. 防火墙的特点是什么？
答：防火墙（firewall）是指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合。

它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策（允许、拒绝、监测）控制出入网络的信息流，且本身具有较强的抗攻击能力。

它是提供信息安全服务，实现网络和信息安全的基础设施。

19. 专用横向单向安全隔离装置分为几种？
答：专用横向单向安全隔离装置分为正向型和反向型。

20. 反向安全隔离装置的特点是什么？
答：反向安全隔离装置采取签名认证和数据过滤措施，仅允许纯文本数据通过，并严格防范病毒、木马等恶意代码进入生产控制大区。

21. 在生产控制大区与广域网的纵向交接处如何实现安全防护？
答：在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。

如暂时不具备条件，可采用硬件防火墙或网络设备的访问控制技术临时代替。

22. 在管理信息大区与广域网的纵向交接处如何实现安全防护？
答：管理信息大区应采用硬件防火墙等安全设备接入电力企业数据网。

23. 对处于外部网络边界的通信网关如何实现安全防护？
答：对处于外部网络边界的通信网关，应进行操作系统的安全加固。

根据具体业务的重要程度及信息的敏感程度，对生产控制大区的外部通信网关应该具备加密、认证和过滤的功能。

24. 传统的基于专用通道的通信是否需要安全防护？
答：传统的基于专用通道的通信不涉及网络安全问题，可采用线路加密技术保护关键厂站及关键业务。

25. 生产控制大区内部安全区Ⅰ是否允许WEB服务？
答：生产控制大区内部安全区Ⅰ禁止安全区Ⅰ的Web服务。

26. 生产控制大区内部安全区Ⅱ是否允许WEB服务？
答：允许安全区Ⅱ内部采用B/S结构的业务系统，但仅限于业务系统内部使用。

允许安全区Ⅱ纵向安全Web 服务，经过安全加固且支持HTTPS的安全Web服务器和Web浏览工作站应在专用网段，应由业务系统向Web服务器单向主动传送数据。

27. 电力调度数字证书的特点？
答：电力调度数字证书是专用于电力调度业务需要的数字证书，主要用于生产控制大区，可使用于交互式登录的身份认证、网络身份认证、通信数据加密及认证（包括数据完整性和数据源认证）等。

电力调度证书系统按照电力调度管理体系进行配置，省级及以上调度中心和有实际业务需要的地区调度控制中心应该建立电力调度证书服务系统。

28. 电力调度系统数字证书的建立原则？
答：（1）统一规划数字证书的信任体系，各级电力调度证书系统用于颁发本调度中心及调度对象相关人员和设备证书。

上下级电力调度证书系统通过信任链构成认证体系，防止产生交叉认证。

（2）采用统一的数字证书格式和加密算法。

（3）原则上离线生成、离线装入、离线管理，确保调度数字证书的生成、发放、管理以及密钥的生成、管理脱离网络，独立运行；
（4）优化调度数字证书系统应用接口，推进其应用和普及；
（5）相关应用系统嵌入数字证书服务，以提高实时性和可靠性。

29. 电力调度数据网络承载的业务是什么？
答：电力调度数据网络是专用网络，承载的业务是电力实时控制业务、在线生产业务以及本网网管业务。

30. 如何实现对电力调度数据网网络路由的防护？
答：对路由器之间的路由信息交换进行数字签名，保证信息的完整性与可信性。

31. 如何对电力调度数据网网络设备进行安全配置？
答：网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、网络边界关闭OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管系统、及时更新软件、使用安全的管理方式、限制登录的网络地址、记录设备日志、设置高强度的密码、适当配置访问控制列表、封闭空闲的网络端口等。

32. 如何实现对电力企业数据网的防护？
答：电力企业数据网为电力企业内联网，其安全防护由各个企业负责。

其中，电网企业的数据网即为电力数据通信网，该网承载业务主要为电力综合信息、电力调度生产管理业务、电力内部数字语音视频以及网管业务，该网不经营对外业务。

电力数据通信网使用私有网络地址，与外部互联网以及其它外部网络没有直接的网络连接，采用虚拟专网技术构造三个子网：调度子网、信息子网以及语音视频子网，分别对应电网企业的电力调度生产管理、电力综合信息、电力内部数字语音视频三类业务。

33. 如何实现对电力监控系统的备份及恢复？
答：必须定期对电力监控系统关键业务的数据与系统进行备份，建立历史归档数据的异地存放制度，确保在数据损坏或系统崩溃的情况下快速恢复数据与系统，保证系统的可用性。

对关键主机设备、网络设备或关键部件进行相应的冗余配置，安全区I的业务应采用热备份方式，其它安全区的业务系统可根据需要选用热备份、温备份、冷备份等备份方式，避免单点故障影响系统可靠性。

34. 如何实现对电力二次系统恶意代码的防范？
答：对病毒、木马等恶意代码的防护是电力二次系统安全防护所必须的安全措施。

生产控制大区应该统一部署恶意代码防护系统，管理信息大区建议统一部署恶意代码防护系统，禁止生产控制大区与管理信息大区共用一个防恶意代码管理服务器。

对生产控制大区，禁止以任何方式连接外部网络进行病毒或木马特征码的在
线更新。

加强防病毒、木马等恶意代码的管理，保证特征码的及时更新，及时查看查杀记录，随时掌握威胁状况。

35. 如何在生产控制大区部署防火墙？
答：防火墙产品可以部署在安全区I与安全区II之间，实现两个区域的逻辑隔离、报文过滤、访问控制等功能。

生产控制大区与管理信息大区采用的防火墙安全策略的侧重点应有所不同。

36. 如何在生产控制大区部署入侵检测系统？
答：生产控制大区统一部署一套网络入侵检测系统，其安全策略的设置重在捕获网络异常行为、分析潜在威胁以及事后安全审计，不宜使用实时阻断功能。

禁止使用入侵检测与防火墙的联动。

加强入侵检测系统的使用与管理，合理设置检测规则，及时分析检测报告，准确识别攻击，及时发出告警信息，充分发挥其在安全事件检测与恢复中的作用。

37. 如何在生产控制大区进行主机加固？
答：主机安全防护首先要确定安全策略，然后采取适当的方式增强其安全性。

通过合理地设置系统配置、服务、权限，可有效减少安全薄弱环节。

38. 如何对操作系统进行安全加固？
答：操作系统安全加固措施包括：升级到当前系统版本、安装后续的补丁合集、加固系统TCP/IP配置、根据系统应用要求关闭不必要的服务、关闭SNMP协议避免利用其远程溢出漏洞获取系统控制权或限定访问范围、为超级用户或特权用户设定复杂的口令、修改弱口令或空口令、禁止任何应用程序以超级用户身份运行、设定系统日志和审计行为等。

39. 数据库的加固措施包括什么？
答：数据库的应用程序进行必要的安全审核、及时删除不再需要的数据库、安装补丁、使用安全的密码策略和账号策略、限定管理员权限的用户范围、禁止多个管理员共享用户账户和口令、禁止一般用户使用数据库管理员的用户名和口令、加强数据库日志的管理、管理扩展存储过程、数据定期备份等。

40. 电力调度数字证书的应用范围？
答：电力调度系统建设基于公钥技术的分布式的调度数字证书系统，由相关主管部门统一颁发调度数字证书，为电力监控系统及调度数据网上的关键应用、关键用户和关键设备提供数字证书服务。

在数字证书基础上可以在调度系统与网络关键环节实现高强度的身份认证、安全的数据传输以及可靠的行为审计。

41. 在电力调度数字证书中何为人员证书？
答：人员证书指关键业务的用户、系统管理人员以及必要的应用维护与开发人员，在访问系统、进行操作时需要持有的证书。

主要用于用户登录网络与操作系统、登录应用系统，以及访问应用资源、执行应用操作命令时对用户的身份进行认证，与其它实体通信过程中的认证、加密与签名，以及行为审计。

42. 在电力调度数字证书中何为程序证书？
答：程序证书指关键应用的模块、进程、服务器程序运行时需要持有的证书，主要用于应用程序与远方程序进行安全的数据通信，提供双方之间的认证、数据的加密与签名功能。

43. 在电力调度数字证书中何为设备证书？
答：设备证书指网络设备、服务器主机等，在接入本地网络系统与其它实体通信过程中需要持有的证书，主要用于本地设备接入认证，远程通信实体之间的认证，以及实体之间通信过程的数据加密与签名。

44. 纵向加密认证装置有何特点？
答：纵向加密认证装置具有类似过滤防火墙的功能，并为广域网通信提供认证与加密功能，实现数据传输的机密性、完整性保护。

加密认证网关除具有加密认证装置的全部功能外，还应实现电力应用层协议及报文内容的识别功能。

45. 如何实现远程拨号访问的安全防护？
答：当远程拨号访问生产控制大区时，要求远方用户使用安全加固的LINUX或UNIX系统平台，以防止将病毒、木马等恶意代码引入生产控制大区。

远程拨号访问应采用调度数字证书，进行登录认证和访问认证。

46. 拨号访问的防护有那两种方式，有何特点？
答：拨号访问的防护可以采用链路层保护方式或者网络层保护方式。

链路保护方式使用专用链路加密设备，实现两端链路加密设备相互进行认证和对链路帧进行加密等安全功能。

网络保护方式采用VPN技术在拨号服务器（RAS）与远程拨入用户建立加密通道，实现对网络层数据的机密性与完整性保护。

47. 线路加密设备可用于什么通道上实现安全防护？
答：线路加密设备可用于传统的专线远动装置（RTU）、继电保护装置、安全自动装置、负荷管理装置等专用通道上的数据加密防护，防止通过搭线等方式篡改控制命令及敏感数据。

要求该设备具有一定强度的对称加密功能。

48. 安全文件网关的用途？
答：安全文件网关主要用于电力系统各级部门之间安全的文件传输，部署在安全区II，采用加密、认证等技术，保证文件的机密性、完整性。

可用于调度报表、检修计划、发电计划、交易报价等文件的传输场合。

49. 安全审计的用途？
答：安全审计是安全管理的重要环节，应在生产控制大区内引入相对集中的、智能的安全审计系统，通过技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。

50. 国家电力监管委员会在电力二次系统安全防护的作用？
答：国家电力监管委员会负责电力二次系统安全防护的监管，组织制定电力二次系统安全防护技术规范并监督实施。

51. 电力企业如何实现安全分级负责制？
答：电力企业应当按照“谁主管谁负责，谁经营谁负责”的原则，建立电力二次系统安全管理制度，将电力二次系统安全防护及其信息报送纳入日常安全生产管理体系，落实分级负责的责任制。

52. 电力调度机构的安全负责范围？
答：电力调度机构负责直接调度范围内的下一级电力调度和变电站的二次系统安全防护的技术监督。

53. 发电厂内涉及到调度的业务系统的安全负责单位？
答：发电厂内涉及到调度的业务系统（包括发电厂输变电部分、全厂/机组AGC 功能、AVR无功电压控制功能、电厂报价终端、电量计费系统、故障录波系统等）由电力调度机构和发电厂的上级主管单位共同实施技术监督。

54. 电力二次系统安全评估方式是什么？
答：电力二次系统安全评估采用以自评估为主、检查评估为辅的方式，并纳入电力系统安全评价体系。

55. 安全评估的内容是什么？
答：安全评估的内容包括：风险评估、攻击演习、漏洞扫描、安全体系的评估、安全设备的部署及性能评估、安全管理措施的评估等。

对生产控制大区安全评估的所有记录、数据、结果等均不得以任何形式、任何借口携带出被评估单位，要按国家有关要求做好保密工作。

56. 何时需要进行安全评估？
答：电力二次系统的新系统在投运之前、老系统进行安全整改之后或进行重大改造或升级之后必须进行安全评估；电力二次系统应该定期（每年或每两年）进行安全评估。

57. 电力二次系统相关设备及系统的开发单位的安全责任？
答：电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证所提供的设备及系统符合《电力二次系统安全防护规定》和本方案的要求，并在设备及系统的生命期内对此负责。

58. 安全装置的可用性指标？
答：安全装置的可用性指标达到99.99%。

59. 设备和应用系统的接入管理？
答：新接入电力调度数据网络的节点、设备和应用系统，其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准，并送上一级电力调度机构备案。

在已经建立安全防护体系的电力二次系统中，接入任何新的设备和应用及服务，必须立案申请、审查批准后，方可在安全管理人员的监管下实施接入。

60. 生产控制大区的工作站、服务器安全管理要求？
答：各业务系统位于生产控制大区的工作站、服务器均严格禁止以各种方式开通与互联网的连接；限制开通拨号功能，必须配置强认证机制；在生产控制大区中的PC机等应该拆除可能传播病毒等恶意代码的软盘驱动、光盘驱动、USB接口、串行口等，或通过安全管理平台实施严格管理。

61. 对电力二次系统生产控制区中的安全产品有何要求？
答：接入电力二次系统的生产控制区中的安全产品，必须具有公安部安全产品销售许可，获得国家指定机构安全检测证明，用于厂站的设备还需有电力系统电磁兼容检测证明。

62. 日常运行的安全管理制度包括那些？
答：日常运行的安全管理制度包括：门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码（病毒及木马等）的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。

63. 如何进行电力二次系统联合防护和应急处理？
答：建立健全电力二次系统安全的联合防护和应急机制，电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。

各电力企业的电力二次系统必须制定应急处理预案并经过预演或模拟验证。

64. 当电力生产控制大区出现安全事故时如何处理？
答：当电力生产控制大区出现安全事故，尤其是遭到黑客、恶意代码攻击和其他人为破坏时，应当立即向其上级电力调度机构和信息安全主管部门报告，必须按应急处理预案立即采取相应的安全应急措施。

并通报有网络连接的相邻单位（有关的调度中心及发电厂和变电站），联合采取紧急防护措施，以防止事件扩大。

同时注意保护事故现场，以便进行调查取证和事故分析。

当系统遭到破坏时，应当按照预先制定的应急方案尽快实施恢复。

65. 什么是网络安全?
答：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。

66. 什么是计算机病毒？
答：是指编制或者在计算机程序中插入的破坏计算机数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

67. 什么是木马?
答：木马是一种带有恶意性质的远程控制软件。

木马一般分为客户端（client）和服务器端（server）。

客户端就是本地使用的各种命令的控制台，服务器端则是要给别人运行，只有运行过服务器端的计算机才能够完全受控。

木马不会像病毒那样去感染文件。

68. 什么叫入侵检测？
答：入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。

它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。

69. 加密技术是指什么?
答：加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。

加密技术包括两个元素：算法和密钥。

算法是将普通的信息或者可以理解的信息与一串数字（密钥）结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解密的一种算法。

在安全保密中，可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。

70防火墙种类有几种？
答：防火墙产品又可分为包过滤型防火墙、应用级网关型防火墙和代理服务型防火墙。

71虚拟专用网(Virtual Private Network, VPN)的定义？
答：VPN 被定义为通过一公共网络( Internet) 建立的临时的、安全的连接, 是一条穿过混乱的公用网络的。