ICS點擊此處添加ICS號

CCS點擊此處添加CCS號

JSREA

江蘇省可再生能源行業協會團體標準

T/JSREAXXXX—XXXX

代替T/JSREA

電力企業工業信息安全培訓大綱和考核要

求

Programoftrainingandassessmentonindustrialinformationsecurityforelectrical

powerenterprise

（征求意見稿）

XXXX-XX-XX發布XXXX–XX-XX實施

江蘇省可再生能源行業協會??發布

T/JSREAXXXX—XXXX

電力企業工業信息安全培訓大綱和考核要求

1范圍

本文件規定了電力企業工業信息安全培訓大綱和考核要求的術語和定義、總則、環境條件、通用技術

要求、試驗和包裝、運輸與貯存。

本文件適用于電力企業工業信息安全培訓大綱和考核要求。本文件不適用于下列情況：

——除電力企業外的其他類型企業；

——除信息系統外的其他系統；

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T32351-2015電力信息安全水平評價指標

GB/T40599-2021繼電保護及安全自動裝置在線監視與分析技術規范

GA/T1359-2018信息安全技術信息資產安全管理產品安全技術要求

GB/T39204-2022信息安全技術關鍵信息基礎設施安全保護要求

GB/T19001-2016質量管理體系要求

GB/T19000-2016質量管理體系基礎和術語

GB17859計算機信息系統安全保護等級劃分準則

GB/T22240-2016信息安全技術信息系統安全等級保護定級指南

GB/T25069-2010信息安全技術術語

GB/T20271-2006信息安全技術信息系統通用安全技術要求；

GB/T20270-2006信息安全技術網絡基礎安全技術要求；

GB/T20984-2007信息安全技術信息安全風險評估規范；

GB/T20269-2006信息安全技術信息系統安全管理要求；

GB/T20281-2006信息安全技術防火墻技術要求與測試評價方法；

GB/T20275-2006信息安全技術入侵檢測系統技術要求和測試評價方法；

DB14/T2536-2022電力企業安全風險分級管控和隱患排查治理雙重預防體系規范

ISO/IEC17000:2004合格評定—詞匯和通用原則

ISO/IEC27001Informationtechnology-Securitytechniques-informationsecurity

managementsystems–Requirements

IEC61850:2023SERStandardLVDCCommunicationnetworksandsystemsforpowerutility

automation

3術語和定義

下列術語和定義適用于本文件。

本文件適用于工業互聯網產業聯盟《工業互聯網術語和定義v1.0》；

工業互聯網：開放、全球化的網絡，將人、數據和機器連接起來，屬于泛互聯網的目錄分類。它是

全球工業系統與高級計算、分析、傳感技術及互聯網的高度融合；

工業控制系統：工業控制系統是一個通用術語，它包括多種工業生產中使用的控制系統，包括監控

和數據采集系統，分布式控制系統，和其他較小的控制系統，如可編程邏輯控制器，現已廣泛應用

在工業部門和關鍵基礎設施中；

1

T/JSREAXXXX—XXXX

工業控制協議：工業控制系統中，上位機與控制設備之間、以及控制設備與控制設備之間的通信報

文規約。通常包括模擬量和數字量的讀寫控制。

4符號和縮略語

PLCProgrammableLogicController可編程邏輯控制器

DCSDistributedControlSystem分布式控制系統

DMZDemilitarizedZone非軍事區

ICSIndustrialControlSystem工業控制系統

MACMediaAccessControl介質訪問控制

NATNetworkAddressTranslation網絡地址轉換

ObjectLinkingandEmbeddingforProcess用于過程控制的對象鏈接與嵌

OPC

Control入

SupervisoryControlAndDataAcquisition

SCADA監控和數據采集系統

System

5培訓內容大綱

本標準所規定的電力企業工業信息安全培訓大綱和考核要求為電力企業工業信息安全相關人員應

接受的規范培訓參考準則，相關人員應具備與所從事的安全工作相適應的工業信息安全基礎知識、管理

能力和實際操作技能。電力企業工業信息安全培訓堅持理論與實踐相結合，堅持管理與技術并重，綜合

運用課堂授課、案例教學、互動研討和上機實操等多種培訓方式。同時，培訓機構應分析培訓需求、制

定培訓計劃、提供培訓環境、實施培訓與考核和評估培訓效果。培訓內容包括電力企業工業信息安全知

識模塊、技術知識模塊和上機操作模塊等三個課程模塊。

電力企業工業信息安全知識

5.1.1電力企業工業信息安全基本概念

培訓內容包括工業信息安全定義、特征、發展態勢及國內外工控網絡安全事件一覽基本內容。

工業信息安全定義：電力企業工業信息安全是指在電力企業的生產運營過程中，保護工業控制系統

和信息系統的機密性、完整性、可用性和可靠性，防止惡意攻擊、病毒侵入、非法訪問、泄密等安全事

件的發生，確保電力生產和供應的安全、穩定和可持續性。電力企業工業信息安全主要涉及電力生產自

動化系統、電網調度控制系統、能源管理系統、企業管理信息系統等，這些系統的安全性和穩定性直接

關系到電力企業的生產和運營。

工業信息安全特征：復雜性、高度可靠性要求、實時性、保密性要求高、長周期性。

電力企業工業信息安全的發展態勢：網絡化和智能化發展、法律法規和標準制定、安全技術和產品

的發展、人才培養和安全意識提升。

國內外工控網絡安全事件一覽基本內容參考附錄C。

5.1.2電力企業工業信息安全政策法規

培訓內容包括《中華人民共和國網絡安全法》、《關鍵信息基礎設施安全保護條例》、《中華人民

共和國數據安全法》、《網絡安全審查辦法》法律法規課程內容。具體內容參考附錄C。

5.1.3電力企業工業信息安全標準

培訓內容包括《網絡安全等級保護定級指南》、《信息安全技術網絡安全等級保護基本要求》、

《信息安全技術網絡安全等級保護測評要求》信息安全等級保護工作的內涵及流程，掌握開展網絡安

全工作的基本方法，構建信息安全管理體系和技術體系。

5.1.4電力企業工業信息安全漏洞管理與威脅應對

2

T/JSREAXXXX—XXXX

安全漏洞管理培訓內容包括典型漏洞挖掘技術、漏洞挖掘工具應用、網絡安全威脅和漏洞信息共享

平臺工業控制產品安全漏洞專業庫/國家工業信息安全漏洞庫(簡稱CICSVD)管理及漏洞提交流程。還包

括工業控制系統漏洞問題分類，及漏洞所產生的具體環境主要為物理環境、軟件信息技術環境等等，參

考國際相關標準為工控系統漏洞進行分類描述。

威脅應對培訓內容包括威脅情報收集和分析，了解當前的安全威脅和攻擊趨勢；網絡監測和防御，

包括入侵檢測、防火墻、反病毒等；安全事件響應計劃，包括事件發現、分類、響應和恢復等環節；員

工安全教育和意識提升，提高員工安全防范意識和行為規范；安全風險評估和演練，加強安全防御和應

對能力。

5.1.5電力企業工業信息安全防護體系

培訓內容包括ISO/IEC27001《信息技術-安全技術-信息安全管理系統-要求》（Information

technology-Securitytechniques-informationsecuritymanagementsystems-Requirements）、《信

息安全技術電力企業信息安全等級保護管理規定》（GB/T22239-2008）、《電力企業信息安全管理辦

法》等國際、國內和行業標準。內容大綱如下：

安全管理體系建設

電力企業需要建立完善的安全管理體系，包括安全管理機構、安全管理規章制度、安全管理流程等。

通過制定和實施安全管理制度，明確安全責任和安全要求，建立安全管理機制，加強安全管理和監督，

確保安全管理工作的有效開展。

安全技術防護措施

電力企業需要采取一系列安全技術防護措施，包括網絡安全、系統安全、數據安全、應用安全等。

例如，加強網絡安全防護，采用防火墻、入侵檢測系統、安全審計系統等技術手段；加強系統安全防護，

采用安全補丁管理、訪問控制、加密技術等技術手段；加強數據安全防護，采用備份和恢復技術、數據

加密技術等技術手段；加強應用安全防護，采用安全編碼、安全測試等技術手段等。

安全培訓和意識教育

電力企業需要加強安全培訓和意識教育，提高員工的安全意識和安全技能，增強員工的安全防范和

應對能力。例如，定期組織安全培訓和演練，加強對員工的安全宣傳和教育，提高員工的安全責任意識

和安全意識。

安全監測和響應機制

電力企業需要建立完善的安全監測和響應機制，及時發現和處理安全事件和故障，加強安全事件的

追溯和溯源，提高安全事件的應對能力和處理效率。例如，建立安全事件響應中心，配備專業安全人員，

采用安全事件監測和分析工具，實現安全事件的實時監測和分析，及時發出安全預警和處理建議。

電力企業工業信息技術知識

以下內容可以作為電力企業工業控制系統培訓的基本內容，根據實際需要和情況進行具體的調整和

補充，培訓內容應該結合實際情況，注重理論與實踐相結合，提高學員的工作能力和技能水平。

5.2.1電力企業工業控制系統

電力企業工業控制系統培訓內容應該包括以下幾個方面：

工業控制系統基礎知識

包括工業控制系統的基本原理、結構和組成部分，以及各種工業控制設備的工作原理和應用場景等；

工業控制系統安全知識

包括工業控制系統的安全防護措施、網絡安全、系統安全、數據安全、應用安全等方面的知識，以

及工業控制系統安全漏洞的發現和修復方法等；

工業控制系統運行與維護

3

T/JSREAXXXX—XXXX

包括工業控制系統的運行與維護知識、故障診斷和排除方法、備件管理和備份恢復等方面的知識；

工業控制系統管理

包括工業控制系統的安全管理、績效管理、成本管理等方面的知識，以及工業控制系統的規劃、設

計和實施等方面的知識；

工業控制系統標準和法規

包括工業控制系統的相關標準和法規，例如《電力企業信息安全等級保護管理規定》（GB/T

22239-2008）、《電力企業信息安全管理辦法》等；

工業控制系統案例分析

通過工業控制系統的實際案例，分析工業控制系統的安全問題和應對措施，提高學員的安全意識和

應對能力。

5.2.2電力企業工業信息安全監測預警技術

培訓內容包括工業控制系統資產識別、安全風險監測預警、安全威脅溯源處置等技術能力，以及如

何具備工業控制系統安全風險與威脅可感、可知、可處置、可追溯等能力。并了解國家對工業信息安全

監測預警數據分析、上報、處置等相關規范及要求。

5.2.3電力企業工業信息安全風險評估

培訓內容包括評估工業控制系統遭受各種外界威脅或者資源缺失因而帶來的損失總量，評估整個系

統中的脆弱點與威脅程度。對于工程師站和操作員站等主機漏洞，予以全方位的掃描，測出隱藏其中的

主機漏洞，其中典型為緩沖區溢出、可寫共享目錄、弱口令用戶等漏洞。在接入掃描設備的前提下，就

能掃描得出關鍵性的主機漏洞。

5.2.4電力企業工業信息安全攻防技術

培訓內容包括工業控制系統訪問控制和用戶身份認證，在此基礎上安全采集探針、信道加密、數據

包核查、入侵檢測、安全隔離、審計記錄和態勢分析等手段保護工業通信數據報文安全業務的技術。

5.2.5典型風險安全防范案例分析

培訓內容包括國內外典型工業安全事件的背景、損失評估、攻擊過程、核心問題、對策與措施等。

具體內容參考附錄C。

電力企業工業信息上機操作實踐

5.3.1電力企業工業控制系統實操

電力企業工業控制系統實操考核內容應該是一個全面的、多方面的考核，考核人員需要具備全面的

工業控制系統知識和技能，才能夠勝任工業控制系統的建設、運維和管理工作。參與培訓人員在實操環

節應具備如下能力：

系統運維與管理能力

考核人員需要了解和掌握工業控制系統的運維與管理能力，包括系統的維護、備份與恢復、監控與

日志管理、安全漏洞排查等方面的能力；

硬件設備的安裝與維護能力

考核人員需要具備硬件設備的安裝與維護能力，包括服務器、網關、交換機等設備的選購、安裝、

調試和維護等方面的能力；

軟件系統的安裝和配置能力

考核人員需要具備軟件系統的安裝和配置能力，包括操作系統、數據庫、工控軟件等的安裝、配置、

更新和維護等方面的能力；

4

T/JSREAXXXX—XXXX

網絡拓撲的規劃與維護能力

考核人員需要具備網絡拓撲的規劃與維護能力，包括網絡架構的設計、防火墻的配置、網絡拓撲的

優化與維護等方面的能力；

安全漏洞的排查與修復能力

考核人員需要具備安全漏洞的排查與修復能力，包括漏洞掃描、安全審計、應急響應等方面的能力。

5.3.2電力企業工業安全漏洞驗證實操

電力企業工業安全漏洞驗證實操考核內容應該是一個全面的、多方面的考核，考核人員需要具備全面的

工業控制系統安全知識和技能，才能夠準確識別和排查安全漏洞，設計和實施有效的安全措施，確保工業控

制系統的安全性和穩定性。參與培訓人員在實操環節應具備如下能力：

漏洞掃描和識別能力

考核人員需要了解和熟練掌握漏洞掃描和識別工具，如Nessus、OpenVAS等，能夠對工業控制系統進行漏

洞掃描和識別，并能夠分析掃描結果；

漏洞利用和攻擊能力

考核人員需要具備漏洞利用和攻擊能力，能夠使用常見的漏洞利用工具，如Metasploit等，對工業控制

系統進行攻擊和滲透測試；

安全漏洞排查和修復能力

考核人員需要具備安全漏洞排查和修復能力，能夠對發現的安全漏洞進行分析和排查，提出修復方案并

進行修復測試，確保漏洞得到徹底修復；

事件響應和處置能力

考核人員需要具備事件響應和處置能力，能夠在發生安全事件時快速響應并采取有效的措施進行處置，

以減少安全事件對工業控制系統的影響；

安全方案設計和漏洞預防能力

考核人員需要具備安全方案設計和漏洞預防能力，能夠基于漏洞掃描和攻擊測試結果，提出相應的安全

方案，采取措施預防漏洞的產生。

5.3.3電力企業工業信息安全威脅識別

培訓內容主要分析工控系統自身是可能存在各種風險因素，例如操作系統安全漏洞問題、設備維修

與組態變更過程中的其它計算機隨意接入問題、工控系統被無意控制、工控系統終端系統響應延遲等等。

包括現階段主流工控系統所采用的多為Windows或Unix-like等等開放式系統，以及配備了TCP/IP標準化

技術甚至是OPC開放協議標準的網絡安全脆弱性和威脅識別。

5.3.4電力企業工業信息安全滲透實操

培訓內容包括滲透測試全工作過程、內容和流程，掌握一至兩種滲透測試的工具和應用技巧。具體

內容參考附錄C。

5.3.5電力企業工業信息安全應急和安全問題溯源分析實操

培訓內容包括對工業網中的設備進行安全分析和溯源，結合工業威脅信息、典型工業惡意代碼、控

制環境中程序體靜態安全分析和動態安全分析的分析方法，利用自動化手段對工業設備面臨的脆弱性及

典型安全威脅進行全面、深度的檢測，基于所記錄的網絡及系統行為進行攻擊路徑還原與安全事件追蹤

溯源。

通過捕獲攻擊，采集攻擊過程中的全要素包括流量、行為以及攻擊載荷的動靜態分析結果等信息，

深入分析行為發現攻擊事件，對于載荷以及載荷使用的資源進行關聯同源分析，發現其歸屬的組織，并

根據時序對攻擊事件進行追蹤溯源，對防護裝置的有效性進行綜合性評估。

5

T/JSREAXXXX—XXXX

5.3.6工業信息安全防護技術

工業信息安全防護技術考核內容應該是一個全面的、多方面的考核，考核人員需要具備全面的工業

控制系統安全知識和技能，才能夠設計和實施有效的安全措施，確保工業控制系統的安全性和穩定性。

參與培訓人員在實操環節應具備如下能力：

網絡安全技術

考核人員需要了解和掌握常用的網絡安全技術，如防火墻、入侵檢測系統、虛擬專用網絡、VPN等，

能夠設計和實施有效的網絡安全措施，確保工業控制系統的網絡安全；

應用安全技術

考核人員需要了解和掌握應用安全技術，如認證和授權、訪問控制、安全審計等，能夠設計和實施

有效的應用安全措施，確保工業控制系統的應用安全；

數據安全技術

考核人員需要了解和掌握數據安全技術，如加密技術、數據備份和恢復、數據加密傳輸等，能夠設

計和實施有效的數據安全措施，確保工業控制系統的數據安全；

物理安全技術

考核人員需要了解和掌握物理安全技術，如門禁系統、視頻監控系統、安全防護系統等，能夠設計

和實施有效的物理安全措施，確保工業控制系統的物理安全；

應急響應與處置技術

考核人員需要了解和掌握應急響應與處置技術，能夠在發生安全事件時快速響應，并采取有效的措

施進行處置，以減少安全事件對工業控制系統的影響；

安全管理技術

考核人員需要了解和掌握安全管理技術，如安全管理制度、安全培訓、安全審計等，能夠制定和實

施有效的安全管理措施，確保工業控制系統的安全管理。

6考核要求

考核內容包括了解工業信息安全基本概念、行業發展概況、政策法規、標準制度、漏洞分類與管理、

風險評估等方法。熟悉工業信息安全監測技術、檢測技術、分析技術和安全防護措施等。掌握工業信息

安全威脅的常見應對措施、安全防護體系建設、典型病毒攻擊事件處置、應急演練實施和安全滲透技術

應用等。以下為具體

理論知識考核

6.1.1能夠清晰描述電力企業工業信息安全的相關概念和知識點

6.1.2能夠解釋電力企業工業信息安全風險評估與管理的方法和流程

6.1.3能夠說明電力企業工業信息安全技術措施的實現方法和應用場景

6.1.4熟悉電力企業工業信息安全法律法規和標準

技能考核

6.2.1能夠獨立完成電力企業工業信息安全風險評估和管理的任務

6.2.2能夠獨立設計和實施電力企業工業信息安全技術保障方案

6.2.3能夠獨立進行電力企業工業信息安全事件響應和處置

6.2.4能夠獨立組織和實施電力企業工業信息安全管理評估和改進

6

T/JSREAXXXX—XXXX

實踐考核

6.3.1能夠根據實際情況設計和實施電力企業工業信息安全方案

6.3.2能夠根據實際情況進行電力企業工業信息安全風險評估和管理

6.3.3能夠根據實際情況實施電力企業工業信息安全事件響應和處置

6.3.4能夠根據實際情況組織和實施電力企業工業信息安全管理評估和改進

6.3.5能夠根據實際情況制定電力企業工業信息安全應急預案，組織演練并進行事件處置

7

T/JSREAXXXX—XXXX

A

A

附錄A

（規范性）

考核方式

電力企業開展工業信息安全培訓考核內容和方式主要采用筆試+上機形式開展，考試題型分為單項

選擇題、多項選擇題、判斷題、填空題、簡答題、論述題和上機題。

8

T/JSREAXXXX—XXXX

B

B

附錄B

（資料性）

相關案例、法規、條例及規范索引

B.1國內外工控網絡安全事件一覽基本內容

2014年12月德國鋼鐵廠攻擊事件：黑客組織成功攻擊了德國一家鋼鐵廠，導致生產線癱瘓

長達數周。攻擊者通過針對工控系統的遠程代碼執行攻擊，控制了生產線的運行。

2015年12月23日烏克蘭電網攻擊事件：黑客組織成功攻擊了烏克蘭電網，導致當地多個城

市停電長達6個小時。攻擊者使用了勒索軟件和后門程序，破壞了電網控制系統，控制了電網

的運行。

2017年11月北京地鐵網絡攻擊事件：黑客組織成功攻擊了北京地鐵的工控系統，導致多條

地鐵線路癱瘓。攻擊者使用了后門程序和遠程執行代碼的方式，破壞了地鐵控制系統的安全

性。

2021年5月美國工控系統勒索軟件攻擊事件：美國一家石油管道公司遭受勒索軟件攻擊，

導致石油供應中斷。攻擊者使用了DarkSide勒索軟件，通過網絡攻擊入侵石油管道公司的工

控系統，加密關鍵數據并勒索贖金。

2021年9月中國電力系統勒索軟件攻擊事件：多家中國電力企業遭受勒索軟件攻擊，導致

企業核心業務系統癱瘓。攻擊者使用了Kwampirs勒索軟件，通過網絡攻擊入侵電力企業的工

控系統，加密關鍵數據并勒索贖金。

B.2網絡安全事件類型

電力企業工業信息安全典型風險安全防范案例分析

勒索軟件攻擊；

內部人員泄密；

網絡攻擊。

B.3滲透測試全工作過程

B.4《中華人民共和國網絡安全法》：

/xinwen/2016-11/07/content_5129723.htm

B.5《關鍵信息基礎設施安全保護條例》：

/zhengce/content/2021-08/17/content_5631671.htm

B.6《中華人民共和國數據安全法》

/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml

B.7《網絡安全審查辦法》

/zhengce/zhengceku/2022-01/04/content_5666430.htm

9

T/JSREAXXXX—XXXX

C

C

附錄C

（資料性）

考試例題

題目1：震網病毒主要攻擊的是以下哪個廠商的系統？（）

A．西門子

B．施耐德

C．霍尼韋爾

D．和利時

題目2：關于震網病毒，以下說法不正確的是？（）

A．是第一個引起重大破壞的工控病毒

B．主要攻擊西門子公司的plc

C．不會通過U盤傳播

D．造成伊朗核工業設施嚴重破壞

題目3：以下哪項是工控系統與傳統信息系統的區別？（）

A．網絡架構不同

B．網絡協議不同

C．系統升級難度不同

D．以上都是

題目4：以下哪項不是工控協議:（）

A．DNP3

B．IEC104

C．DNS

D．Modbus

題目5：以下哪種設備是用來進行網絡邊界隔離防護的？（）

A．堡壘機

B．殺毒軟件

C．防火墻

D．IDS

題目6：以下哪項不是國內的標準規范？（）

A．GB/T30976

B．《網絡安全等級保護基本要求》

C．IEC62443

D．《工業控制系統安全防護指南》

題目7：以下哪些是屬于工業控制系統的組成部分？（）

A．PLC

B．HMI

C．RTU

D．以上都是

題目8：《網絡安全等級保護基本要求》的發布日期是？（）

A．2008年5月13日

B．2019年5月13日

C．2019年10月1日

D．2019年12月1日

題目9：《網絡安全等級保護基本要求》的實施日期是？（）

A．2008年5月13日

B．2019年5月13日

C．2019年10月1日

10

T/JSREAXXXX—XXXX

D．2019年12月1日

題目10：工業控制系統與企業其他系統之間應？（）

A．永遠都互不相連

B．直接相連，無需保護

C．工業控制系統與企業其他系統之間應劃分為兩個區域，區域間應采用技術隔離手段

D．以上都不對

題目11：關于工業控制系統網絡訪問控制正確的是？（）

A．工業控制系統與企業其他系統之間部署訪問控制設備，配置訪問控制策略

B．禁止任何穿越區域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網絡服務

C．應在工業控制系統內安全域和安全域之間的邊界防護機制失效時，及時進行報警

D．以上都正確

題目12：關于工業控制系統網絡使用無線連接正確的做法是？（）

A．應對所有參與無線通信的用戶（人員、軟件進程或者設備）提供唯一性標識和鑒別，進行授權

以及執行使用進行限制

B．應對無線通信采取傳輸加密的安全措施，實現傳輸報文的機密性保護

C．對采用無線通信技術進行控制的工業控制系統，應能識別其物理環境中發射的未經授權的無線

設備，報告未經授權試圖接入或干擾控制系統行為

D．以上都正確

題目13：關于工業控制設備安全正確的做法是？（）

A．需經常給控制設備進行補丁更新、固件更新等，在此之前無需測試評估

B．為了方便可任意使用軟盤驅動、光盤驅動、USB接口、串行口等，無需進行管控

C．控制設備在上線前無需經過安全性檢測，以便能夠快速應用部署

D．以上都不對

題目14：工業控制系統安全擴展要求三級中對室外控制設備物理防護的要求是？（）

A．室外控制設備應放置于采用鐵板或其他防火材料制作的箱體或裝置中并緊固

B．箱體或裝置具有透風、散熱、防盜、防雨和防火能力等

C．室外控制設備放置應遠離強電磁干擾、強熱源等環境，如無法避免應及時做好應急處置及檢修，

保證設備正常運行

D．以上都正確

題目15：工業控制系統重要設備采購和使用應通過專業機構的安全性檢測后方可采購使用，針對外

包軟件開發應在外包開發合同中規定針對開發單位、供應商的約束條款，包括設備及系統在生命周期內

有關保密、禁止關鍵技術擴散和設備行業專用等方面的內