《电力二次系统安全防护题库.docx》由会员分享,可在线阅读,更多相关《电力二次系统安全防护题库.docx(20页珍藏版)》请在第壹文秘上搜索。
1、电力二次系统平安防护题库电力二次系统平安防护题库1 .电力二次系统平安防护目标是什么?答:抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,预防由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪.2 .电监会5号令中电力二次系统是指什么?答:包括电力监控系统、继电保护和安自装置、负荷限制、电力通信及数据网络等.3 .电监会5号令中电力监控系统是指什么?答:是指用于监视和限制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等.包括电力数据采集与监控系统、能量治理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系
2、统、配电自动化系统、微机继电保护和平安自动装置、广域相量测量系统、负荷限制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助限制系统等.4 .电监会5号令中电力调度数据网络指什么?答:是指各级电力调度专用广域数据网络、电力生产专用拨号网络等.5 .电监会5号令中限制区指什么?答:是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的平安区域.6 .电监会5号令中非限制区指什么?答:是指在生产限制范围内由在线运行但不直接参与限制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的平安区域.7 .电
3、力二次系统的平安防护原那么?答:电力二次系统平安防护原那么是平安分区、网络专用、横向隔离、纵向认证,保证电力监控系统和电力调度数据网络的平安.8 .电力二次系统如何进行平安分区?答:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原那么上划分为生产限制大区和治理信息大区.生产限制大区可以分为限制区平安区D和m曜制区平安区n);治理信息大区内部在不影响生产限制大区平安的前提下,可以根据各企业不同平安要求划分平安区.根据应用系统实际情况,在满足总体平安要求的前提下,可以简化平安的设置,但是应当预防通过广域网形成不同平安区的纵向交叉连接.9 .电力二次系统中不同的平安分区相应的平安等
4、级是什么?答:不同的平安区域确定了不同的平安防护要求,从而决定了不同的平安等级和防护水平.生产限制大区的平安等级高于治理信息大区,其中限制区安全区工谢平安等级相当于计算机信息系统平安保护等级的第4级三游制区安全区U)相当于计算机信息系统平安保护等级的第3级.平安分区是电力二次安全防护体系的结构根底.10 .生产限制大区中平安区1(限制区的典型系统是什么?答:包括调度自动化系统CSCADA/EMSX广域相量测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统、平安自动限制系统、低频/低压自动减载系统、负荷限制系统等.11 .生产限制大区中平安区口G曜制区的典型系统是什么?答:调度员培训
5、模拟系统DTSI水调自动化系统、维电保护及故障录波信息治理系统、电能量计量系统、批发电力交易系统等.12 .业务系统分区规那么?答:综合考虑业务系统或功能模块的实时性、使用者、主要功能、设备场所、各业务系统间的相互关系、广域网通信方式、对电力系统的影响等因素,按以下规那么将业务系统或功能模块置于适宜的平安区:(1)实时限制系统或未来可能有实时限制功能的系统应置于平安区工.(2)电力二次系统中不允许把应属于高平安等级区域的业务系统迁移到低平安等级区域运行;但允许把属于低平安等级区域的业务系统的终端设备放置于高平安等级区域,由属于高平安等级区域的人员限制和使用.(3)尽可能将业务系统完整置于一个平
6、安内;当某些业务系统的次要功能与根据主要功能所选定的平安区不一致时,可根据业务系统的数据流程将不同的功能模块或子系统分置于适宜的平安区中,各功能模块或子系统经过平安区之间的通信联接整个业务系统.(4)与外部边界网络不存在联系的业务系统为孤立业务系统,对其划分规那么不作要求,但需遵守所在平安区的平安防护要求.根据实际情况,平安区1和平安区Il不一定同时存在.某一平安区不存在的条件是其本身不存在该平安区的业务,且与其它电力二次系统在该平安区不存在“纵向互联.如果省略某平安区而导致上下级平安区的纵向交叉,那么应该构造一个最小平安区并安装平安区间的隔离装置,以保持平安防护体系的完整性.13 .电力二次
7、系统平安区连接的拓扑结构有几种,各有什么特点?答:电力二次系统平安区连接的拓扑结构有链式、三角和星形结构三种.14 .如何构建平安隔离的电力调度数据网?答:电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于SDH/PDH上的不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与电力企业其它数据网及外部公共信息网的平安隔离.电力调度数据网是电力二次平安防护体系的重要网络根底.15 .在生产限制大区与治理信息大区之间的平安要求是什么?答:在生产限制大区与治理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向平安隔离装置,隔离强度应接近或到达物理隔离.16 .生产限制大区内部
8、的平安区之间的平安防护要求是什么?答:生产限制大区内部的平安区之间应当采用具有访问限制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离.具体隔离装置的选择还需要考虑业务所需带宽及实时性的要求.17 .什么类型的数据才能穿越专用横向单向平安隔离装置?答:严格禁止加皿Web.TelnetvRloginvFTP等通用网络效劳和以B/S或S方式的数据库访问功能穿越专用横向单向平安隔离装置,仅允许纯数据的单向平安传输.18 .防火墙的特点是什么?答:防火墙价亚刈是指设置在不同网络如可信任的企业内部网和不可信任的公共网)或网络平安域之间的一系列部件的组合.它是不同网络或网络平安域之间信息的唯一出入口,能
9、根据企业的平安政策允许、拒绝、监测限制出入网络的信息流,且本身具有较强的抗攻击水平.它是提供信息平安效劳,实现网络和信息平安的根底设施.19 .专用横向单向平安隔离装置分为几种?答:专用横向单向平安隔离装置分为正向型和反向型.20 .反向平安隔离装置的特点是什么?答:反向平安隔离装置采取签名认证和数据过滤举措,仅允许纯文本数据通过,并严格防范病毒、木马等恶意代码进入生产限制大区.21 .在生产限制大区与广域网的纵向交接处如何实现平安防护?答:在生产限制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问限
10、制.如暂时不具备条件,可采用硬件防火墙或网络设备的访问限制技术临时代替.22 .在治理信息大区与广域网的纵向交接处如何实现平安防护?答:治理信息大区应采用硬件防火墙等平安设备接入电力企业数据网.23 对处于外部网络边界的通信网关如何实现平安防护?答:对处于外部网络边界的通信网关,应进行操作系统的平安加固.根据具体业务的重要程度及信息的敏感程度,对生产限制大区的外部通信网关应该具备加密、认证和过滤的功能.24 .传统的基于专用通道的通信是否需要平安防护?答:传统的基于专用通道的通信不涉及网络平安问题,可采用线路加密技术保护关键厂站及关键业务.25 .生产限制大区内部平安区工是否允许WEB效劳?答
11、:生产限制大区内部平安区工禁止平安区工的Web效劳.26 .生产限制大区内部平安区O是否允许WEB效劳?答:允许4Kn内部采用B/S结构的业务系统旭仅限于业务系统内部使用.允许平安区O纵向平安Web效劳,经过平安加固且支持HTTPS的平安Web效劳器和Web浏览工作站应在专用网段,应由业务系统向Web效劳器单向主动传送数据.27 .电力调度数字证书的特点?答:电力调度数字证书是专用于电力调度业务需要的数字证书,主要用于生产限制大区,可使用于交互式登录的身份认证、网络身份认证、通信数据加密及认证包括数据完整性和数据源认证等.电力调度证书系统根据电力调度治理体系进行配置,省级及以上调度中央和有实际
12、业务需要的地区调度限制中央应该建立电力调度证书效劳系统.28 .电力调度系统数字证书的建立原那么?答:1)统一规划数字证书的信任体系,各级电力调度证书系统用于颁发本调度中央及调度对象相关人员和设备证书.上下级电力调度证书系统通过信任链构成认证体系,预防产生交叉认证.(2)采用统一的数字证书格式和加密算法.(3)原那么上离线生成、离线装入、离线治理,保证调度数字证书的生成、发放、治理以及密钥的生成、理脱离网络,独立运行;(4)优化调度数字证书系统应用接口,推进其应用和普及;(5)相关应用系统嵌入数字证书效劳,以提升实时性和可靠性.29 .电力调度数据网络承载的业务是什么?答:电力调度数据网络是专
13、用网络,承载的业务是电力实时限制业务、在线生产业务以及本网网管业务.30 .如何实现对电力调度数据网网络路由的防护?答:对路由器之间的路由信息交换进行数字签名,保证信息的完整性与可信性.31 .如何对电力调度数据网网络设备进行平安配置?答:网络设备的平安配置包括关闭或限定网络效劳、预防使用默认路由、网络边界关闭OSPF路由功能、采用平安增强的SNMPV2及以上版本的网管系统、及时更新软件、使用平安的治理方式、限制登录的网络地址、记录设备日志、设置高强度的密码、适当配置访问限制列表、封闭空闲的网络端口等.32 .如何实现对电力企业数据网的防护?答:电力企业数据网为电力企业内联网,其平安防护由各个
14、企业负责.其中,电网企业的数据网即为电力数据通信网,该网承载业务主要为电力综合信息、电力调度生产治理业务、电力内部数字语音视频以及网管业务,该网不经营对外业务.电力数据通信网使用私有网络地址,与外部互联网以及其它外部网络没有直接的网络连接,采用虚拟专网技术构造三个子网:调度子网、信息子网以及语音视频子网,分别对应电网企业的电力调度生产治理、电力综合信息、电力内部字语音视频三类业务.33 .如何实现对电力监控系统的备份及恢复?答:必须定期对电力监控系统关键业务的数据与系统进行备份,建立历史归档数据的异地存放制度,保证在数据损坏或系统崩溃的情况下快速恢复数据与系统,保证系统的可用性对关键主机设备、
15、网络设备或关键部件进行相应的冗余配置,平安区1的业务应采用热备份方式,其它平安区的业务系统可根据需要选用热备份、温备份、冷备份等备份方式,预防单点故障影响系统可靠性.34 .如何实现对电力二次系统恶意代码的防范?答:对病毒、木马等恶意代码的防护是电力二次系统平安防护所必须的安全举措.生产限制大区应该统一部署恶意代码防护系统,治理信息大区建议统一部署恶意代码防护系统,禁止生产限制大区与治理信息大区共用一个防恶意代码理效劳器.对生产限制大区,禁止以任何方式连接外部网络进行病毒或木马特征码的在线更新.增强防病毒、木马等恶意代码的治理,保证特征码的及时更新,及时查看查杀记录,随时掌握威胁状况.35 .如何在生产限制大区部署防火墙?答:防火墙产品可以部署在平安区1与平安区Il之间,实现两个区域的逻辑隔离、报文过滤、访问限制等功能.生产限制大区与治理信息大区采用的防火墙平安策略的侧重点应有所不同.36 .如何在生产限制大区部署入侵检测系统?答:生产限制大区统一部署一套网络入侵检测系统,其平安策略的设置重在捕获网络异常行为、分析潜在威胁以及事后平安审计,不宜使用实时阻断功能.禁止使用入侵检测与防火墙的联动.增强入侵检测系统
