電力二次系統安全防護100題(含答案)
1.?電力二次系統安全防護目標是什么
答:抵御黑客、病毒、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊,特別是能夠抵御集團式攻擊,防止由此導致一次系統事故或大面積停電事故及二次系統的崩潰或癱瘓。
2.?電監會5號令中電力二次系統是指什么
答:包括電力監控系統、繼電保護和安自裝置、負荷控制、電力通信及數據網絡等。
3.?電監會5號令中電力監控系統是指什么
答:是指用于監視和控制電網及電廠生產運行過程的、基于計算機及網絡技術的業務處理系統及智能設備等。包括電力數據采集與監控系統、能量管理系統、變電站自動化系統、換流站計算機監控系統、發電廠計算機監控系統、配電自動化系統、微機繼電保護和安全自動裝置、廣域相量測量系統、負荷控制系統、水調自動化系統和水電梯級調度自動化系統、電能量計量計費系統、實時電力市場的輔助控制系統等。
4.?電監會5號令中電力調度數據網絡指什么
答:是指各級電力調度專用廣域數據網絡、電力生產專用撥號網絡等。
5.?電監會5號令中控制區指什么
答:是指由具有實時監控功能、縱向聯接使用電力調度數據網的實時子網或專用通道的各業務系統構成的安全區域。
6.?電監會5號令中非控制區指什么
答:是指在生產控制范圍內由在線運行但不直接參與控制、是電力生產過程的必要環節、縱向聯接使用電力調度數據網的非實時子網的各業務系統構成的安全區域。
7.?電力二次系統的安全防護原則
答:電力二次系統安全防護原則是安全分區、網絡專用、橫向隔離、縱向認證,保障電力監控系統和電力調度數據網絡的安全。
8.?電力二次系統如何進行安全分區
答:發電企業、電網企業、供電企業內部基于計算機和網絡技術的業務系統,原則上劃分為生產控制大區和管理信息大區。
生產控制大區可以分為控制區(安全區i)和非控制區(安全區ⅱ);管理信息大區內部在不影響生產控制大區安全的前提下,可以根據各企業不同安全要求劃分安全區。
根據應用系統實際情況,在滿足總體安全要求的前提下,可以簡化安全區的設置,但是應當避免通過廣域網形成不同安全區的縱向交叉連接。
9.?電力二次系統中不同的安全分區相應的安全等級是什么
答:不同的安全區域確定了不同的安全防護要求,從而決定了不同的安全等級和防護水平。生產控制大區的安全等級高于管理信息大區,其中控制區(安全區ⅰ)的安全等級相當于計算機信息系統安全保護等級的第4級,非控制區(安全區ii)相當于計算機信息系統安全保護等級的第3級。安全分區是電力二次安全防護體系的結構基礎。
10.?生產控制大區中安全區i(控制區)的典型系統是什么
答:包括調度自動化系統(scada/ems)、廣域相量測量系統、配電自動化系統、變電站自動化系統、發電廠自動監控系統、安全自動控制系統、低頻/低壓自動減載系統、負荷控制系統等。
11.?生產控制大區中安全區ii(非控制區)的典型系統是什么
答:調度員培訓模擬系統(dts)、水調自動化系統、繼電保護及故障錄波信息管理系統、電能量計量系統、批發電力交易系統等。
12.?業務系統分區規則
答:綜合考慮業務系統或功能模塊的實時性、使用者、主要功能、設備場所、各業務系統間的相互關系、廣域網通信方式、對電力系統的影響等因素,按以下規則將業務系統或功能模塊置于合適的安全區:
(1)?實時控制系統或未來可能有實時控制功能的系統應置于安全區ⅰ。
(2)?電力二次系統中不允許把應屬于高安全等級區域的業務系統遷移到低安全等級區域運行;但允許把屬于低安全等級區域的業務系統的終端設備放置于高安全等級區域,由屬于高安全等級區域的人員控制和使用。
(3)?盡可能將業務系統完整置于一個安全內;當某些業務系統的次要功能與根據主要功能所選定的安全區不一致時,可根據業務系統的數據流程將不同的功能模塊(或子系統)分置于合適的安全區中,各功能模塊(或子系統)經過安全區之間的通信聯接整個業務系統。
(4)?與外部邊界網絡不存在聯系的業務系統為孤立業務系統,對其劃分規則不作要求,但需遵守所在安全區的安全防護要求。
根據實際情況,安全區i和安全區ii不一定同時存在。某一安全區不存在的條件是其本身不存在該安全區的業務,且與其它電力二次系統在該安全區不存在“縱向”互聯。如果省略某安全區而導致上下級安全區的縱向交叉,則應該構造一個最小安全區并安裝安全區間的隔離裝置,以保持安全防護體系的完整性。
13.?電力二次系統安全區連接的拓撲結構有幾種,各有什么特點
答:電力二次系統安全區連接的拓撲結構有鏈式、三角和星形結構三種。
14.?如何構建安全隔離的電力調度數據網?
答:電力調度數據網應當在專用通道上使用獨立的網絡設備組網,采用基于sdh/pdh上的不同通道、不同光波長、不同纖芯等方式,在物理層面上實現與電力企業其它數據網及外部公共信息網的安全隔離。電力調度數據網是電力二次安全防護體系的重要網絡基礎。
15.?在生產控制大區與管理信息大區之間的安全要求是什么
答:在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應接近或達到物理隔離。
16.?生產控制大區內部的安全區之間的安全防護要求是什么
答:生產控制大區內部的安全區之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施,實現邏輯隔離。具體隔離裝置的選擇還需要考慮業務所需帶寬及實時性的要求。
17.?什么類型的數據才能穿越專用橫向單向安全隔離裝置
答:嚴格禁止e-mail、web、telnet、rlogin、ftp等通用網絡服務和以b/s或c/s方式的數據庫訪問功能穿越專用橫向單向安全隔離裝置,僅允許純數據的單向安全傳輸。
18.?防火墻的特點是什么
答:防火墻(firewall)是指設置在不同網絡(如可信任的企業內部網和不可信任的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策(允許、拒絕、監測)控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
19.?專用橫向單向安全隔離裝置分為幾種
答:專用橫向單向安全隔離裝置分為正向型和反向型。
20.?反向安全隔離裝置的特點是什么
答:反向安全隔離裝置采取簽名認證和數據過濾措施,僅允許純文本數據通過,并嚴格防范病毒、木馬等惡意代碼進入生產控制大區。
21.?在生產控制大區與廣域網的縱向交接處如何實現安全防護
答:在生產控制大區與廣域網的縱向交接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施,實現雙向身份認證、數據加密和訪問控制。如暫時不具備條件,可采用硬件防火墻或網絡設備的訪問控制技術臨時代替。
22.?在管理信息大區與廣域網的縱向交接處如何實現安全防護
答:管理信息大區應采用硬件防火墻等安全設備接入電力企業數據網。
23.?對處于外部網絡邊界的通信網關如何實現安全防護
答:對處于外部網絡邊界的通信網關,應進行操作系統的安全加固。根據具體業務的重要程度及信息的敏感程度,對生產控制大區的外部通信網關應該具備加密、認證和過濾的功能。
24.?傳統的基于專用通道的通信是否需要安全防護
答:傳統的基于專用通道的通信不涉及網絡安全問題,可采用線路加密技術保護關鍵廠站及關鍵業務。
25.?生產控制大區內部安全區ⅰ是否允許web服務
答:生產控制大區內部安全區ⅰ禁止安全區ⅰ的web服務。
26.?生產控制大區內部安全區ⅱ是否允許web服務
答:允許安全區ⅱ內部采用b/s結構的業務系統,但僅限于業務系統內部使用。允許安全區ⅱ縱向安全web服務,經過安全加固且支持https的安全web服務器和web瀏覽工作站應在專用網段,應由業務系統向web服務器單向主動傳送數據。
27.?電力調度數字證書的特點
答:電力調度數字證書是專用于電力調度業務需要的數字證書,主要用于生產控制大區,可使用于交互式登錄的身份認證、網絡身份認證、通信數據加密及認證(包括數據完整性和數據源認證)等。
電力調度證書系統按照電力調度管理體系進行配置,省級及以上調度中心和有實際業務需要的地區調度控制中心應該建立電力調度證書服務系統。
28.?電力調度系統數字證書的建立原則
答:(1)統一規劃數字證書的信任體系,各級電力調度證書系統用于頒發本調度中心及調度對象相關人員和設備證書。上下級電力調度證書系統通過信任鏈構成認證體系,防止產生交叉認證。
(2)采用統一的數字證書格式和加密算法。
(3)原則上離線生成、離線裝入、離線管理,確保調度數字證書的生成、發放、管理以及密鑰的生成、管理脫離網絡,獨立運行;
(4)優化調度數字證書系統應用接口,推進其應用和普及;
(5)?相關應用系統嵌入數字證書服務,以提高實時性和可靠性。
29.?電力調度數據網絡承載的業務是什么
答:電力調度數據網絡是專用網絡,承載的業務是電力實時控制業務、在線生產業務以及本網網管業務。
30.?如何實現對電力調度數據網網絡路由的防護
答:對路由器之間的路由信息交換進行數字簽名,保證信息的完整性與可信性。
31.?如何對電力調度數據網網絡設備進行安全配置
答:網絡設備的安全配置包括關閉或限定網絡服務、避免使用默認路由、網絡邊界關閉ospf路由功能、采用安全增強的snmpv2及以上版本的網管系統、及時更新軟件、使用安全的管理方式、限制登錄的網絡地址、記錄設備日志、設置高強度的密碼、適當配置訪問控制列表、封閉空閑的網絡端口等。
32.?如何實現對電力企業數據網的防護
答:電力企業數據網為電力企業內聯網,其安全防護由各個企業負責。其中,電網企業的數據網即為電力數據通信網,該網承載業務主要為電力綜合信息、電力調度生產管理業務、電力內部數字語音視頻以及網管業務,該網不經營對外業務。電力數據通信網使用私有網絡地址,與外部互聯網以及其它外部網絡沒有直接的網絡連接,采用虛擬專網技術構造三個子網:調度子網、信息子網以及語音視頻子網,分別對應電網企業的電力調度生產管理、電力綜合信息、電力內部數字語音視頻三類業務。
33.?如何實現對電力監控系統的備份及恢復
答:必須定期對電力監控系統關鍵業務的數據與系統進行備份,建立歷史歸檔數據的異地存放制度,確保在數據損壞或系統崩潰的情況下快速恢復數據與系統,保證系統的可用性。
對關鍵主機設備、網絡設備或關鍵部件進行相應的冗余配置,安全區i的業務應采用熱備份方式,其它安全區的業務系統可根據需要選用熱備份、溫備份、冷備份等備份方式,避免單點故障影響系統可靠性。
34.?如何實現對電力二次系統惡意代碼的防范
答:對病毒、木馬等惡意代碼的防護是電力二次系統安全防護所必須的安全措施。生產控制大區應該統一部署惡意代碼防護系統,管理信息大區建議統一部署惡意代碼防護系統,禁止生產控制大區與管理信息大區共用一個防惡意代碼管理服務器。對生產控制大區,禁止以任何方式連接外部網絡進行病毒或木馬特征碼的在線更新。
加強防病毒、木馬等惡意代碼的管理,保證特征碼的及時更新,及時查看查殺記錄,隨時掌握威脅狀況。
35.?如何在生產控制大區部署防火墻
答:防火墻產品可以部署在安全區i與安全區ii之間,實現兩個區域的邏輯隔離、報文過濾、訪問控制等功能。生產控制大區與管理信息大區采用的防火墻安全策略的側重點應有所不同。
36.?如何在生產控制大區部署入侵檢測系統
答:生產控制大區統一部署一套網絡入侵檢測系統,其安全策略的設置重在捕獲網絡異常行為、分析潛在威脅以及事后安全審計,不宜使用實時阻斷功能。禁止使用入侵檢測與防火墻的聯動。
加強入侵檢測系統的使用與管理,合理設置檢測規則,及時分析檢測報告,準確識別攻擊,及時發出告警信息,充分發揮其在安全事件檢測與恢復中的作用。
37.?如何在生產控制大區進行主機加固
答:主機安全防護首先要確定安全策略,然后采取適當的方式增強其安全性。通過合理地設置系統配置、服務、權限,可有效減少安全薄弱環節。
38.?如何對操作系統進行安全加固
答:操作系統安全加固措施包括:升級到當前系統版本、安裝后續的補丁合集、加固系統tcp/ip配置、根據系統應用要求關閉不必要的服務、關閉snmp協議避免利用其遠程溢出漏洞獲取系統控制權或限定訪問范圍、為超級用戶或特權用戶設定復雜的口令、修改弱口令或空口令、禁止任何應用程序以超級用戶身份運行、設定系統日志和審計行為等。
39.?數據庫的加固措施包括什么
答:數據庫的應用程序進行必要的安全審核、及時刪除不再需要的數據庫、安裝補丁、使用安全的密碼策略和賬號策略、限定管理員權限的用戶范圍、禁止多個管理員共享用戶賬戶和口令、禁止一般用戶使用數據庫管理員的用戶名和口令、加強數據庫日志的管理、管理擴展存儲過程、數據定期備份等。
40.?電力調度數字證書的應用范圍
答:電力調度系統建設基于公鑰技術的分布式的調度數字證書系統,由相關主管部門統一頒發調度數字證書,為電力監控系統及調度數據網上的關鍵應用、關鍵用戶和關鍵設備提供數字證書服務。在數字證書基礎上可以在調度系統與網絡關鍵環節實現高強度的身份認證、安全的數據傳輸以及可靠的行為審計。
41.?在電力調度數字證書中何為人員證書
答:人員證書指關鍵業務的用戶、系統管理人員以及必要的應用維護與開發人員,在訪問系統、進行操作時需要持有的證書。主要用于用戶登錄網絡與操作系統、登錄應用系統,以及訪問應用資源、執行應用操作命令時對用戶的身份進行認證,與其它實體通信過程中的認證、加密與簽名,以及行為審計。
42.?在電力調度數字證書中何為程序證書
答:程序證書指關鍵應用的模塊、進程、服務器程序運行時需要持有的證書,主要用于應用程序與遠方程序進行安全的數據通信,提供雙方之間的認證、數據的加密與簽名功能。
43.?在電力調度數字證書中何為設備證書
答:設備證書指網絡設備、服務器主機等,在接入本地網絡系統與其它實體通信過程中需要持有的證書,主要用于本地設備接入認證,遠程通信實體之間的認證,以及實體之間通信過程的數據加密與簽名。
44.?縱向加密認證裝置有何特點
答:縱向加密認證裝置具有類似過濾防火墻的功能,并為廣域網通信提供認證與加密功能,實現數據傳輸的機密性、完整性保護。加密認證網關除具有加密認證裝置的全部功能外,還應實現電力應用層協議及報文內容的識別功能。
45.?如何實現遠程撥號訪問的安全防護
答:當遠程撥號訪問生產控制大區時,要求遠方用戶使用安全加固的linu*或uni*系統平臺,以防止將病毒、木馬等惡意代碼引入生產控制大區。遠程撥號訪問應采用調度數字證書,進行登錄認證和訪問認證。
46.?撥號訪問的防護有那兩種方式,有何特點
答:撥號訪問的防護可以采用鏈路層保護方式或者網絡層保護方式。鏈路保護方式使用專用鏈路加密設備,實現兩端鏈路加密設備相互進行認證和對鏈路幀進行加密等安全功能。網絡保護方式采用vpn技術在撥號服務器(ras)與遠程撥入用戶建立加密通道,實現對網絡層數據的機密性與完整性保護。
47.?線路加密設備可用于什么通道上實現安全防護
答:線路加密設備可用于傳統的專線遠動裝置(rtu)、繼電保護裝置、安全自動裝置、負荷管理裝置等專用通道上的數據加密防護,防止通過搭線等方式篡改控制命令及敏感數據。要求該設備具有一定強度的對稱加密功能。
48.?安全文件網關的用途
答:安全文件網關主要用于電力系統各級部門之間安全的文件傳輸,部署在安全區ii,采用加密、認證等技術,保證文件的機密性、完整性。可用于調度報表、檢修計劃、發電計劃、交易報價等文件的傳輸場合。
49.?安全審計的用途
答:安全審計是安全管理的重要環節,應在生產控制大區內引入相對集中的、智能的安全審計系統,通過技術手段,對網絡運行日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計,及時自動分析系統安全事件,實現系統安全運行管理。
50.?國家電力監管委員會在電力二次系統安全防護的作用
答:國家電力監管委員會負責電力二次系統安全防護的監管,組織制定電力二次系統安全防護技術規范并監督實施。
51.?電力企業如何實現安全分級負責制
答:電力企業應當按照“誰主管誰負責,誰經營誰負責”的原則,建立電力二次系統安全管理制度,將電力二次系統安全防護及其信息報送納入日常安全生產管理體系,落實分級負責的責任制。
52.?電力調度機構的安全負責范圍
答:電力調度機構負責直接調度范圍內的下一級電力調度和變電站的二次系統安全防護的技術監督。
53.?發電廠內涉及到調度的業務系統的安全負責單位
答:發電廠內涉及到調度的業務系統(包括發電廠輸變電部分、全廠/機組agc功能、avr無功電壓控制功能、電廠報價終端、電量計費系統、故障錄波系統等)由電力調度機構和發電廠的上級主管單位共同實施技術監督。
54.?電力二次系統安全評估方式是什么
答:電力二次系統安全評估采用以自評估為主、檢查評估為輔的方式,并納入電力系統安全評價體系。
55.?安全評估的內容是什么
答:安全評估的內容包括:風險評估、攻擊演習、漏洞掃描、安全體系的評估、安全設備的部署及性能評估、安全管理措施的評估等。對生產控制大區安全評估的所有記錄、數據、結果等均不得以任何形式、任何借口攜帶出被評估單位,要按國家有關要求做好保密工作。
56.?何時需要進行安全評估
答:電力二次系統的新系統在投運之前、老系統進行安全整改之后或進行重大改造或升級之后必須進行安全評估;電力二次系統應該定期(每年或每兩年)進行安全評估。
57.?電力二次系統相關設備及系統的開發單位的安全責任
答:電力二次系統相關設備及系統的開發單位、供應商應以合同條款或保密協議的方式保證所提供的設備及系統符合《電力二次系統安全防護規定》和本方案的要求,并在設備及系統的生命期內對此負責。
58.?安全裝置的可用性指標
答:安全裝置的可用性指標達到99.99%。
59.?設備和應用系統的接入管理
答:新接入電力調度數據網絡的節點、設備和應用系統,其接入技術方案和安全防護措施須經負責本級電力調度數據網絡的調度機構核準,并送上一級電力調度機構備案。在已經建立安全防護體系的電力二次系統中,接入任何新的設備和應用及服務,必須立案申請、審查批準后,方可在安全管理人員的監管下實施接入。
60.?生產控制大區的工作站、服務器安全管理要求
答:各業務系統位于生產控制大區的工作站、服務器均嚴格禁止以各種方式開通與互聯網的連接;限制開通撥號功能,必須配置強認證機制;在生產控制大區中的pc機等應該拆除可能傳播病毒等惡意代碼的軟盤驅動、光盤驅動、usb接口、串行口等,或通過安全管理平臺實施嚴格管理。
61.?對電力二次系統生產控制區中的安全產品有何要求
答:接入電力二次系統的生產控制區中的安全產品,必須具有公安部安全產品銷售許可,獲得國家指定機構安全檢測證明,用于廠站的設備還需有電力系統電磁兼容檢測證明。
62.?日常運行的安全管理制度包括那些
答:日常運行的安全管理制度包括:門禁管理、人員管理、權限管理、訪問控制管理、安全防護系統的維護管理、常規設備及各系統的維護管理、惡意代碼(病毒及木馬等)的防護管理、審計管理、數據及系統的備份管理、用戶口令密鑰及數字證書的管理、培訓管理等管理制度。
63.?如何進行電力二次系統聯合防護和應急處理
答:建立健全電力二次系統安全的聯合防護和應急機制,電力調度機構負責統一指揮調度范圍內的電力二次系統安全應急處理。各電力企業的電力二次系統必須制定應急處理預案并經過預演或模擬驗證。
64.?當電力生產控制大區出現安全事故時如何處理
答:當電力生產控制大區出現安全事故,尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時,應當立即向其上級電力調度機構和信息安全主管部門報告,必須按應急處理預案立即采取相應的安全應急措施。并通報有網絡連接的相鄰單位(有關的調度中心及發電廠和變電站),聯合采取緊急防護措施,以防止事件擴大。同時注意保護事故現場,以便進行調查取證和事故分析。當系統遭到破壞時,應當按照預先制定的應急方案盡快實施恢復。
65.?什么是網絡安全?
答:網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統可以連續可靠正常地運行,網絡服務不被中斷。
66.?什么是計算機病毒
答:是指編制或者在計算機程序中插入的破壞計算機數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼。
67.?什么是木馬?
答:木馬是一種帶有惡意性質的遠程控制軟件。木馬一般分為客戶端(client)和服務器端(server)。客戶端就是本地使用的各種命令的控制臺,服務器端則是要給別人運行,只有運行過服務器端的計算機才能夠完全受控。木馬不會像病毒那樣去感染文件。
68.?什么叫入侵檢測
答:入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。
69.?加密技術是指什么?
答:加密技術是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)。
加密技術包括兩個元素:算法和密鑰。算法是將普通的信息或者可以理解的信息與一串數字(密鑰)結合,產生不可理解的密文的步驟,密鑰是用來對數據進行編碼和解密的一種算法。在安全保密中,可通過適當的鑰加密技術和管理機制來保證網絡的信息通信安全。
70防火墻種類有幾種
答:防火墻產品又可分為包過濾型防火墻、應用級網關型防火墻和代理服務型防火墻。
71虛擬專用網(virtualprivatenetwork,vpn)的定義
答:vpn被定義為通過一公共網絡(internet)建立的臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道,它是對企業內部網的擴展。
72計算機病毒的特征
答:傳染性、隱蔽性、潛伏性、破壞性、不可預見性等。
73什么是mplsvpn
答:mplsvpn是一種基于mpls(multiprotocollabelswitching,多協議標記交換)技術的ipvpn,是在網絡路由和交換設備上應用mpls技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現的ip虛擬專用網絡(ipvpn),可用來構造寬帶的intranet、extranet,滿足多種靈活的業務需求。
74什么是nat
答:nat(networkaddresstranslation)是指網絡地址轉換。
75控制區(安全區ⅰ)的安全等級相當于計算機信息系統安全保護等級的第幾級
答:控制區(安全區ⅰ)的安全等級相當于計算機信息系統安全保護等級的第4級。
76非控制區(安全區ii)相當于計算機信息系統安全保護等級的第幾級
答:非控制區(安全區ii)相當于計算機信息系統安全保護等級的第3級。
77什么是sdh
答:同步數字系列(synchronousdigitalhierarchy:sdh):是國際電聯于1988年在北美sonet的基礎上提出的一種新的傳輸體制,是為實現在物理傳輸網絡中傳送經適當配置的信息而標準化的數字傳輸結構體系。
78什么是pvc
答:pvc(permanentvirtualcircuit)永久虛電路,所謂虛電路,就是兩個用戶終端設備在開始互相發送和接收數據之前,需要通過網絡建立邏輯上的連接,一旦這種連接建立之后,就在網絡中保持已建立的數據通路,用戶發送的數據(以分組為單位)將按順序通過網絡到達終點。永久連接的虛電路稱為永久虛電路。
79什么是dmz區
答:dmz(de-militarizedzone))非軍事化區,為了配置管理方便,內部網中需要向外提供服務的服務器放在一個單獨的網段,這個網段便是非軍事化區。傳統硬件防火墻一般至少應具備三個端口,分別接內網,外網和dmz區。
80什么是dos
答:dos(denyofservices)拒絕服務攻擊,拒絕服務攻擊專門設計用來阻止授權用戶對系統以及系統數據進行訪問,通常采用的攻擊方式是讓系統服務器超載或者讓系統死機。
81對于孤立業務系統如何進行安全防護
答:與外部邊界網絡不存在聯系的業務系統為孤立業務系統,對其安全區劃分可不作要求,但需遵守所在安全區的安全防護要求。
82電力調度數據網邏輯子網的劃分
答:電力調度數據網劃分為邏輯隔離的實時子網和非實時子網,分別連接控制區和非控制區。子網之間可采用mpls-vpn技術、安全隧道技術、pvc技術或路由獨立技術等來構造子網。
83電力二次系統安全區連接的拓撲結構各有什么特點
答:鏈式結構中的控制區具有較高的累積安全強度,但總體層次較多;三角結構各區可直接相連,效率較高,但所用隔離設備較多;星形結構所用設備簡單、容易實施,但中心點故障影響三個區。三種模式均能滿足電力二次系統安全防護體系的要求,可根據本地具體情況選用。
84如何實現對生產控制大區內惡意代碼防護系統中病毒或木馬特征碼的更新
答:對生產控制大區,禁止以任何方式連接外部網絡進行病毒或木馬特征碼的在線更新,只能使用離線更新方式進行更新。
85對生產控制大區所選用的防火墻有何要求
答:生產控制大區所選用的防火墻必須為國產硬件防火墻,其功能、性能、電磁兼容性必須經過相關測試。
86專用橫向單向安全隔離裝置如何使用
答:從生產控制大區向管理信息大區傳輸信息必須采用正向安全隔離裝置;由管理信息大區向生產控制大區的少量單向數據傳輸必須經反向安全隔離裝置。
87如何對關鍵應用系統(如能量管理系統scada/ems/dms等)的主服務器及通信網關進行主機加固
答:關鍵應用系統(如能量管理系統scada/ems/dms、變電站自動化系統、電廠監控系統、配電自動化系統、電力交易系統等)的主服務器,以及網絡邊界處的通信網關、web服務器等,應該采用加固的linu*或uni*等安全操作系統。主機安全加固方式包括:安全配置、安全補丁、采用專用的軟件強化操作系統訪問控制能力、以及配置安全的應用程序。
88如何對業務系統的專用主機或者工作站進行主機加固
答:作為業務系統的專用主機或者工作站,應嚴格管理操作系統及應用軟件的安裝與使用,禁止不必要的應用。通過及時更新操作系統安全補丁,消除系統內核及平臺的漏洞與后門。安裝主機加固軟件,強制進行權限分配,保證對系統的資源(包括數據與進程)的訪問符合規定的主機安全策略,防止主機權限被濫用。應用軟件升級到安全版本,更新應用軟件的安全補丁,嚴格限制應用的權限,加強應用系統用戶認證與權限控制。
89對于通過ras訪問本地網絡與系統的遠程撥號訪問,建議采用何種保護方式
答:對于通過ras訪問本地網絡與系統的遠程撥號訪問,建議采用網絡層保護方式。
90對于以遠方終端的方式通過被訪問的主機的串行接口直接訪問的情況,建議采用何種保護措施。
答:對于以遠方終端的方式通過被訪問的主機的串行接口直接訪問的情況,建議采用鏈路層保護措施。
91對調度中心的實時控制系統是否需要需異地容災備份
答:對調度中心的實時控制系統,在具備條件的前提下,逐步實現異地的數據與系統備份,提供系統級容災功能,保證在大規模災難情況下保持系統業務的連續性。
92如何實現計算機系統本地訪問控制
答:結合用戶數字證書技術,對用戶登錄本地操作系統、訪問系統資源等操作進行身份認證,根據身份與權限進行訪問控制,并且對操作行為進行安全審計。對于調度端安全區i中的scada系統,安全區ii中的電量計費系統及電力市場交易系統,廠站端的控制系統等重要應用系統,應逐步采用本地訪問控制手段進行保護。
93電力企業的關鍵部門如何進行安全評估
答:電力企業的關鍵部門應該建立自主的評估隊伍,掌握評估技術和方法,配備必要的工具,定期進行評估,可聘請電力部門的有關單位聯合進行評估。上級主管單位可對下級單位進行定期或不定期的檢查性安全評估。
94電力二次系統專用安全產品的開發單位的安全責任是什么
答:電力二次系統專用安全產品的開發單位、使用單位及供應商,應當按國家有關要求做好保密工作,禁止關鍵技術和設備的擴散(用于其它行業以及出口到國外)。
95什么是pki
答:pki(publickeyinfrastrusture)公鑰基礎設施,pki就是利用公共密鑰理論和技術建立的提供安全服務的基礎設施。
96什么是ca
答:ca(certificateauthority)證書認證中心,ca是pki的核心執行機構,是pki的主要組成部分,通常稱它為認證中心。它是數字證書的申請注冊、證書簽發和管理機構。
97入侵檢測系統的種類
答:入侵檢測系統ids分為主機級hids和網絡級nids。
98vpn具有那幾種技術來保證其安全
答:隧道技術、加密技術、密鑰管理技術和身份認證技術。
99如何實現iec61970等國際標準與電力二次安全防護的結合?
答:實施這些標準必須堅持合理劃分安全區域的原則,將標準規定的功能模塊恰當的置于各安全區域之中,從而實現國際標準與安全防護的有機統一。
100電力二次系統的安全防護實施方案經那個部門審核才能實施
答:電力企業各運行單位的電力二次系統的安全防護實施方案必須經過上級信息安全主管部門和相應電力調度機構的審核,完工后必須經過上述機構驗收。
篇2:電力施工安全防護裝備管理制度
1目的和適用范圍本制度控制人身事故和設備事故,保證全公司干部職工的生命和公司財產安全。2人身防護用民種類公用部分:輕便接地線、絕緣擋板、絕緣榜、10-500千伏驗電器、防靜電均壓服、絕緣手套等。個人部分:安全帽、安全腰帶、安全腰繩、教扣、絕緣膠鞋、低壓試電筆、差速器等國家有關規定中的其他安全防護用品。3防護裝備的購置各項目部在年初應根據公司撥給的安措費制定出購置計劃。負責有關技術標準的質量合格的安全防護用品,并負責對產品許可證、使用說明書及廠家試驗報告收集、保存、建檔并報公司安全保衛處備案。4防護裝備的發放各項目部負責有關安全用品發放前的性能試驗,并對安全用品的安全性能負責,方可下放使用。5防護裝備的試驗和日常檢查各項目部應根據《電力建設安全健康與環境管理工作規定》及安全施工設施的有關規定及實際情況,建立安全施工設備使用管理制度。各單位安全部門負責本單位的安全設施的管理,做好安全防護裝備的保管、發放、使用、檢查、檢驗工作并建立管理臺帳做好記錄。對于安全防護裝備要根據有關安全工作規程及規定進行試驗、檢查,對不合格用品及時進行更換。
篇3:二次電力系統安全防護管理制度
1.總則
1.1.為了防范黑客及惡意代碼等對電力二次系統的攻擊侵害,保障我公司電力二次系統的安全可靠、穩定運行,提高電力二次系統的安全管理水平,根據國家電監會頒布的《電力二次系統安全防護規定》(電監會5號令)及《電力二次系統安全防護總體方案》(電監安全[2006]34號),特制定本管理辦法。
1.2.我公司電力二次系統安全防護工作應當堅持安全分區、網絡專用、橫向隔離、縱向認證的原則。
1.3.我公司電力二次系統安全防護工作以“安全第一、預防為主,管理和技術并重、綜合防范”為方針,遵循“統一領導、統一規劃、統一標準、統一組織開發”的原則。
1.4.本管理辦法適用于我公司電力二次系統,所有涉及電力二次系統的規劃、設計、系統改造、工程實施、運行管理等均應符合本管理辦法的要求。
1.5.引用標準及規范:
1.5.1.《電網和電廠計算機監控系統及調度數據網絡安全防護規定》國家經貿委30號令
1.5.2.《電力二次系統安全防護規定》國家電監會5號令
1.5.3.《電力二次系統安全防護總體方案》國家電監會電監安全[2006]34號文
2.管理職責
2.1.我公司根據國家電監會《電力二次系統安全防護總體方案》要求,按照“誰主管誰負責,誰運營誰負責”的原則,建立電力二次系統安全管理制度,明確運行、檢修、調試和信息化等部門相關人員的安全職責。
2.2.電力調度機構負責直接調度范圍內的下一級電力調度機構和變電站的二次系統安全防護的技術監督。發電廠內涉及到電力調度的生產控制系統和裝置,如發電廠的輸變電二次系統、自動發電控制功能、無功電壓控制功能、電廠報價終端、電能量采集裝置、故障錄波裝置、繼電保護裝置和安全自動控制裝置等,由電力調度機構和我公司主管單位共同實施技術監督,我公司其它二次系統安全防護可由其上級主管單位實施技術監督。
2.3.二次系統安全防護技術監督的單位對管轄范圍內的技術
2.3.方案負責審核,對涉及電力二次系統安全防護的產品選用提出指導意見。
2.4.成立由主管生產安全領導為組長的電力二次系統安全防護工作組,工作組成員名單并報相應電力調度部門、電監會備案。
3.技術管理
3.1.我公司電力二次系統安全防護工作必須堅持安全分區、網絡專用、橫向隔離、縱向認證的原則,保障電力監控系統和電力調度數據網絡的安全。
3.2.根據各自二次系統情況制定電力二次系統安全防護方案,防護方案應每年滾動修訂、完善。
3.3.涉及電力二次系統安全防護的產品應具備國家網絡與信息安全主管部門(國家電監會信息中心)認可的有關證明。
3.4.未完成電力二次系統安全防護措施前應制訂安全防護改造應急措施。
3.5.在對電力二次系統進行安全檢查過程中,如發現部分應用系統及網絡未按照電力二次系統安全防護規定執行的應限期整改,若限期之內還不能完成,則對責任人進行通報批評并依據相關規定進行處罰。
4.應急管理
4.1.制定本單位電力二次系統安全防護應急預案,內容包括突發事件發現、應急安全隔離措施、事件上報、安全處理、事件反饋等幾個方面并定期開展演練。
4.2.應急預案的制定和修改必須履行一定的審核手續,存放在規定的地方,并根據演習的結果不斷完善應急預案。
4.3.對在電力二次系統中發生的安全技術事故和安全事件,要采取妥善措施,防止事件擴大,保護好現場,并在立即向東北公司電力調度通信中心、東北電監會報告,并在8小時內提供書面報告。對隱報、緩報、謊報或未在上述時間內報告的將按國家有關規定,追究相關單位和當事人的責任。
5.培訓與評估
5.1.每年需舉辦電力二次系統安全防護知識培訓,提高電力二次系統安全防護技能和意識。
5.2.在進行安全評估和監督檢查中應嚴格控制風險,確保電力系統安全穩定運行。參加評估的人員應將遵守有關保密規定。
5.3.對電力二次系統安全防護工作監督檢查專家組對本公司單位電力二次安全防護實施情況進行監督檢查,提出整改意見進行整改。
6.附則
6.1.本管理辦法由自發布之日起執行。