电力二次系统安全防护
题含答案
集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
电力二次系统安全防护100题(含答案) 1.电力二次系统安全防护目标是什么?
答:抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。
2.电监会5号令中电力二次系统是指什么?
答:包括电力监控系统、继电保护和安自装置、负荷控制、电力通信及数据网络等。
3.电监会5号令中电力监控系统是指什么?
答:是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。
4.电监会5号令中电力调度数据网络指什么?
答:是指各级电力调度专用广域数据网络、电力生产专用拨号网络等。
5.电监会5号令中控制区指什么?
答:是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。
6.电监会5号令中非控制区指什么?
答:是指在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。
7.电力二次系统的安全防护原则?
答:电力二次系统安全防护原则是安全分区、网络专用、横向隔离、纵向认证,保障电力监控系统和电力调度数据网络的安全。
8.电力二次系统如何进行安全分区?
答:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。
生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。
根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。
9.电力二次系统中不同的安全分区相应的安全等级是什么?
答:不同的安全区域确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。生产控制大区的安全等级高于管理信息大区,其中控制区(安全区Ⅰ)的安全等级相当于计算机信息系统安全保护等级的第4级,非控制区(安全区II)相当于计算机信息系统安全保护等级的第3级。安全分区是电力二次安全防护体系的结构基础。
10.生产控制大区中安全区I(控制区)的典型系统是什么?
答:包括调度自动化系统(SCADA/EMS)、广域相量测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等。
11.生产控制大区中安全区II(非控制区)的典型系统是什么?
答:调度员培训模拟系统(DTS)、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等。
12.业务系统分区规则?
答:综合考虑业务系统或功能模块的实时性、使用者、主要功能、设备场所、各业务系统间的相互关系、广域网通信方式、对电力系统的影响等因素,按以下规则将业务系统或功能模块置于合适的安全区:
(1)实时控制系统或未来可能有实时控制功能的系统应置于安全区Ⅰ。
(2)电力二次系统中不允许把应属于高安全等级区域的业务系统迁移到低安全等级区域运行;但允许把属于低安全等级区域的业务系统的终端设备放置于高安全等级区域,由属于高安全等级区域的人员控制和使用。
(3)尽可能将业务系统完整置于一个安全内;当某些业务系统的次要功能与根据主要功能所选定的安全区不一致时,可根据业务系统的数据流程将不同的功能模块(或子系统)分置于合适的安全区中,各功能模块(或子系统)经过安全区之间的通信联接整个业务系统。
(4)与外部边界网络不存在联系的业务系统为孤立业务系统,对其划分规则不作要求,但需遵守所在安全区的安全防护要求。
根据实际情况,安全区I和安全区II不一定同时存在。某一安全区不存在的条件是其本身不存在该安全区的业务,且与其它电力二次系统在该安全区不存在“纵向”互联。如果省略某安全区而导致上下级安全区的纵向交叉,则应该构造一个最小安全区并安装安全区间的隔离装置,以保持安全防护体系的完整性。
13.电力二次系统安全区连接的拓扑结构有几种,各有什么特点?
答:电力二次系统安全区连接的拓扑结构有链式、三角和星形结构三种。
14.如何构建安全隔离的电力调度数据网
答:电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于SDH/PDH上的不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。电力调度数据网是电力二次安全防护体系的重要网络基础。
15.在生产控制大区与管理信息大区之间的安全要求是什么?
答:在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。
16.生产控制大区内部的安全区之间的安全防护要求是什么?
答:生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。具体隔离装置的选择还需要考虑业务所需带宽及实时性的要求。
17.什么类型的数据才能穿越专用横向单向安全隔离装置?
答:严格禁止E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务和以B/S或C/S方式的数据库访问功能穿越专用横向单向安全隔离装置,仅允许纯数据的单向安全传输。
18.防火墙的特点是什么?
答:防火墙(firewall)是指设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策(允许、拒绝、监测)控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
19.专用横向单向安全隔离装置分为几种?
答:专用横向单向安全隔离装置分为正向型和反向型。
20.反向安全隔离装置的特点是什么?
答:反向安全隔离装置采取签名认证和数据过滤措施,仅允许纯文本数据通过,并严格防范病毒、木马等恶意代码进入生产控制大区。