二次系統(tǒng)安防模擬題

1、姓名：_ 班級：_ 學號：_-密-封 -線- 二次系統(tǒng)安防模擬題考試時間：120分鐘 考試總分：100分題號一二三四五總分分數(shù)遵守考場紀律，維護知識尊嚴，杜絕違紀行為，確?？荚嚱Y(jié)果公正。第30號令（或：國家經(jīng)貿(mào)委2002第30號令是：電和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)絡安全防護規(guī)定）2 電與電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)絡安全防護規(guī)定已經(jīng)國家經(jīng)濟貿(mào)易委員會主任辦公會議討論通過，現(xiàn)予公布，自2002年6月8日起施行國家經(jīng)濟貿(mào)易委員會，二oo二年五月八日。3 電力二次系統(tǒng)安全防護規(guī)定，國家電力監(jiān)管委員會令第5號2004年發(fā)布（或：國家電力監(jiān)管委員會第5號令是：電力二次系統(tǒng)安全防護規(guī)定）4 電力二次系統(tǒng)

2、，包括電力監(jiān)控系統(tǒng)、電力通信及數(shù)據(jù)絡等。5 電力監(jiān)控系統(tǒng)，是指用于監(jiān)視和控制電及電廠生產(chǎn)運行過程的、基于計算機及絡技術的業(yè)務處理系統(tǒng)及智能設備等。包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動化系統(tǒng)、換流站計算機監(jiān)控系統(tǒng)、發(fā)電廠計算機監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、微機繼電保護和安全自動裝置、廣域相量測量系統(tǒng)、負荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計量計費系統(tǒng)、實時電力市場的輔助控制系統(tǒng)等。6 國家經(jīng)貿(mào)委2002第30號令規(guī)定所稱“電力監(jiān)控系統(tǒng)”，包括各級電調(diào)度自動化系統(tǒng)、變電站自動化系統(tǒng)、換流站計算機監(jiān)控系統(tǒng)、發(fā)電廠計算機監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、微機保護和安全自動裝置

3、、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計量計費系統(tǒng)、實時電力市場的輔助控制系統(tǒng)等；“調(diào)度數(shù)據(jù)絡”包括各級電力調(diào)度專用廣域數(shù)據(jù)絡、用于遠程維護及電能量計費等的調(diào)度專用撥號絡、各計算機監(jiān)控系統(tǒng)內(nèi)部的本地局域絡等。7 電力監(jiān)控系統(tǒng)可通過專用局域?qū)崿F(xiàn)與本地其他電力監(jiān)控系統(tǒng)的互聯(lián)，或通過電力調(diào)度數(shù)據(jù)絡實現(xiàn)上下級異地電力監(jiān)控系統(tǒng)的互聯(lián)。各電力監(jiān)控系統(tǒng)與辦公自動化系統(tǒng)或其他信息系統(tǒng)之間以絡方式互聯(lián)時，必須采用經(jīng)國家有關部門認證的專用、可靠的安全隔離設施。8 電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)絡均不得和互聯(lián)相連，并嚴格限制電子郵件的使用。9 新接入電力調(diào)度數(shù)據(jù)絡的節(jié)點和應用系統(tǒng)，須經(jīng)負責本級電力調(diào)度數(shù)據(jù)絡機

4、構(gòu)核準，并送上一級電力調(diào)度機構(gòu)備案。10 當發(fā)生涉及調(diào)度數(shù)據(jù)絡和控制系統(tǒng)安全的事件時，應立即向上一級調(diào)度機構(gòu)報告，同時報國調(diào)中心，并在8 小時內(nèi)提供書面報告。對隱報、緩報、謊報者，將按國家和公司有關規(guī)定，追究相關單位和當事人的責任。11 凡涉及二次系統(tǒng)安全防護秘密的各種載體，應設專人管理，未經(jīng)批準不得復制和摘抄。所有員工不準在各類媒體上發(fā)表涉及二次系統(tǒng)安全防護秘密的內(nèi)容和信息。12 電力二次系統(tǒng)的規(guī)劃設計、項目審查、工程實施、系統(tǒng)改造、運行管理等應當符合國家電力監(jiān)管委員會第5號令的要求。13 電力調(diào)度數(shù)據(jù)劃分為邏輯隔離的實時子和非實時子，分別連接控制區(qū)和非控制區(qū)。14 在生產(chǎn)控制大區(qū)與管理信息

5、大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。15 生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施，實現(xiàn)邏輯隔離。16 在生產(chǎn)控制大區(qū)與廣域的縱向交接處應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證關及相應設施。17 依照電力調(diào)度管理體制建立基于公鑰技術的分布式電力調(diào)度數(shù)字證書系統(tǒng)，生產(chǎn)控制大區(qū)中的重要業(yè)務系統(tǒng)應當采用認證加密機制。18 電力調(diào)度機構(gòu)負責直接調(diào)度范圍內(nèi)的下一級電力調(diào)度機構(gòu)、變電站、發(fā)電廠輸變電部分的二次系統(tǒng)安全防護的技術監(jiān)督，發(fā)電廠內(nèi)其它二次系統(tǒng)可由其上級主管單位實施技術監(jiān)督。19 對生產(chǎn)控制

6、大區(qū)安全評估的所有記錄、數(shù)據(jù)、結(jié)果等，應按國家有關要求做好保密工作。20 電力調(diào)度機構(gòu)負責統(tǒng)一指揮調(diào)度范圍內(nèi)的電力二次系統(tǒng)安全應急處理。21 電力調(diào)度機構(gòu)、發(fā)電廠、變電站等運行單位的電力二次系統(tǒng)安全防護實施方案須經(jīng)過上級信息安全主管部門和相應電力調(diào)度機構(gòu)的審核，方案實施完成后應當由上述機構(gòu)驗收。接入電力調(diào)度數(shù)據(jù)絡的設備和應用系統(tǒng)，其接入技術方案和安全防護措施須經(jīng)直接負責的電力調(diào)度機構(gòu)核準。22 電力二次系統(tǒng)安全防護總體方案的安全分區(qū)：生產(chǎn)控制大區(qū)：安全區(qū)（控制區(qū)），安全區(qū)（非控制區(qū)）管理信息大區(qū)：安全區(qū)iii（生產(chǎn)管理區(qū)），安全區(qū)iv（管理信息區(qū)）23 電力二次系統(tǒng)安全防護總體方案的安全防護原

7、則：“安全分區(qū)、絡專用、橫向隔離、縱向認證”24 電力二次系統(tǒng)的安全防護策略：安全分區(qū)、絡專用、橫向隔離、縱向認證。25 電力二次系統(tǒng)的安全防護主要針對絡系統(tǒng)和基于絡的生產(chǎn)控制系統(tǒng)，重點強化邊界防護，提高內(nèi)部安全防護能力，保證電力生產(chǎn)控制系統(tǒng)及重要敏感數(shù)據(jù)的安全。26 電力二次系統(tǒng)安全防護目標：抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。27 力二次系統(tǒng)安全防護是復雜的系統(tǒng)工程，其總體安全防護水平取決于系統(tǒng)中最薄弱點的安全水平。28 電力二次系統(tǒng)安全防護過程是長期的動態(tài)過程，各單位應

8、當嚴格落實總體安全防護原則，建立和完善以安全防護原則為中心的安全監(jiān)測、快速響應、安全措施、審計評估等步驟組成的循環(huán)機制。29 安全分區(qū)是電力二次安全防護體系的結(jié)構(gòu)基礎。30 發(fā)電企業(yè)、電企業(yè)和供電企業(yè)內(nèi)部基于計算機和絡技術的業(yè)務系統(tǒng)，原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)（安全區(qū)i）和非控制區(qū)（安全區(qū)）；管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)。31 在滿足總體安全要求的前提下，可以根據(jù)應用系統(tǒng)實際情況，簡化安全區(qū)的設置，但是應當避免通過廣域形成不同安全區(qū)的縱向交叉連接。32 安全區(qū)i的典型系統(tǒng)包括：調(diào)度自動化系統(tǒng)（sc

9、ada/ems）、廣域相量測量系統(tǒng)、配電自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)、安全自動控制系統(tǒng)、低頻/低壓自動減載系統(tǒng)、負荷控制系統(tǒng)等。33 安全區(qū)i的業(yè)務系統(tǒng)或功能模塊的典型特征為：直接實現(xiàn)對一次系統(tǒng)的監(jiān)控功能，是電力生產(chǎn)的重要必備環(huán)節(jié)，實時在線運行，使用電力調(diào)度數(shù)據(jù)絡或?qū)Ｓ猛ㄐ磐ǖ馈?4 安全區(qū)的典型系統(tǒng)包括：調(diào)度員培訓模擬系統(tǒng)（dts）、水調(diào)自動化系統(tǒng)、繼電保護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、電力市場運營系統(tǒng)等。35 安全區(qū)的業(yè)務系統(tǒng)或功能模塊的典型特征為：所實現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié)，但不具備控制功能，使用電力調(diào)度數(shù)據(jù)絡，在線運行，與控制區(qū)（安全區(qū)i）中的系統(tǒng)或

10、功能模塊聯(lián)系緊密。36 安全區(qū)iii的典型系統(tǒng)為：調(diào)度生產(chǎn)管理系統(tǒng)（dmis）、統(tǒng)計報表系統(tǒng)（日報、旬報、月報、年報）、雷電監(jiān)測系統(tǒng)、氣象信息接入等。37 安全區(qū)iv包括：管理信息系統(tǒng)（mis）、辦公自動化系統(tǒng)（oa）、客戶服務系統(tǒng)等。38 盡可能將業(yè)務系統(tǒng)完整置于一個安全內(nèi)；當某些業(yè)務系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時，可根據(jù)業(yè)務系統(tǒng)的數(shù)據(jù)流程將不同的功能模塊（或子系統(tǒng)）分置于合適的安全區(qū)中，各功能模塊（或子系統(tǒng)）經(jīng)過安全區(qū)之間的通信聯(lián)接整個業(yè)務系統(tǒng)。39 控制區(qū)（安全區(qū)）的安全等級相當于計算機信息系統(tǒng)安全保護等級的第4級，非控制區(qū)（安全區(qū)ii）相當于計算機信息系統(tǒng)安全保護等

11、級的第3級。40 安全區(qū)與安全區(qū)之間的隔離要求：i、ii區(qū)之間須采用經(jīng)有關部門認定核準的硬件防火墻或相當設備進行邏輯隔離，應禁止email、web、telnet、rlogin等服務穿越安全區(qū)之間的隔離設備。41 生產(chǎn)控制的邏輯大區(qū)與管理信息的邏輯大區(qū)之間的隔離要求：安全區(qū)、不得與安全區(qū)直接聯(lián)系；安全區(qū)、與安全區(qū)之間應該采用經(jīng)有關部門認定核準的專用安全隔離裝置（或：經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置）。42 電力專用安全隔離裝置作為安全區(qū)i/ii與安全區(qū)iii之間的必備邊界，要求具有極高的安全防護強度，是安全區(qū)i/ii橫向防護的要點。其中，安全隔離裝置（正向）用于安全區(qū)i/ii

12、到安全區(qū)iii的單向數(shù)據(jù)傳遞；安全隔離裝置（反向）用于安全區(qū)iii到安全區(qū)i/ii的單向數(shù)據(jù)傳遞。43 簡述安全區(qū)內(nèi)部安全防護的基本要求（44、45）44 生產(chǎn)控制大區(qū)內(nèi)部安全要求（1） 禁止生產(chǎn)控制大區(qū)內(nèi)部的email服務。禁止安全區(qū)的web服務。（2） 允許非控制區(qū)（安全區(qū)）內(nèi)部采用b/s結(jié)構(gòu)的業(yè)務系統(tǒng)，但僅限于業(yè)務系統(tǒng)內(nèi)部使用。允許非控制區(qū)（安全區(qū)）縱向安全web服務，經(jīng)過安全加固且支持https的安全web服務器和web瀏覽工作站應在專用段，應由業(yè)務系統(tǒng)向web服務器單向主動傳送數(shù)據(jù)。（3） 生產(chǎn)控制大區(qū)的重要業(yè)務（如scada/agc、電力市場交易等）必須采用加密認證機制，對已有系統(tǒng)

13、應逐步改造。（4） 生產(chǎn)控制大區(qū)內(nèi)的業(yè)務系統(tǒng)間應該采取訪問控制等安全措施。（5） 生產(chǎn)控制大區(qū)的撥號訪問服務，服務器側(cè)和用戶端均應使用unix或linux等安全加固的操作系統(tǒng)，且采取加密、認證和訪問控制等安全防護措施。（6） 生產(chǎn)控制大區(qū)邊界上可部署入侵檢測系統(tǒng)ids。控制區(qū)（安全區(qū)i）、非控制區(qū)（安全區(qū)）可以合用一套ids管理系統(tǒng)。（7） 生產(chǎn)控制大區(qū)應部署安全審計措施，把安全審計與安全區(qū)絡管理系統(tǒng)、ids管理系統(tǒng)、敏感業(yè)務服務器登錄認證和授權(quán)、應用訪問權(quán)限相結(jié)合。（8） 生產(chǎn)控制大區(qū)應該統(tǒng)一部署惡意代碼防護系統(tǒng)，采取防惡意代碼措施。病毒庫和木馬庫的更新應該離線進行，不得直接從外部互聯(lián)下載。

14、45 管理信息大區(qū)安全要求管理信息大區(qū)可以根據(jù)需要設立若干業(yè)務安全區(qū)，并在其上采取合適的安全防護措施。管理信息大區(qū)建議統(tǒng)一部署惡意代碼防護系統(tǒng)。46 電力二次系統(tǒng)涉及到的數(shù)據(jù)通信絡包括哪些內(nèi)容?參考47、48。47 安全區(qū)、連接的廣域我們稱為什么，采用什么技術構(gòu)造?與生產(chǎn)控制大區(qū)連接的廣域為電力調(diào)度數(shù)據(jù)（sgdnet）；電力調(diào)度數(shù)據(jù)采用ip over sdh。48 安全區(qū)連接的廣域我們稱為什么?與管理信息大區(qū)連接的廣域為電力企業(yè)數(shù)據(jù)或互聯(lián)（電力企業(yè)數(shù)據(jù)為電力企業(yè)內(nèi)聯(lián)，其安全防護由各個企業(yè)負責；電企業(yè)的數(shù)據(jù)即為電力數(shù)據(jù)通信sgtnet）。49 國家電力調(diào)度數(shù)據(jù)絡sgdnet是專用絡，承載的業(yè)務是

15、電力實時控制業(yè)務、在線生產(chǎn)業(yè)務以及本管業(yè)務。sgdnet采用ip交換技術體制，構(gòu)建在sdh專用通道上面。50 電力數(shù)據(jù)通信絡的安全防護對絡路由防護方面采用虛擬專技術，在絡路由層面將實時控制業(yè)務、非控制生產(chǎn)業(yè)務分割成二個相對獨立的邏輯專：實時子和非實時子，兩個子路由各自獨立。實時子保證了實時業(yè)務的絡服務質(zhì)量qos。管業(yè)務隔離在實時和非實時二個子之外，同時進行數(shù)字簽名保護，保證信息的完整性與可信性。51 國家電力數(shù)據(jù)通信sgtnet為國家電公司內(nèi)聯(lián)，該承載業(yè)務主要為電力綜合信息、電力調(diào)度生產(chǎn)管理業(yè)務、電力內(nèi)部數(shù)字語音視頻以及管業(yè)務，該不經(jīng)營對外業(yè)務。52 嚴格禁止email、web、telnet、

16、rlogin、ftp等通用絡服務和以b/s或c/s方式的數(shù)據(jù)庫訪問功能穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。53 電力專用安全隔離裝置作為安全區(qū)i/ii與安全區(qū)iii的必備邊界，要求具有最高的安全防護強度，是安全區(qū)i/ii橫向防護的要點。其中，安全隔離裝置（正向型）用于從生產(chǎn)控制大區(qū)到管理信息大區(qū)的單向數(shù)據(jù)傳遞；安全隔離裝置（反向型）用于管理信息大區(qū)到生產(chǎn)控制大區(qū)的少量單向數(shù)據(jù)傳遞。54 簡述安全隔離裝置（正向）應該具有的功能。僅允許純數(shù)據(jù)的單向安全傳輸。55 簡述安全隔離裝置（反向）應該具有的功能：采取簽名認證和數(shù)據(jù)過濾措施，僅允許純文本數(shù)據(jù)通過，并嚴格防范病毒、木馬等惡

17、意代碼進入生產(chǎn)控制大區(qū)。56 電力專用橫向安全隔離裝置必須通過公安部安全產(chǎn)品銷售許可，獲得國家指定機構(gòu)安全檢測證明，用于廠站的設備還需通過電力系統(tǒng)電磁兼容檢測。57 縱向加密認證是電力二次安全防護體系的縱向防線。采用認證、加密、訪問控制等技術措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護。在生產(chǎn)控制大區(qū)與廣域的縱向交接處應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證關及相應設施，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。如暫時不具備條件，可采用硬件防火墻或絡設備的訪問控制技術臨時代替。58 處于外部絡邊界的通信關的操作系統(tǒng)應進行安全加固，對生產(chǎn)控制大區(qū)的外部通信關應該具備

18、加密、認證和過濾的功能。59 簡述調(diào)度系統(tǒng)數(shù)字證書類型及各種證書的應用方式。人員證書指關鍵業(yè)務的用戶、系統(tǒng)管理人員以及必要的應用維護與開發(fā)人員，在訪問系統(tǒng)、進行操作時需要持有的證書。主要用于用戶登錄絡與操作系統(tǒng)、登錄應用系統(tǒng)，以及訪問應用資源、執(zhí)行應用操作命令時對用戶的身份進行認證，與其它實體通信過程中的認證、加密與簽名，以及行為審計。程序證書指關鍵應用的模塊、進程、服務器程序運行時需要持有的證書，主要用于應用程序與遠方程序進行安全的數(shù)據(jù)通信，提供雙方之間的認證、數(shù)據(jù)的加密與簽名功能。設備證書指絡設備、服務器主機等，在接入本地絡系統(tǒng)與其它實體通信過程中需要持有的證書，主要用于本地設備接入認證，

19、遠程通信實體之間的認證，以及實體之間通信過程的數(shù)據(jù)加密與簽名。60 對于生產(chǎn)控制大區(qū)統(tǒng)一部署一套內(nèi)審計系統(tǒng)或入侵檢測系統(tǒng)（ids），其安全策略的設置重在捕獲絡異常行為、分析潛在威脅以及事后安全審計，不宜使用實時阻斷功能。禁止使用入侵檢測與防火墻的聯(lián)動?？紤]到調(diào)度業(yè)務的可靠性，采用基于絡的入侵檢測系統(tǒng)（nids），其ids探頭主要部署在：橫向、縱向邊界以及重要系統(tǒng)的關鍵應用段。61 生產(chǎn)控制大區(qū)部署的內(nèi)審計系統(tǒng)或入侵檢測系統(tǒng)（ids）其主要的功能用于捕獲絡異常行為、分析潛在威脅以及事后安全審計。62 簡述關鍵應用主機必須采取的安全防護措施。參考6365。63 關鍵應用系統(tǒng)（如能量管理系統(tǒng)scad

20、a/ems/dms?、變電站自動化系統(tǒng)、電廠監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、電力交易系統(tǒng)等）的主服務器，以及絡邊界處的通信關、web服務器等，應該采用加固的linux或unix等操作系統(tǒng)。64 主機安全防護主要的方式包括：安全配置、安全補丁、采用專用的軟件強化操作系統(tǒng)訪問控制能力、以及配置安全的應用程序。65 操作系統(tǒng)安全加固措施包括：升級到當前系統(tǒng)版本、安裝后續(xù)的補丁合集、加固系統(tǒng)tcp/ip配置、根據(jù)系統(tǒng)應用要求關閉不必要的服務、關閉snmp協(xié)議避免利用其遠程溢出漏洞獲取系統(tǒng)控制權(quán)或限定訪問范圍、為超級用戶或特權(quán)用戶設定復雜的口令、修改弱口令或空口令、禁止任何應用程序以超級用戶身份運行、設定系統(tǒng)

21、日志和審計行為等。66 數(shù)據(jù)庫的加固措施包括：數(shù)據(jù)庫的應用程序進行必要的安全審核、及時刪除不再需要的數(shù)據(jù)庫、安裝補丁、使用安全的密碼策略和賬號策略、限定管理員權(quán)限的用戶范圍、禁止多個管理員共享用戶賬戶和口令、禁止一般用戶使用數(shù)據(jù)庫管理員的用戶名和口令、加強數(shù)據(jù)庫日志的管理、管理擴展存儲過程、數(shù)據(jù)定期備份等。67 由于安全區(qū)i是整個二次系統(tǒng)的防護重點，提供web服務將引入很大的安全風險，因此在安全區(qū)i中禁止web服務。安全區(qū)根據(jù)需要允許在本區(qū)專門開通安全web服務，其它業(yè)務系統(tǒng)的數(shù)據(jù)單向?qū)氚踩玾eb服務器，在安全區(qū)的安全web服務器中進行數(shù)據(jù)發(fā)布。禁止安全區(qū)i中的計算機使用瀏覽器訪問安全區(qū)的安

22、全web服務。68 考慮到web服務的不安全性，因此在安全區(qū)ii中僅允許在本區(qū)開通安全web服務，而且用于安全web服務的服務器與瀏覽器客戶機統(tǒng)一布置在安全區(qū)ii中的一個邏輯子區(qū)web服務子區(qū)，接入安全區(qū)ii交換機上的獨立vlan中。69 簡述電力二次系統(tǒng)中關于遠程撥號訪問的防護策略。當遠程撥號訪問生產(chǎn)控制大區(qū)時，要求遠方用戶使用安全加固的linux或unix系統(tǒng)平臺，以防止將病毒、木馬等惡意代碼引入生產(chǎn)控制大區(qū)。遠程撥號訪問應采用調(diào)度數(shù)字證書，進行登錄認證和訪問認證。撥號訪問的防護可以采用鏈路層保護方式或者絡層保護方式。鏈路保護方式使用專用鏈路加密設備，實現(xiàn)兩端鏈路加密設備相互進行認證和對鏈

23、路幀進行加密等安全功能。絡保護方式采用vpn技術在撥號服務器（ras）與遠程撥入用戶建立加密通道，實現(xiàn)對絡層數(shù)據(jù)的機密性與完整性保護。對于通過ras訪問本地絡與系統(tǒng)的遠程撥號訪問，建議采用絡層保護方式。對于以遠方終端的方式通過被訪問的主機的串行接口直接訪問的情況，建議采用鏈路層保護措施。對于遠程用戶登錄到本地系統(tǒng)中的操作行為，應該進行記錄，用于安全審計。70 撥號的防護可以采用鏈路層保護方式，或者絡層保護方式，對l73 安全評估的內(nèi)容包括：風險評估、攻擊演習、漏洞掃描、安全體系的評估、安全設備的部署及性能評估、安全管理措施的評估等。對生產(chǎn)控制大區(qū)安全評估的所有記錄、數(shù)據(jù)、結(jié)果等均不得以任何形式

24、、任何借口攜帶出被評估單位，要按國家有關要求做好保密工作。74 電力二次系統(tǒng)的安全防護實施方案必須經(jīng)過上級信息安全主管部門和相應電力調(diào)度機構(gòu)的審核，完工后必須經(jīng)過上述機構(gòu)驗收。安全防護方案的實施必須嚴格遵守國家經(jīng)貿(mào)委30號令、國家電監(jiān)會5號令以及相關的文件規(guī)定，保證部署的安全裝置的可用性指標達到9999%。75 用于生產(chǎn)控制大區(qū)的工作站、服務器均嚴格禁止以各種方式開通與互聯(lián)的連接；限制開通撥號功能，必須配置強認證機制；在生產(chǎn)控制大區(qū)中的pc機應實施嚴格管理。76 安全審計是安全管理的重要環(huán)節(jié)，通過技術手段，對絡運行日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設施運行日志等

25、進行安全審計，及時自動分析系統(tǒng)安全事件，實現(xiàn)系統(tǒng)安全運行管理。77 安全文件關主要用于電力系統(tǒng)各級部門之間安全的文件傳輸，部署在安全區(qū)ii，采用加密、認證等技術，保證文件的機密性、完整性。用于調(diào)度報表、檢修計劃、發(fā)電計劃、交易報價等文件的傳輸場合。78 簡述調(diào)度中心（地調(diào)及以上）二次系統(tǒng)安全防護對各安全區(qū)域的劃分安全區(qū)i：能量管理系統(tǒng)、廣域相量測量系統(tǒng)、安全自動控制系統(tǒng)、調(diào)度數(shù)據(jù)絡管理及安全告警系統(tǒng)等；安全區(qū)ii：調(diào)度員培訓模擬系統(tǒng)、電能量計量系統(tǒng)、電力市場運營系統(tǒng)、繼電保護和故障錄波信息管理系統(tǒng)、調(diào)度計劃管理系統(tǒng)、在線穩(wěn)定計算系統(tǒng)等；安全區(qū)iii：調(diào)度生產(chǎn)管理系統(tǒng)、雷電監(jiān)測系統(tǒng)、氣象/衛(wèi)星云

26、圖系統(tǒng)、電力市場監(jiān)管信息系統(tǒng)接口等；安全區(qū)iv：辦公自動化、web服務等。79 已投運的ems系統(tǒng)要求進行安全評估，新建設的ems系統(tǒng)必須經(jīng)過安全評估合格后后方可投運。ems系統(tǒng)禁止開通email、web以及其它與業(yè)務無關的通用絡服務。80 絡攻擊類型：1）阻斷攻擊：針對可用性攻擊；2）截取攻擊：針對機密性攻擊；3）篡改攻擊：針對完整性攻擊；4）偽造攻擊：針對真實性攻擊。81 絡安全處理過程：1）評估；2）策略制定；3）實施；4）運行管理；5）審計。82 絡信息安全的關鍵技術：1）身份認證技術；2）訪問控制技術；3）主機安全技術；4）防火墻技術；5）密碼技術；6）反入侵技術；7）防病毒技術；8

27、）安全審計技術；9）安全管理技術等。83 計算機操作系統(tǒng)的安全等級：分為4類a類、b類、c類、d類，其中a類的安全性最高，d類則幾乎不提供安全性保護。d類的典型例子是msdos操作系統(tǒng)，unix系統(tǒng)達到c2級。84 絡安全的特征：保密性、完整性、可用性、可控性。85 安全的歷史：1） 通信安全：? 解決數(shù)據(jù)傳輸?shù)陌踩? 密碼技術2） 計算機安全? 解決計算機信息載體及其運行的安全? 正確實施主體對客體的訪問控制3） 絡安全? 解決在分布絡環(huán)境中對信息載體及其運行提供安全保護? 完整的信息安全保障體系86 絡風險：是丟失需要保護的資產(chǎn)的可能性。風險的兩個組成部分：漏洞攻擊的可能的途徑；威脅：可

28、能破壞絡系統(tǒng)環(huán)境安全的動作或事件。87 在microsoft internet explorer中，安全屬性的設置主要是指對絡中安全區(qū)域的設置。internet explorer將internet世界劃分為4個區(qū)域：internet、本地intranet、受信任的站點和受限制的站點。每個區(qū)域都有自己的安全級別，這樣用戶可以根據(jù)不同的區(qū)域的安全級別來確定區(qū)域中的活動內(nèi)容。1） internet區(qū)域：安全級別為中級，包含所有未放在其他區(qū)域中的web站點2） 本地intranet區(qū)域：安全級別為中低級，包含用戶絡上的所有站點3） 受信任站點區(qū)域：安全級別為低級，包含用戶確認不會損壞計算機或數(shù)據(jù)的we

29、b站點4） 受限站點區(qū)域：安全級別最高，所賦予的功能最少，包含可能會損壞用戶計算機和數(shù)據(jù)的web站點88 防火墻（firewall）是指設置在不同絡（如可信任的企業(yè)內(nèi)部和不可信任的公共）或絡安全域之間的一系列部件的組合。它是不同絡或絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策（允許、拒絕、監(jiān)測）控制出入絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)絡和信息安全的基礎設施。89 防火墻基本功能：1）過濾進、出絡的數(shù)據(jù)；2）管理進、出絡的訪問行為；3）封堵某些禁止的業(yè)務；4）記錄通過防火墻的信息內(nèi)容和活動；5）對絡攻擊檢測和告警90 防火墻的局限性：防火墻不是解決所有絡安

30、全問題的萬能藥方，只是絡安全政策和策略中的一個組成部分。1）防火墻不能防范繞過防火墻的攻擊 eg：內(nèi)部提供撥號服務；2）防火墻不能防范來自內(nèi)部人員惡意的攻擊；3）防火墻不能阻止被病毒感染的程序或文件的傳遞；4）防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。eg：特洛伊木馬。91 防火墻是使用最廣泛的絡安全工具，是絡安全的第一道防線，用以防止外部絡的未授權(quán)訪問。防火墻具有副作用，使內(nèi)部絡與外部絡（internet ） 的信息系統(tǒng)交流受到阻礙，增大了絡管理開銷，而且減慢了信息傳遞速率。92 對病毒、木馬等惡意代碼的防護是電力二次系統(tǒng)安全防護所必須的安全措施。禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一個防惡意代碼管理服務

31、器。保證特征碼的及時更新，及時查看查殺記錄，隨時掌握威脅狀況。93 ids系統(tǒng)的主要功能包括：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎、基于分析引擎的結(jié)果產(chǎn)生反應的響應部件。94 根據(jù)技術原理，ids可分為以下兩類：基于主機的入侵檢測系統(tǒng)和基于絡的入侵檢測系統(tǒng)。95 漏洞掃描技術的原理漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的絡服務，將這些相關信息與絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機

32、系統(tǒng)存在安全漏洞。96 漏洞掃描技術也可以認為是一種絡安全性評估技術。漏洞掃描器根據(jù)工作模式的不同，分為主機漏洞掃描器和絡漏洞掃描器。97 由于email服務會引入高級別安全風險，因此安全區(qū)i與ii中禁止email服務，杜絕病毒、木馬程序借助email傳播，避免被攻擊或成為進一步攻擊的跳板。在安全區(qū)iii和安全區(qū)iv中提供email服務。98 下列不屬于系統(tǒng)安全的技術是（ ）a防火墻 b加密狗 c認證 d防病毒99 考慮到安全性和費用因素，通常使用（ ）方式進行遠程訪問aras b vpn100 當你感覺到你的win2000運行速度明顯減慢，當你打開任務lc、 ipsec是也是vpn的一種d、

33、 vpn使用通道技術加密，但沒有身份驗證功能103 以下哪個不是屬于window2000的漏洞? da、 unicodeb、 iis hackerc、 輸入法漏洞d、 單用戶登陸104 你是一個單位的絡安全管理員，你使用的防火墻在unix下的iptables，你現(xiàn)在需要通過對防火墻的配置不允許19216802這臺主機登陸到你的服務器，你應該怎么設置防火墻規(guī)則? ba、 iptablesa inputp tcps 19216802sourceport 23j denyb、 iptablesa inputp tcps 19216802destinationport 23j denyc、 iptab

34、lesa inputp tcpd 19216802sourceport 23j denyd、 iptablesa inputp tcpd 19216802destinationport 23j deny105 你的window2000開啟了遠程登陸telnet，但你發(fā)現(xiàn)你的window98和unix計算機沒有辦法遠程登陸，只有win2000的系統(tǒng)才能遠程登陸，你應該怎么辦? da、 重設防火墻規(guī)則b、 檢查入侵檢測系統(tǒng)c、 運用殺毒軟件，查殺病毒d、 將ntlm的值改為0106 你所使用的系統(tǒng)為win2000，所有的分區(qū)均是ntfs的分區(qū)，c區(qū)的權(quán)限為everyone讀取和運行，d區(qū)的權(quán)限為everyone完全控制，現(xiàn)在你將一名為test的文件夾，由c區(qū)移動到d區(qū)之后，test文件夾的權(quán)限為?