二次系統(tǒng)安防模擬題

1、姓名：_ 班級(jí)：_ 學(xué)號(hào)：_-密-封 -線- 二次系統(tǒng)安防模擬題考試時(shí)間：120分鐘 考試總分：100分題號(hào)一二三四五總分分?jǐn)?shù)遵守考場紀(jì)律，維護(hù)知識(shí)尊嚴(yán)，杜絕違紀(jì)行為，確保考試結(jié)果公正。第30號(hào)令（或：國家經(jīng)貿(mào)委2002第30號(hào)令是：電和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)絡(luò)安全防護(hù)規(guī)定）2 電與電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)絡(luò)安全防護(hù)規(guī)定已經(jīng)國家經(jīng)濟(jì)貿(mào)易委員會(huì)主任辦公會(huì)議討論通過，現(xiàn)予公布，自2002年6月8日起施行國家經(jīng)濟(jì)貿(mào)易委員會(huì)，二oo二年五月八日。3 電力二次系統(tǒng)安全防護(hù)規(guī)定，國家電力監(jiān)管委員會(huì)令第5號(hào)2004年發(fā)布（或：國家電力監(jiān)管委員會(huì)第5號(hào)令是：電力二次系統(tǒng)安全防護(hù)規(guī)定）4 電力二次系統(tǒng)

2、，包括電力監(jiān)控系統(tǒng)、電力通信及數(shù)據(jù)絡(luò)等。5 電力監(jiān)控系統(tǒng)，是指用于監(jiān)視和控制電及電廠生產(chǎn)運(yùn)行過程的、基于計(jì)算機(jī)及絡(luò)技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備等。包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動(dòng)化系統(tǒng)、換流站計(jì)算機(jī)監(jiān)控系統(tǒng)、發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)、配電自動(dòng)化系統(tǒng)、微機(jī)繼電保護(hù)和安全自動(dòng)裝置、廣域相量測量系統(tǒng)、負(fù)荷控制系統(tǒng)、水調(diào)自動(dòng)化系統(tǒng)和水電梯級(jí)調(diào)度自動(dòng)化系統(tǒng)、電能量計(jì)量計(jì)費(fèi)系統(tǒng)、實(shí)時(shí)電力市場的輔助控制系統(tǒng)等。6 國家經(jīng)貿(mào)委2002第30號(hào)令規(guī)定所稱“電力監(jiān)控系統(tǒng)”，包括各級(jí)電調(diào)度自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、換流站計(jì)算機(jī)監(jiān)控系統(tǒng)、發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)、配電自動(dòng)化系統(tǒng)、微機(jī)保護(hù)和安全自動(dòng)裝置

3、、水調(diào)自動(dòng)化系統(tǒng)和水電梯級(jí)調(diào)度自動(dòng)化系統(tǒng)、電能量計(jì)量計(jì)費(fèi)系統(tǒng)、實(shí)時(shí)電力市場的輔助控制系統(tǒng)等；“調(diào)度數(shù)據(jù)絡(luò)”包括各級(jí)電力調(diào)度專用廣域數(shù)據(jù)絡(luò)、用于遠(yuǎn)程維護(hù)及電能量計(jì)費(fèi)等的調(diào)度專用撥號(hào)絡(luò)、各計(jì)算機(jī)監(jiān)控系統(tǒng)內(nèi)部的本地局域絡(luò)等。7 電力監(jiān)控系統(tǒng)可通過專用局域?qū)崿F(xiàn)與本地其他電力監(jiān)控系統(tǒng)的互聯(lián)，或通過電力調(diào)度數(shù)據(jù)絡(luò)實(shí)現(xiàn)上下級(jí)異地電力監(jiān)控系統(tǒng)的互聯(lián)。各電力監(jiān)控系統(tǒng)與辦公自動(dòng)化系統(tǒng)或其他信息系統(tǒng)之間以絡(luò)方式互聯(lián)時(shí)，必須采用經(jīng)國家有關(guān)部門認(rèn)證的專用、可靠的安全隔離設(shè)施。8 電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)絡(luò)均不得和互聯(lián)相連，并嚴(yán)格限制電子郵件的使用。9 新接入電力調(diào)度數(shù)據(jù)絡(luò)的節(jié)點(diǎn)和應(yīng)用系統(tǒng)，須經(jīng)負(fù)責(zé)本級(jí)電力調(diào)度數(shù)據(jù)絡(luò)機(jī)

4、構(gòu)核準(zhǔn)，并送上一級(jí)電力調(diào)度機(jī)構(gòu)備案。10 當(dāng)發(fā)生涉及調(diào)度數(shù)據(jù)絡(luò)和控制系統(tǒng)安全的事件時(shí)，應(yīng)立即向上一級(jí)調(diào)度機(jī)構(gòu)報(bào)告，同時(shí)報(bào)國調(diào)中心，并在8 小時(shí)內(nèi)提供書面報(bào)告。對隱報(bào)、緩報(bào)、謊報(bào)者，將按國家和公司有關(guān)規(guī)定，追究相關(guān)單位和當(dāng)事人的責(zé)任。11 凡涉及二次系統(tǒng)安全防護(hù)秘密的各種載體，應(yīng)設(shè)專人管理，未經(jīng)批準(zhǔn)不得復(fù)制和摘抄。所有員工不準(zhǔn)在各類媒體上發(fā)表涉及二次系統(tǒng)安全防護(hù)秘密的內(nèi)容和信息。12 電力二次系統(tǒng)的規(guī)劃設(shè)計(jì)、項(xiàng)目審查、工程實(shí)施、系統(tǒng)改造、運(yùn)行管理等應(yīng)當(dāng)符合國家電力監(jiān)管委員會(huì)第5號(hào)令的要求。13 電力調(diào)度數(shù)據(jù)劃分為邏輯隔離的實(shí)時(shí)子和非實(shí)時(shí)子，分別連接控制區(qū)和非控制區(qū)。14 在生產(chǎn)控制大區(qū)與管理信息

5、大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置。15 生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。16 在生產(chǎn)控制大區(qū)與廣域的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證關(guān)及相應(yīng)設(shè)施。17 依照電力調(diào)度管理體制建立基于公鑰技術(shù)的分布式電力調(diào)度數(shù)字證書系統(tǒng)，生產(chǎn)控制大區(qū)中的重要業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)采用認(rèn)證加密機(jī)制。18 電力調(diào)度機(jī)構(gòu)負(fù)責(zé)直接調(diào)度范圍內(nèi)的下一級(jí)電力調(diào)度機(jī)構(gòu)、變電站、發(fā)電廠輸變電部分的二次系統(tǒng)安全防護(hù)的技術(shù)監(jiān)督，發(fā)電廠內(nèi)其它二次系統(tǒng)可由其上級(jí)主管單位實(shí)施技術(shù)監(jiān)督。19 對生產(chǎn)控制

6、大區(qū)安全評估的所有記錄、數(shù)據(jù)、結(jié)果等，應(yīng)按國家有關(guān)要求做好保密工作。20 電力調(diào)度機(jī)構(gòu)負(fù)責(zé)統(tǒng)一指揮調(diào)度范圍內(nèi)的電力二次系統(tǒng)安全應(yīng)急處理。21 電力調(diào)度機(jī)構(gòu)、發(fā)電廠、變電站等運(yùn)行單位的電力二次系統(tǒng)安全防護(hù)實(shí)施方案須經(jīng)過上級(jí)信息安全主管部門和相應(yīng)電力調(diào)度機(jī)構(gòu)的審核，方案實(shí)施完成后應(yīng)當(dāng)由上述機(jī)構(gòu)驗(yàn)收。接入電力調(diào)度數(shù)據(jù)絡(luò)的設(shè)備和應(yīng)用系統(tǒng)，其接入技術(shù)方案和安全防護(hù)措施須經(jīng)直接負(fù)責(zé)的電力調(diào)度機(jī)構(gòu)核準(zhǔn)。22 電力二次系統(tǒng)安全防護(hù)總體方案的安全分區(qū)：生產(chǎn)控制大區(qū)：安全區(qū)（控制區(qū)），安全區(qū)（非控制區(qū)）管理信息大區(qū)：安全區(qū)iii（生產(chǎn)管理區(qū)），安全區(qū)iv（管理信息區(qū)）23 電力二次系統(tǒng)安全防護(hù)總體方案的安全防護(hù)原

7、則：“安全分區(qū)、絡(luò)專用、橫向隔離、縱向認(rèn)證”24 電力二次系統(tǒng)的安全防護(hù)策略：安全分區(qū)、絡(luò)專用、橫向隔離、縱向認(rèn)證。25 電力二次系統(tǒng)的安全防護(hù)主要針對絡(luò)系統(tǒng)和基于絡(luò)的生產(chǎn)控制系統(tǒng)，重點(diǎn)強(qiáng)化邊界防護(hù)，提高內(nèi)部安全防護(hù)能力，保證電力生產(chǎn)控制系統(tǒng)及重要敏感數(shù)據(jù)的安全。26 電力二次系統(tǒng)安全防護(hù)目標(biāo)：抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團(tuán)式攻擊，防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。27 力二次系統(tǒng)安全防護(hù)是復(fù)雜的系統(tǒng)工程，其總體安全防護(hù)水平取決于系統(tǒng)中最薄弱點(diǎn)的安全水平。28 電力二次系統(tǒng)安全防護(hù)過程是長期的動(dòng)態(tài)過程，各單位應(yīng)

8、當(dāng)嚴(yán)格落實(shí)總體安全防護(hù)原則，建立和完善以安全防護(hù)原則為中心的安全監(jiān)測、快速響應(yīng)、安全措施、審計(jì)評估等步驟組成的循環(huán)機(jī)制。29 安全分區(qū)是電力二次安全防護(hù)體系的結(jié)構(gòu)基礎(chǔ)。30 發(fā)電企業(yè)、電企業(yè)和供電企業(yè)內(nèi)部基于計(jì)算機(jī)和絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)，原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)（安全區(qū)i）和非控制區(qū)（安全區(qū)）；管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)。31 在滿足總體安全要求的前提下，可以根據(jù)應(yīng)用系統(tǒng)實(shí)際情況，簡化安全區(qū)的設(shè)置，但是應(yīng)當(dāng)避免通過廣域形成不同安全區(qū)的縱向交叉連接。32 安全區(qū)i的典型系統(tǒng)包括：調(diào)度自動(dòng)化系統(tǒng)（sc

9、ada/ems）、廣域相量測量系統(tǒng)、配電自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、發(fā)電廠自動(dòng)監(jiān)控系統(tǒng)、安全自動(dòng)控制系統(tǒng)、低頻/低壓自動(dòng)減載系統(tǒng)、負(fù)荷控制系統(tǒng)等。33 安全區(qū)i的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：直接實(shí)現(xiàn)對一次系統(tǒng)的監(jiān)控功能，是電力生產(chǎn)的重要必備環(huán)節(jié)，實(shí)時(shí)在線運(yùn)行，使用電力調(diào)度數(shù)據(jù)絡(luò)或?qū)Ｓ猛ㄐ磐ǖ馈?4 安全區(qū)的典型系統(tǒng)包括：調(diào)度員培訓(xùn)模擬系統(tǒng)（dts）、水調(diào)自動(dòng)化系統(tǒng)、繼電保護(hù)及故障錄波信息管理系統(tǒng)、電能量計(jì)量系統(tǒng)、電力市場運(yùn)營系統(tǒng)等。35 安全區(qū)的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：所實(shí)現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié)，但不具備控制功能，使用電力調(diào)度數(shù)據(jù)絡(luò)，在線運(yùn)行，與控制區(qū)（安全區(qū)i）中的系統(tǒng)或

10、功能模塊聯(lián)系緊密。36 安全區(qū)iii的典型系統(tǒng)為：調(diào)度生產(chǎn)管理系統(tǒng)（dmis）、統(tǒng)計(jì)報(bào)表系統(tǒng)（日報(bào)、旬報(bào)、月報(bào)、年報(bào)）、雷電監(jiān)測系統(tǒng)、氣象信息接入等。37 安全區(qū)iv包括：管理信息系統(tǒng)（mis）、辦公自動(dòng)化系統(tǒng)（oa）、客戶服務(wù)系統(tǒng)等。38 盡可能將業(yè)務(wù)系統(tǒng)完整置于一個(gè)安全內(nèi)；當(dāng)某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時(shí)，可根據(jù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流程將不同的功能模塊（或子系統(tǒng)）分置于合適的安全區(qū)中，各功能模塊（或子系統(tǒng)）經(jīng)過安全區(qū)之間的通信聯(lián)接整個(gè)業(yè)務(wù)系統(tǒng)。39 控制區(qū)（安全區(qū)）的安全等級(jí)相當(dāng)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的第4級(jí)，非控制區(qū)（安全區(qū)ii）相當(dāng)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等

11、級(jí)的第3級(jí)。40 安全區(qū)與安全區(qū)之間的隔離要求：i、ii區(qū)之間須采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的硬件防火墻或相當(dāng)設(shè)備進(jìn)行邏輯隔離，應(yīng)禁止email、web、telnet、rlogin等服務(wù)穿越安全區(qū)之間的隔離設(shè)備。41 生產(chǎn)控制的邏輯大區(qū)與管理信息的邏輯大區(qū)之間的隔離要求：安全區(qū)、不得與安全區(qū)直接聯(lián)系；安全區(qū)、與安全區(qū)之間應(yīng)該采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的專用安全隔離裝置（或：經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置）。42 電力專用安全隔離裝置作為安全區(qū)i/ii與安全區(qū)iii之間的必備邊界，要求具有極高的安全防護(hù)強(qiáng)度，是安全區(qū)i/ii橫向防護(hù)的要點(diǎn)。其中，安全隔離裝置（正向）用于安全區(qū)i/ii

12、到安全區(qū)iii的單向數(shù)據(jù)傳遞；安全隔離裝置（反向）用于安全區(qū)iii到安全區(qū)i/ii的單向數(shù)據(jù)傳遞。43 簡述安全區(qū)內(nèi)部安全防護(hù)的基本要求（44、45）44 生產(chǎn)控制大區(qū)內(nèi)部安全要求（1） 禁止生產(chǎn)控制大區(qū)內(nèi)部的email服務(wù)。禁止安全區(qū)的web服務(wù)。（2） 允許非控制區(qū)（安全區(qū)）內(nèi)部采用b/s結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)，但僅限于業(yè)務(wù)系統(tǒng)內(nèi)部使用。允許非控制區(qū)（安全區(qū)）縱向安全web服務(wù)，經(jīng)過安全加固且支持https的安全web服務(wù)器和web瀏覽工作站應(yīng)在專用段，應(yīng)由業(yè)務(wù)系統(tǒng)向web服務(wù)器單向主動(dòng)傳送數(shù)據(jù)。（3） 生產(chǎn)控制大區(qū)的重要業(yè)務(wù)（如scada/agc、電力市場交易等）必須采用加密認(rèn)證機(jī)制，對已有系統(tǒng)

13、應(yīng)逐步改造。（4） 生產(chǎn)控制大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)間應(yīng)該采取訪問控制等安全措施。（5） 生產(chǎn)控制大區(qū)的撥號(hào)訪問服務(wù)，服務(wù)器側(cè)和用戶端均應(yīng)使用unix或linux等安全加固的操作系統(tǒng)，且采取加密、認(rèn)證和訪問控制等安全防護(hù)措施。（6） 生產(chǎn)控制大區(qū)邊界上可部署入侵檢測系統(tǒng)ids?？刂茀^(qū)（安全區(qū)i）、非控制區(qū)（安全區(qū)）可以合用一套ids管理系統(tǒng)。（7） 生產(chǎn)控制大區(qū)應(yīng)部署安全審計(jì)措施，把安全審計(jì)與安全區(qū)絡(luò)管理系統(tǒng)、ids管理系統(tǒng)、敏感業(yè)務(wù)服務(wù)器登錄認(rèn)證和授權(quán)、應(yīng)用訪問權(quán)限相結(jié)合。（8） 生產(chǎn)控制大區(qū)應(yīng)該統(tǒng)一部署惡意代碼防護(hù)系統(tǒng)，采取防惡意代碼措施。病毒庫和木馬庫的更新應(yīng)該離線進(jìn)行，不得直接從外部互聯(lián)下載。

14、45 管理信息大區(qū)安全要求管理信息大區(qū)可以根據(jù)需要設(shè)立若干業(yè)務(wù)安全區(qū)，并在其上采取合適的安全防護(hù)措施。管理信息大區(qū)建議統(tǒng)一部署惡意代碼防護(hù)系統(tǒng)。46 電力二次系統(tǒng)涉及到的數(shù)據(jù)通信絡(luò)包括哪些內(nèi)容?參考47、48。47 安全區(qū)、連接的廣域我們稱為什么，采用什么技術(shù)構(gòu)造?與生產(chǎn)控制大區(qū)連接的廣域?yàn)殡娏φ{(diào)度數(shù)據(jù)（sgdnet）；電力調(diào)度數(shù)據(jù)采用ip over sdh。48 安全區(qū)連接的廣域我們稱為什么?與管理信息大區(qū)連接的廣域?yàn)殡娏ζ髽I(yè)數(shù)據(jù)或互聯(lián)（電力企業(yè)數(shù)據(jù)為電力企業(yè)內(nèi)聯(lián)，其安全防護(hù)由各個(gè)企業(yè)負(fù)責(zé)；電企業(yè)的數(shù)據(jù)即為電力數(shù)據(jù)通信sgtnet）。49 國家電力調(diào)度數(shù)據(jù)絡(luò)sgdnet是專用絡(luò)，承載的業(yè)務(wù)是

15、電力實(shí)時(shí)控制業(yè)務(wù)、在線生產(chǎn)業(yè)務(wù)以及本管業(yè)務(wù)。sgdnet采用ip交換技術(shù)體制，構(gòu)建在sdh專用通道上面。50 電力數(shù)據(jù)通信絡(luò)的安全防護(hù)對絡(luò)路由防護(hù)方面采用虛擬專技術(shù)，在絡(luò)路由層面將實(shí)時(shí)控制業(yè)務(wù)、非控制生產(chǎn)業(yè)務(wù)分割成二個(gè)相對獨(dú)立的邏輯專：實(shí)時(shí)子和非實(shí)時(shí)子，兩個(gè)子路由各自獨(dú)立。實(shí)時(shí)子保證了實(shí)時(shí)業(yè)務(wù)的絡(luò)服務(wù)質(zhì)量qos。管業(yè)務(wù)隔離在實(shí)時(shí)和非實(shí)時(shí)二個(gè)子之外，同時(shí)進(jìn)行數(shù)字簽名保護(hù)，保證信息的完整性與可信性。51 國家電力數(shù)據(jù)通信sgtnet為國家電公司內(nèi)聯(lián)，該承載業(yè)務(wù)主要為電力綜合信息、電力調(diào)度生產(chǎn)管理業(yè)務(wù)、電力內(nèi)部數(shù)字語音視頻以及管業(yè)務(wù)，該不經(jīng)營對外業(yè)務(wù)。52 嚴(yán)格禁止email、web、telnet、

16、rlogin、ftp等通用絡(luò)服務(wù)和以b/s或c/s方式的數(shù)據(jù)庫訪問功能穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。53 電力專用安全隔離裝置作為安全區(qū)i/ii與安全區(qū)iii的必備邊界，要求具有最高的安全防護(hù)強(qiáng)度，是安全區(qū)i/ii橫向防護(hù)的要點(diǎn)。其中，安全隔離裝置（正向型）用于從生產(chǎn)控制大區(qū)到管理信息大區(qū)的單向數(shù)據(jù)傳遞；安全隔離裝置（反向型）用于管理信息大區(qū)到生產(chǎn)控制大區(qū)的少量單向數(shù)據(jù)傳遞。54 簡述安全隔離裝置（正向）應(yīng)該具有的功能。僅允許純數(shù)據(jù)的單向安全傳輸。55 簡述安全隔離裝置（反向）應(yīng)該具有的功能：采取簽名認(rèn)證和數(shù)據(jù)過濾措施，僅允許純文本數(shù)據(jù)通過，并嚴(yán)格防范病毒、木馬等惡

17、意代碼進(jìn)入生產(chǎn)控制大區(qū)。56 電力專用橫向安全隔離裝置必須通過公安部安全產(chǎn)品銷售許可，獲得國家指定機(jī)構(gòu)安全檢測證明，用于廠站的設(shè)備還需通過電力系統(tǒng)電磁兼容檢測。57 縱向加密認(rèn)證是電力二次安全防護(hù)體系的縱向防線。采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。在生產(chǎn)控制大區(qū)與廣域的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。如暫時(shí)不具備條件，可采用硬件防火墻或絡(luò)設(shè)備的訪問控制技術(shù)臨時(shí)代替。58 處于外部絡(luò)邊界的通信關(guān)的操作系統(tǒng)應(yīng)進(jìn)行安全加固，對生產(chǎn)控制大區(qū)的外部通信關(guān)應(yīng)該具備

18、加密、認(rèn)證和過濾的功能。59 簡述調(diào)度系統(tǒng)數(shù)字證書類型及各種證書的應(yīng)用方式。人員證書指關(guān)鍵業(yè)務(wù)的用戶、系統(tǒng)管理人員以及必要的應(yīng)用維護(hù)與開發(fā)人員，在訪問系統(tǒng)、進(jìn)行操作時(shí)需要持有的證書。主要用于用戶登錄絡(luò)與操作系統(tǒng)、登錄應(yīng)用系統(tǒng)，以及訪問應(yīng)用資源、執(zhí)行應(yīng)用操作命令時(shí)對用戶的身份進(jìn)行認(rèn)證，與其它實(shí)體通信過程中的認(rèn)證、加密與簽名，以及行為審計(jì)。程序證書指關(guān)鍵應(yīng)用的模塊、進(jìn)程、服務(wù)器程序運(yùn)行時(shí)需要持有的證書，主要用于應(yīng)用程序與遠(yuǎn)方程序進(jìn)行安全的數(shù)據(jù)通信，提供雙方之間的認(rèn)證、數(shù)據(jù)的加密與簽名功能。設(shè)備證書指絡(luò)設(shè)備、服務(wù)器主機(jī)等，在接入本地絡(luò)系統(tǒng)與其它實(shí)體通信過程中需要持有的證書，主要用于本地設(shè)備接入認(rèn)證，

19、遠(yuǎn)程通信實(shí)體之間的認(rèn)證，以及實(shí)體之間通信過程的數(shù)據(jù)加密與簽名。60 對于生產(chǎn)控制大區(qū)統(tǒng)一部署一套內(nèi)審計(jì)系統(tǒng)或入侵檢測系統(tǒng)（ids），其安全策略的設(shè)置重在捕獲絡(luò)異常行為、分析潛在威脅以及事后安全審計(jì)，不宜使用實(shí)時(shí)阻斷功能。禁止使用入侵檢測與防火墻的聯(lián)動(dòng)?？紤]到調(diào)度業(yè)務(wù)的可靠性，采用基于絡(luò)的入侵檢測系統(tǒng)（nids），其ids探頭主要部署在：橫向、縱向邊界以及重要系統(tǒng)的關(guān)鍵應(yīng)用段。61 生產(chǎn)控制大區(qū)部署的內(nèi)審計(jì)系統(tǒng)或入侵檢測系統(tǒng)（ids）其主要的功能用于捕獲絡(luò)異常行為、分析潛在威脅以及事后安全審計(jì)。62 簡述關(guān)鍵應(yīng)用主機(jī)必須采取的安全防護(hù)措施。參考6365。63 關(guān)鍵應(yīng)用系統(tǒng)（如能量管理系統(tǒng)scad

20、a/ems/dms?、變電站自動(dòng)化系統(tǒng)、電廠監(jiān)控系統(tǒng)、配電自動(dòng)化系統(tǒng)、電力交易系統(tǒng)等）的主服務(wù)器，以及絡(luò)邊界處的通信關(guān)、web服務(wù)器等，應(yīng)該采用加固的linux或unix等操作系統(tǒng)。64 主機(jī)安全防護(hù)主要的方式包括：安全配置、安全補(bǔ)丁、采用專用的軟件強(qiáng)化操作系統(tǒng)訪問控制能力、以及配置安全的應(yīng)用程序。65 操作系統(tǒng)安全加固措施包括：升級(jí)到當(dāng)前系統(tǒng)版本、安裝后續(xù)的補(bǔ)丁合集、加固系統(tǒng)tcp/ip配置、根據(jù)系統(tǒng)應(yīng)用要求關(guān)閉不必要的服務(wù)、關(guān)閉snmp協(xié)議避免利用其遠(yuǎn)程溢出漏洞獲取系統(tǒng)控制權(quán)或限定訪問范圍、為超級(jí)用戶或特權(quán)用戶設(shè)定復(fù)雜的口令、修改弱口令或空口令、禁止任何應(yīng)用程序以超級(jí)用戶身份運(yùn)行、設(shè)定系統(tǒng)

21、日志和審計(jì)行為等。66 數(shù)據(jù)庫的加固措施包括：數(shù)據(jù)庫的應(yīng)用程序進(jìn)行必要的安全審核、及時(shí)刪除不再需要的數(shù)據(jù)庫、安裝補(bǔ)丁、使用安全的密碼策略和賬號(hào)策略、限定管理員權(quán)限的用戶范圍、禁止多個(gè)管理員共享用戶賬戶和口令、禁止一般用戶使用數(shù)據(jù)庫管理員的用戶名和口令、加強(qiáng)數(shù)據(jù)庫日志的管理、管理擴(kuò)展存儲(chǔ)過程、數(shù)據(jù)定期備份等。67 由于安全區(qū)i是整個(gè)二次系統(tǒng)的防護(hù)重點(diǎn)，提供web服務(wù)將引入很大的安全風(fēng)險(xiǎn)，因此在安全區(qū)i中禁止web服務(wù)。安全區(qū)根據(jù)需要允許在本區(qū)專門開通安全web服務(wù)，其它業(yè)務(wù)系統(tǒng)的數(shù)據(jù)單向?qū)氚踩玾eb服務(wù)器，在安全區(qū)的安全web服務(wù)器中進(jìn)行數(shù)據(jù)發(fā)布。禁止安全區(qū)i中的計(jì)算機(jī)使用瀏覽器訪問安全區(qū)的安

22、全web服務(wù)。68 考慮到web服務(wù)的不安全性，因此在安全區(qū)ii中僅允許在本區(qū)開通安全web服務(wù)，而且用于安全web服務(wù)的服務(wù)器與瀏覽器客戶機(jī)統(tǒng)一布置在安全區(qū)ii中的一個(gè)邏輯子區(qū)web服務(wù)子區(qū)，接入安全區(qū)ii交換機(jī)上的獨(dú)立vlan中。69 簡述電力二次系統(tǒng)中關(guān)于遠(yuǎn)程撥號(hào)訪問的防護(hù)策略。當(dāng)遠(yuǎn)程撥號(hào)訪問生產(chǎn)控制大區(qū)時(shí)，要求遠(yuǎn)方用戶使用安全加固的linux或unix系統(tǒng)平臺(tái)，以防止將病毒、木馬等惡意代碼引入生產(chǎn)控制大區(qū)。遠(yuǎn)程撥號(hào)訪問應(yīng)采用調(diào)度數(shù)字證書，進(jìn)行登錄認(rèn)證和訪問認(rèn)證。撥號(hào)訪問的防護(hù)可以采用鏈路層保護(hù)方式或者絡(luò)層保護(hù)方式。鏈路保護(hù)方式使用專用鏈路加密設(shè)備，實(shí)現(xiàn)兩端鏈路加密設(shè)備相互進(jìn)行認(rèn)證和對鏈

23、路幀進(jìn)行加密等安全功能。絡(luò)保護(hù)方式采用vpn技術(shù)在撥號(hào)服務(wù)器（ras）與遠(yuǎn)程撥入用戶建立加密通道，實(shí)現(xiàn)對絡(luò)層數(shù)據(jù)的機(jī)密性與完整性保護(hù)。對于通過ras訪問本地絡(luò)與系統(tǒng)的遠(yuǎn)程撥號(hào)訪問，建議采用絡(luò)層保護(hù)方式。對于以遠(yuǎn)方終端的方式通過被訪問的主機(jī)的串行接口直接訪問的情況，建議采用鏈路層保護(hù)措施。對于遠(yuǎn)程用戶登錄到本地系統(tǒng)中的操作行為，應(yīng)該進(jìn)行記錄，用于安全審計(jì)。70 撥號(hào)的防護(hù)可以采用鏈路層保護(hù)方式，或者絡(luò)層保護(hù)方式，對l73 安全評估的內(nèi)容包括：風(fēng)險(xiǎn)評估、攻擊演習(xí)、漏洞掃描、安全體系的評估、安全設(shè)備的部署及性能評估、安全管理措施的評估等。對生產(chǎn)控制大區(qū)安全評估的所有記錄、數(shù)據(jù)、結(jié)果等均不得以任何形式

24、、任何借口攜帶出被評估單位，要按國家有關(guān)要求做好保密工作。74 電力二次系統(tǒng)的安全防護(hù)實(shí)施方案必須經(jīng)過上級(jí)信息安全主管部門和相應(yīng)電力調(diào)度機(jī)構(gòu)的審核，完工后必須經(jīng)過上述機(jī)構(gòu)驗(yàn)收。安全防護(hù)方案的實(shí)施必須嚴(yán)格遵守國家經(jīng)貿(mào)委30號(hào)令、國家電監(jiān)會(huì)5號(hào)令以及相關(guān)的文件規(guī)定，保證部署的安全裝置的可用性指標(biāo)達(dá)到9999%。75 用于生產(chǎn)控制大區(qū)的工作站、服務(wù)器均嚴(yán)格禁止以各種方式開通與互聯(lián)的連接；限制開通撥號(hào)功能，必須配置強(qiáng)認(rèn)證機(jī)制；在生產(chǎn)控制大區(qū)中的pc機(jī)應(yīng)實(shí)施嚴(yán)格管理。76 安全審計(jì)是安全管理的重要環(huán)節(jié)，通過技術(shù)手段，對絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等

25、進(jìn)行安全審計(jì)，及時(shí)自動(dòng)分析系統(tǒng)安全事件，實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。77 安全文件關(guān)主要用于電力系統(tǒng)各級(jí)部門之間安全的文件傳輸，部署在安全區(qū)ii，采用加密、認(rèn)證等技術(shù)，保證文件的機(jī)密性、完整性。用于調(diào)度報(bào)表、檢修計(jì)劃、發(fā)電計(jì)劃、交易報(bào)價(jià)等文件的傳輸場合。78 簡述調(diào)度中心（地調(diào)及以上）二次系統(tǒng)安全防護(hù)對各安全區(qū)域的劃分安全區(qū)i：能量管理系統(tǒng)、廣域相量測量系統(tǒng)、安全自動(dòng)控制系統(tǒng)、調(diào)度數(shù)據(jù)絡(luò)管理及安全告警系統(tǒng)等；安全區(qū)ii：調(diào)度員培訓(xùn)模擬系統(tǒng)、電能量計(jì)量系統(tǒng)、電力市場運(yùn)營系統(tǒng)、繼電保護(hù)和故障錄波信息管理系統(tǒng)、調(diào)度計(jì)劃管理系統(tǒng)、在線穩(wěn)定計(jì)算系統(tǒng)等；安全區(qū)iii：調(diào)度生產(chǎn)管理系統(tǒng)、雷電監(jiān)測系統(tǒng)、氣象/衛(wèi)星云

26、圖系統(tǒng)、電力市場監(jiān)管信息系統(tǒng)接口等；安全區(qū)iv：辦公自動(dòng)化、web服務(wù)等。79 已投運(yùn)的ems系統(tǒng)要求進(jìn)行安全評估，新建設(shè)的ems系統(tǒng)必須經(jīng)過安全評估合格后后方可投運(yùn)。ems系統(tǒng)禁止開通email、web以及其它與業(yè)務(wù)無關(guān)的通用絡(luò)服務(wù)。80 絡(luò)攻擊類型：1）阻斷攻擊：針對可用性攻擊；2）截取攻擊：針對機(jī)密性攻擊；3）篡改攻擊：針對完整性攻擊；4）偽造攻擊：針對真實(shí)性攻擊。81 絡(luò)安全處理過程：1）評估；2）策略制定；3）實(shí)施；4）運(yùn)行管理；5）審計(jì)。82 絡(luò)信息安全的關(guān)鍵技術(shù)：1）身份認(rèn)證技術(shù)；2）訪問控制技術(shù)；3）主機(jī)安全技術(shù)；4）防火墻技術(shù)；5）密碼技術(shù)；6）反入侵技術(shù)；7）防病毒技術(shù)；8

27、）安全審計(jì)技術(shù)；9）安全管理技術(shù)等。83 計(jì)算機(jī)操作系統(tǒng)的安全等級(jí)：分為4類a類、b類、c類、d類，其中a類的安全性最高，d類則幾乎不提供安全性保護(hù)。d類的典型例子是msdos操作系統(tǒng)，unix系統(tǒng)達(dá)到c2級(jí)。84 絡(luò)安全的特征：保密性、完整性、可用性、可控性。85 安全的歷史：1） 通信安全：? 解決數(shù)據(jù)傳輸?shù)陌踩? 密碼技術(shù)2） 計(jì)算機(jī)安全? 解決計(jì)算機(jī)信息載體及其運(yùn)行的安全? 正確實(shí)施主體對客體的訪問控制3） 絡(luò)安全? 解決在分布絡(luò)環(huán)境中對信息載體及其運(yùn)行提供安全保護(hù)? 完整的信息安全保障體系86 絡(luò)風(fēng)險(xiǎn)：是丟失需要保護(hù)的資產(chǎn)的可能性。風(fēng)險(xiǎn)的兩個(gè)組成部分：漏洞攻擊的可能的途徑；威脅：可

28、能破壞絡(luò)系統(tǒng)環(huán)境安全的動(dòng)作或事件。87 在microsoft internet explorer中，安全屬性的設(shè)置主要是指對絡(luò)中安全區(qū)域的設(shè)置。internet explorer將internet世界劃分為4個(gè)區(qū)域：internet、本地intranet、受信任的站點(diǎn)和受限制的站點(diǎn)。每個(gè)區(qū)域都有自己的安全級(jí)別，這樣用戶可以根據(jù)不同的區(qū)域的安全級(jí)別來確定區(qū)域中的活動(dòng)內(nèi)容。1） internet區(qū)域：安全級(jí)別為中級(jí)，包含所有未放在其他區(qū)域中的web站點(diǎn)2） 本地intranet區(qū)域：安全級(jí)別為中低級(jí)，包含用戶絡(luò)上的所有站點(diǎn)3） 受信任站點(diǎn)區(qū)域：安全級(jí)別為低級(jí)，包含用戶確認(rèn)不會(huì)損壞計(jì)算機(jī)或數(shù)據(jù)的we

29、b站點(diǎn)4） 受限站點(diǎn)區(qū)域：安全級(jí)別最高，所賦予的功能最少，包含可能會(huì)損壞用戶計(jì)算機(jī)和數(shù)據(jù)的web站點(diǎn)88 防火墻（firewall）是指設(shè)置在不同絡(luò)（如可信任的企業(yè)內(nèi)部和不可信任的公共）或絡(luò)安全域之間的一系列部件的組合。它是不同絡(luò)或絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策（允許、拒絕、監(jiān)測）控制出入絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)絡(luò)和信息安全的基礎(chǔ)設(shè)施。89 防火墻基本功能：1）過濾進(jìn)、出絡(luò)的數(shù)據(jù)；2）管理進(jìn)、出絡(luò)的訪問行為；3）封堵某些禁止的業(yè)務(wù)；4）記錄通過防火墻的信息內(nèi)容和活動(dòng)；5）對絡(luò)攻擊檢測和告警90 防火墻的局限性：防火墻不是解決所有絡(luò)安

30、全問題的萬能藥方，只是絡(luò)安全政策和策略中的一個(gè)組成部分。1）防火墻不能防范繞過防火墻的攻擊 eg：內(nèi)部提供撥號(hào)服務(wù)；2）防火墻不能防范來自內(nèi)部人員惡意的攻擊；3）防火墻不能阻止被病毒感染的程序或文件的傳遞；4）防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。eg：特洛伊木馬。91 防火墻是使用最廣泛的絡(luò)安全工具，是絡(luò)安全的第一道防線，用以防止外部絡(luò)的未授權(quán)訪問。防火墻具有副作用，使內(nèi)部絡(luò)與外部絡(luò)（internet ） 的信息系統(tǒng)交流受到阻礙，增大了絡(luò)管理開銷，而且減慢了信息傳遞速率。92 對病毒、木馬等惡意代碼的防護(hù)是電力二次系統(tǒng)安全防護(hù)所必須的安全措施。禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一個(gè)防惡意代碼管理服務(wù)

31、器。保證特征碼的及時(shí)更新，及時(shí)查看查殺記錄，隨時(shí)掌握威脅狀況。93 ids系統(tǒng)的主要功能包括：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎、基于分析引擎的結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。94 根據(jù)技術(shù)原理，ids可分為以下兩類：基于主機(jī)的入侵檢測系統(tǒng)和基于絡(luò)的入侵檢測系統(tǒng)。95 漏洞掃描技術(shù)的原理漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的絡(luò)服務(wù)，將這些相關(guān)信息與絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)

32、系統(tǒng)存在安全漏洞。96 漏洞掃描技術(shù)也可以認(rèn)為是一種絡(luò)安全性評估技術(shù)。漏洞掃描器根據(jù)工作模式的不同，分為主機(jī)漏洞掃描器和絡(luò)漏洞掃描器。97 由于email服務(wù)會(huì)引入高級(jí)別安全風(fēng)險(xiǎn)，因此安全區(qū)i與ii中禁止email服務(wù)，杜絕病毒、木馬程序借助email傳播，避免被攻擊或成為進(jìn)一步攻擊的跳板。在安全區(qū)iii和安全區(qū)iv中提供email服務(wù)。98 下列不屬于系統(tǒng)安全的技術(shù)是（ ）a防火墻 b加密狗 c認(rèn)證 d防病毒99 考慮到安全性和費(fèi)用因素，通常使用（ ）方式進(jìn)行遠(yuǎn)程訪問aras b vpn100 當(dāng)你感覺到你的win2000運(yùn)行速度明顯減慢，當(dāng)你打開任務(wù)lc、 ipsec是也是vpn的一種d、

33、 vpn使用通道技術(shù)加密，但沒有身份驗(yàn)證功能103 以下哪個(gè)不是屬于window2000的漏洞? da、 unicodeb、 iis hackerc、 輸入法漏洞d、 單用戶登陸104 你是一個(gè)單位的絡(luò)安全管理員，你使用的防火墻在unix下的iptables，你現(xiàn)在需要通過對防火墻的配置不允許19216802這臺(tái)主機(jī)登陸到你的服務(wù)器，你應(yīng)該怎么設(shè)置防火墻規(guī)則? ba、 iptablesa inputp tcps 19216802sourceport 23j denyb、 iptablesa inputp tcps 19216802destinationport 23j denyc、 iptab

34、lesa inputp tcpd 19216802sourceport 23j denyd、 iptablesa inputp tcpd 19216802destinationport 23j deny105 你的window2000開啟了遠(yuǎn)程登陸telnet，但你發(fā)現(xiàn)你的window98和unix計(jì)算機(jī)沒有辦法遠(yuǎn)程登陸，只有win2000的系統(tǒng)才能遠(yuǎn)程登陸，你應(yīng)該怎么辦? da、 重設(shè)防火墻規(guī)則b、 檢查入侵檢測系統(tǒng)c、 運(yùn)用殺毒軟件，查殺病毒d、 將ntlm的值改為0106 你所使用的系統(tǒng)為win2000，所有的分區(qū)均是ntfs的分區(qū)，c區(qū)的權(quán)限為everyone讀取和運(yùn)行，d區(qū)的權(quán)限為everyone完全控制，現(xiàn)在你將一名為test的文件夾，由c區(qū)移動(dòng)到d區(qū)之后，test文件夾的權(quán)限為?