二次系統(tǒng)安防試題庫完整

1、二次系統(tǒng)安防-題庫1,電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定，國家經(jīng)貿(mào)委2002第 30 號令（或：國家經(jīng)貿(mào)委2002第 30 號令是：電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定）2,電網(wǎng)與電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定已經(jīng)國家經(jīng)濟貿(mào)易委員會主任辦公會議討論通過，現(xiàn)予公布，自 2002 年 6 月 8 日起施行國家經(jīng)濟貿(mào)易委員會，二 00 二年五月八日。3,電力二次系統(tǒng)安全防護規(guī)定，國家電力監(jiān)管委員會令第 5 號 2004 年發(fā)布（或：國家電力監(jiān)管委員會第 5 號令是：電力二次系統(tǒng)安全防護規(guī)定）4 .電力二次系統(tǒng)，包括電力監(jiān)控系統(tǒng)、電力通信及數(shù)據(jù)網(wǎng)絡(luò)等。5 .

2、電力監(jiān)控系統(tǒng)，是指用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運行過程的、基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備等。包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動化系統(tǒng)、換流站計算機監(jiān)控系統(tǒng)、發(fā)電廠計算機監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、微機繼電保護和安全自動裝置、廣域相量測量系統(tǒng)、負荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計量計費系統(tǒng)、實時電力市場的輔助控制系統(tǒng)等。6 .國家經(jīng)貿(mào)委2002第 30 號令規(guī)定所稱“電力監(jiān)控系統(tǒng)”，包括各級電網(wǎng)調(diào)度自動化系統(tǒng)、變電站自動化系統(tǒng)、換流站計算機監(jiān)控系統(tǒng)、發(fā)電廠計算機監(jiān)控系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、微機保護和安全自動裝置、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度

3、自動化系統(tǒng)、電能量計量計費系統(tǒng)、實時電力市場的輔助控制系統(tǒng)等；“調(diào)度數(shù)據(jù)網(wǎng)絡(luò)”包括各級電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò)、 用于遠程維護及電能量計費等的調(diào)度專用撥號網(wǎng)絡(luò)、 各計算機監(jiān)控系統(tǒng)內(nèi)部的本地局域網(wǎng)絡(luò)等。7 .電力監(jiān)控系統(tǒng)可通過專用局域網(wǎng)實現(xiàn)與本地其他電力監(jiān)控系統(tǒng)的互聯(lián)， 或通過電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)實現(xiàn)上下級異地電力監(jiān)控系統(tǒng)的互聯(lián)。各電力監(jiān)控系統(tǒng)與辦公自動化系統(tǒng)或其他信息系統(tǒng)之間以網(wǎng)絡(luò)方式互聯(lián)時，必須采用經(jīng)國家有關(guān)部門認證的專用、可靠的安全隔離設(shè)施。8 .電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)均不得和互聯(lián)網(wǎng)相連，并嚴格限制電子郵件的使用。9 .新接入電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的節(jié)點和應(yīng)用系統(tǒng)，須經(jīng)負責(zé)本級電力調(diào)度數(shù)據(jù)網(wǎng)

4、絡(luò)機構(gòu)核準，并送上一級電力調(diào)度機構(gòu)備案。10 .當(dāng)發(fā)生涉及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)和控制系統(tǒng)安全的事件時，應(yīng)立即向上一級調(diào)度機構(gòu)報告，同時報國調(diào)中心，并在 8 小時內(nèi)提供書面報告。對隱報、緩報、謊報者，將按國家和公司有關(guān)規(guī)定，追究相關(guān)單位和當(dāng)事人的責(zé)任。11 .凡涉及二次系統(tǒng)安全防護秘密的各種載體，應(yīng)設(shè)專人管理，未經(jīng)批準不得復(fù)制和摘抄。所有員工不準在各類媒體上發(fā)表涉及二次系統(tǒng)安全防護秘密的內(nèi)容和信息。12 .電力二次系統(tǒng)的規(guī)劃設(shè)計、項目審查、工程實施、系統(tǒng)改造、運行管理等應(yīng)當(dāng)符合國家電力監(jiān)管委員會第 5 號令的要求。13 .電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和非控制區(qū)。14

5、 .在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。15 .生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實現(xiàn)邏輯隔離。16 .在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關(guān)及相應(yīng)設(shè)施。17 .依照電力調(diào)度管理體制建立基于公鑰技術(shù)的分布式電力調(diào)度數(shù)字證書系統(tǒng)，生產(chǎn)控制大區(qū)中的重要業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)采用認證加密機制。18 .電力調(diào)度機構(gòu)負責(zé)直接調(diào)度范圍內(nèi)的下一級電力調(diào)度機構(gòu)、變電站、發(fā)電廠輸變電部分的二次系統(tǒng)安全防護的技術(shù)監(jiān)督，發(fā)電廠內(nèi)其它二次系統(tǒng)可由其上

6、級主管單位實施技術(shù)監(jiān)督。19 .對生產(chǎn)控制大區(qū)安全評估的所有記錄、數(shù)據(jù)、結(jié)果等，應(yīng)按國家有關(guān)要求做好保密工作。20 .電力調(diào)度機構(gòu)負責(zé)統(tǒng)一指揮調(diào)度范圍內(nèi)的電力二次系統(tǒng)安全應(yīng)急處理。21 .電力調(diào)度機構(gòu)、發(fā)電廠、變電站等運行單位的電力二次系統(tǒng)安全防護實施方案須經(jīng)過上級信息安全主管部門和相應(yīng)電力調(diào)度機構(gòu)的審核，方案實施完成后應(yīng)當(dāng)由上述機構(gòu)驗收。接入電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的設(shè)備和應(yīng)用系統(tǒng)，其接入技術(shù)方案和安全防護措施須經(jīng)直接負責(zé)的電力調(diào)度機構(gòu)核準。22 .電力二次系統(tǒng)安全防護總體方案的安全分區(qū)：生產(chǎn)控制大區(qū)：安全區(qū) I（控制區(qū)），安全區(qū) U（非控制區(qū)）管理信息大區(qū)：安全區(qū) III（生產(chǎn)管理區(qū)），安全區(qū) I

7、V（管理信息區(qū)）23 .電力二次系統(tǒng)安全防護總體方案的安全防護原則：“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”24 .電力二次系統(tǒng)的安全防護策略：安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證。25 .電力二次系統(tǒng)的安全防護主要針對網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的生產(chǎn)控制系統(tǒng)，重點強化邊界防護，提高內(nèi)部安全防護能力，保證電力生產(chǎn)控制系統(tǒng)及重要敏感數(shù)據(jù)的安全。26 .電力二次系統(tǒng)安全防護目標：抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。27 .力二次系統(tǒng)安全防護是復(fù)雜的系統(tǒng)工程，其總體安全防護水平取決于系

8、統(tǒng)中最薄弱點的安全水平。28 .電力二次系統(tǒng)安全防護過程是長期的動態(tài)過程，各單位應(yīng)當(dāng)嚴格落實總體安全防護原則，建立和完善以安全防護原則為中心的安全監(jiān)測、快速響應(yīng)、安全措施、審計評估等步驟組成的循環(huán)機制。29 .安全分區(qū)是電力二次安全防護體系的結(jié)構(gòu)基礎(chǔ)。30 .發(fā)電企業(yè)、電網(wǎng)企業(yè)和供電企業(yè)內(nèi)部基于計算機和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)，原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)（安全區(qū) I）和非控制區(qū)（安全區(qū) U）;管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)。31 .在滿足總體安全要求的前提下，可以根據(jù)應(yīng)用系統(tǒng)實際情況，簡化安全區(qū)的設(shè)置，但

9、是應(yīng)當(dāng)避免通過廣域網(wǎng)形成不同安全區(qū)的縱向交叉連接。32 .安全區(qū) I 的典型系統(tǒng)包括：調(diào)度自動化系統(tǒng)（SCADA/EMS）、廣域相量測量系統(tǒng)、配電自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)、安全自動控制系統(tǒng)、低頻/低壓自動減載系統(tǒng)、負荷控制系統(tǒng)等。33 .安全區(qū) I 的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：直接實現(xiàn)對一次系統(tǒng)的監(jiān)控功能，是電力生產(chǎn)的重要必備環(huán)節(jié)，實時在線運行，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ㄐ磐ǖ馈?4 .安全區(qū) n 的典型系統(tǒng)包括：調(diào)度員培訓(xùn)模擬系統(tǒng)（DTS）、水調(diào)自動化系統(tǒng)、繼電保護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、電力市場運營系統(tǒng)等。35 .安全區(qū) n 的業(yè)務(wù)系統(tǒng)或功能

10、模塊的典型特征為：所實現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié)，但不具備控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，在線運行，與控制區(qū)（安全區(qū) I）中的系統(tǒng)或功能模塊聯(lián)系緊密。36 .安全區(qū) III 的典型系統(tǒng)為：調(diào)度生產(chǎn)管理系統(tǒng)（DMIS）、統(tǒng)計報表系統(tǒng)（日報、旬報、月報、年報）、雷電監(jiān)測系統(tǒng)、氣象信息接入等。37 .安全區(qū) IV 包括：管理信息系統(tǒng)（MIS）、辦公自動化系統(tǒng)（OA）、客戶服務(wù)系統(tǒng)等。38 .盡可能將業(yè)務(wù)系統(tǒng)完整置于一個安全內(nèi)；當(dāng)某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時，可根據(jù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流程將不同的功能模塊（或子系統(tǒng)）分置于合適的安全區(qū)中，各功能模塊（或子系統(tǒng)）經(jīng)過安全區(qū)之間的

11、通信聯(lián)接整個業(yè)務(wù)系統(tǒng)。39 .控制區(qū)（安全區(qū) I）的安全等級相當(dāng)于計算機信息系統(tǒng)安全保護等級的第 4 級，非控制區(qū)（安全區(qū)II）相當(dāng)于計算機信息系統(tǒng)安全保護等級的第 3 級。40 .安全區(qū) I 與安全區(qū) II 之間的隔離要求：I、II 區(qū)之間須采用經(jīng)有關(guān)部門認定核準的硬件防火墻或相當(dāng)設(shè)備進行邏輯隔離，應(yīng)禁止 E-mail、Web、Telnet、Rlogin 等服務(wù)穿越安全區(qū)之間的隔離設(shè)備。41 .生產(chǎn)控制的邏輯大區(qū)與管理信息的邏輯大區(qū)之間的隔離要求：安全區(qū) I、II 不得與安全區(qū) IV 直接聯(lián)系；安全區(qū) I、II 與安全區(qū) W 之間應(yīng)該采用經(jīng)有關(guān)部門認定核準的專用安全隔離裝置（或：經(jīng)國家指定部

12、門檢測認證的電力專用橫向單向安全隔離裝置）。42 .電力專用安全隔離裝置作為安全區(qū) I/II 與安全區(qū) III 之間的必備邊界，要求具有極高的安全防護強度，是安全區(qū) I/II 橫向防護的要點。其中，安全隔離裝置（正向）用于安全區(qū) I/II 到安全區(qū) III 的單向數(shù)據(jù)傳遞;安全隔離裝置（反向）用于安全區(qū) III 到安全區(qū) I/II 的單向數(shù)據(jù)傳遞。43 .簡述安全區(qū)內(nèi)部安全防護的基本要求（44、45）44 .生產(chǎn)控制大區(qū)內(nèi)部安全要求（1） 禁止生產(chǎn)控制大區(qū)內(nèi)部的 E-Mail 服務(wù)。禁止安全區(qū) I 的 Web 服務(wù)。（2） 允許非控制區(qū)（安全區(qū) U）內(nèi)部采用 B/S 結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)，但僅限于業(yè)

13、務(wù)系統(tǒng)內(nèi)部使用。允許非控制區(qū)（安全區(qū) U）縱向安全 Web 服務(wù)，經(jīng)過安全加固且支持 HTTPS 的安全 Web 服務(wù)器和 Web 瀏覽工作站應(yīng)在專用網(wǎng)段，應(yīng)由業(yè)務(wù)系統(tǒng)向 Web 服務(wù)器單向主動傳送數(shù)據(jù)。（3）生產(chǎn)控制大區(qū)的重要業(yè)務(wù)（如 SCADA/AGC、電力市場交易等）必須采用加密認證機制，對已有系統(tǒng)應(yīng)逐步改造。（4） 生產(chǎn)控制大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)間應(yīng)該采取訪問控制等安全措施。（5） 生產(chǎn)控制大區(qū)的撥號訪問服務(wù)，服務(wù)器側(cè)和用戶端均應(yīng)使用 UNIX 或 LINUX 等安全加固的操作系統(tǒng)，且采取加密、認證和訪問控制等安全防護措施。（6） 生產(chǎn)控制大區(qū)邊界上可部署入侵檢測系統(tǒng) IDSo 控制區(qū)（安全

14、區(qū) I）、非控制區(qū)（安全區(qū) U）可以合用一套 IDS 管理系統(tǒng)。（7） 生產(chǎn)控制大區(qū)應(yīng)部署安全審計措施，把安全審計與安全區(qū)網(wǎng)絡(luò)管理系統(tǒng)、IDS 管理系統(tǒng)、敏感業(yè)務(wù)服務(wù)器登錄認證和授權(quán)、應(yīng)用訪問權(quán)限相結(jié)合。（8）生產(chǎn)控制大區(qū)應(yīng)該統(tǒng)一部署惡意代碼防護系統(tǒng)，采取防惡意代碼措施。病毒庫和木馬庫的更新應(yīng)該離線進行，不得直接從外部互聯(lián)網(wǎng)下載。45 .管理信息大區(qū)安全要求管理信息大區(qū)可以根據(jù)需要設(shè)立若干業(yè)務(wù)安全區(qū)，并在其上采取合適的安全防護措施。管理信息大區(qū)建議統(tǒng)一部署惡意代碼防護系統(tǒng)。46 .電力二次系統(tǒng)涉及到的數(shù)據(jù)通信網(wǎng)絡(luò)包括哪些內(nèi)容？參考 47、48。47 .安全區(qū) I、II 連接的廣域網(wǎng)我們稱為什么

15、，采用什么技術(shù)構(gòu)造？與生產(chǎn)控制大區(qū)連接的廣域網(wǎng)為電力調(diào)度數(shù)據(jù)網(wǎng)（SGDnet）;電力調(diào)度數(shù)據(jù)網(wǎng)采用 IPoverSDH。48 .安全區(qū) HI 連接的廣域網(wǎng)我們稱為什么？與管理信息大區(qū)連接的廣域網(wǎng)為電力企業(yè)數(shù)據(jù)網(wǎng)或互聯(lián)網(wǎng)（電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內(nèi)聯(lián)網(wǎng)，其安全防護由各個企業(yè)負責(zé)；電網(wǎng)企業(yè)的數(shù)據(jù)網(wǎng)即為電力數(shù)據(jù)通信網(wǎng) SGTnet）。49 .國家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò) SGDnet 是專用網(wǎng)絡(luò)，承載的業(yè)務(wù)是電力實時控制業(yè)務(wù)、在線生產(chǎn)業(yè)務(wù)以及本網(wǎng)網(wǎng)管業(yè)務(wù)。SGDnet 采用 IP 交換技術(shù)體制，構(gòu)建在 SDH 專用通道上面。50 .電力數(shù)據(jù)通信網(wǎng)絡(luò)的安全防護對網(wǎng)絡(luò)路由防護方面采用虛擬專網(wǎng)技術(shù)，在網(wǎng)絡(luò)路由層面

16、將實時控制業(yè)務(wù)、非控制生產(chǎn)業(yè)務(wù)分割成二個相對獨立的邏輯專網(wǎng)：實時子網(wǎng)和非實時子網(wǎng)，兩個子網(wǎng)路由各自獨立。實時子網(wǎng)保證了實時業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)質(zhì)量 QoSo 網(wǎng)管業(yè)務(wù)隔離在實時和非實時二個子網(wǎng)之外，同時進行數(shù)字簽名保護，保證信息的完整性與可信性。51 .國家電力數(shù)據(jù)通信網(wǎng) SGTnet 為國家電網(wǎng)公司內(nèi)聯(lián)網(wǎng)，該網(wǎng)承載業(yè)務(wù)主要為電力綜合信息、電力調(diào)度生產(chǎn)管理業(yè)務(wù)、電力內(nèi)部數(shù)字語音視頻以及網(wǎng)管業(yè)務(wù)，該網(wǎng)不經(jīng)營對外業(yè)務(wù)。52 .嚴格禁止 E-Mail、Web、Telnet、Rlogin、FTP 等通用網(wǎng)絡(luò)服務(wù)和以 B/S 或 C/S 方式的數(shù)據(jù)庫訪問功能穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全

17、傳輸。53 .電力專用安全隔離裝置作為安全區(qū) I/II 與安全區(qū) III 的必備邊界，要求具有最高的安全防護強度，是安全區(qū) I/II 橫向防護的要點。其中，安全隔離裝置（正向型）用于從生產(chǎn)控制大區(qū)到管理信息大區(qū)的單向數(shù)據(jù)傳遞；安全隔離裝置（反向型）用于管理信息大區(qū)到生產(chǎn)控制大區(qū)的少量單向數(shù)據(jù)傳遞。54 .簡述安全隔離裝置（正向）應(yīng)該具有的功能。僅允許純數(shù)據(jù)的單向安全傳輸。55 .簡述安全隔離裝置（反向）應(yīng)該具有的功能：采取簽名認證和數(shù)據(jù)過濾措施，僅允許純文本數(shù)據(jù)通過，并嚴格防范病毒、木馬等惡意代碼進入生產(chǎn)控制大區(qū)。56 .電力專用橫向安全隔離裝置必須通過公安部安全產(chǎn)品銷售許可，獲得國家指定機構(gòu)

18、安全檢測證明，用于廠站的設(shè)備還需通過電力系統(tǒng)電磁兼容檢測。57 .縱向加密認證是電力二次安全防護體系的縱向防線。采用認證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護。在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關(guān)及相應(yīng)設(shè)施，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。如暫時不具備條件，可采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問控制技術(shù)臨時代替。58 .處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)的操作系統(tǒng)應(yīng)進行安全加固，對生產(chǎn)控制大區(qū)的外部通信網(wǎng)關(guān)應(yīng)該具備加密、認證和過濾的功能。59 .簡述調(diào)度系統(tǒng)數(shù)字證書類型及各種證書的應(yīng)用方式。-人員證

19、書指關(guān)鍵業(yè)務(wù)的用戶、系統(tǒng)管理人員以及必要的應(yīng)用維護與開發(fā)人員，在訪問系統(tǒng)、進行操作時需要持有的證書。主要用于用戶登錄網(wǎng)絡(luò)與操作系統(tǒng)、登錄應(yīng)用系統(tǒng)，以及訪問應(yīng)用資源、執(zhí)行應(yīng)用操作命令時對用戶的身份進行認證，與其它實體通信過程中的認證、加密與簽名，以及行為審計。-程序證書指關(guān)鍵應(yīng)用的模塊、進程、服務(wù)器程序運行時需要持有的證書，主要用于應(yīng)用程序與遠方程序進行安全的數(shù)據(jù)通信，提供雙方之間的認證、數(shù)據(jù)的加密與簽名功能。-設(shè)備證書指網(wǎng)絡(luò)設(shè)備、服務(wù)器主機等，在接入本地網(wǎng)絡(luò)系統(tǒng)與其它實體通信過程中需要持有的證書，主要用于本地設(shè)備接入認證，遠程通信實體之間的認證，以及實體之間通信過程的數(shù)據(jù)加密與簽名。60 .對

20、于生產(chǎn)控制大區(qū)統(tǒng)一部署一套內(nèi)網(wǎng)審計系統(tǒng)或入侵檢測系統(tǒng)（IDS）,其安全策略的設(shè)置重在捕獲網(wǎng)絡(luò)異常行為、分析潛在威脅以及事后安全審計，不宜使用實時阻斷功能。禁止使用入侵檢測與防火墻的聯(lián)動?？紤]到調(diào)度業(yè)務(wù)的可靠性，采用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）,其 IDS 探頭主要部署在：橫向、縱向邊界以及重要系統(tǒng)的關(guān)鍵應(yīng)用網(wǎng)段。61 .生產(chǎn)控制大區(qū)部署的內(nèi)網(wǎng)審計系統(tǒng)或入侵檢測系統(tǒng)（IDS）其主要的功能用于捕獲網(wǎng)絡(luò)異常行為、分析潛在威脅以及事后安全審計。62 .簡述關(guān)鍵應(yīng)用主機必須采取的安全防護措施。參考 6365。63 .關(guān)鍵應(yīng)用系統(tǒng)（如能量管理系統(tǒng) SCADA/EMS/DMS?、變電站自動化系統(tǒng)、電廠

21、監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、電力交易系統(tǒng)等）的主服務(wù)器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān)、Web 服務(wù)器等，應(yīng)該采用加固的LINUX 或 UNIX 等操作系統(tǒng)。64 .主機安全防護主要的方式包括：安全配置、安全補丁、采用專用的軟件強化操作系統(tǒng)訪問控制能力、以及配置安全的應(yīng)用程序。65 .操作系統(tǒng)安全加固措施包括：升級到當(dāng)前系統(tǒng)版本、安裝后續(xù)的補丁合集、加固系統(tǒng) TCP/IP 配置、根據(jù)系統(tǒng)應(yīng)用要求關(guān)閉不必要的服務(wù)、關(guān)閉 SNMP 協(xié)議避免利用其遠程溢出漏洞獲取系統(tǒng)控制權(quán)或限定訪問范圍、為超級用戶或特權(quán)用戶設(shè)定復(fù)雜的口令、修改弱口令或空口令、禁止任何應(yīng)用程序以超級用戶身份運行、設(shè)定系統(tǒng)日志和審計行為等。6

22、6 .數(shù)據(jù)庫的加固措施包括：數(shù)據(jù)庫的應(yīng)用程序進行必要的安全審核、及時刪除不再需要的數(shù)據(jù)庫、安裝補丁、使用安全的密碼策略和賬號策略、限定管理員權(quán)限的用戶范圍、禁止多個管理員共享用戶賬戶和口令、禁止一般用戶使用數(shù)據(jù)庫管理員的用戶名和口令、加強數(shù)據(jù)庫日志的管理、管理擴展存儲過程、數(shù)據(jù)定期備份等。67 .由于安全區(qū) I 是整個二次系統(tǒng)的防護重點，提供 Web 服務(wù)將引入很大的安全風(fēng)險，因此在安全區(qū) I 中禁止 Web 服務(wù)。安全區(qū) II 根據(jù)需要允許在本區(qū)專門開通安全 Web 服務(wù)，其它業(yè)務(wù)系統(tǒng)的數(shù)據(jù)單向?qū)氚踩?Web 服務(wù)器，在安全區(qū) II 的安全 Web 服務(wù)器中進行數(shù)據(jù)發(fā)布。禁止安全區(qū) I 中

23、的計算機使用瀏覽器訪問安全區(qū) II 的安全 Web 服務(wù)。68 .考慮到 Web 服務(wù)的不安全性，因此在安全區(qū) II 中僅允許在本區(qū)開通安全 Web 服務(wù)，而且用于安全 Web 服務(wù)的服務(wù)器與瀏覽器客戶機統(tǒng)一布置在安全區(qū) II 中的一個邏輯子區(qū)一一 Wew 子區(qū)，接入安全區(qū) II 交換機上的獨立 VLAN 中。69 .簡述電力二次系統(tǒng)中關(guān)于遠程撥號訪問的防護策略。當(dāng)遠程撥號訪問生產(chǎn)控制大區(qū)時，要求遠方用戶使用安全加固的 LINUX 或 UNIX 系統(tǒng)平臺，以防止將病毒、木馬等惡意代碼引入生產(chǎn)控制大區(qū)。遠程撥號訪問應(yīng)采用調(diào)度數(shù)字證書，進行登錄認證和訪問認證。撥號訪問的防護可以采用鏈路層保護方式或

24、者網(wǎng)絡(luò)層保護方式。鏈路保護方式使用專用鏈路加密設(shè)備，實現(xiàn)兩端鏈路加密設(shè)備相互進行認證和對鏈路幀進行加密等安全功能。網(wǎng)絡(luò)保護方式采用 VPN 技術(shù)在撥號服務(wù)器（RAS）與遠程撥入用戶建立加密通道，實現(xiàn)對網(wǎng)絡(luò)層數(shù)據(jù)的機密性與完整性保護。對于通過 RAS 訪問本地網(wǎng)絡(luò)與系統(tǒng)的遠程撥號訪問， 建議采用網(wǎng)絡(luò)層保護方式。 對于以遠方終端的方式通過被訪問的主機的串行接口直接訪問的情況，建議采用鏈路層保護措施。對于遠程用戶登錄到本地系統(tǒng)中的操作行為，應(yīng)該進行記錄，用于安全審計。70 .撥號的防護可以采用鏈路層保護方式，或者網(wǎng)絡(luò)層保護方式，對這兩種方式進行簡述。撥號訪問的防護可以采用鏈路層保護方式或者網(wǎng)絡(luò)層保護

25、方式。鏈路保護方式使用專用鏈路加密設(shè)備，實現(xiàn)兩端鏈路加密設(shè)備相互進行認證和對鏈路幀進行加密等安全功能。網(wǎng)絡(luò)保護方式采用 VPN 技術(shù)在撥號服務(wù)器（RAS）與遠程撥入用戶建立加密通道，實現(xiàn)對網(wǎng)絡(luò)層數(shù)據(jù)的機密性與完整性保護。71 .電力二次系統(tǒng)的新系統(tǒng)在投運之前、老系統(tǒng)進行安全整改之后或進行重大改造或升級之后必須進行安全評估；電力二次系統(tǒng)應(yīng)該定期進行安全評估。72 .電力二次系統(tǒng)安全評估納入電力系統(tǒng)安全評價體系。73 .安全評估的內(nèi)容包括：風(fēng)險評估、攻擊演習(xí)、漏洞掃描、安全體系的評估、安全設(shè)備的部署及性能評估、安全管理措施的評估等。對生產(chǎn)控制大區(qū)安全評估的所有記錄、數(shù)據(jù)、結(jié)果等均不得以任何形式、任

26、何借口攜帶出被評估單位，要按國家有關(guān)要求做好保密工作。74 .電力二次系統(tǒng)的安全防護實施方案必須經(jīng)過上級信息安全主管部門和相應(yīng)電力調(diào)度機構(gòu)的審核，完工后必須經(jīng)過上述機構(gòu)驗收。安全防護方案的實施必須嚴格遵守國家經(jīng)貿(mào)委 30 號令、國家電監(jiān)會 5 號令以及相關(guān)的文件規(guī)定，保證部署的安全裝置的可用性指標達到 99.99%o75 .用于生產(chǎn)控制大區(qū)的工作站、服務(wù)器均嚴格禁止以各種方式開通與互聯(lián)網(wǎng)的連接；限制開通撥號功能，必須配置強認證機制；在生產(chǎn)控制大區(qū)中的 PC 機應(yīng)實施嚴格管理。76 .安全審計是安全管理的重要環(huán)節(jié)，通過技術(shù)手段，對網(wǎng)絡(luò)運行日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運行日

27、志、安全設(shè)施運行日志等進行安全審計，及時自動分析系統(tǒng)安全事件，實現(xiàn)系統(tǒng)安全運行管理。77 .安全文件網(wǎng)關(guān)主要用于電力系統(tǒng)各級部門之間安全的文件傳輸，部署在安全區(qū) II,采用加密、認證等技術(shù)，保證文件的機密性、完整性。用于調(diào)度報表、檢修計劃、發(fā)電計劃、交易報價等文件的傳輸場合。78 .簡述調(diào)度中心（地調(diào)及以上）二次系統(tǒng)安全防護對各安全區(qū)域的劃分一一安全區(qū) I:能量管理系統(tǒng)、廣域相量測量系統(tǒng)、安全自動控制系統(tǒng)、調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)管理及安全告警系統(tǒng)等；安全區(qū) II:調(diào)度員培訓(xùn)模擬系統(tǒng)、電能量計量系統(tǒng)、電力市場運營系統(tǒng)、繼電保護和故障錄波信息管理系統(tǒng)、調(diào)度計劃管理系統(tǒng)、在線穩(wěn)定計算系統(tǒng)等；安全區(qū) III:

28、調(diào)度生產(chǎn)管理系統(tǒng)、雷電監(jiān)測系統(tǒng)、氣象/衛(wèi)星云圖系統(tǒng)、電力市場監(jiān)管信息系統(tǒng)接口等；安全區(qū) IV:辦公自動化、Web 服務(wù)等。79 .已投運的 EMS 系統(tǒng)要求進行安全評估，新建設(shè)的 EMS 系統(tǒng)必須經(jīng)過安全評估合格后后方可投運。EMS 系統(tǒng)禁止開通 EMAIL、WEB 以及其它與業(yè)務(wù)無關(guān)的通用網(wǎng)絡(luò)服務(wù)。80 .網(wǎng)絡(luò)攻擊類型：1）阻斷攻擊：針對可用性攻擊；2）截取攻擊：針對機密性攻擊；3）篡改攻擊：針對完整性攻擊；4）偽造攻擊：針對真實性攻擊。81 .網(wǎng)絡(luò)安全處理過程：1）評估；2）策略制定；3）實施；4）運行管理；5）審計。82 .網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)：1）身份認證技術(shù)；2）訪問控制技術(shù)；3）

29、主機安全技術(shù)；4）防火墻技術(shù)；5）密碼技術(shù)；6）反入侵技術(shù)；7）防病毒技術(shù)；8）安全審計技術(shù)；9）安全管理技術(shù)等。83 .計算機操作系統(tǒng)的安全等級：分為 4 類一一 A 類、B 類、C 類、D 類，其中 A 類的安全性最高，D 類則幾乎不提供安全性保護。D 類的典型例子是 MS-DOS 操作系統(tǒng)，UNIX 系統(tǒng)達到 C2 級。84 .網(wǎng)絡(luò)安全的特征：保密性、完整性、可用性、可控性。85 .安全的歷史：1）通信安全：解決數(shù)據(jù)傳輸?shù)陌踩?、密碼技術(shù)2）計算機安全解決計算機信息載體及其運行的安全正確實施主體對客體的訪問控制3）網(wǎng)絡(luò)安全解決在分布網(wǎng)絡(luò)環(huán)境中對信息載體及其運行提供安全保護完整的信息安全保障

30、體系86.網(wǎng)絡(luò)風(fēng)險：是丟失需要保護的資產(chǎn)的可能性。風(fēng)險的兩個組成部分：漏洞一一攻擊的可能的途徑；威脅：可能破壞網(wǎng)絡(luò)系統(tǒng)環(huán)境安全的動作或事件。87.在 MicrosoftInternetExplorer 中，安全屬性的設(shè)置主要是指對網(wǎng)絡(luò)中安全區(qū)域的設(shè)置。InternetExplorer 將 Internet 世界劃分為 4 個區(qū)域：Internet、本地 Intranet、受信任的站點和受限制的站點。每個區(qū)域都有自己的安全級別，這樣用戶可以根據(jù)不同的區(qū)域的安全級別來確定區(qū)域中的活動內(nèi)容。1）Internet 區(qū)域：安全級別為中級，包含所有未放在其他區(qū)域中的 Web 站點2）本地 Intranet

31、 區(qū)域：安全級別為中低級，包含用戶網(wǎng)絡(luò)上的所有站點3）受信任站點區(qū)域：安全級別為低級，包含用戶確認不會損壞計算機或數(shù)據(jù)的 Web 站點4）受限站點區(qū)域：安全級別最高，所賦予的功能最少，包含可能會損壞用戶計算機和數(shù)據(jù)的 Web 站點88.防火墻（firewall）是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策（允許、拒絕、監(jiān)測）控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。89.防火墻基本功能：1）過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；2）管

32、理進、出網(wǎng)絡(luò)的訪問行為；3）封堵某些禁止的業(yè)務(wù)；4）記錄通過防火墻的信息內(nèi)容和活動；5）對網(wǎng)絡(luò)攻擊檢測和告警90.防火墻的局限性：防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個組成部分。1）防火墻不能防范繞過防火墻的攻擊 E.g.:內(nèi)部提供撥號服務(wù)；2）防火墻不能防范來自內(nèi)部人員惡意的攻擊；3）防火墻不能阻止被病毒感染的程序或文件的傳遞；4）防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。E.g.:特洛伊木馬。91.防火墻是使用最廣泛的網(wǎng)絡(luò)安全工具，是網(wǎng)絡(luò)安全的第一道防線，用以防止外部網(wǎng)絡(luò)的未授權(quán)訪問。防火墻具有副作用，使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（Internet）的信息系統(tǒng)交流受到阻礙，增

33、大了網(wǎng)絡(luò)管理開銷，而且減慢了信息傳遞速率。92.對病毒、木馬等惡意代碼的防護是電力二次系統(tǒng)安全防護所必須的安全措施。禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一個防惡意代碼管理服務(wù)器。保證特征碼的及時更新，及時查看查殺記錄，隨時掌握威脅狀況。93.IDS 系統(tǒng)的主要功能包括：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎、基于分析引擎的結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。94.根據(jù)技術(shù)原理，IDS 可分為以下兩類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。95.漏洞掃描技術(shù)的原理漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞： 在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與

34、網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配， 查看是否有滿足匹配條件的漏洞存在； 通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。96.漏洞掃描技術(shù)也可以認為是一種網(wǎng)絡(luò)安全性評估技術(shù)。漏洞掃描器根據(jù)工作模式的不同，分為主機漏洞掃描器和網(wǎng)絡(luò)漏洞掃描器。97.由于 Email 服務(wù)會引入高級別安全風(fēng)險，因此安全區(qū) I 與 II 中禁止 Email 服務(wù)，杜絕病毒、木馬程序借助 Email 傳播，避免被攻擊或成為進一步攻擊的跳板。在安全區(qū) III 和安全區(qū) IV 中提供 Email 服務(wù)。98.下列不屬于系統(tǒng)安全的技術(shù)是（）

35、A.防火墻 B.加密狗 C.認證 D.防病毒99.考慮到安全性和費用因素，通常使用（）方式進行遠程訪問A.RASB.VPN100.當(dāng)你感覺到你的 Win2000 運行速度明顯減慢，當(dāng)你打開任務(wù)管理器后發(fā)現(xiàn) CPU 的使用率達到了百分之百，你最有可能認為你受到了哪一種攻擊。BA、特洛伊木馬 B、拒絕服務(wù) C、欺騙 D、中間人攻擊101.假如你向一臺遠程主機發(fā)送特定的數(shù)據(jù)包，卻不想遠程主機響應(yīng)你的數(shù)據(jù)包。這時你使用哪一種類型的進攻手段？BA、緩沖區(qū)溢出 B、地址欺騙 C、拒絕服務(wù) D、暴力攻擊102.以下關(guān)于 VPN 的說法中的哪一項是正確的？CA、VPN 是虛擬專用網(wǎng)的簡稱，它只能只好 ISP

36、維護和實施B、VPN 是只能在第二層數(shù)據(jù)鏈路層上實現(xiàn)加密C、IPSEC 是也是 VPN 的一種D、VPN 使用通道技術(shù)加密，但沒有身份驗證功能103.以下哪個不是屬于 window2000 的漏洞？DA、unicodeB、IIShackerC、輸入法漏洞D、單用戶登陸E、4.你是一個單位的網(wǎng)絡(luò)安全管理員，你使用的防火墻在 UNIX 下的 IPTABLES，你現(xiàn)在需要通過對防火墻的配置不允許 這臺主機登陸到你的服務(wù)器，你應(yīng)該怎么設(shè)置防火墻規(guī)則？BA、iptablesAinputptcpssourceport23jDENYB、iptablesAinpu

37、tptcpsdestinationport23jDENYC、iptablesAinputptcpdsourceport23jDENYD、iptablesAinputptcpddestinationport23jDENY105.你的 window2000 開啟了遠程登陸 telnet,但你發(fā)現(xiàn)你的 window98 和 unix 計算機沒有辦法遠程登陸,只有 win2000 的系統(tǒng)才能遠程登陸，你應(yīng)該怎么辦？DA、重設(shè)防火墻規(guī)則B、檢查入侵檢測系統(tǒng)C、運用殺毒軟件，查殺病毒D、將 NTLM 的值改為 0106.你所使用的系統(tǒng)為 win2000,所有的分區(qū)均是 NTFS 的分區(qū)，C 區(qū)的權(quán)限為 everyone 讀取