32. 如何实现对电力企业数据网的防护?
答:电力企业数据网为电力企业内联网,其安全防护由各个企业负责。其中,电网企业的数据网即为电力数据通信网,该网承载业务主要为电力综合信息、电力调度生产管理业务、电力内部数字语音视频以及网管业务,该网不经营对外业务。电力数据通信网使用私有网络地址,与外部互联网以及其它外部网络没有直接的网络连接,采用虚拟专网技术构造三个子网:调度子网、信息子网以及语音视频子网,分别对应电网企业的电力调度生产管理、电力综合信息、电力内部数字语音视频三类业务。
33. 如何实现对电力监控系统的备份及恢复?
答:必须定期对电力监控系统关键业务的数据与系统进行备份,建立历史归档数据的异地存放制度,确保在数据损坏或系统崩溃的情况下快速恢复数据与系统,保证系统的可用性。
对关键主机设备、网络设备或关键部件进行相应的冗余配置,安全区I的业务应采用热备份方式,其它安全区的业务系统可根据需要选用热备份、温备份、冷备份等备份方式,避免单点故障影响系统可靠性。
34. 如何实现对电力二次系统恶意代码的防范?
答:对病毒、木马等恶意代码的防护是电力二次系统安全防护所必须的安全措施。生产控制大区应该统一部署恶意代码防护系统,管理信息大区建议统一部署恶意代码防护系统,禁止生产控制大区与管理信息大区共用一个防恶意代码管理服务器。对生产控制大区,禁止以任何方式连接外部网络进行病毒或木马特征码的在线更新。
加强防病毒、木马等恶意代码的管理,保证特征码的及时更新,及时查看查杀记录,随时掌握威胁状况。
35. 如何在生产控制大区部署防火墙?
答:防火墙产品可以部署在安全区I与安全区II之间,实现两个区域的逻辑隔离、报文过滤、访问控制等功能。生产控制大区与管理信息大区采用的防火墙安全策略的侧重点应有所不同。
36. 如何在生产控制大区部署入侵检测系统?
答:生产控制大区统一部署一套网络入侵检测系统,其安全策略的设置重在捕获网络异常行为、分析潜在威胁以及事后安全审计,不宜使用实时阻断功能。禁止使用入侵检测与防火墙的联动。
加强入侵检测系统的使用与管理,合理设置检测规则,及时分析检测报告,准确识别攻击,及时发出告警信息,充分发挥其在安全事件检测与恢复中的作用。
37. 如何在生产控制大区进行主机加固?
答:主机安全防护首先要确定安全策略,然后采取适当的方式增强其安全性。通过合理地设置系统配置、服务、权限,可有效减少安全薄弱环节。
38. 如何对操作系统进行安全加固?
答:操作系统安全加固措施包括:升级到当前系统版本、安装后续的补丁合集、加固系统TCP/IP配置、根据系统应用要求关闭不必要的服务、关闭SNMP协议避免利用其远程溢出漏洞获取系统控制权或限定访问范围、为超级用户或特权用户设定复杂的口令、修改弱口令或空口令、禁止任何应用程序以超级用户身份运行、设定系统日志和审计行为等。
39. 数据库的加固措施包括什么?
答:数据库的应用程序进行必要的安全审核、及时删除不再需要的数据库、安装补丁、使用安全的密码策略和账号策略、限定管理员权限的用户范围、禁止多个管理员共享用户账户和口令、禁止一般用户使用数据库管理员的用户名和口令、加强数据库日志的管理、管理扩展存储过程、数据定期备份等。
40. 电力调度数字证书的应用范围?
答:电力调度系统建设基于公钥技术的分布式的调度数字证书系统,由相关主管部门统一颁发调度数字证书,为电力监控系统及调度数据网上的关键应用、关键用户和关键设备提供数字证书服务。在数字证书基础上可以在调度系统与网络关键环节实现高强度的身份认证、安全的数据传输以及可靠的行为审计。
41. 在电力调度数字证书中何为人员证书?
答:人员证书指关键业务的用户、系统管理人员以及必要的应用维护与开发人员,在访问系统、进行操作时需要持有的证书。主要用于用户登录网络与操作系统、登录应用系统,以及访问应用资源、执行应用操作命令时对用户的身份进行认证,与其它实体通信过程中的认证、加密与签名,以及行为审计。
42. 在电力调度数字证书中何为程序证书?
答:程序证书指关键应用的模块、进程、服务器程序运行时需要持有的证书,主要用于应用程序与远方程序进行安全的数据通信,提供双方之间的认证、数据的加密与签名功能。
43. 在电力调度数字证书中何为设备证书?
答:设备证书指网络设备、服务器主机等,在接入本地网络系统与其它实体通信过程中需要持有的证书,主要用于本地设备接入认证,远程通信实体之间的认证,以及实体之间通信过程的数据加密与签名。
44. 纵向加密认证装置有何特点?
答:纵向加密认证装置具有类似过滤防火墙的功能,并为广域网通信提供认证与加密功能,实现数据传输的机密性、完整性保护。加密认证网关除具有加密认证装置的全部功能外,还应实现电力应用层协议及报文内容的识别功能。
45. 如何实现远程拨号访问的安全防护?
答:当远程拨号访问生产控制大区时,要求远方用户使用安全加固的LINUX或UNIX系统平台,以防止将病毒、木马等恶意代码引入生产控制大区。远程拨号访问应采用调度数字证书,进行登录认证和访问认证。
46. 拨号访问的防护有那两种方式,有何特点?
答:拨号访问的防护可以采用链路层保护方式或者网络层保护方式。链路保护方式使用专用链路加密设备,实现两端链路加密设备相互进行认证和对链路帧进行加密等安全功能。网络保护方式采用VPN技术在拨号服务器(RAS)与远程拨入用户建立加密通道,实现对网络层数据的机密性与完整性保护。
47. 线路加密设备可用于什么通道上实现安全防护?
答:线路加密设备可用于传统的专线远动装置(RTU)、继电保护装置、安全自动装置、负荷管理装置等专用通道上的数据加密防护,防止通过搭线等方式篡改控制命令及敏感数据。要求该设备具有一定强度的对称加密功能。
48. 安全文件网关的用途?
答:安全文件网关主要用于电力系统各级部门之间安全的文件传输,部署在安全区II,采用加密、认证等技术,保证文件的机密性、完整性。可用于调度报表、检修计划、发电计划、交易报价等文件的传输场合。
49. 安全审计的用途?
答:安全审计是安全管理的重要环节,应在生产控制大区内引入相对集中的、智能的安全审计系统,通过技术手段,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。
50. 国家电力监管委员会在电力二次系统安全防护的作用?
答:国家电力监管委员会负责电力二次系统安全防护的监管,组织制定电力二次系统安全防护技术规范并监督实施。
51. 电力企业如何实现安全分级负责制?
答:电力企业应当按照“谁主管谁负责,谁经营谁负责”的原则,建立电力二次系统安全管理制度,将电力二次系统安全防护及其信息报送纳入日常安全生产管理体系,落实分级负责的责任制。
52. 电力调度机构的安全负责范围?
答:电力调度机构负责直接调度范围内的下一级电力调度和变电站的二次系统安全防护的技术监督。
53. 发电厂内涉及到调度的业务系统的安全负责单位?
答:发电厂内涉及到调度的业务系统(包括发电厂输变电部分、全厂/机组AGC 功能、AVR无功电压控制功能、电厂报价终端、电量计费系统、故障录波系统等)由电力调度机构和发电厂的上级主管单位共同实施技术监督。
54. 电力二次系统安全评估方式是什么?
答:电力二次系统安全评估采用以自评估为主、检查评估为辅的方式,并纳入电力系统安全评价体系。
55. 安全评估的内容是什么?
答:安全评估的内容包括:风险评估、攻击演习、漏洞扫描、安全体系的评估、安全设备的部署及性能评估、安全管理措施的评估等。对生产控制大区安全评估的所有记录、数据、结果等均不得以任何形式、任何借口携带出被评估单位,要按国家有关要求做好保密工作。
56. 何时需要进行安全评估?
答:电力二次系统的新系统在投运之前、老系统进行安全整改之后或进行重大改造或升级之后必须进行安全评估;电力二次系统应该定期(每年或每两年)进行安全评估。
57. 电力二次系统相关设备及系统的开发单位的安全责任?
答:电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证所提供的设备及系统符合《电力二次系统安全防护规定》和本方案的要求,并在设备及系统的生命期内对此负责。
58. 安全装置的可用性指标?
答:安全装置的可用性指标达到99.99%。
59. 设备和应用系统的接入管理?
答:新接入电力调度数据网络的节点、设备和应用系统,其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准,并送上一级电力调度机构备案。在已经建立安全防护体系的电力二次系统中,接入任何新的设备和应用及服务,必须立案申请、审查批准后,方可在安全管理人员的监管下实施接入。
60. 生产控制大区的工作站、服务器安全管理要求?
答:各业务系统位于生产控制大区的工作站、服务器均严格禁止以各种方式开通与互联网的连接;限制开通拨号功能,必须配置强认证机制;在生产控制大区中的PC机等应该拆除可能传播病毒等恶意代码的软盘驱动、光盘驱动、USB接口、串行口等,或通过安全管理平台实施严格管理。
61. 对电力二次系统生产控制区中的安全产品有何要求?
答:接入电力二次系统的生产控制区中的安全产品,必须具有公安部安全产品销售许可,获得国家指定机构安全检测证明,用于厂站的设备还需有电力系统电磁兼容检测证明。
上一页 [1] [2] [3] 下一页
本文关键字:安全防护 电工考试,电工技术 - 电工考试
