電力二次系統(tǒng)安全防護100題_第1頁
電力二次系統(tǒng)安全防護100題_第2頁
電力二次系統(tǒng)安全防護100題_第3頁
電力二次系統(tǒng)安全防護100題_第4頁
電力二次系統(tǒng)安全防護100題_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、電力二次系統(tǒng)安全防護 100 題1. 電力二次系統(tǒng)安全防護目標是什么?答:抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破 壞和攻擊,特別是能夠抵御集團式攻擊,防止由此導(dǎo)致一次系統(tǒng)事故 或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。2. 電監(jiān)會 5 號令中電力二次系統(tǒng)是指什么?答:包括電力監(jiān)控系統(tǒng)、繼電保護和安自裝置、負荷控制、電力通信 及數(shù)據(jù)網(wǎng)絡(luò)等。3. 電監(jiān)會 5 號令中電力監(jiān)控系統(tǒng)是指什么?答:是指用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運行過程的、基于計算機及 網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備等。包括電力數(shù)據(jù)采集與監(jiān)控系 統(tǒng)、能量管理系統(tǒng)、變電站自動化系統(tǒng)、換流站計算機監(jiān)控系統(tǒng)、發(fā) 電廠計算機監(jiān)

2、控系統(tǒng)、配電自動化系統(tǒng)、微機繼電保護和安全自動裝 置、廣域相量測量系統(tǒng)、負荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級 調(diào)度自動化系統(tǒng)、電能量計量計費系統(tǒng)、實時電力市場的輔助控制系 統(tǒng)等。4. 電監(jiān)會 5 號令中電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)指什么? 答:是指各級電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò)、 電力生產(chǎn)專用撥號網(wǎng)絡(luò)等。5. 電監(jiān)會 5 號令中控制區(qū)指什么?答:是指由具有實時監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時 子網(wǎng)或?qū)S猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域6. 電監(jiān)會 5 號令中非控制區(qū)指什么? 答:是指在生產(chǎn)控制范圍內(nèi)由在線運行但不直接參與控制、是電力生 產(chǎn)過程的必要環(huán)節(jié)、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)的各

3、業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。7. 電力二次系統(tǒng)的安全防護原則? 答:電力二次系統(tǒng)安全防護原則是安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、 縱向認證 ,保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。8. 電力二次系統(tǒng)如何進行安全分區(qū)? 答:發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計算機和網(wǎng)絡(luò)技術(shù)的業(yè) 務(wù)系統(tǒng),原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)I)和非控制區(qū)(安全區(qū)H);管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下,可以根據(jù)各企業(yè)不 同安全要求劃分安全區(qū)。根據(jù)應(yīng)用系統(tǒng)實際情況,在滿足總體安全要求的前提下,可以簡化安 全區(qū)的設(shè)置,但是應(yīng)當避免通過廣域網(wǎng)形成不同安全區(qū)的縱向交叉連

4、接。9. 電力二次系統(tǒng)中不同的安全分區(qū)相應(yīng)的安全等級是什么? 答:不同的安全區(qū)域確定了不同的安全防護要求,從而決定了不同的 安全等級和防護水平。生產(chǎn)控制大區(qū)的安全等級高于管理信息大區(qū), 其中控制區(qū)(安全區(qū)I)的安全等級相當于計算機信息系統(tǒng)安全保護等級的第4級,非控制區(qū)(安全區(qū)II)相當于計算機信息系統(tǒng)安全保護等級的第 3 級。安全分區(qū)是電力二次安全防護體系的結(jié)構(gòu)基礎(chǔ)10. 生產(chǎn)控制大區(qū)中安全區(qū)I (控制區(qū))的典型系統(tǒng)是什么?答:包括調(diào)度自動化系統(tǒng)(SCADA/EMS、廣域相量測量系統(tǒng)、配電自 動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)、安全自動控制 系統(tǒng)、低頻 /低壓自動減載系統(tǒng)、負荷控制

5、系統(tǒng)等。11. 生產(chǎn)控制大區(qū)中安全區(qū)II (非控制區(qū))的典型系統(tǒng)是什么?答:調(diào)度員培訓(xùn)模擬系統(tǒng)(DTS、水調(diào)自動化系統(tǒng)、繼電保護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、批發(fā)電力交易系統(tǒng)等。12. 業(yè)務(wù)系統(tǒng)分區(qū)規(guī)則?答:綜合考慮業(yè)務(wù)系統(tǒng)或功能模塊的實時性、使用者、主要功能、設(shè) 備場所、各業(yè)務(wù)系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式、對電力系統(tǒng)的 影響等因素,按以下規(guī)則將業(yè)務(wù)系統(tǒng)或功能模塊置于合適的安全區(qū):(1)實時控制系統(tǒng)或未來可能有實時控制功能的系統(tǒng)應(yīng)置于安全區(qū)I。(2、電力二次系統(tǒng)中不允許把應(yīng)屬于高安全等級區(qū)域的業(yè)務(wù)系統(tǒng)遷移到低安全等級區(qū)域運行;但允許把屬于低安全等級區(qū)域的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高

6、安全等級區(qū)域,由屬于高安全等級區(qū)域的人員控制 和使用。(3、盡可能將業(yè)務(wù)系統(tǒng)完整置于一個安全內(nèi);當某些業(yè)務(wù)系統(tǒng)的次要 功能與根據(jù)主要功能所選定的安全區(qū)不一致時,可根據(jù)業(yè)務(wù)系統(tǒng)的數(shù) 據(jù)流程將不同的功能模塊(或子系統(tǒng)、分置于合適的安全區(qū)中,各功 能模塊(或子系統(tǒng)、經(jīng)過安全區(qū)之間的通信聯(lián)接整個業(yè)務(wù)系統(tǒng)。4)與外部邊界網(wǎng)絡(luò)不存在聯(lián)系的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng),對其劃 分規(guī)則不作要求,但需遵守所在安全區(qū)的安全防護要求。根據(jù)實際情況,安全區(qū)I和安全區(qū)II不一定同時存在。某一安全區(qū)不存 在的條件是其本身不存在該安全區(qū)的業(yè)務(wù),且與其它電力二次系統(tǒng)在 該安全區(qū)不存在 “縱向”互聯(lián)。如果省略某安全區(qū)而導(dǎo)致上下級安全

7、區(qū)的 縱向交叉,則應(yīng)該構(gòu)造一個最小安全區(qū)并安裝安全區(qū)間的隔離裝置, 以保持安全防護體系的完整性。13. 電力二次系統(tǒng)安全區(qū)連接的拓撲結(jié)構(gòu)有幾種,各有什么特點? 答:電力二次系統(tǒng)安全區(qū)連接的拓撲結(jié)構(gòu)有鏈式、三角和星形結(jié)構(gòu)三 種。14. 如何構(gòu)建安全隔離的電力調(diào)度數(shù)據(jù)網(wǎng) ? 答:電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng),采 用基于SDH/PDHh的不同通道、不同光波長、不同纖芯等方式,在物 理層面上實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。 電力調(diào)度數(shù)據(jù)網(wǎng)是電力二次安全防護體系的重要網(wǎng)絡(luò)基礎(chǔ)。15. 在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的安全要求是什么? 答:在生產(chǎn)控制大區(qū)與管理

8、信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢 測認證的電力專用橫向單向安全隔離裝置,隔離強度應(yīng)接近或達到物 理隔離。16. 生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間的安全防護要求是什么? 答:生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當采用具有訪問控制功能的設(shè) 備、防火墻或者相當功能的設(shè)施,實現(xiàn)邏輯隔離。具體隔離裝置的選 擇還需要考慮業(yè)務(wù)所需帶寬及實時性的要求。17. 什么類型的數(shù)據(jù)才能穿越專用橫向單向安全隔離裝置?答:嚴格禁止E-Mail、Web、Tel net、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫訪問功能穿越專用橫向單向安全隔離裝置,僅允許純數(shù)據(jù)的單向安全傳輸。18. 防火墻的特點是什么?答:

9、防火墻( f irewa l l )是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng) 和不可信任的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是 不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政 策(允許、拒絕、監(jiān)測)控制出入網(wǎng)絡(luò)的信息流,且本身具有較強的 抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè) 施。19. 專用橫向單向安全隔離裝置分為幾種? 答:專用橫向單向安全隔離裝置分為正向型和反向型。20. 反向安全隔離裝置的特點是什么? 答:反向安全隔離裝置采取簽名認證和數(shù)據(jù)過濾措施,僅允許純文本 數(shù)據(jù)通過,并嚴格防范病毒、木馬等惡意代碼進入生產(chǎn)控制大區(qū)。21. 在生產(chǎn)控制

10、大區(qū)與廣域網(wǎng)的縱向交接處如何實現(xiàn)安全防護? 答:在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當設(shè)置經(jīng)過國家指定部 門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關(guān)及相應(yīng)設(shè) 施,實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。如暫時不具備條件, 可采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問控制技術(shù)臨時代替。22. 在管理信息大區(qū)與廣域網(wǎng)的縱向交接處如何實現(xiàn)安全防護? 答:管理信息大區(qū)應(yīng)采用硬件防火墻等安全設(shè)備接入電力企業(yè)數(shù)據(jù)網(wǎng)。23. 對處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)如何實現(xiàn)安全防護? 答:對處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān),應(yīng)進行操作系統(tǒng)的安全加固。 根據(jù)具體業(yè)務(wù)的重要程度及信息的敏感程度,對生產(chǎn)控制大區(qū)的外部 通信網(wǎng)關(guān)應(yīng)該具備

11、加密、認證和過濾的功能。24. 傳統(tǒng)的基于專用通道的通信是否需要安全防護? 答:傳統(tǒng)的基于專用通道的通信不涉及網(wǎng)絡(luò)安全問題,可采用線路加 密技術(shù)保護關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。25. 生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)I是否允許 WEB服務(wù)?答:生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)I禁止安全區(qū)I的Web服務(wù)。26. 生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)H是否允許 WEB服務(wù)?答:允許安全區(qū)H內(nèi)部采用 B/S結(jié)構(gòu)的業(yè)務(wù)系統(tǒng),但僅限于業(yè)務(wù)系統(tǒng) 內(nèi)部使用。允許安全區(qū)H縱向安全Web服務(wù),經(jīng)過安全加固且支持HTTPS勺安全Web服務(wù)器和Web瀏覽工作站應(yīng)在專用網(wǎng)段,應(yīng)由業(yè)務(wù) 系統(tǒng)向Web服務(wù)器單向主動傳送數(shù)據(jù)。27. 電力調(diào)度數(shù)字證書的特點? 答:

12、電力調(diào)度數(shù)字證書是專用于電力調(diào)度業(yè)務(wù)需要的數(shù)字證書,主要 用于生產(chǎn)控制大區(qū), 可使用于交互式登錄的身份認證、 網(wǎng)絡(luò)身份認證、 通信數(shù)據(jù)加密及認證(包括數(shù)據(jù)完整性和數(shù)據(jù)源認證)等。電力調(diào)度證書系統(tǒng)按照電力調(diào)度管理體系進行配置,省級及以上調(diào)度 中心和有實際業(yè)務(wù)需要的地區(qū)調(diào)度控制中心應(yīng)該建立電力調(diào)度證書服 務(wù)系統(tǒng)。28. 電力調(diào)度系統(tǒng)數(shù)字證書的建立原則? 答:(1)統(tǒng)一規(guī)劃數(shù)字證書的信任體系,各級電力調(diào)度證書系統(tǒng)用于 頒發(fā)本調(diào)度中心及調(diào)度對象相關(guān)人員和設(shè)備證書。上下級電力調(diào)度證 書系統(tǒng)通過信任鏈構(gòu)成認證體系,防止產(chǎn)生交叉認證。(2)采用統(tǒng)一的數(shù)字證書格式和加密算法。(3)原則上離線生成、離線裝入、離線管理,確保調(diào)度數(shù)字證書的生 成、發(fā)放、管理以及密鑰的生成、管理脫離網(wǎng)絡(luò),獨立運行;(4)優(yōu)化調(diào)度數(shù)字證書系統(tǒng)應(yīng)用接口,推進其應(yīng)用和普及;(5)相關(guān)應(yīng)用系統(tǒng)嵌入數(shù)字證書服務(wù),以提高實時性和可靠性。29. 電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)承載的業(yè)務(wù)是什么? 答:電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是專用網(wǎng)絡(luò), 承載的業(yè)務(wù)是電力實時控制業(yè)務(wù)、 在線生產(chǎn)業(yè)務(wù)以及本網(wǎng)網(wǎng)管業(yè)務(wù)。30. 如何實現(xiàn)對電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)路由的防護? 答:對路由器之間的路由信息交換進行數(shù)字簽名,保證信息的完整性 與可信性。31. 如何對電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備進行安全配置? 答:網(wǎng)絡(luò)設(shè)備的安全

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論