電力二次系統(tǒng)安全防護(hù)100題(含答案)
1.?電力二次系統(tǒng)安全防護(hù)目標(biāo)是什么?
答:抵御黑客�����、病毒��、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊��,特別是能夠抵御集團(tuán)式攻擊��,防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓��。
2.?電監(jiān)會5號令中電力二次系統(tǒng)是指什么?
答:包括電力監(jiān)控系統(tǒng)�����、繼電保護(hù)和安自裝置���、負(fù)荷控制�����、電力通信及數(shù)據(jù)網(wǎng)絡(luò)等���。
3.?電監(jiān)會5號令中電力監(jiān)控系統(tǒng)是指什么?
答:是指用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運行過程的�����、基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備等���。包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)�����、變電站自動化系統(tǒng)、換流站計算機監(jiān)控系統(tǒng)���、發(fā)電廠計算機監(jiān)控系統(tǒng)��、配電自動化系統(tǒng)��、微機繼電保護(hù)和安全自動裝置��、廣域相量測量系統(tǒng)��、負(fù)荷控制系統(tǒng)�����、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)�����、電能量計量計費系統(tǒng)�����、實時電力市場的輔助控制系統(tǒng)等��。
4.?電監(jiān)會5號令中電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)指什么�����?
答:是指各級電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò)��、電力生產(chǎn)專用撥號網(wǎng)絡(luò)等���。
5.?電監(jiān)會5號令中控制區(qū)指什么�����?
答:是指由具有實時監(jiān)控功能���、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或?qū)S猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。
6.?電監(jiān)會5號令中非控制區(qū)指什么��?
答:是指在生產(chǎn)控制范圍內(nèi)由在線運行但不直接參與控制���、是電力生產(chǎn)過程的必要環(huán)節(jié)���、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。
7.?電力二次系統(tǒng)的安全防護(hù)原則��?
答:電力二次系統(tǒng)安全防護(hù)原則是安全分區(qū)�����、網(wǎng)絡(luò)專用��、橫向隔離��、縱向認(rèn)證,保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全���。
8.?電力二次系統(tǒng)如何進(jìn)行安全分區(qū)�����?
答:發(fā)電企業(yè)���、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計算機和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)�����,原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)���。
?? 生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)I)和非控制區(qū)(安全區(qū)Ⅱ)�����;管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下���,可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)��。
? 根據(jù)應(yīng)用系統(tǒng)實際情況�����,在滿足總體安全要求的前提下���,可以簡化安全區(qū)的設(shè)置,但是應(yīng)當(dāng)避免通過廣域網(wǎng)形成不同安全區(qū)的縱向交叉連接�����。
9.?電力二次系統(tǒng)中不同的安全分區(qū)相應(yīng)的安全等級是什么��?
答:不同的安全區(qū)域確定了不同的安全防護(hù)要求���,從而決定了不同的安全等級和防護(hù)水平�����。生產(chǎn)控制大區(qū)的安全等級高于管理信息大區(qū)�����,其中控制區(qū)(安全區(qū)Ⅰ)的安全等級相當(dāng)于計算機信息系統(tǒng)安全保護(hù)等級的第4級���,非控制區(qū)(安全區(qū)II)相當(dāng)于計算機信息系統(tǒng)安全保護(hù)等級的第3級。安全分區(qū)是電力二次安全防護(hù)體系的結(jié)構(gòu)基礎(chǔ)�����。
10.?生產(chǎn)控制大區(qū)中安全區(qū)I(控制區(qū))的典型系統(tǒng)是什么�����?
答:包括調(diào)度自動化系統(tǒng)(SCADA/EMS)��、廣域相量測量系統(tǒng)�����、配電自動化系統(tǒng)��、變電站自動化系統(tǒng)�����、發(fā)電廠自動監(jiān)控系統(tǒng)、安全自動控制系統(tǒng)�����、低頻/低壓自動減載系統(tǒng)���、負(fù)荷控制系統(tǒng)等�����。
11.?生產(chǎn)控制大區(qū)中安全區(qū)II(非控制區(qū))的典型系統(tǒng)是什么���?
答:調(diào)度員培訓(xùn)模擬系統(tǒng)(DTS)、水調(diào)自動化系統(tǒng)��、繼電保護(hù)及故障錄波信息管理系統(tǒng)��、電能量計量系統(tǒng)��、批發(fā)電力交易系統(tǒng)等���。
12.?業(yè)務(wù)系統(tǒng)分區(qū)規(guī)則��?
答:綜合考慮業(yè)務(wù)系統(tǒng)或功能模塊的實時性���、使用者���、主要功能、設(shè)備場所���、各業(yè)務(wù)系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式��、對電力系統(tǒng)的影響等因素�����,按以下規(guī)則將業(yè)務(wù)系統(tǒng)或功能模塊置于合適的安全區(qū):
(1)?實時控制系統(tǒng)或未來可能有實時控制功能的系統(tǒng)應(yīng)置于安全區(qū)Ⅰ���。
(2)?電力二次系統(tǒng)中不允許把應(yīng)屬于高安全等級區(qū)域的業(yè)務(wù)系統(tǒng)遷移到低安全等級區(qū)域運行���;但允許把屬于低安全等級區(qū)域的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高安全等級區(qū)域,由屬于高安全等級區(qū)域的人員控制和使用���。
(3)?盡可能將業(yè)務(wù)系統(tǒng)完整置于一個安全內(nèi)��;當(dāng)某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時���,可根據(jù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流程將不同的功能模塊(或子系統(tǒng))分置于合適的安全區(qū)中��,各功能模塊(或子系統(tǒng))經(jīng)過安全區(qū)之間的通信聯(lián)接整個業(yè)務(wù)系統(tǒng)�����。
(4)?與外部邊界網(wǎng)絡(luò)不存在聯(lián)系的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)�����,對其劃分規(guī)則不作要求��,但需遵守所在安全區(qū)的安全防護(hù)要求��。
根據(jù)實際情況��,安全區(qū)I和安全區(qū)II不一定同時存在��。某一安全區(qū)不存在的條件是其本身不存在該安全區(qū)的業(yè)務(wù)���,且與其它電力二次系統(tǒng)在該安全區(qū)不存在“縱向”互聯(lián)。如果省略某安全區(qū)而導(dǎo)致上下級安全區(qū)的縱向交叉��,則應(yīng)該構(gòu)造一個最小安全區(qū)并安裝安全區(qū)間的隔離裝置,以保持安全防護(hù)體系的完整性��。
13.?電力二次系統(tǒng)安全區(qū)連接的拓?fù)浣Y(jié)構(gòu)有幾種�����,各有什么特點��?
答:電力二次系統(tǒng)安全區(qū)連接的拓?fù)浣Y(jié)構(gòu)有鏈?zhǔn)?��、三角和星形結(jié)構(gòu)三種。
14.?如何構(gòu)建安全隔離的電力調(diào)度數(shù)據(jù)網(wǎng)?
答:電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)��,采用基于SDH/PDH上的不同通道�����、不同光波長��、不同纖芯等方式��,在物理層面上實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離��。電力調(diào)度數(shù)據(jù)網(wǎng)是電力二次安全防護(hù)體系的重要網(wǎng)絡(luò)基礎(chǔ)�����。
15.?在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的安全要求是什么?
答:在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置��,隔離強度應(yīng)接近或達(dá)到物理隔離�����。
16.?生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間的安全防護(hù)要求是什么�����?
答:生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的設(shè)備�����、防火墻或者相當(dāng)功能的設(shè)施��,實現(xiàn)邏輯隔離��。具體隔離裝置的選擇還需要考慮業(yè)務(wù)所需帶寬及實時性的要求�����。
17.?什么類型的數(shù)據(jù)才能穿越專用橫向單向安全隔離裝置���?
答:嚴(yán)格禁止E-Mail���、Web�����、Telnet�����、Rlogin�����、FTP等通用網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫訪問功能穿越專用橫向單向安全隔離裝置��,僅允許純數(shù)據(jù)的單向安全傳輸。
18.?防火墻的特點是什么���?
答:防火墻(firewall)是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合�����。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口��,能根據(jù)企業(yè)的安全政策(允許�����、拒絕�����、監(jiān)測)控制出入網(wǎng)絡(luò)的信息流��,且本身具有較強的抗攻擊能力�����。它是提供信息安全服務(wù)�����,實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施���。
19.?專用橫向單向安全隔離裝置分為幾種��?
答:專用橫向單向安全隔離裝置分為正向型和反向型�����。
20.?反向安全隔離裝置的特點是什么�����?
答:反向安全隔離裝置采取簽名認(rèn)證和數(shù)據(jù)過濾措施�����,僅允許純文本數(shù)據(jù)通過�����,并嚴(yán)格防范病毒��、木馬等惡意代碼進(jìn)入生產(chǎn)控制大區(qū)��。
