81對于孤立業務系統如何進行安全防護��?
答:與外部邊界網絡不存在聯系的業務系統為孤立業務系統�����,對其安全區劃分可不作要求,但需遵守所在安全區的安全防護要求�����。
82電力調度數據網邏輯子網的劃分����?
答:電力調度數據網劃分為邏輯隔離的實時子網和非實時子網,分別連接控制區和非控制區�。子網之間可采用MPLS-VPN技術���、安全隧道技術、PVC技術或路由獨立技術等來構造子網。
83電力二次系統安全區連接的拓撲結構各有什么特點?
答:鏈式結構中的控制區具有較高的累積安全強度�,但總體層次較多���;三角結構各區可直接相連�����,效率較高���,但所用隔離設備較多�;星形結構所用設備簡單�、容易實施����,但中心點故障影響三個區��。三種模式均能滿足電力二次系統安全防護體系的要求����,可根據本地具體情況選用�����。
84如何實現對生產控制大區內惡意代碼防護系統中病毒或木馬特征碼的更新�?
答:對生產控制大區,禁止以任何方式連接外部網絡進行病毒或木馬特征碼的在線更新����,只能使用離線更新方式進行更新�。
85對生產控制大區所選用的防火墻有何要求�?
答:生產控制大區所選用的防火墻必須為國產硬件防火墻,其功能���、性能�����、電磁兼容性必須經過相關測試���。
86專用橫向單向安全隔離裝置如何使用�?
答:從生產控制大區向管理信息大區傳輸信息必須采用正向安全隔離裝置�;由管理信息大區向生產控制大區的少量單向數據傳輸必須經反向安全隔離裝置。
87如何對關鍵應用系統(如能量管理系統SCADA/EMS/DMS等)的主服務器及通信網關進行主機加固?
答:關鍵應用系統(如能量管理系統SCADA/EMS/DMS、變電站自動化系統��、電廠監控系統���、配電自動化系統�、電力交易系統等)的主服務器,以及網絡邊界處的通信網關�、Web服務器等�,應該采用加固的LINUX或UNIX等安全操作系統�。主機安全加固方式包括:安全配置、安全補丁����、采用專用的軟件強化操作系統訪問控制能力�、以及配置安全的應用程序�。
88如何對業務系統的專用主機或者工作站進行主機加固?
答:作為業務系統的專用主機或者工作站,應嚴格管理操作系統及應用軟件的安裝與使用,禁止不必要的應用�����。通過及時更新操作系統安全補丁�����,消除系統內核及平臺的漏洞與后門��。安裝主機加固軟件�����,強制進行權限分配��,保證對系統的資源(包括數據與進程)的訪問符合規定的主機安全策略,防止主機權限被濫用��。應用軟件升級到安全版本�����,更新應用軟件的安全補丁�����,嚴格限制應用的權限,加強應用系統用戶認證與權限控制���。
89對于通過RAS訪問本地網絡與系統的遠程撥號訪問,建議采用何種保護方式�?
答:對于通過RAS訪問本地網絡與系統的遠程撥號訪問�,建議采用網絡層保護方式����。
90對于以遠方終端的方式通過被訪問的主機的串行接口直接訪問的情況,建議采用何種保護措施����。
答:對于以遠方終端的方式通過被訪問的主機的串行接口直接訪問的情況�����,建議采用鏈路層保護措施���。
91對調度中心的實時控制系統是否需要需異地容災備份?
答:對調度中心的實時控制系統����,在具備條件的前提下�����,逐步實現異地的數據與系統備份,提供系統級容災功能�����,保證在大規模災難情況下保持系統業務的連續性���。
92如何實現計算機系統本地訪問控制��?
答:結合用戶數字證書技術����,對用戶登錄本地操作系統�����、訪問系統資源等操作進行身份認證���,根據身份與權限進行訪問控制�����,并且對操作行為進行安全審計。對于調度端安全區I中的SCADA系統�����,安全區II中的電量計費系統及電力市場交易系統���,廠站端的控制系統等重要應用系統��,應逐步采用本地訪問控制手段進行保護。
93電力企業的關鍵部門如何進行安全評估?
答:電力企業的關鍵部門應該建立自主的評估隊伍�����,掌握評估技術和方法���,配備必要的工具�����,定期進行評估���,可聘請電力部門的有關單位聯合進行評估���。上級主管單位可對下級單位進行定期或不定期的檢查性安全評估�����。
94電力二次系統專用安全產品的開發單位的安全責任是什么?
答:電力二次系統專用安全產品的開發單位、使用單位及供應商,應當按國家有關要求做好保密工作,禁止關鍵技術和設備的擴散(用于其它行業以及出口到國外)��。
95什么是PKI���?
答:PKI(Public Key Infrastrusture)公鑰基礎設施���,PKI就是利用公共密鑰理論和技術建立的提供安全服務的基礎設施��。
96什么是CA?
答:CA (Certificate Authority)證書認證中心�����,CA是PKI的核心執行機構,是PKI的主要組成部分,通常稱它為認證中心����。它是數字證書的申請注冊���、證書簽發和管理機構����。
97入侵檢測系統的種類�����?
答:入侵檢測系統IDS分為主機級HIDS和網絡級NIDS�。
98 VPN具有那幾種技術來保證其安全��?
答:隧道技術����、加密技術���、密鑰管理技術和身份認證技術�。
99 如何實現IEC61970等國際標準與電力二次安全防護的結合?
答:實施這些標準必須堅持合理劃分安全區域的原則,將標準規定的功能模塊恰當的置于各安全區域之中����,從而實現國際標準與安全防護的有機統一 �。
100電力二次系統的安全防護實施方案經那個部門審核才能實施�����?
答:電力企業各運行單位的電力二次系統的安全防護實施方案必須經過上級信息安全主管部門和相應電力調度機構的審核,完工后必須經過上述機構驗收��。
靜電防護培訓考核試題
