数据网及二次安全防护题库.doc_第1页
数据网及二次安全防护题库.doc_第2页
数据网及二次安全防护题库.doc_第3页
数据网及二次安全防护题库.doc_第4页
数据网及二次安全防护题库.doc_第5页
已阅读5页,还剩12页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1 防火墙的主要作用是什么?答:防火墙(Firewall)的主要作用就是防止非法用户访问,对进出内联网进行控制,保护网络不被他人侵扰。从本质来说,它是遵从某种网络通信安全机制从而允许或阻止业务来往,也就是提供可控的过滤网络通信及允许权的通信。2 电力二次系统安全防护工作的原则是什么?答:安全分区、网络专用、横向隔离、纵向认证。3 生产控制大区与管理信息大区之间必须设置什么?答:经国家指定部门检测认证的电力专用横向单向安全隔离装置。4 生产控制大区内部的安全区之间应当设置什么?答:具有访问控制功能的防火墙。5 电力二次系统划分为几个安全区?请举出各区典型系统(2个以上)?答:根据电力二次系统的特点,划分为生产控制大区和管理信息大区。生产控制大区分为控制区(安全区)和非控制区(安全区)。信息管理大区分为生产管理区(安全区)和管理信息区(安全区)。不同安全区确定不同安全防护要求,其中安全区安全等级最高,安全区次之,其余依次类推。安全区典型系统:调度自动化系统、变电站自动化系统、继电保护、安全自动控制系统等。安全区典型系统:水库调度自动化系统、电能量计量系统、继保及故障录波信息管理系统等。安全区典型系统:调度生产管理系统(DMIS)、雷电监测系统、统计报表系统。6 如何实现对生产控制大区内恶意代码防护系统中特征码的更新?答:对生产控制大区,禁止以任何方式连接外部网络进行病毒或木马特征码的在线更新,只能使用离线更新方式进行更新。7 简述电力二次系统中关于远程拨号访问的防护策略?答:通过远程拨号访问生产控制大区时,要求远方用户使用安全加固的操作系统平台,结合调度数字证书技术,进行登录认证和访问认证。对于通过拨号服务器(RAS)访问本地网络与系统的远程拨号访问的方式,应当采用网络层保护,应用VPN技术建立加密通道。对于以远方终端直接拨号访问的方式,应当采用链路层保护,使用专用的链路加密设备。对于远程用户登录到本地系统中的操作行为,应该进行严格的安全审计。8 拨号访问的防护一般有哪两种方式?答:拨号访问的防护可以采用链路层保护方式或者网络层保护方式。链路保护方式使用专用的链路加密设备。网络保护方式应用VPN技术建立加密通道。9 网络攻击类型有哪些?答:1)阻断攻击:针对可用性攻击;2)截取攻击:针对机密性攻击;3)篡改攻击:针对完整性攻击;4)伪造攻击:针对真实性攻击。10 国家电网公司企业数据网称为什么?承载哪些业务?答:国家电网公司企业数据网称为国家电力数据通信网(SGTnet),该网主要承载电力综合信息、电力调度生产管理业务、电力内部数字语音视频等业务。11 在DOS模式下,向主机发出100个数据部分大小为3000Bytes的Ping报文,请写出具体命令?答:ping l3000 n100 12 什么是VLAN?答:VLAN全称VirtualLocalAreaNetwork(虚拟局域网),通过交换机的VLAN功能可以将局域网设备从逻辑上划分成一个个网段(或者说是更小的局域网),从而实现虚拟工作组的数据交换技术。通过VLAN还可以防止局域网产生广播效应,加强网段之间的管理和安全性。13 在交换机上实现VLAN技术有什么作用?答:VLAN(Virtual Local Area Network)技术把一个LAN划分成多个逻辑的LAN-VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通。使用VLAN具有如下好处:限制广播报文(广播风暴),节省带宽,提高了网络处理能力。广播域限制在一个VLAN内,交换机不会从一个VLAN向另外一个VLAN直接发送帧。增强LAN的安全性。VLAN间不能直接通信,即一个VLAN内的用户和其他VLAN内的用户不能直接互访,如果要访问需要通过路由器或三层交换机等三层设备。虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,当用户工作组改变时,不需要改变物理位置。14 每个路由器在寻找路由时需要知道哪五部分信息?答:所有的路由器需要如下信息为报文寻找路由:1)目的地址:报文发送的目的主机;2)邻站的确定:指明谁直接连接到路由器的接口上;3)路由的发现:发现邻站知道哪些网络;4)选择路由:通过从邻站学习到的信息,提供最优的(与度量值有关)到达目的地的路径;5)保持路由信息:路由器保存一张路由表,它存储所知道的所有路由信息。15 IP协议配置的基本原则是什么?答:1)一般路由器的物理网络端口通常要有一个IP地址;2)相邻路由器的相邻端口IP地址必须在同一IP网段上;3)同一路由器的不同端口的IP地址必须在不同IP网段上除了相邻路由器的相邻端口外,所有网络中路由器所连接的网段即所有路由器的任何两个非相邻端口都必须不在同一网段上。16 IP协议配置的主要任务是什么? 答:1)配置端口IP地址;2)配置广域网线路协议;3)配置IP地址与物理网络地址如何映射;4)配置路由;5)其它设置。17 什么是TCP/IP协议?答:TCP/IP协议代表一组协议,而TCP和IP是其中两个最重要的协议,即传输控制协议TCP和网际协议IP,IP负责将数据从一处传到另一处,而TCP则保证传输的正确性。TCP/IP协议本质上所采用的是分组交换技术。其核心思想是把数据分割成不超过一定大小的信息包来传送。18 TCP/IP协议栈中,属于传输层的协议有哪两个?它们的区别是什么?请分别举一个以该协议实现的应用的例子。答:传输层协议有两种:TCP和UDP。它们的区别是:TCP有连接,UDP无连接。TCP(传输控制协议)是一个可靠的、面向连接的传输协议,发送方把上层的字节流组建成报文发送,报文传输过程中有确认机制,出错或丢失必须重新发送,如FTP。UDP(用户数据报协议)是一个不可靠的无连接的传输协议,适合于一次传输小量数据,它把可靠性问题交给上层应用程序解决,如SNMP。19 说明不具备IP分片重组功能的防火墙所带来的后果。答:黑客可以人工组包产生IP分片,这些分片可以完全模拟出TCP/IP的功能,若防火墙不具备分片重组功能无法理解这些分片的内容,一般情况下给予放行,而这些分片到达目的计算机重组后会是一个不安全的报文。20 如何实现对电力调度数据网网络路由的防护?答:采用虚拟专网技术,将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网,分别对应控制业务和非控制生产业务,保证实时业务的封闭性和高等级的网络服务质量。21 MAC地址是属于OSI模型中的哪一层? 答:MAC地址是指数据链路层物理地址。MAC地址是由48位二进制数组成的。22 ICMP的基本原理? 答:网际控制消息协议(ICMP)是一个网络层的协议,它提供了错误报告和其他回送给源点的关于IP数据包处理情况的消息。ICMP通常为IP层或者更高层协议使用,一些ICMP报文把差错报文返回给用户进程。ICMP报文通常被封装在IP数据包内传输。23 ping命令基于哪个协议?ping命令的作用是什么?答:ping命令是基于ICMP协议的。ping命令的作用是检测网络连通性。24 请问ping命令与tracert命令各自用来定位什么种类的问题? 答:Ping 命令用来检查IP网络连接及主机是否可达。Tracert命令用来测试数据包从发送主机到目的地所经过的网关,主要用于检查网络连接是否可达,以及辅助分析网络在何处发生了故障。25 纵向认证的含义是什么? 答:纵向认证是采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。26 根据技术原理,IDS可分为哪两类?答:根据技术原理,IDS可分为以下两类:基于网络的入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS)。27 调度数据专网划分为哪几个逻辑隔离的子网?,请将下列各个业务正确地划分到不同的逻辑子网中(1)EMS(2)电力市场(3)RTU(4)电量计费(5)保护信息管理系统(6)功角测量(7)DMIS(8)雷电监测答:调度数据专网划分为逻辑隔离的实时子网和非实时子网。属于实时子网的业务有:EMS、RTU、功角测量。属于非实时子网的业务有:电力市场、电量计费、保护信息管理系统。28 电力二次系统面临的主要风险有哪些?答:旁路控制、完整性破坏、违反授权、工作人员的随意行为、拦截/篡改、非法使用、信息泄漏、欺骗、伪装、拒绝服务、窃听。29 安全区与安全区之间的隔离要求是什么?答:安全区与安全区的业务系统都属电力生产系统,都采用电力调度数据网络,都在线运行,数据交换较多,关系比较密切,可以作为一个逻辑大区(生产控制区)。I、II区之间须采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离,应禁止E-mail、Web、Telnet、Rlogin等服务穿越安全区之间的隔离设备。30 安全区III与安全区IV之间的隔离要求是什么?答:安全区III与安全区IV的业务系统都属管理信息系统,都采用电力数据通信网络,数据交换较多,关系比较密切,可以作为另一个逻辑大区(管理信息区)。、区之间应采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离。31 安全区、与安全区、之间的隔离要求是什么?答:安全区、不得与安全区直接联系;安全区、与安全区之间必须采用经有关部门认定核准的专用安全隔离装置。专用安全隔离装置分为正向型和反向型,从安全区、往安全区必须采用正向安全隔离装置单向传输信息,由安全区往安全区甚至安全区的单向数据传输必须经反向安全隔离装置。严格禁止E-MAIL、WEB、TELnet、Rlogin等网络服务和数据库访问功能穿越专用安全隔离装置,仅允许纯数据的单向安全传输。反向安全隔离装置采取签名认证和数据过滤措施,仅允许纯文本数据通过,并严格进行病毒、木马等恶意代码的查杀。安全区、与安全区、之间的专用安全隔离装置应该达到或接近物理隔离的强度。32 哪些主机必须采取主机防护措施?答:1)关键应用的主机,包括调度自动化系统(SCADA)、变电站自动化系统、电厂监控系统、配电自动化系统等的主服务器,电力交易系统主服务器等。2)能够抵御除DoS以外的已知的网络攻击。33 二次系统安全防护工作中的恢复与备份工作包括哪些内容?答:二次系统安全防护工作中的恢复与备份工作包括:1)数据与系统备份;2)设备备用;3)异地容灾。34 什么是调度数据专网?答:调度数据专网是指各级电力调度专用广域数据网络、各计算机监控系统内部的本地局域网络、电能量计费及故障滤波等电力生产专用拨号网络等。35 文件传输(FTP)的功能是什么? 答:FTP是使用基于FTP的文件传输程序,用户能够登录到Internet的一台远程计算机,把其中的文件传送回自己的计算机系统,或者反过来,把本地计算机上的文件传送到远方的计算机系统上去。36 试述包过滤规则有哪两种方式?答:1)标准包过滤:只对数据包中的源地址进行检查。2)扩展包过滤:对数据包中的源地址、目的地址、协议及端口号进行检查。37 描述生成树协议(STP)的主要功能?答:生成树协议的主要功能是提供备份的交换机/网桥路径,避免在网络中出现环路对网络产生不良的影响。38 描述数据封装的目的?答:每一个OSI参考模型的层都依赖下面的层提供的服务功能。为了提供这个服务,较低的层使用封装的技术,把从上层得到的协议数据单元(PDU)加进自己的数据段内;可能加在段头,也可能加在段尾,则该层就使用这种方法完成它的功能。39 简述分组与帧的概念,并指出两者的区别?答:分组就是把要传输的完整的信息内容按照规定的长度划分为多个数据组后进行传输。帧是网络上所传输的数据最小单元。分组是一个广义的概念。网络体系结构任一层中的任何一个协议数据单元都可以被称为分组,分组只强调把完整信息划分为小段后传输给接收方,而并未具体要求如何实现这种传输与接收。分组是一个与硬件无关的逻辑概念。帧也是一个分组,是指分组在一个具体网络上的实现 ,帧只能用于表示网络体系结构中第二层协议所定义的分组。40 解决网络故障的方法具体步骤是什么?答:1) 给故障定义。故障的现象和潜在的故障原因是什么。2) 收集信息。分离出可能引发故障的原因。3) 考虑可能引发故障的原因。根据收集的信息,尽可能缩小与确定的故障相关的范围,通过这一步设定故障的边界。4) 制定计划。计划中每次只改动一处可能引起故障的原因。5) 实施计划。认真执行每一步操作,同时通过测试查看故障现象是否消失。6) 观测结果。确定故障是否解决,如果故障的确被解决了,那么整个处理过程到此结束。7) 重复过程。若故障依然存在,就从列表余下的故障原因中挑出最可能的一个,然后回到第4步,重复此过程直到故障被解决。41 路由器通过哪3种不同的方式获得其到达目的端的路径?答:1) 静态路由:系统管理员人为地定义为到达目的端的唯一路径,本方式对于控制安全和减少业务量有用。2) 缺省路由:系统管理员人为地定义为在没有已知的到达目的端的路由时所采用的路径。3) 动态路由选择:路由器通过定期地从其他路由器接收更新数据而获得到达目的端的路径。42 计算机病毒有哪些传播途径?请举出5项预防措施。答:计算机病毒一般通过移动存储设备(包括软磁盘、优盘、移动硬盘等)和计算机网络进行传播。常用的预防措施有:1)避免使用来历不明和无法确定是否带有病毒的磁盘和优盘等。2)谨慎使用共享软件或公用软件。3)尽量做到专机专用,专盘专用。4)移动存储设备有写保护功能的在不做写操作时应写保护。5)定期、及时升级杀毒软件,更新病毒库。6)经过处理并确认后方可打开阅读来历不明的邮件。7)定期对系统进行查毒杀毒等。43 在遭遇“黑客”、病毒攻击和其他人为破坏等情况后应怎么办?答:在遭遇“黑客”、病毒攻击和其他人为破坏等情况后,必须及时采取安全应急措施,保护现场,尽快恢复系统运行,防止事故扩大,并立即向上级电力调度机构和本地信息安全主管部门报告。44 什么叫做“黑客”?危害有多大?答:黑客一词源于英文“hacker”,“黑客”原意是指那些长时间沉迷于计算机的程序员。现在“黑客”一词普遍的含义是指电脑系统的非法侵入者。政府、军事、邮电、电力和金融等网络是黑客攻击的主要目标。他们通过修改网页而进行恶作剧或留下恐吓信,破坏系统程序或施放病毒使系统陷入瘫痪。45 什么是计算机病毒?答:计算机病毒(computervirus)的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。46 如何预防电网调度自动化系统感染计算机病毒?答:(1)电网调度自动化系统与公司MIS通过安全防护隔离装置相连,由电网调度自动化系统单方向向MIS送数;(2)及早发现系统存在的攻击漏洞,及时安装系统补丁程序;(3)安装能实时监测的防病毒软件,并定时升级;(4)系统使用专用的软盘和光盘,在外系统使用过的软盘,最好不要使用,或必须经过病毒检查,确认无毒后再用;(5)不得使用非法刻录的光盘安装或拷贝程序;(6)对于外来的机器或软件要进行病毒检测,在确认无毒的情况下方可使用;(7)定期做好系统程序和数据的备份工作,以保证系统或数据遭到破坏环能及时得到恢复。47 route命令可以用来查看、增加和删除本地路由表,请分别写出windows,linux这两种操作系统下,增加通过网关2来访问/24的命令。答;windows操作系统下为route add mask 2linux操作系统下为route add net /24 gateway 248 路由器和交换机、集线器的区别在哪答:(1)路由器在ISO七层协议的第三层,目前很多以太网路由器都带有交换功能。(2)交换机在ISO七层协议的第二层,可以实现点对点的数据传送,可以配置VLAN,但VLAN间的数据交换需要通过路由实现。(3)集线器用于数据传送采用广播模式,适用与家庭和简单组网。49 网络中Trunk的作用是什么答:Trunk是一种封装技术,它是一条点到点的链路,主要功能就是仅通过一条链路就可以连接多个交换机从而扩展已配置的多个VLAN。还可以采用通过Trunk技术和上级交换机级连的方式来扩展端口的数量,可以达到近似堆叠的功能,节省了网络硬件的成本,从而扩展整个网络。50 对oracle数据库使用RMAN方式进行备份(俗称物理备份)与用EXPORT方式进行导出(俗称逻辑备份)得到的结果最主要的不同是什么答 用RMAN备份能通过归档日志保证其备份主句的一致性;而使用EXPORT导出方式的话,如果此时数据库仍有读写操作,则数据一致性无法得到保证,即所得到的数据可能是错的。51 Oracle数据库自带的备份/恢复工具是什么?使用它有什么文件?答:Oracle的备份/恢复工具叫RMAN,使用RMAN需要把Oracle的归档模式开启。52 解释ORACLE冷备份和热备份的不同点以及各自的优点?答:热备份针对归档模式的数据库,在数据库仍旧处于工作状态时进行备份。而冷备份指在数据库关闭后,进行备份,适用于所有模式的数据库。热备份的优点在于当备份时,数据库仍旧可以被使用并且可以将数据库恢复到任意一个时间点。冷备份的优点在于它的备份和恢复操作相当简单,并且由于冷备份的数据库可以工作在非归档模式下,数据库性能会比归档模式稍好。53 6块100GB硬盘做各种Raid,请说出Raid0/1/1+0/5/5+HotSpare方式下的最大可用空间,理论上最多可坏多少块硬盘而不丢失数据?答:Raid0:最大600GB,无磁盘保护,只要坏1块就丢数据。Raid1:最大300GB,最多可坏3块硬盘而不丢数据,但3块中任意2块不能是镜像对。Raid1+0:最大300GB,最多可坏3块硬盘而不丢数据,但3块中任意2块不能是镜像对。Raid5:最大500GB,最多可坏1块硬盘不丢数据。Raid5+HotSpare:最大400GB,最多可坏2块硬盘不丢数据,但不能同时坏。54 电力二次系统安全评估目的和方式是什么?答:电力二次系统安全评估是根据电力二次系统安全防护总体方案的要求对电力二次系统的总体安全防护水平进行评价。通过评估二次系统的资产、威胁、脆弱性和现有安全措施,进行量化的风险计算与分析,从而发现系统存在的安全风险并提出整改建议。电力二次系统安全评估采用以自评估为主、检查评估为辅的方式,并纳入电力系统安全评价体系。55 如何对电力调度数据网网络设备进行安全配置?答:网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、网络边界关闭OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管系统、及时更新软件、使用安全的管理方式、限制登录的网络地址、记录设备日志、设置高强度的密码、适当配置访问控制列表、封闭空闲的网络端口等。56 什么是MPLSVPN?答:MPLS VPN是一种基于MPLS (Multiprotocol Label Switching,多协议标记交换)技术的IP VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。57 什么是DMZ区?答:DMZ(De-Militarized Zone))非军事化区,为了配置管理方便,内部网中需要向外提供服务的服务器放在一个单独的网段,这个网段便是非军事化区。传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区。58 电力调度数据网逻辑子网的划分技术有哪些?答:MPLS-VPN技术、安全隧道技术、PVC技术或静态路由技术。59 电力调度系统数字证书的建立原则是什么?答:(1)统一规划数字证书的信任体系,各级电力调度数字证书系统用于颁发本调度中心及调度对象相关人员和设备证书。上下级电力调度数字证书系统通过信任链构成认证体系,防止产生交叉认证。(2)采用统一的数字证书格式和加密算法。(3)原则上离线生成、离线装入、离线管理,确保调度数字证书的生成、发放、管理以及密钥的生成、管理脱离网络,独立运行。(4)优化调度数字证书系统应用接口,推广其应用和普及。(5)相关应用系统嵌入数字证书服务,以提高实时性和可靠性。60 如何进行数字证书的管理?答:(1)必须设立专职人员使用专用设备对数字证书进行管理(注册证书、分发证书、撤销证书、使用证书);(2)数字证书中的有关信息一旦失效,应该将证书及时撤销;(3)数字证书持有人必须妥善保护证书,不容许转借他人,遗失后必须立即报告,如果由此造成严重后果,必须按有关规定严肃处理;(4)建立可靠的数字证书丢失之后的注销机制;(5)建立定期更新数字证书的机制。61 试述OSI七层模型的层次结构并简述各层主要功能。答:物理层:为数据的传输提供物理通道。数据链路层:接收网络层的数据并将数据包装成帧的形式,经由物理层发送。网络层:接收从传输层传下来的数据,并为它们添加适当的网络地址。传输层:从会话层取得数据并将数据分成能够很容易由低层硬件传输的信息段。会话层:主要负责创建、维护和终止网络上的设备间的通信。表示层:将计算机所使用的数据结构转换成网络通信所必须的形式。应用层:应用层针对特殊的网络功能对数据进行格式化,如网络打印、电子邮件和万维网浏览。62 在网络各层次物理层、数据链路层、网络层、传输层及以上(会话层、表示层、应用层)数据的表现形式是什么?答:物理层为比特流。数据链路层为数据帧。网络层为包。传输层为报文。会话层、表示层、应用层为报文。63 按照路由的寻径算法和交换路由信息的方式,路由协议可以分为哪几类?RIP、OSPF、IS-IS和BGP分别属于哪一类?答:分为距离矢量协议(Distant-Vector)和链路状态协议。RIP和BGP属于距离矢量协议,OSPF、IS-IS属于链路状态协议。64 在点到点链路上,OSPF邻居建立后的正常状态是什么?如果没有达到正常状态,应如何处理?答:正常状态为full。若未达到正常状态,处理过程如下:1)如果物理连接和下层协议正常,则检查接口上配置的OSPF参数,必须保证与相邻路由器的参数一致,区域号相同,网段与掩码也必须一致(点到点与虚连接的网段与掩码可以不同)。2)使用相关命令查看OSPF接口的信息。3)检查物理连接及下层协议是否正常运行,可通过ping命令测试。若从本地路由器ping对端路由器不通,则表明物理连接和下层协议有问题。4)检查OSPF定时器,在同一接口上邻居失效时间应至少为Hello报文发送时间间隔的4倍。5)检查是否配置了验证。65 根据MPLS VPN网络中处理标签的不同作用,路由器可分为哪三类?请分别简述其功能。答:路由器分为以下三类:1)PE(Provider Edge Router),即骨干网边缘路由器,是MPLS L3VPN的主要实现者。2)CE(Custom Edge Router),用户网边缘路由器。3)P router(Provider Router),骨干网核心路由器,负责MPLS转发。66 网络地址转换(NAT)是指什么?答:网络地址转换是将内部网的IP地址与外部网的IP地址相互转换,可解决IP地址空间不足问题,也向外网隐藏内部网络结构。67 什么是ADSL?答:ADSL指非对称数字用户环路,这是一种上行速率和下行速率不等的数字用户线技术,它利用了各种高速多媒体业务特点,即下行速率较高而上行数据量极小,在一对用户线上可达到上行640bit/s、下行6M bit/s,甚至更高的速率。68 为什么要建设调度数据网的第二平面?答:为适应电网发展的需要,满足调度机构在正常运行和应急状态下对信息的需求,同时为备调建设及新一代智能调度技术支持系统提供可靠的支撑,因此需要建设一个坚强的调度数据网,全面提高网络可靠性及业务保障能力。目前的调度数据网是基于单一路由平面的网络,大部分业务支持为单机方式,虽然设备 双重化能提高网络可靠性,但网络设备和系统耦合度较高,一旦发生故障,容易影响网络的可用性。双平面网络由于平面间的相对独立性,通过与业务层面的配合,业务可通过正常网络平面实现转发,可有效规避上述问题对业务的影响。建设调度数据网络第二平面,可以满足业务系统较高的可靠性要求,具有较高的业务保障能力。69 什么是电力二次系统安全防护体系?答:在满足“安全分区、网络专用、横向隔离、纵向认证”安全防护策略的基础上,按照国家信息安全等级保护要求,防护策略从重点以边界防护为基础过渡到全过程安全防护,形成具有纵深防御的安全防护体系,实现对电力生产控制系统及调度数据网络的安全保护,尤其是智能电网中控制过程的安全保护。70 请指出从安全1区至安全2区、安全1区至安全3区、安全2区至安全3区、安全3区至安全1区横向系统互连及安全1区与安全1区纵向互连时,分别应使用何种二次安防设备答:安全1区至安全2区应使用防火墙安全1区至安全3区应使用正向物理隔离装置安全2区至安全3区应使用正向物理隔离装置安全3区至安全1区应使用反向物理隔离装置安全1区与安全1区纵向应使用纵向加密认证装置71 电力调度数据网络承载的业务有哪些?答:电力实时控制业务、在线生产业务及本网网管业务。72 电能量计费系统横向网络边界的安全防护措施是什么?答:电能量计费系统横向网络边界的安全防护措施是:(1)对内网关必须通过具备逻辑隔离功能的区内交换机接入(若交换机不具备逻辑隔离功能时,建议部署硬件防火墙),实现同区内不同系统间的逻辑隔离;(2)与安全区之间必须部署硬件防火墙(经有关部门认定核准),作为安全区、之间的逻辑隔离;(3)与安全区之间必须部署专用安全隔离装置(正向型和反向型),作为安全区、之间的物理隔离。73 对网络设备运行管理应采取哪些必要的安

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论