1.?電力二次系統(tǒng)安全防護(hù)目標(biāo)是什么?
答:抵御黑客、病毒、惡意代碼等通過(guò)各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊,特別是能夠抵御集團(tuán)式攻擊,防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。
2.?電監(jiān)會(huì)5號(hào)令中電力二次系統(tǒng)是指什么?
答:包括電力監(jiān)控系統(tǒng)、繼電保護(hù)和安自裝置、負(fù)荷控制、電力通信及數(shù)據(jù)網(wǎng)絡(luò)等。
3.?電監(jiān)會(huì)5號(hào)令中電力監(jiān)控系統(tǒng)是指什么?
答:是指用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運(yùn)行過(guò)程的、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備等。包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動(dòng)化系統(tǒng)、換流站計(jì)算機(jī)監(jiān)控系統(tǒng)、發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)、配電自動(dòng)化系統(tǒng)、微機(jī)繼電保護(hù)和安全自動(dòng)裝置、廣域相量測(cè)量系統(tǒng)、負(fù)荷控制系統(tǒng)、水調(diào)自動(dòng)化系統(tǒng)和水電梯級(jí)調(diào)度自動(dòng)化系統(tǒng)、電能量計(jì)量計(jì)費(fèi)系統(tǒng)、實(shí)時(shí)電力市場(chǎng)的輔助控制系統(tǒng)等。
4.?電監(jiān)會(huì)5號(hào)令中電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)指什么?
答:是指各級(jí)電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò)、電力生產(chǎn)專用撥號(hào)網(wǎng)絡(luò)等。
5.?電監(jiān)會(huì)5號(hào)令中控制區(qū)指什么?
答:是指由具有實(shí)時(shí)監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)或?qū)S猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。
6.?電監(jiān)會(huì)5號(hào)令中非控制區(qū)指什么?
答:是指在生產(chǎn)控制范圍內(nèi)由在線運(yùn)行但不直接參與控制、是電力生產(chǎn)過(guò)程的必要環(huán)節(jié)、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。
7.?電力二次系統(tǒng)的安全防護(hù)原則?
答:電力二次系統(tǒng)安全防護(hù)原則是安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證,保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。
8.?電力二次系統(tǒng)如何進(jìn)行安全分區(qū)?
答:發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng),原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。
?? 生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)I)和非控制區(qū)(安全區(qū)Ⅱ);管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下,可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)。
? 根據(jù)應(yīng)用系統(tǒng)實(shí)際情況,在滿足總體安全要求的前提下,可以簡(jiǎn)化安全區(qū)的設(shè)置,但是應(yīng)當(dāng)避免通過(guò)廣域網(wǎng)形成不同安全區(qū)的縱向交叉連接。
9.?電力二次系統(tǒng)中不同的安全分區(qū)相應(yīng)的安全等級(jí)是什么?
答:不同的安全區(qū)域確定了不同的安全防護(hù)要求,從而決定了不同的安全等級(jí)和防護(hù)水平。生產(chǎn)控制大區(qū)的安全等級(jí)高于管理信息大區(qū),其中控制區(qū)(安全區(qū)Ⅰ)的安全等級(jí)相當(dāng)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的第4級(jí),非控制區(qū)(安全區(qū)II)相當(dāng)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的第3級(jí)。安全分區(qū)是電力二次安全防護(hù)體系的結(jié)構(gòu)基礎(chǔ)。
10.?生產(chǎn)控制大區(qū)中安全區(qū)I(控制區(qū))的典型系統(tǒng)是什么?
答:包括調(diào)度自動(dòng)化系統(tǒng)(SCADA/EMS)、廣域相量測(cè)量系統(tǒng)、配電自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、發(fā)電廠自動(dòng)監(jiān)控系統(tǒng)、安全自動(dòng)控制系統(tǒng)、低頻/低壓自動(dòng)減載系統(tǒng)、負(fù)荷控制系統(tǒng)等。
11.?生產(chǎn)控制大區(qū)中安全區(qū)II(非控制區(qū))的典型系統(tǒng)是什么?
答:調(diào)度員培訓(xùn)模擬系統(tǒng)(DTS)、水調(diào)自動(dòng)化系統(tǒng)、繼電保護(hù)及故障錄波信息管理系統(tǒng)、電能量計(jì)量系統(tǒng)、批發(fā)電力交易系統(tǒng)等。
12.?業(yè)務(wù)系統(tǒng)分區(qū)規(guī)則?
答:綜合考慮業(yè)務(wù)系統(tǒng)或功能模塊的實(shí)時(shí)性、使用者、主要功能、設(shè)備場(chǎng)所、各業(yè)務(wù)系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式、對(duì)電力系統(tǒng)的影響等因素,按以下規(guī)則將業(yè)務(wù)系統(tǒng)或功能模塊置于合適的安全區(qū):
(1)?實(shí)時(shí)控制系統(tǒng)或未來(lái)可能有實(shí)時(shí)控制功能的系統(tǒng)應(yīng)置于安全區(qū)Ⅰ。
(2)?電力二次系統(tǒng)中不允許把應(yīng)屬于高安全等級(jí)區(qū)域的業(yè)務(wù)系統(tǒng)遷移到低安全等級(jí)區(qū)域運(yùn)行;但允許把屬于低安全等級(jí)區(qū)域的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高安全等級(jí)區(qū)域,由屬于高安全等級(jí)區(qū)域的人員控制和使用。
(3)?盡可能將業(yè)務(wù)系統(tǒng)完整置于一個(gè)安全內(nèi);當(dāng)某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時(shí),可根據(jù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流程將不同的功能模塊(或子系統(tǒng))分置于合適的安全區(qū)中,各功能模塊(或子系統(tǒng))經(jīng)過(guò)安全區(qū)之間的通信聯(lián)接整個(gè)業(yè)務(wù)系統(tǒng)。
(4)?與外部邊界網(wǎng)絡(luò)不存在聯(lián)系的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng),對(duì)其劃分規(guī)則不作要求,但需遵守所在安全區(qū)的安全防護(hù)要求。
根據(jù)實(shí)際情況,安全區(qū)I和安全區(qū)II不一定同時(shí)存在。某一安全區(qū)不存在的條件是其本身不存在該安全區(qū)的業(yè)務(wù),且與其它電力二次系統(tǒng)在該安全區(qū)不存在“縱向”互聯(lián)。如果省略某安全區(qū)而導(dǎo)致上下級(jí)安全區(qū)的縱向交叉,則應(yīng)該構(gòu)造一個(gè)最小安全區(qū)并安裝安全區(qū)間的隔離裝置,以保持安全防護(hù)體系的完整性。
13.?電力二次系統(tǒng)安全區(qū)連接的拓?fù)浣Y(jié)構(gòu)有幾種,各有什么特點(diǎn)?
答:電力二次系統(tǒng)安全區(qū)連接的拓?fù)浣Y(jié)構(gòu)有鏈?zhǔn)?、三角和星形結(jié)構(gòu)三種。
14.?如何構(gòu)建安全隔離的電力調(diào)度數(shù)據(jù)網(wǎng)?
答:電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng),采用基于SDH/PDH上的不同通道、不同光波長(zhǎng)、不同纖芯等方式,在物理層面上實(shí)現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)是電力二次安全防護(hù)體系的重要網(wǎng)絡(luò)基礎(chǔ)。
15.?在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的安全要求是什么?
答:在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置,隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。
16.?生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間的安全防護(hù)要求是什么?
答:生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問(wèn)控制功能的設(shè)備、防火墻或者相當(dāng)功能的設(shè)施,實(shí)現(xiàn)邏輯隔離。具體隔離裝置的選擇還需要考慮業(yè)務(wù)所需帶寬及實(shí)時(shí)性的要求。
17.?什么類型的數(shù)據(jù)才能穿越專用橫向單向安全隔離裝置?
答:嚴(yán)格禁止E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫(kù)訪問(wèn)功能穿越專用橫向單向安全隔離裝置,僅允許純數(shù)據(jù)的單向安全傳輸。
18.?防火墻的特點(diǎn)是什么?
答:防火墻(firewall)是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策(允許、拒絕、監(jiān)測(cè))控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
19.?專用橫向單向安全隔離裝置分為幾種?
答:專用橫向單向安全隔離裝置分為正向型和反向型。
20.?反向安全隔離裝置的特點(diǎn)是什么?
答:反向安全隔離裝置采取簽名認(rèn)證和數(shù)據(jù)過(guò)濾措施,僅允許純文本數(shù)據(jù)通過(guò),并嚴(yán)格防范病毒、木馬等惡意代碼進(jìn)入生產(chǎn)控制大區(qū)。