1.?電力二次系統(tǒng)安全防護目標是什么?
答:抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊,特別是能夠抵御集團式攻擊,防止由此導致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。
2.?電監(jiān)會5號令中電力二次系統(tǒng)是指什么?
答:包括電力監(jiān)控系統(tǒng)、繼電保護和安自裝置、負荷控制、電力通信及數(shù)據(jù)網(wǎng)絡(luò)等。
3.?電監(jiān)會5號令中電力監(jiān)控系統(tǒng)是指什么?
答:是指用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運行過程的、基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備等。包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動化系統(tǒng)、換流站計算機監(jiān)控系統(tǒng)、發(fā)電廠計算機監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、微機繼電保護和安全自動裝置、廣域相量測量系統(tǒng)、負荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計量計費系統(tǒng)、實時電力市場的輔助控制系統(tǒng)等。
4.?電監(jiān)會5號令中電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)指什么?
答:是指各級電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò)、電力生產(chǎn)專用撥號網(wǎng)絡(luò)等。
5.?電監(jiān)會5號令中控制區(qū)指什么?
答:是指由具有實時監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或?qū)S猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。
6.?電監(jiān)會5號令中非控制區(qū)指什么?
答:是指在生產(chǎn)控制范圍內(nèi)由在線運行但不直接參與控制、是電力生產(chǎn)過程的必要環(huán)節(jié)、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。
7.?電力二次系統(tǒng)的安全防護原則?
答:電力二次系統(tǒng)安全防護原則是安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證,保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。
8.?電力二次系統(tǒng)如何進行安全分區(qū)?
答:發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計算機和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng),原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。
?? 生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)I)和非控制區(qū)(安全區(qū)Ⅱ);管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下,可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)。
? 根據(jù)應(yīng)用系統(tǒng)實際情況,在滿足總體安全要求的前提下,可以簡化安全區(qū)的設(shè)置,但是應(yīng)當避免通過廣域網(wǎng)形成不同安全區(qū)的縱向交叉連接。
9.?電力二次系統(tǒng)中不同的安全分區(qū)相應(yīng)的安全等級是什么?
答:不同的安全區(qū)域確定了不同的安全防護要求,從而決定了不同的安全等級和防護水平。生產(chǎn)控制大區(qū)的安全等級高于管理信息大區(qū),其中控制區(qū)(安全區(qū)Ⅰ)的安全等級相當于計算機信息系統(tǒng)安全保護等級的第4級,非控制區(qū)(安全區(qū)II)相當于計算機信息系統(tǒng)安全保護等級的第3級。安全分區(qū)是電力二次安全防護體系的結(jié)構(gòu)基礎(chǔ)。
10.?生產(chǎn)控制大區(qū)中安全區(qū)I(控制區(qū))的典型系統(tǒng)是什么?
答:包括調(diào)度自動化系統(tǒng)(SCADA/EMS)、廣域相量測量系統(tǒng)、配電自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)、安全自動控制系統(tǒng)、低頻/低壓自動減載系統(tǒng)、負荷控制系統(tǒng)等。
11.?生產(chǎn)控制大區(qū)中安全區(qū)II(非控制區(qū))的典型系統(tǒng)是什么?
答:調(diào)度員培訓模擬系統(tǒng)(DTS)、水調(diào)自動化系統(tǒng)、繼電保護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、批發(fā)電力交易系統(tǒng)等。
12.?業(yè)務(wù)系統(tǒng)分區(qū)規(guī)則?
答:綜合考慮業(yè)務(wù)系統(tǒng)或功能模塊的實時性、使用者、主要功能、設(shè)備場所、各業(yè)務(wù)系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式、對電力系統(tǒng)的影響等因素,按以下規(guī)則將業(yè)務(wù)系統(tǒng)或功能模塊置于合適的安全區(qū):
(1)?實時控制系統(tǒng)或未來可能有實時控制功能的系統(tǒng)應(yīng)置于安全區(qū)Ⅰ。
(2)?電力二次系統(tǒng)中不允許把應(yīng)屬于高安全等級區(qū)域的業(yè)務(wù)系統(tǒng)遷移到低安全等級區(qū)域運行;但允許把屬于低安全等級區(qū)域的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高安全等級區(qū)域,由屬于高安全等級區(qū)域的人員控制和使用。
(3)?盡可能將業(yè)務(wù)系統(tǒng)完整置于一個安全內(nèi);當某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時,可根據(jù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流程將不同的功能模塊(或子系統(tǒng))分置于合適的安全區(qū)中,各功能模塊(或子系統(tǒng))經(jīng)過安全區(qū)之間的通信聯(lián)接整個業(yè)務(wù)系統(tǒng)。
(4)?與外部邊界網(wǎng)絡(luò)不存在聯(lián)系的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng),對其劃分規(guī)則不作要求,但需遵守所在安全區(qū)的安全防護要求。
根據(jù)實際情況,安全區(qū)I和安全區(qū)II不一定同時存在。某一安全區(qū)不存在的條件是其本身不存在該安全區(qū)的業(yè)務(wù),且與其它電力二次系統(tǒng)在該安全區(qū)不存在“縱向”互聯(lián)。如果省略某安全區(qū)而導致上下級安全區(qū)的縱向交叉,則應(yīng)該構(gòu)造一個最小安全區(qū)并安裝安全區(qū)間的隔離裝置,以保持安全防護體系的完整性。
13.?電力二次系統(tǒng)安全區(qū)連接的拓撲結(jié)構(gòu)有幾種,各有什么特點?
答:電力二次系統(tǒng)安全區(qū)連接的拓撲結(jié)構(gòu)有鏈式、三角和星形結(jié)構(gòu)三種。
14.?如何構(gòu)建安全隔離的電力調(diào)度數(shù)據(jù)網(wǎng)?
答:電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng),采用基于SDH/PDH上的不同通道、不同光波長、不同纖芯等方式,在物理層面上實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)是電力二次安全防護體系的重要網(wǎng)絡(luò)基礎(chǔ)。
15.?在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的安全要求是什么?
答:在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應(yīng)接近或達到物理隔離。
16.?生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間的安全防護要求是什么?
答:生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當采用具有訪問控制功能的設(shè)備、防火墻或者相當功能的設(shè)施,實現(xiàn)邏輯隔離。具體隔離裝置的選擇還需要考慮業(yè)務(wù)所需帶寬及實時性的要求。
17.?什么類型的數(shù)據(jù)才能穿越專用橫向單向安全隔離裝置?
答:嚴格禁止E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫訪問功能穿越專用橫向單向安全隔離裝置,僅允許純數(shù)據(jù)的單向安全傳輸。
18.?防火墻的特點是什么?
答:防火墻(firewall)是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策(允許、拒絕、監(jiān)測)控制出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
19.?專用橫向單向安全隔離裝置分為幾種?
答:專用橫向單向安全隔離裝置分為正向型和反向型。
20.?反向安全隔離裝置的特點是什么?
答:反向安全隔離裝置采取簽名認證和數(shù)據(jù)過濾措施,僅允許純文本數(shù)據(jù)通過,并嚴格防范病毒、木馬等惡意代碼進入生產(chǎn)控制大區(qū)。