1.?電力二次系統安全防護目標是什么�?
答:抵御黑客、病毒����、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊,特別是能夠抵御集團式攻擊��,防止由此導致一次系統事故或大面積停電事故及二次系統的崩潰或癱瘓。
2.?電監會5號令中電力二次系統是指什么���?
答:包括電力監控系統、繼電保護和安自裝置��、負荷控制�����、電力通信及數據網絡等�����。
3.?電監會5號令中電力監控系統是指什么?
答:是指用于監視和控制電網及電廠生產運行過程的、基于計算機及網絡技術的業務處理系統及智能設備等����。包括電力數據采集與監控系統�����、能量管理系統、變電站自動化系統��、換流站計算機監控系統����、發電廠計算機監控系統、配電自動化系統�、微機繼電保護和安全自動裝置�、廣域相量測量系統�、負荷控制系統�����、水調自動化系統和水電梯級調度自動化系統��、電能量計量計費系統、實時電力市場的輔助控制系統等����。
4.?電監會5號令中電力調度數據網絡指什么�����?
答:是指各級電力調度專用廣域數據網絡、電力生產專用撥號網絡等。
5.?電監會5號令中控制區指什么��?
答:是指由具有實時監控功能���、縱向聯接使用電力調度數據網的實時子網或專用通道的各業務系統構成的安全區域���。
6.?電監會5號令中非控制區指什么�����?
答:是指在生產控制范圍內由在線運行但不直接參與控制��、是電力生產過程的必要環節、縱向聯接使用電力調度數據網的非實時子網的各業務系統構成的安全區域�����。
7.?電力二次系統的安全防護原則����?
答:電力二次系統安全防護原則是安全分區�����、網絡專用�、橫向隔離����、縱向認證,保障電力監控系統和電力調度數據網絡的安全���。
8.?電力二次系統如何進行安全分區�?
答:發電企業����、電網企業、供電企業內部基于計算機和網絡技術的業務系統��,原則上劃分為生產控制大區和管理信息大區����。
?? 生產控制大區可以分為控制區(安全區I)和非控制區(安全區Ⅱ);管理信息大區內部在不影響生產控制大區安全的前提下�����,可以根據各企業不同安全要求劃分安全區�����。
? 根據應用系統實際情況���,在滿足總體安全要求的前提下,可以簡化安全區的設置�,但是應當避免通過廣域網形成不同安全區的縱向交叉連接�。
9.?電力二次系統中不同的安全分區相應的安全等級是什么����?
答:不同的安全區域確定了不同的安全防護要求,從而決定了不同的安全等級和防護水平��。生產控制大區的安全等級高于管理信息大區�,其中控制區(安全區Ⅰ)的安全等級相當于計算機信息系統安全保護等級的第4級,非控制區(安全區II)相當于計算機信息系統安全保護等級的第3級��。安全分區是電力二次安全防護體系的結構基礎�。
10.?生產控制大區中安全區I(控制區)的典型系統是什么?
答:包括調度自動化系統(SCADA/EMS)、廣域相量測量系統���、配電自動化系統、變電站自動化系統、發電廠自動監控系統����、安全自動控制系統�����、低頻/低壓自動減載系統、負荷控制系統等�。
11.?生產控制大區中安全區II(非控制區)的典型系統是什么���?
答:調度員培訓模擬系統(DTS)���、水調自動化系統���、繼電保護及故障錄波信息管理系統���、電能量計量系統����、批發電力交易系統等��。
12.?業務系統分區規則?
答:綜合考慮業務系統或功能模塊的實時性�����、使用者���、主要功能��、設備場所��、各業務系統間的相互關系�、廣域網通信方式��、對電力系統的影響等因素���,按以下規則將業務系統或功能模塊置于合適的安全區:
(1)?實時控制系統或未來可能有實時控制功能的系統應置于安全區Ⅰ���。
(2)?電力二次系統中不允許把應屬于高安全等級區域的業務系統遷移到低安全等級區域運行����;但允許把屬于低安全等級區域的業務系統的終端設備放置于高安全等級區域��,由屬于高安全等級區域的人員控制和使用�。
(3)?盡可能將業務系統完整置于一個安全內���;當某些業務系統的次要功能與根據主要功能所選定的安全區不一致時�����,可根據業務系統的數據流程將不同的功能模塊(或子系統)分置于合適的安全區中,各功能模塊(或子系統)經過安全區之間的通信聯接整個業務系統����。
(4)?與外部邊界網絡不存在聯系的業務系統為孤立業務系統�,對其劃分規則不作要求�����,但需遵守所在安全區的安全防護要求���。
根據實際情況���,安全區I和安全區II不一定同時存在��。某一安全區不存在的條件是其本身不存在該安全區的業務,且與其它電力二次系統在該安全區不存在“縱向”互聯����。如果省略某安全區而導致上下級安全區的縱向交叉�����,則應該構造一個最小安全區并安裝安全區間的隔離裝置,以保持安全防護體系的完整性�����。
13.?電力二次系統安全區連接的拓撲結構有幾種���,各有什么特點����?
答:電力二次系統安全區連接的拓撲結構有鏈式���、三角和星形結構三種�。
14.?如何構建安全隔離的電力調度數據網?
答:電力調度數據網應當在專用通道上使用獨立的網絡設備組網,采用基于SDH/PDH上的不同通道、不同光波長��、不同纖芯等方式�����,在物理層面上實現與電力企業其它數據網及外部公共信息網的安全隔離�。電力調度數據網是電力二次安全防護體系的重要網絡基礎�����。
15.?在生產控制大區與管理信息大區之間的安全要求是什么�?
答:在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置����,隔離強度應接近或達到物理隔離。
16.?生產控制大區內部的安全區之間的安全防護要求是什么����?
答:生產控制大區內部的安全區之間應當采用具有訪問控制功能的設備����、防火墻或者相當功能的設施,實現邏輯隔離。具體隔離裝置的選擇還需要考慮業務所需帶寬及實時性的要求�����。
17.?什么類型的數據才能穿越專用橫向單向安全隔離裝置�����?
答:嚴格禁止E-Mail、Web、Telnet、Rlogin����、FTP等通用網絡服務和以B/S或C/S方式的數據庫訪問功能穿越專用橫向單向安全隔離裝置���,僅允許純數據的單向安全傳輸��。
18.?防火墻的特點是什么?
答:防火墻(firewall)是指設置在不同網絡(如可信任的企業內部網和不可信任的公共網)或網絡安全域之間的一系列部件的組合�。它是不同網絡或網絡安全域之間信息的唯一出入口�,能根據企業的安全政策(允許��、拒絕�、監測)控制出入網絡的信息流�,且本身具有較強的抗攻擊能力。它是提供信息安全服務�����,實現網絡和信息安全的基礎設施�����。
19.?專用橫向單向安全隔離裝置分為幾種���?
答:專用橫向單向安全隔離裝置分為正向型和反向型�。
20.?反向安全隔離裝置的特點是什么�?
答:反向安全隔離裝置采取簽名認證和數據過濾措施,僅允許純文本數據通過��,并嚴格防范病毒�����、木馬等惡意代碼進入生產控制大區��。
