3二次系统安防题库38页.docx

1、3二次系统安防题库38页一、判断题1. 雷电系统与能量管理系统均在同一个安全区中。（ ）2. EMS与DTS均在同一个局域网中。（ ）3. EMS与WAMS均在同一个安全区中。（ ）4. E-mail、Web、Telnet、Rlogin等服务可以穿越控制区（安全区）与非控制区（安全区）之间的隔离设备。（ ）5. EMS系统禁止开通EMAIL、WEB以及其它与业务无关的通用网络服务。（ ）6. 各业务系统位于生产控制大区的工作站、服务器均严格禁止以各种方式开通与互联网的连接。（ ）7. 在生产控制大区中的PC机等应该拆除可能传播病毒等恶意代码的软盘驱动、光盘驱动、USB接口、串行口等，或通过安全

2、管理平台实施严格管理。（ ）8. 已投运的EMS系统不需要进行安全评估，新建设的EMS系统必须经过安全评估合格后后方可投运。（ ）9. 防火墙只能对IP地址进行限制和过滤？（ ） 10. 数字证书是电子的凭证，它用来验证在线的个人、组织或计算机的合法身份。（ ）11. 国家经贸委2002第30号令是电力二次系统安全防护规定。（ ）12. 国家电力监管委员会第5号令中规定电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。（ ）13. 计算机黑客是对电子信息系统的正常秩序构成了威胁和破坏的人群的称谓。（ ）14. 虚拟专用网(VPN)就是在国际互联网网络上建立属于自己的私有数据网络。（

3、 ）15. 电力二次系统安全评估方式以自评估与检查评估相结合的方式开展，并纳入电力系统安全评价体系。（ ）16. 蠕虫是具有欺骗性的文件（宣称是良性的，但事实上是恶意的），是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。（ ）二、填空1. 国家电力监管委员会令第5号中电力调度数据网络是指（ ）？2. 国家电力监管委员会第5号令是（ ）？3. 电力二次系统安全防护原则是“（ 、 、 、 ）”,保障电力监控系统和电力调度数据网络的安全。4. （ ）是电力二次系统安全防护体系的结构基础。5. 专用横向单向安全隔离装置按照数据通信方向分为（ ）和（ ）。6. 安全评估的主要内容是评估二次系统

4、的（ ）、（ ）、脆弱性和现有安全措施。7. 电力二次系统涉及到的数据通信网络包括（ ）、（ ）？8. 电力调度数据网划分为逻辑隔离的（ ）和（ ），分别连接控制区和非控制区。9. 拨号访问的防护可以采用（ ）保护方式或者（ ）保护方式。10. 电力调度数字证书系统的技术体制是依照电力调度管理体制建立基于（ ）技术的分布式的电力调度数字证书系统。11. 网络风险是丢失需要保护的资产的可能性。风险的两个组成部分：（ ）攻击的可能的途径；（ ）可能破坏网络系统环境安全的动作或事件。12. 防火墙可分为包过滤型防火墙、（ ）型防火墙和（ ）型防火墙。13. 根据技术原理，入侵检测系统IDS可分为以下

5、两类：基于（ ）的入侵检测系统和基于（ ）的入侵检测系统。14. 实现纵向加密认证功能的设备有：（ ）和（ ）。15. 电力调度数字证书分为：人员证书、（ ）证书、（ ）证书三类。16. VPN采用（ ）技术、加密技术、（ ）技术和身份认证技术来保证其安全。三、单选题1. 电力二次系统的安全防护策略：( ) A、实时控制、严格管理、加强防范、横向隔离。B、安全分区、实时控制、严防病毒、隔离认证。C、安全分区、网络专用、横向隔离、纵向认证。D、实时控制、严格划分、严防病毒、横纵认证。2. 整个电力二次系统原则上分为两个安全大区：( ) A、实时控制大区、生产管理大区。B、生产控制大区、管理信息大

6、区。C、生产控制大区、生产应用大区。D、实时控制大区、信息管理大区。3. 安全区的典型系统包括：( )A、（1）DTS系统（2）统计报表系统（2）管理信息系统（MIS）（4）办公自动化系统（OA）B、（1）DMIS系统（2）统计报表系统（3）雷电监测系统（4）气象信息接入等C、（1）DTS系统（2）保护信息管理系统（3）电能量计量系统（4）电力市场运营系统等D、（1）管理信息系统（MIS）（2）办公自动化系统（OA）（3）雷电监测系统（4）客户服务系统等4. 下列不属于网络安全的技术是：( )A.防火墙 B.加密狗 C.认证 D.防病毒5. 网络安全的特征：( )A、（1）程序性（2）完整性

7、（3）隐蔽性（4）可控性。B、（1）保密性（2）完整性 （3）可用性（4）可控性。C、（1）程序性（2）潜伏性 （3）可用性（4）隐蔽性D、（1）保密性（2）潜伏性 （3）安全性（4）可靠性6. 计算机病毒六大特性：( ) A、（1）程序性（2）破坏性（3）繁殖性（4）寄生性（5）隐蔽性（6）潜伏性B、（1）潜伏性（2）寄生性（3）危害性（4）破坏性（5）传染性（6）繁殖性C、（1）程序性（2）破坏性（3）传染性（4）寄生性（5）隐蔽性（6）潜伏性D、（1）破坏性（2）程序性（3）繁殖性（4）隐蔽性（5）寄生性（6）危害性7. 以下关于VPN的说法中哪一项是正确的？( ) A、 VPN是虚拟专

8、用网的简称，它只能由ISP维护和实施B、 VPN是只能在第二层数据链路层上实现加密C、 IPSEC是也是VPN的一种D、 VPN使用通道技术加密，但没有身份验证功能8. 假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段？( ) A、缓冲区溢出 B、地址欺骗 C、拒绝服务 D、暴力攻击9. 当你感觉到你的Win2000运行速度明显减慢，当你打开任务管理器后发现CPU的使用率达到了百分之百，你最有可能认为你受到了哪一种攻击。( ) A、特洛伊木马 B、拒绝服务 C、欺骗 D、中间人攻击10. 国家电力监管委员会令第5号电力二次系统安全防护规定于20

9、04年12月20日公布，自（ ）起施行。A、2005年1月1日 B、2005年2月1日 C、2005年5月1日 D、2005年6月1日11. 电力调度数据网应当基于（ ）在专用通道上使用独立的网络设备组网。 A、ATM B、光纤 C、SDH/PDH D、PDH12. 防火墙产品可以部署在（ ）之间。 A、安全区I与安全区II之间 B、安全区I与安全区之间 C、安全区与安全区之间 D、安全区I与安全区之间13. 国家电力监管委员会第5号令中明确( )负责电力二次系统安全防护的监管，制定电力二次系统安全防护技术规范并监督实施。 A、国家电网公司B、信息安全管理部门C、调度机构D、国家电力监管委员会

10、14. 对于电力监控系统应该（ ）安全评估。A、每年进行一次 B、每半年进行一次 C、定时 D、经常15. （ ）设计用来将自己从一台计算机复制到另一台计算机，但是它自动进行。首先，它控制计算机上可以传输文件或信息的功能，其次还可单独传播并大量复制。A、蠕虫 B、病毒 C、木马 D、黑客16. （ ）是一种含有非预期或者隐藏功能的计算机程序，是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。A、蠕虫 B、病毒 C、木马 D、黑客17. MS-DOS操作系统在计算机操作系统的安全等级中为（ ）类？A、A类 B、B类 C、C类 D、D类 18. Microsoft IE

11、中安全区域中（ ）区域为安全级别为低级，包含用户确认不会损坏计算机或数据的Web站点。A、Internet区域B、本地Intranet区域C、受信任站点区域D、受限站点区域19. 当发生涉及调度数据网络和控制系统安全的事件时，应立即向上一级调度机构报告，同时报国调中心，并在（ ） 小时内提供书面报告。A、4 B、8 C、12 D、2420. 电力二次系统安全防护的特点是具有（ ）和动态性。A、系统性 B、安全性 C、开放性 D、稳定性21. 应用级防火墙不工作在以下OSI分层的那一层？ ( )A、物理层 B、网络层 C、传输层 D、应用层22. 接入电力调度数据网络的设备和应用系统，其接入技术

12、方案和安全防护措施须经（ ）核准。A、当地网络安全部门B、上级调度机构C、直接负责的电力调度机构D、当地公安部门 四、多选题1. 在保证密码安全中，我们应采取正确的措施有？( ) A、 不用生日做密码B、 不要使用少于5位的密码C、 不要使用纯数字D、 不要将密码设得非常复杂2. 在黑客入侵的探测阶段，他们会使用下面哪些方面方法来尝试入侵？( ) A、 破解密码B、 确定系统默认的配置C、 寻找泄露的信息D、 击败访问控制E、 确定资源的位置F、 击败加密机制3. 电力监控系统包括（ ）？ A、调度自动化系统B、变电站自动化系统C、电能量计量计费系统D、调度生产管理系统4. 电力调度数据网逻辑

13、子网的划分技术有（ ）？A、MPLS-VPN技术 B、安全隧道技术 C、PVC技术 D、静态路由技术5. 加密认证网关具有（ ）功能？ A、认证 B、加密 C、安全过滤 D、对数据通信应用层协议及报文的处理功能。6. 生产控制大区部署的入侵检测系统的主要作用是（ ）？A、捕获网络异常行为 B、分析潜在威胁 C、安全审计 D、查杀病毒7. 主机加固方式包括（ ） 。A、安全配置 B、安全补丁 C、加装防病毒软件 D、采用专用软件强化操作系统访问控制能力8. 日常安全管理制度包括（ ）？A、门禁管理 B、人员管理 C、权限管理 D、访问控制管理9. 网络安全的特征是（ ）？A、 保密性 B、完整性

14、 C、可用性 D、可控性。10. 网络安全的关键技术有（ ）哪些？A、身份认证技术 B、访问控制技术 C、主机安全技术 D、隔离技术11. 网络攻击类型有（ ）？A、阻断攻击 B、截取攻击 C、篡改攻击 D、伪造攻击12. 计算机病毒的特征包括( ) ？ A控制性 B、隐蔽性 C、潜伏性 D、破坏性13. 防火墙基本功能有（ ）？A、过滤进、出网络的数据 B、管理进、出网络的访问行为 C、封堵某些禁止的业务 D、提供事件记录流的信息源 E、对网络攻击检测和告警。14. 关于电力二次系统安全评估的那些说法是正确的？( ) A、电力二次系统在投运之前需要进行安全评估 B、电力二次系统升级改造之后需

15、要进行安全评估 C、已投入运行的系统不需要进行安全评估 D、电力监控系统应该每年进行一次安全评估。15. 电力二次系统安全防护的重点是抵御（ ）等通过各种形式对系统发起的恶意破坏和攻击，能够抵御集团式攻击。A、黑客 B、邮件 C、普通用户 D、病毒16. 下列哪种网络安全产品不能有效地进行网络访问控制。( )A、VPN B、防火墙 C、入侵检测系统 D、路由器 17. 根据技术原理，IDS可分为以下两类（ ）。A、基于用户的入侵检测系统B、基于客户机的入侵检测系统C、基于网络的入侵检测系统D、基于主机的入侵检测系统18. 调度数据网包括（ ）。A、各级电力调度专用广域数据网络B、用于远程维护调

16、度专用拨号网络C、用于远程采集的专用拨号网络D、数据通信网络五、简答题1. 国家经贸委2002第30号令公布时间和施行时间分别是哪日？答：电网和电厂计算机监控系统及调度数据网络安全防护规定于2002年5月8日公布，自2002年6月8日起施行。2. 国家经贸委2002第30号令规定所称“电力监控系统”是指什么？答：包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等；“调度数据网络”包括各级电力调度专用广域数据网络、用于远程维护及

17、电能量计费等的调度专用拨号网络、各计算机监控系统内部的本地局域网络等。3. 国家电力监管委员会令第5号中电力二次系统是指什么？答：电力二次系统，包括电力监控系统、电力通信及数据网络等。4. 国家电力监管委员会令第5号中的电力监控系统是指什么？答：是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制

18、系统等。5. 国家电力监管委员会令第5号中控制区指什么？答：是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。6. 国家电力监管委员会令第5号中非控制区指什么？答：是指在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。7. 国家电力监管委员会第5号令的监督范围？答：电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等应当符合国家电力监管委员会第5号令的要求。8. 电力二次系统安全防护的总要求是什么？答：电力二次系统的安全防护主要针对网络系统和基于网络

19、的生产控制系统，重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要敏感数据的安全。9. 电力二次系统安全防护目标？答：抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。10. 电力二次系统安全防护的总体安全防护水平取决于什么？答：电力二次系统安全防护是复杂的系统工程，其总体安全防护水平取决于系统中最薄弱点的安全水平。11. 电力二次系统安全防护的机制？答：电力二次系统安全防护过程是长期的动态过程，各单位应当严格落实总体安全防护原则，建立和完善以安全防护原则为中心的安全监测、

20、快速响应、安全措施、审计评估等步骤组成的循环机制。12. 电力二次系统安全防护总体方案的安全分区？答：生产控制大区：安全区（控制区），安全区（非控制区）管理信息大区：安全区III（生产管理区），安全区IV（管理信息区）13. 电力二次系统如何进行安全分区？答：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过

21、广域网形成不同安全区的纵向交叉连接。14. 安全区I的典型系统包括哪些？答：调度自动化系统（SCADA/EMS）、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统、继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等。15. 安全区I的业务系统或功能模块的典型特征是什么？答：是电力生产的重要环节、安全防护的重点与核心；直接实现对一次系统运行的实时监控；纵向使用电力调度数据网络或专用通道。16. 安全区的典型系统包括哪些？答：调度员培训模拟系统（DTS）、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等。17. 安全区的

22、业务系统或功能模块的典型特征是什么？答：所实现的功能为电力生产的必要环节；在线运行，但不具备控制功能；使用电力调度数据网络，与控制区（安全区I）中的系统或功能模块联系紧密。18. 省级以上调度中心安全区III的典型系统包括哪些？答：调度生产管理系统（DMIS）、调度报表系统（日报、旬报、月报、年报）、雷电监测系统、气象信息接入等。19. 安全区IV的系统一般包括哪些？答：管理信息系统（MIS）、办公自动化系统（OA）、客户服务系统等。20. 省级以上调度中心二次系统安全防护各安全区的典型系统？答：安全区I：能量管理系统、广域相量测量系统、安全自动控制系统、调度数据网网络管理及安全告警系统等；安

23、全区II：调度员培训模拟系统、电能量计量系统、电力市场运营系统、继电保护和故障录波信息管理系统、调度计划管理系统、在线稳定计算系统等；安全区III：调度生产管理系统、雷电监测系统、气象/卫星云图系统、电力市场监管信息系统接口等；安全区IV：办公自动化、Web服务等。21. 生产控制大区内部安全防护是如何要求？答：1）禁止生产控制大区内部的E-Mail服务，禁止控制区（安全区）内通用的Web服务。允许非控制区（安全区）内部业务系统采用B/S结构，但仅限于业务系统内部使用。允许提供纵向安全Web服务，可以采用经过安全加固且支持HTTPS的安全Web服务器和Web浏览工作站。2）生产控制大区重要业务

24、（如SCADA/AGC、电力市场交易等）的远程通信必须采用加密认证机制，对已有系统应逐步改造。3）生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施，限制系统间的直接互通。4）生产控制大区的拨号访问服务，服务器和用户端均应使用经国家指定部门认证的安全加固的操作系统，并采取加密、认证和访问控制等安全防护措施。5）生产控制大区边界上可部署入侵检测系统IDS。6）生产控制大区应部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。7）生产控制大区应该统一部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以

25、及IDS规则库的更新应该离线进行。22. 管理信息大区安全要求是什么？答：应当统一部署防火墙、IDS、恶意代码防护系统等通用安全防护设施。23. 生产控制大区连接的广域网我们称为什么，采用什么技术构造？答：与生产控制大区连接的广域网为电力调度数据网(SGDnet)；电力调度数据网（SGDnet）采用IP交换技术体制，构建在SDH专用通道上面（即IP over SDH技术构造）。24. 如何构建安全隔离的电力调度数据网?答：电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基于SDH/PDH不同通道、不同光波长、不同纤芯等方式，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔

26、离。25. 电力二次安全防护体系的重要网络基础是什么？答：电力调度数据网是电力二次安全防护体系的重要网络基础。26. 电力调度数据网络承载的业务是什么？答：电力调度数据网络是与生产控制大区相连接的专用网络，承载电力实时控制、在线生产交易等业务。27. 电力调度数据网逻辑子网的划分？划分子网的技术有哪些？答：电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。可采用MPLS-VPN技术、安全隧道技术、PVC技术、静态路由等构造子网。28. 如何实现对电力调度数据网网络路由的防护？答：采用虚拟专网技术，将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网，分别对应控

27、制业务和非控制生产业务，保证实时业务的封闭性和高等级的网络服务质量。29. 如何对电力调度数据网网络设备进行安全配置？答：网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、网络边界关闭OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管协议、使用安全的管理方式、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。30. 与管理信息大区连接的广域网我们称为什么?答：与管理信息大区连接的广域网为电力企业数据网或互联网，电力企业数据网为电力企业内联网。电网企业数据网即为电力数据通信网SGTnet。31. 国家电网公司企业数据网称为什么？

28、承载哪些业务？答：国家电网公司企业数据网称为国家电力数据通信网（SGTnet），该网主要承载电力综合信息、电力调度生产管理业务、电力内部数字语音视频等业务。32. 在生产控制大区与管理信息大区之间的安全要求是什么？答：在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离。33. 什么装置是横向防护的关键设备？答：电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施，是横向防护的关键设备。34. 专用横向单向安全隔离装置的作用？答：正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据

29、传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。35. 正向安全隔离装置的功能？答：仅允许纯数据的单向安全传输。36. 反向安全隔离装置的功能？答：集中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。37. 专用横向单向安全隔离装置如何使用？答：从生产控制大区向管理信息大区传输数据必须采用正向安全隔离装置；由管理信息大区向生产控制大区的少量单向数据传输必须经反向安全隔离装置。38. 穿越专用横向单向安全隔离装置的信息要求？答：严格禁止E-Mail、Web、T

30、elnet、Rlogin、FTP等通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据的单向安全传输。39. 生产控制大区内部的安全区之间的安全防护要求是什么？答：生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离。40. 控制区（安全区）与非控制区（安全区）之间的隔离要求？答：控制区（安全区）与非控制区（安全区）之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。禁止安全风险高的通用网络服务穿越该边界。41. 电力专用横向单向安全隔离装置检测证明？答：必须通过公安部安全产品销售许

31、可，获得国家指定机构安全检测证明，用于厂站的设备还需通过电力系统电磁兼容检测。42. 在生产控制大区与广域网的纵向交接处如何实现安全防护？答：在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。43. 什么是电力二次安全防护体系的纵向防线？答：纵向加密认证是电力二次安全防护体系的纵向防线。44. 数据的远方安全传输以及纵向边界的安全防护采用什么技术措施？答：采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。45. 实现纵向加密认证功能的设备有哪些？各有何特点？答：实现纵向加密认证功能的设备有：纵向加密认证装置和加密认证网关。纵向加密认证装置：为广域网通信提供认证与加密功能，实现数据传输的机密性、完整性保护，同时具有类似防火墙的安全过滤功能。加密认证网关：除具有加密认证装置的全部功能外，还应实现对电力系统数据通