自动化培训之安全防护_第1页
自动化培训之安全防护_第2页
自动化培训之安全防护_第3页
自动化培训之安全防护_第4页
自动化培训之安全防护_第5页
已阅读5页,还剩24页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、二次系统安防题库1. 电网和电厂计算机监控系统及调度数据网络安全防护规定,国家经贸委2002第30号令(或:国家经贸委2002第30号令是:电网和电厂计算机监控系统及调度数据网络安全防护规定)2. 电网与电厂计算机监控系统及调度数据网络安全防护规定已经国家经济贸易委员会主任办公会议讨论通过,现予公布,自2002年6月8日起施行国家经济贸易委员会,二二年五月八日。3. 电力二次系统安全防护规定,国家电力监管委员会令第5号2004年发布(或:国家电力监管委员会第5号令是:电力二次系统安全防护规定)4. 电力二次系统,包括电力监控系统、电力通信及数据网络等。5. 电力监控系统,是指用于监视和控制电网

2、及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。6. 国家经贸委2002第30号令规定所称“电力监控系统”,包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力

3、市场的辅助控制系统等;“调度数据网络”包括各级电力调度专用广域数据网络、用于远程维护及电能量计费等的调度专用拨号网络、各计算机监控系统内部的本地局域网络等。7. 电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。8. 电力监控系统和电力调度数据网络均不得和互联网相连,并严格限制电子邮件的使用。9. 新接入电力调度数据网络的节点和应用系统,须经负责本级电力调度数据网络机构核准,并送上一级电力调度机构备案。10.

4、 当发生涉及调度数据网络和控制系统安全的事件时,应立即向上一级调度机构报告,同时报国调中心,并在8 小时内提供书面报告。对隐报、缓报、谎报者,将按国家和公司有关规定,追究相关单位和当事人的责任。11. 凡涉及二次系统安全防护秘密的各种载体,应设专人管理,未经批准不得复制和摘抄。所有员工不准在各类媒体上发表涉及二次系统安全防护秘密的内容和信息。12. 电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等应当符合国家电力监管委员会第5号令的要求。13. 电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。14. 在生产控制大区与管理信息大区之间必须设置经国家指

5、定部门检测认证的电力专用横向单向安全隔离装置。15. 生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。16. 在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。17. 依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书系统,生产控制大区中的重要业务系统应当采用认证加密机制。18. 电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂输变电部分的二次系统安全防护的技术监督,发电厂内其它二次系统可由其上级主管单位实施技术监督。19. 对生产控制大区安全评

6、估的所有记录、数据、结果等,应按国家有关要求做好保密工作。20. 电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。21. 电力调度机构、发电厂、变电站等运行单位的电力二次系统安全防护实施方案须经过上级信息安全主管部门和相应电力调度机构的审核,方案实施完成后应当由上述机构验收。接入电力调度数据网络的设备和应用系统,其接入技术方案和安全防护措施须经直接负责的电力调度机构核准。22. 电力二次系统安全防护总体方案的安全分区:生产控制大区:安全区(控制区),安全区(非控制区)管理信息大区:安全区iii(生产管理区),安全区iv(管理信息区)23. 电力二次系统安全防护总体方案的安全防护原

7、则:“安全分区、网络专用、横向隔离、纵向认证”24. 电力二次系统的安全防护策略:安全分区、网络专用、横向隔离、纵向认证。25. 电力二次系统的安全防护主要针对网络系统和基于网络的生产控制系统,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要敏感数据的安全。26. 电力二次系统安全防护目标:抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。27. 力二次系统安全防护是复杂的系统工程,其总体安全防护水平取决于系统中最薄弱点的安全水平。28. 电力二次系统安全防护过程是长期的

8、动态过程,各单位应当严格落实总体安全防护原则,建立和完善以安全防护原则为中心的安全监测、快速响应、安全措施、审计评估等步骤组成的循环机制。29. 安全分区是电力二次安全防护体系的结构基础。30. 发电企业、电网企业和供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区i)和非控制区(安全区);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。31. 在满足总体安全要求的前提下,可以根据应用系统实际情况,简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。32. 安全区i的典

9、型系统包括:调度自动化系统(scada/ems)、广域相量测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等。33. 安全区i的业务系统或功能模块的典型特征为:直接实现对一次系统的监控功能,是电力生产的重要必备环节,实时在线运行,使用电力调度数据网络或专用通信通道。34. 安全区的典型系统包括:调度员培训模拟系统(dts)、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等。35. 安全区的业务系统或功能模块的典型特征为:所实现的功能为电力生产的必要环节,但不具备控制功能,使用电力调度数据网络

10、,在线运行,与控制区(安全区i)中的系统或功能模块联系紧密。36. 安全区iii的典型系统为:调度生产管理系统(dmis)、统计报表系统(日报、旬报、月报、年报)、雷电监测系统、气象信息接入等。37. 安全区iv包括:管理信息系统(mis)、办公自动化系统(oa)、客户服务系统等。38. 尽可能将业务系统完整置于一个安全内;当某些业务系统的次要功能与根据主要功能所选定的安全区不一致时,可根据业务系统的数据流程将不同的功能模块(或子系统)分置于合适的安全区中,各功能模块(或子系统)经过安全区之间的通信联接整个业务系统。39. 控制区(安全区)的安全等级相当于计算机信息系统安全保护等级的第4级,非

11、控制区(安全区ii)相当于计算机信息系统安全保护等级的第3级。40. 安全区与安全区之间的隔离要求:i、ii区之间须采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离,应禁止e-mail、web、telnet、rlogin等服务穿越安全区之间的隔离设备。41. 生产控制的逻辑大区与管理信息的逻辑大区之间的隔离要求:安全区、不得与安全区直接联系;安全区、与安全区之间应该采用经有关部门认定核准的专用安全隔离装置(或:经国家指定部门检测认证的电力专用横向单向安全隔离装置)。42. 电力专用安全隔离装置作为安全区i/ii与安全区iii之间的必备边界,要求具有极高的安全防护强度,是安全区i/ii横

12、向防护的要点。其中,安全隔离装置(正向)用于安全区i/ii到安全区iii的单向数据传递;安全隔离装置(反向)用于安全区iii到安全区i/ii的单向数据传递。43. 简述安全区内部安全防护的基本要求(44、45)44. 生产控制大区内部安全要求(1) 禁止生产控制大区内部的e-mail服务。禁止安全区的web服务。(2) 允许非控制区(安全区)内部采用b/s结构的业务系统,但仅限于业务系统内部使用。允许非控制区(安全区)纵向安全web服务,经过安全加固且支持https的安全web服务器和web浏览工作站应在专用网段,应由业务系统向web服务器单向主动传送数据。(3) 生产控制大区的重要业务(如s

13、cada/agc、电力市场交易等)必须采用加密认证机制,对已有系统应逐步改造。(4) 生产控制大区内的业务系统间应该采取访问控制等安全措施。(5) 生产控制大区的拨号访问服务,服务器侧和用户端均应使用unix或linux等安全加固的操作系统,且采取加密、认证和访问控制等安全防护措施。(6) 生产控制大区边界上可部署入侵检测系统ids。控制区(安全区i)、非控制区(安全区)可以合用一套ids管理系统。(7) 生产控制大区应部署安全审计措施,把安全审计与安全区网络管理系统、ids管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。(8) 生产控制大区应该统一部署恶意代码防护系统,采取防恶意

14、代码措施。病毒库和木马库的更新应该离线进行,不得直接从外部互联网下载。45. 管理信息大区安全要求管理信息大区可以根据需要设立若干业务安全区,并在其上采取合适的安全防护措施。管理信息大区建议统一部署恶意代码防护系统。46. 电力二次系统涉及到的数据通信网络包括哪些内容?参考47、48。47. 安全区、连接的广域网我们称为什么,采用什么技术构造?与生产控制大区连接的广域网为电力调度数据网(sgdnet);电力调度数据网采用ip over sdh。48. 安全区连接的广域网我们称为什么?与管理信息大区连接的广域网为电力企业数据网或互联网(电力企业数据网为电力企业内联网,其安全防护由各个企业负责;电

15、网企业的数据网即为电力数据通信网sgtnet)。49. 国家电力调度数据网络sgdnet是专用网络,承载的业务是电力实时控制业务、在线生产业务以及本网网管业务。sgdnet采用ip交换技术体制,构建在sdh专用通道上面。50. 电力数据通信网络的安全防护对网络路由防护方面采用虚拟专网技术,在网络路由层面将实时控制业务、非控制生产业务分割成二个相对独立的逻辑专网:实时子网和非实时子网,两个子网路由各自独立。实时子网保证了实时业务的网络服务质量qos。网管业务隔离在实时和非实时二个子网之外,同时进行数字签名保护,保证信息的完整性与可信性。51. 国家电力数据通信网sgtnet为国家电网公司内联网,

16、该网承载业务主要为电力综合信息、电力调度生产管理业务、电力内部数字语音视频以及网管业务,该网不经营对外业务。52. 严格禁止e-mail、web、telnet、rlogin、ftp等通用网络服务和以b/s或c/s方式的数据库访问功能穿越专用横向单向安全隔离装置,仅允许纯数据的单向安全传输。53. 电力专用安全隔离装置作为安全区i/ii与安全区iii的必备边界,要求具有最高的安全防护强度,是安全区i/ii横向防护的要点。其中,安全隔离装置(正向型)用于从生产控制大区到管理信息大区的单向数据传递;安全隔离装置(反向型)用于管理信息大区到生产控制大区的少量单向数据传递。54. 简述安全隔离装置(正向

17、)应该具有的功能。仅允许纯数据的单向安全传输。55. 简述安全隔离装置(反向)应该具有的功能:采取签名认证和数据过滤措施,仅允许纯文本数据通过,并严格防范病毒、木马等恶意代码进入生产控制大区。56. 电力专用横向安全隔离装置必须通过公安部安全产品销售许可,获得国家指定机构安全检测证明,用于厂站的设备还需通过电力系统电磁兼容检测。57. 纵向加密认证是电力二次安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证

18、、数据加密和访问控制。如暂时不具备条件,可采用硬件防火墙或网络设备的访问控制技术临时代替。58. 处于外部网络边界的通信网关的操作系统应进行安全加固,对生产控制大区的外部通信网关应该具备加密、认证和过滤的功能。59. 简述调度系统数字证书类型及各种证书的应用方式。人员证书指关键业务的用户、系统管理人员以及必要的应用维护与开发人员,在访问系统、进行操作时需要持有的证书。主要用于用户登录网络与操作系统、登录应用系统,以及访问应用资源、执行应用操作命令时对用户的身份进行认证,与其它实体通信过程中的认证、加密与签名,以及行为审计。程序证书指关键应用的模块、进程、服务器程序运行时需要持有的证书,主要用于

19、应用程序与远方程序进行安全的数据通信,提供双方之间的认证、数据的加密与签名功能。设备证书指网络设备、服务器主机等,在接入本地网络系统与其它实体通信过程中需要持有的证书,主要用于本地设备接入认证,远程通信实体之间的认证,以及实体之间通信过程的数据加密与签名。60. 对于生产控制大区统一部署一套内网审计系统或入侵检测系统(ids),其安全策略的设置重在捕获网络异常行为、分析潜在威胁以及事后安全审计,不宜使用实时阻断功能。禁止使用入侵检测与防火墙的联动。考虑到调度业务的可靠性,采用基于网络的入侵检测系统(nids),其ids探头主要部署在:横向、纵向边界以及重要系统的关键应用网段。61. 生产控制大

20、区部署的内网审计系统或入侵检测系统(ids)其主要的功能用于捕获网络异常行为、分析潜在威胁以及事后安全审计。62. 简述关键应用主机必须采取的安全防护措施。参考6365。63. 关键应用系统(如能量管理系统scada/ems/dms?、变电站自动化系统、电厂监控系统、配电自动化系统、电力交易系统等)的主服务器,以及网络边界处的通信网关、web服务器等,应该采用加固的linux或unix等操作系统。64. 主机安全防护主要的方式包括:安全配置、安全补丁、采用专用的软件强化操作系统访问控制能力、以及配置安全的应用程序。65. 操作系统安全加固措施包括:升级到当前系统版本、安装后续的补丁合集、加固系

21、统tcp/ip配置、根据系统应用要求关闭不必要的服务、关闭snmp协议避免利用其远程溢出漏洞获取系统控制权或限定访问范围、为超级用户或特权用户设定复杂的口令、修改弱口令或空口令、禁止任何应用程序以超级用户身份运行、设定系统日志和审计行为等。66. 数据库的加固措施包括:数据库的应用程序进行必要的安全审核、及时删除不再需要的数据库、安装补丁、使用安全的密码策略和账号策略、限定管理员权限的用户范围、禁止多个管理员共享用户账户和口令、禁止一般用户使用数据库管理员的用户名和口令、加强数据库日志的管理、管理扩展存储过程、数据定期备份等。67. 由于安全区i是整个二次系统的防护重点,提供web服务将引入很

22、大的安全风险,因此在安全区i中禁止web服务。安全区根据需要允许在本区专门开通安全web服务,其它业务系统的数据单向导入安全web服务器,在安全区的安全web服务器中进行数据发布。禁止安全区i中的计算机使用浏览器访问安全区的安全web服务。68. 考虑到web服务的不安全性,因此在安全区ii中仅允许在本区开通安全web服务,而且用于安全web服务的服务器与浏览器客户机统一布置在安全区ii中的一个逻辑子区web服务子区,接入安全区ii交换机上的独立vlan中。69. 简述电力二次系统中关于远程拨号访问的防护策略。当远程拨号访问生产控制大区时,要求远方用户使用安全加固的linux或unix系统平台

23、,以防止将病毒、木马等恶意代码引入生产控制大区。远程拨号访问应采用调度数字证书,进行登录认证和访问认证。拨号访问的防护可以采用链路层保护方式或者网络层保护方式。链路保护方式使用专用链路加密设备,实现两端链路加密设备相互进行认证和对链路帧进行加密等安全功能。网络保护方式采用vpn技术在拨号服务器(ras)与远程拨入用户建立加密通道,实现对网络层数据的机密性与完整性保护。对于通过ras访问本地网络与系统的远程拨号访问,建议采用网络层保护方式。对于以远方终端的方式通过被访问的主机的串行接口直接访问的情况,建议采用链路层保护措施。对于远程用户登录到本地系统中的操作行为,应该进行记录,用于安全审计。70

24、. 拨号的防护可以采用链路层保护方式,或者网络层保护方式,对这两种方式进行简述。拨号访问的防护可以采用链路层保护方式或者网络层保护方式。链路保护方式使用专用链路加密设备,实现两端链路加密设备相互进行认证和对链路帧进行加密等安全功能。网络保护方式采用vpn技术在拨号服务器(ras)与远程拨入用户建立加密通道,实现对网络层数据的机密性与完整性保护。71. 电力二次系统的新系统在投运之前、老系统进行安全整改之后或进行重大改造或升级之后必须进行安全评估;电力二次系统应该定期进行安全评估。72. 电力二次系统安全评估纳入电力系统安全评价体系。73. 安全评估的内容包括:风险评估、攻击演习、漏洞扫描、安全

25、体系的评估、安全设备的部署及性能评估、安全管理措施的评估等。对生产控制大区安全评估的所有记录、数据、结果等均不得以任何形式、任何借口携带出被评估单位,要按国家有关要求做好保密工作。74. 电力二次系统的安全防护实施方案必须经过上级信息安全主管部门和相应电力调度机构的审核,完工后必须经过上述机构验收。安全防护方案的实施必须严格遵守国家经贸委30号令、国家电监会5号令以及相关的文件规定,保证部署的安全装置的可用性指标达到99.99%。75. 用于生产控制大区的工作站、服务器均严格禁止以各种方式开通与互联网的连接;限制开通拨号功能,必须配置强认证机制;在生产控制大区中的pc机应实施严格管理。76.

26、安全审计是安全管理的重要环节,通过技术手段,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行安全审计,及时自动分析系统安全事件,实现系统安全运行管理。77. 安全文件网关主要用于电力系统各级部门之间安全的文件传输,部署在安全区ii,采用加密、认证等技术,保证文件的机密性、完整性。用于调度报表、检修计划、发电计划、交易报价等文件的传输场合。78. 简述调度中心(地调及以上)二次系统安全防护对各安全区域的划分安全区i:能量管理系统、广域相量测量系统、安全自动控制系统、调度数据网网络管理及安全告警系统等;安全区ii:调度员培训模拟系统、电能量计量系统、电

27、力市场运营系统、继电保护和故障录波信息管理系统、调度计划管理系统、在线稳定计算系统等;安全区iii:调度生产管理系统、雷电监测系统、气象/卫星云图系统、电力市场监管信息系统接口等;安全区iv:办公自动化、web服务等。79. 已投运的ems系统要求进行安全评估,新建设的ems系统必须经过安全评估合格后后方可投运。ems系统禁止开通email、web以及其它与业务无关的通用网络服务。80. 网络攻击类型:1)阻断攻击:针对可用性攻击;2)截取攻击:针对机密性攻击;3)篡改攻击:针对完整性攻击;4)伪造攻击:针对真实性攻击。81. 网络安全处理过程:1)评估;2)策略制定;3)实施;4)运行管理;

28、5)审计。82. 网络信息安全的关键技术:1)身份认证技术;2)访问控制技术;3)主机安全技术;4)防火墙技术;5)密码技术;6)反入侵技术;7)防病毒技术;8)安全审计技术;9)安全管理技术等。83. 计算机操作系统的安全等级:分为4类a类、b类、c类、d类,其中a类的安全性最高,d类则几乎不提供安全性保护。d类的典型例子是ms-dos操作系统,unix系统达到c2级。84. 网络安全的特征:保密性、完整性、可用性、可控性。85. 安全的历史:1) 通信安全: 解决数据传输的安全、 密码技术2) 计算机安全 解决计算机信息载体及其运行的安全 正确实施主体对客体的访问控制3) 网络安全 解决在

29、分布网络环境中对信息载体及其运行提供安全保护 完整的信息安全保障体系86. 网络风险:是丢失需要保护的资产的可能性。风险的两个组成部分:漏洞攻击的可能的途径;威胁:可能破坏网络系统环境安全的动作或事件。87. 在microsoft internet explorer中,安全属性的设置主要是指对网络中安全区域的设置。internet explorer将internet世界划分为4个区域:internet、本地intranet、受信任的站点和受限制的站点。每个区域都有自己的安全级别,这样用户可以根据不同的区域的安全级别来确定区域中的活动内容。1) internet区域:安全级别为中级,包含所有未放

30、在其他区域中的web站点2) 本地intranet区域:安全级别为中低级,包含用户网络上的所有站点3) 受信任站点区域:安全级别为低级,包含用户确认不会损坏计算机或数据的web站点4) 受限站点区域:安全级别最高,所赋予的功能最少,包含可能会损坏用户计算机和数据的web站点88. 防火墙(firewall)是指设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策(允许、拒绝、监测)控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。89.

31、防火墙基本功能:1)过滤进、出网络的数据;2)管理进、出网络的访问行为;3)封堵某些禁止的业务;4)记录通过防火墙的信息内容和活动;5)对网络攻击检测和告警90. 防火墙的局限性:防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。1)防火墙不能防范绕过防火墙的攻击 e.g.:内部提供拨号服务;2)防火墙不能防范来自内部人员恶意的攻击;3)防火墙不能阻止被病毒感染的程序或文件的传递;4)防火墙不能防止数据驱动式攻击。e.g.:特洛伊木马。91. 防火墙是使用最广泛的网络安全工具,是网络安全的第一道防线,用以防止外部网络的未授权访问。防火墙具有副作用,使内部网络与外

32、部网络(internet ) 的信息系统交流受到阻碍,增大了网络管理开销,而且减慢了信息传递速率。92. 对病毒、木马等恶意代码的防护是电力二次系统安全防护所必须的安全措施。禁止生产控制大区与管理信息大区共用一个防恶意代码管理服务器。保证特征码的及时更新,及时查看查杀记录,随时掌握威胁状况。93. ids系统的主要功能包括:提供事件记录流的信息源、发现入侵迹象的分析引擎、基于分析引擎的结果产生反应的响应部件。94. 根据技术原理,ids可分为以下两类:基于主机的入侵检测系统和基于网络的入侵检测系统。95. 漏洞扫描技术的原理漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得

33、知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。96. 漏洞扫描技术也可以认为是一种网络安全性评估技术。漏洞扫描器根据工作模式的不同,分为主机漏洞扫描器和网络漏洞扫描器。97. 由于email服务会引入高级别安全风险,因此安全区i与ii中禁止email服务,杜绝病毒、木马程序借助email传播,避免被攻击或成为进一步攻击的跳板。在安全区iii和安全区iv中提供email服务。98. 下

34、列不属于系统安全的技术是()a.防火墙 b.加密狗 c.认证 d.防病毒99. 考虑到安全性和费用因素,通常使用()方式进行远程访问a.ras b. vpn100. 当你感觉到你的win2000运行速度明显减慢,当你打开任务管理器后发现cpu的使用率达到了百分之百,你最有可能认为你受到了哪一种攻击。 ba、特洛伊木马 b、拒绝服务 c、欺骗 d、中间人攻击101. 假如你向一台远程主机发送特定的数据包,却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段? ba、缓冲区溢出 b、地址欺骗 c、拒绝服务 d、暴力攻击102. 以下关于vpn的说法中的哪一项是正确的? ca、 vpn是虚拟

35、专用网的简称,它只能只好isp维护和实施b、 vpn是只能在第二层数据链路层上实现加密c、 ipsec是也是vpn的一种d、 vpn使用通道技术加密,但没有身份验证功能103. 以下哪个不是属于window2000的漏洞? da、 unicodeb、 iis hackerc、 输入法漏洞d、 单用户登陆104. 你是一个单位的网络安全管理员,你使用的防火墙在unix下的iptables,你现在需要通过对防火墙的配置不允许这台主机登陆到你的服务器,你应该怎么设置防火墙规则? ba、 iptablesa inputp tcps sourceport 23

36、j denyb、 iptablesa inputp tcps destinationport 23j denyc、 iptablesa inputp tcpd sourceport 23j denyd、 iptablesa inputp tcpd destinationport 23j deny105. 你的window2000开启了远程登陆telnet,但你发现你的window98和unix计算机没有办法远程登陆,只有win2000的系统才能远程登陆,你应该怎么办? da、 重设防火墙规则b、 检查入侵检测系统c、 运用杀毒软

37、件,查杀病毒d、 将ntlm的值改为0106. 你所使用的系统为win2000,所有的分区均是ntfs的分区,c区的权限为everyone读取和运行,d区的权限为everyone完全控制,现在你将一名为test的文件夹,由c区移动到d区之后,test文件夹的权限为? ba、 everyone读取和运行b、 everyone完全控制c、 everyone读取、运行、写入d、 以上都不对107. 你是一个单位的网络管理员,你经常在远程不同的地点管理你的网络(如家里),你公司使用win2000操作系统,你为了方便远程管理,在一台服务器上安装并启用了终端服务。最近,你发现你的服务器有被控制的迹象,经过

38、你的检查,你发现你的服务器上多了一个不熟悉的帐户,你将其删除,但第二天却总是有同样的事发生,你应该如何解决这个问题? ca、 停用终端服务b、 添加防火墙规则,除了你自己家里的ip地址,拒绝所有3389的端口连入c、 打安全补丁sp4d、 启用帐户审核事件,然后查其来源,予以追究108. 在保证密码安全中,我们应采取正确的措施有? abca、 不用生日做密码b、 不要使用少于5位的密码c、 不要使用纯数字d、 将密码设得非常复杂并保证在20位以上109. vpn主要有三种解决方案,它们是: abca、 远程访问虚拟网(access vpn)b、 企业内部虚拟网(intranet vpn)c、

39、企业扩展虚拟网(extranetvpn)d、 合作伙伴虚拟网(frindsfpn)110. 以下关于tcp和udp协议的说法错误的是: acda、 没有区别,两者都是在网络上传输数据b、 tcp是一个定向的可靠的传输层协议,而udp是一个不可靠的传输层协议c、 udp是一个局域网协议,不能用于interner传输,tcp则相反d、 tcp协议占用带宽较udp协议多111. 在黑客入侵的探测阶段,他们会使用下面哪些方面方法来尝试入侵? bcea、 破解密码b、 确定系统默认的配置c、 寻找泄露的信息d、 击败访问控制e、 确定资源的位置f、 击败加密机制112. tcp和ip协议分别工作在osi

40、/iso七层参考模型的哪一层? cda、 物理层b、 数据链路层c、 网络层d、 传输层113. 防火墙只能对ip地址进行限制和过滤?()114. 数字证书是电子的凭证,它用来验证在线的个人、组织或计算机的合法身份。()115. 传输控制协议(tcp)是_传输层协议。a.面向连接的 b.无连接的116. 以下哪个命令用于测试网络连通?a.telnet b. nslookup c. ping d. ftp117. vlan的划分不包括以下哪种方法?a.基于端口 b.基于mac地址 c.基于协议 d.基于物理位置118. 以下关于mac的说法中错误的是_。a.mac地址在每次启动后都会改变 b.m

41、ac地址一共有48比特,它们从出厂时就被固化在网卡中 c. mac地址也称做物理地址,或通常所说的计算机的硬件地址119. windows系统和linux系统下的ping命令的功能相同a.是 b.不是120. 电力二次系统安全防护目标是什么?答:抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。121. 电监会5号令中电力二次系统是指什么?答:包括电力监控系统、继电保护和安自装置、负荷控制、电力通信及数据网络等。122. 电监会5号令中电力监控系统是指什么?答:是指用于监视和控制电网及电厂

42、生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。123. 电监会5号令中电力调度数据网络指什么?答:是指各级电力调度专用广域数据网络、电力生产专用拨号网络等。124. 电监会5号令中控制区指什么?答:是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。125. 电监会

43、5号令中非控制区指什么?答:是指在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。126. 电力二次系统的安全防护原则?答:电力二次系统安全防护原则是安全分区、网络专用、横向隔离、纵向认证,保障电力监控系统和电力调度数据网络的安全。127. 电力二次系统如何进行安全分区?答:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区i)和非控制区(安全区);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要

44、求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。128. 电力二次系统中不同的安全分区相应的安全等级是什么?答:不同的安全区域确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。生产控制大区的安全等级高于管理信息大区,其中控制区(安全区)的安全等级相当于计算机信息系统安全保护等级的第4级,非控制区(安全区ii)相当于计算机信息系统安全保护等级的第3级。安全分区是电力二次安全防护体系的结构基础。129. 生产控制大区中安全区i(控制区)的典型系统是什么?答:包括调度自动化系统(scada/ems)

45、、广域相量测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等。130. 生产控制大区中安全区ii(非控制区)的典型系统是什么?答:调度员培训模拟系统(dts)、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等。131. 业务系统分区规则?答:综合考虑业务系统或功能模块的实时性、使用者、主要功能、设备场所、各业务系统间的相互关系、广域网通信方式、对电力系统的影响等因素,按以下规则将业务系统或功能模块置于合适的安全区:(1) 实时控制系统或未来可能有实时控制功能的系统应置于安全区。(2) 电力二

46、次系统中不允许把应属于高安全等级区域的业务系统迁移到低安全等级区域运行;但允许把属于低安全等级区域的业务系统的终端设备放置于高安全等级区域,由属于高安全等级区域的人员控制和使用。(3) 尽可能将业务系统完整置于一个安全内;当某些业务系统的次要功能与根据主要功能所选定的安全区不一致时,可根据业务系统的数据流程将不同的功能模块(或子系统)分置于合适的安全区中,各功能模块(或子系统)经过安全区之间的通信联接整个业务系统。(4) 与外部边界网络不存在联系的业务系统为孤立业务系统,对其划分规则不作要求,但需遵守所在安全区的安全防护要求。根据实际情况,安全区i和安全区ii不一定同时存在。某一安全区不存在的

47、条件是其本身不存在该安全区的业务,且与其它电力二次系统在该安全区不存在“纵向”互联。如果省略某安全区而导致上下级安全区的纵向交叉,则应该构造一个最小安全区并安装安全区间的隔离装置,以保持安全防护体系的完整性。132. 电力二次系统安全区连接的拓扑结构有几种,各有什么特点?答:电力二次系统安全区连接的拓扑结构有链式、三角和星形结构三种。133. 如何构建安全隔离的电力调度数据网?答:电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于sdh/pdh上的不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。电力调度数据网是电力二次安全防护体

48、系的重要网络基础。134. 在生产控制大区与管理信息大区之间的安全要求是什么?答:在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。135. 生产控制大区内部的安全区之间的安全防护要求是什么?答:生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。具体隔离装置的选择还需要考虑业务所需带宽及实时性的要求。136. 什么类型的数据才能穿越专用横向单向安全隔离装置?答:严格禁止e-mail、web、telnet、rlogin、ftp等通用网络服务和以b/s或c/s方式的数据库访问

49、功能穿越专用横向单向安全隔离装置,仅允许纯数据的单向安全传输。137. 防火墙的特点是什么?答:防火墙(firewall)是指设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策(允许、拒绝、监测)控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。138. 专用横向单向安全隔离装置分为几种?答:专用横向单向安全隔离装置分为正向型和反向型。139. 反向安全隔离装置的特点是什么?答:反向安全隔离装置采取签名认证和数据过滤措施,仅允许纯文本数

50、据通过,并严格防范病毒、木马等恶意代码进入生产控制大区。140. 在生产控制大区与广域网的纵向交接处如何实现安全防护?答:在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。如暂时不具备条件,可采用硬件防火墙或网络设备的访问控制技术临时代替。141. 在管理信息大区与广域网的纵向交接处如何实现安全防护?答:管理信息大区应采用硬件防火墙等安全设备接入电力企业数据网。142. 对处于外部网络边界的通信网关如何实现安全防护?答:对处于外部网络边界的通信网关,应进行操作系统的安全加固。根据具体业务

51、的重要程度及信息的敏感程度,对生产控制大区的外部通信网关应该具备加密、认证和过滤的功能。143. 传统的基于专用通道的通信是否需要安全防护?答:传统的基于专用通道的通信不涉及网络安全问题,可采用线路加密技术保护关键厂站及关键业务。144. 生产控制大区内部安全区是否允许web服务?答:生产控制大区内部安全区禁止安全区的web服务。145. 生产控制大区内部安全区是否允许web服务?答:允许安全区内部采用b/s结构的业务系统,但仅限于业务系统内部使用。允许安全区纵向安全web服务,经过安全加固且支持https的安全web服务器和web浏览工作站应在专用网段,应由业务系统向web服务器单向主动传送

52、数据。146. 电力调度数字证书的特点?答:电力调度数字证书是专用于电力调度业务需要的数字证书,主要用于生产控制大区,可使用于交互式登录的身份认证、网络身份认证、通信数据加密及认证(包括数据完整性和数据源认证)等。电力调度证书系统按照电力调度管理体系进行配置,省级及以上调度中心和有实际业务需要的地区调度控制中心应该建立电力调度证书服务系统。147. 电力调度系统数字证书的建立原则?答:(1)统一规划数字证书的信任体系,各级电力调度证书系统用于颁发本调度中心及调度对象相关人员和设备证书。上下级电力调度证书系统通过信任链构成认证体系,防止产生交叉认证。(2)采用统一的数字证书格式和加密算法。(3)

53、原则上离线生成、离线装入、离线管理,确保调度数字证书的生成、发放、管理以及密钥的生成、管理脱离网络,独立运行;(4)优化调度数字证书系统应用接口,推进其应用和普及;(5) 相关应用系统嵌入数字证书服务,以提高实时性和可靠性。148. 电力调度数据网络承载的业务是什么?答:电力调度数据网络是专用网络,承载的业务是电力实时控制业务、在线生产业务以及本网网管业务。149. 如何实现对电力调度数据网网络路由的防护?答:对路由器之间的路由信息交换进行数字签名,保证信息的完整性与可信性。150. 如何对电力调度数据网网络设备进行安全配置?答:网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、网络

54、边界关闭ospf路由功能、采用安全增强的snmpv2及以上版本的网管系统、及时更新软件、使用安全的管理方式、限制登录的网络地址、记录设备日志、设置高强度的密码、适当配置访问控制列表、封闭空闲的网络端口等。151. 如何实现对电力企业数据网的防护?答:电力企业数据网为电力企业内联网,其安全防护由各个企业负责。其中,电网企业的数据网即为电力数据通信网,该网承载业务主要为电力综合信息、电力调度生产管理业务、电力内部数字语音视频以及网管业务,该网不经营对外业务。电力数据通信网使用私有网络地址,与外部互联网以及其它外部网络没有直接的网络连接,采用虚拟专网技术构造三个子网:调度子网、信息子网以及语音视频子

55、网,分别对应电网企业的电力调度生产管理、电力综合信息、电力内部数字语音视频三类业务。152. 如何实现对电力监控系统的备份及恢复?答:必须定期对电力监控系统关键业务的数据与系统进行备份,建立历史归档数据的异地存放制度,确保在数据损坏或系统崩溃的情况下快速恢复数据与系统,保证系统的可用性。对关键主机设备、网络设备或关键部件进行相应的冗余配置,安全区i的业务应采用热备份方式,其它安全区的业务系统可根据需要选用热备份、温备份、冷备份等备份方式,避免单点故障影响系统可靠性。153. 如何实现对电力二次系统恶意代码的防范?答:对病毒、木马等恶意代码的防护是电力二次系统安全防护所必须的安全措施。生产控制大

56、区应该统一部署恶意代码防护系统,管理信息大区建议统一部署恶意代码防护系统,禁止生产控制大区与管理信息大区共用一个防恶意代码管理服务器。对生产控制大区,禁止以任何方式连接外部网络进行病毒或木马特征码的在线更新。加强防病毒、木马等恶意代码的管理,保证特征码的及时更新,及时查看查杀记录,随时掌握威胁状况。154. 如何在生产控制大区部署防火墙?答:防火墙产品可以部署在安全区i与安全区ii之间,实现两个区域的逻辑隔离、报文过滤、访问控制等功能。生产控制大区与管理信息大区采用的防火墙安全策略的侧重点应有所不同。155. 如何在生产控制大区部署入侵检测系统?答:生产控制大区统一部署一套网络入侵检测系统,其

57、安全策略的设置重在捕获网络异常行为、分析潜在威胁以及事后安全审计,不宜使用实时阻断功能。禁止使用入侵检测与防火墙的联动。加强入侵检测系统的使用与管理,合理设置检测规则,及时分析检测报告,准确识别攻击,及时发出告警信息,充分发挥其在安全事件检测与恢复中的作用。156. 如何在生产控制大区进行主机加固?答:主机安全防护首先要确定安全策略,然后采取适当的方式增强其安全性。通过合理地设置系统配置、服务、权限,可有效减少安全薄弱环节。157. 如何对操作系统进行安全加固?答:操作系统安全加固措施包括:升级到当前系统版本、安装后续的补丁合集、加固系统tcp/ip配置、根据系统应用要求关闭不必要的服务、关闭snmp协议避免利用其远程溢出漏洞获取系统控制权或限定访问范围、为超级用户或特权用户设定复杂的口令、修改弱口令或空口令、禁止任何应用程序以超级用户身份运行、设定系统日志和审计行为等。158. 数据库的加固措施包括什么?答:数据库的应用程序进行必要的安全审核、及时删除不再需要的数据库、安装补丁、使用安全的密码策略和账号策略、限定管理员权限的用户范围、禁止多个管理员共享用户账户和口令、禁止一般用户使用数据库管理

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论