1、电监会5号令中电力二次系统是指什么?
答:电力二次系统包括电力监控系统、继电保护和安自装置、负荷控制、电力通信及数据网络等。
2、电监会5号令中电力二次系统的安全防护目标是什么?
答:它的安全防护目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。
3、电监会5号令中电力监控系统是指什么?
答:是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。
4、电监会5号令中电力调度数据网络指什么?
答:是指各级电力调度专用广域数据网络、电力生产专用拨号网络等。
5、电监会5号令中控制区和非控制区指什么?
答:控制区是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。非控制区是指在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。
6、电力二次系统的安全防护原则?
答:电力二次系统安全防护原则是安全分区、网络专用、横向隔离、纵向认证,保障电力监控系统和电力调度数据网络的安全。
7、电力二次系统如何进行安全分区?
答:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。
8、电力二次系统中不同的安全分区相应的安全等级是什么?
答:不同的安全区域确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。生产控制大区的安全等级高于管理信息大区,其中控制区(安全区Ⅰ)的安全等级相当于计算机信息系统安全保护等级的第4级,非控制区(安全区II)相当于计算机信息系统安全保护等级的第3级。安全分区是电力二次安全防护体系的结构基础。
9、生产控制大区中安全区I(控制区)的典型系统是什么?
答:调度员培训模拟系统(DTS)、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等。
10、生产控制大区中安全区II(非控制区)的典型系统是什么?
答:包括调度自动化系统(SCADA/EMS)、广域相量测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等。
11、在生产控制大区与管理信息大区之间的安全要求是什么?
答:在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。
12、生产控制大区内部的安全区之间的安全防护要求是什么?
生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。具体隔离装置的选择还需要考虑业务所需带宽及实时性的要求。
13、什么类型的数据才能穿越专用横向单向安全隔离装置?
答:严格禁止E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务和以B/S或C/S方式的数据库访问功能穿越专用横向单向安全隔离装置,仅允许纯数据的单向安全传输。
14、专用横向单向安全隔离装置分为几种?
答:专用横向单向安全隔离装置分为正向型和反向型。
15、反向安全隔离装置的特点是什么?
答:反向安全隔离装置采取签名认证和数据过滤措施,仅允许纯文本数据通过,并严格防范病毒、木马等恶意代码进入生产控制大区。
16、在生产控制大区与广域网的纵向交接处如何实现安全防护?
答:在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。如暂时不具备条件,可采用硬件防火墙或网络设备的访问控制技术临时代替。
17、在管理信息大区与广域网的纵向交接处如何实现安全防护?
答:管理信息大区应采用硬件防火墙等安全设备接入电力企业数据网。
18、对处于外部网络边界的通信网关如何实现安全防护?
答:对处于外部网络边界的通信网关,应进行操作系统的安全加固。根据具体业务的重要程度及信息的敏感程度,对生产控制大区的外部通信网关应该具备加密、认证和过滤的功能。