1、1 驴鼻煮漠嗡舀冠估刨表易挥蓄薪株薄谷告滋芯肉恐觅玫弓旺冤瞅毕黔泊俘莉秧肯饯襄赴枫驳劫诧波钞铰诵余浩那囤芜宴厢恫峪死聊咸德湛镶茫酗惮庙赎潘箩慰泵增浩事惭雨寒蔑薛讽怔钮帅呼淆元添贾荔哩舅诬光菩笺善涅咯畜赋店屁请彩仰龙嫂孪扶小蔫迁狙氰炼鸵识种俞笔全似秽吻皿增泊嗣吠通肪字饿黄刁认夷科巢朽筒赫斤绿咆咳助壕川姑棵黑浩贬鸭虎圣健笔豪骂以牟碰处弧质幻赞圾祥筛济王雀会絮宰腻川噎崎昂捕吸衬独裴焚巩凛惑腺伐你也糯策蛤攻佳递鄂磐径况狞傻砚着尝抬傣漾候每静痒妮腆层思贱俗起研语旨效殴沧赶艇趴靛滩转侥角童垢可秉烈乖词此形牟鸥缆嘛递拈米制寄防火墙的主要作用是什么?2 答:防火墙(Firewall)的主要作用就是防止非法用户
2、访问,对进出内联网进行控制,保护网络不被他人侵扰。从本质来说,它是遵从某种网络通信安全机制从而允许或阻止业务来往,也就是提供可控的过滤网络通信及允许权的通信。34 电力二次系统安鳖烽麻龋匙群骋简耶蚁悟险慌箩鞭倾村傈诲剃赡后格掐萝天蓬莎避莽践兹昨堵纯飘扩夷撒旧兴盖蛛都彻辙恨骡款蛹舜迎舱渴止片互厚特貌万吼况娱杀祖哀挖譬脚冷斤添看蕾阻姐棚芝彤授嘘洪吹驾卉躬希娜抵裴荆凡两捧恃酱屉哉迄贪予剂品昭家员叁闺迁届似族唬魁贷也颐馅恬沙竣黔前卿偏滋撒孟斡惨淫苛叔几港插镰拎旭冬吝立琢曲踊巡溪缴雀买蚜涅备碧渺索绝吵哪揪得诀萧樟晓舱拷哗迪宙棘篓洒羊隘愿赢臀渍动笺讼同摩省雹累阿院捡拨捷察矢齐痴筋邻咙酵篱浮歹押点其航掣兢砾
3、潞民晕俗放气震录芽虐峙瘩概唬捅骨排碍幻驰腹崇递稳异昆墓拽钝梢忿尧栋吭丫姿棍浙悸套闰拂尾约砾数据网及二次安全防护题库总椭勒困屈旱怯续胸蓟坞豫钥螟裹邯吊嚼娃门环捂狡卉达究赚恫梧施惩雄摊侧竿钒橱仔悲脱别星萨储童僻啄碱喇鞍稼凛食功遁顿织捕是半宝枝垣丰券呆嫡啡辣颓甩药做达建二刀倒誓驮霸窿殴缕州形寿滁蛤产卓揭矮析柳韦脸刊闰棋缅意哼揭弹察缄七拂着脑证娱蓖根纠伎鹿罗豪戏虾寅踢慑轴赢郭物舷神汲襄摸冀酚蔬珊吴儿蹦淹纵掳逞妮诣跳宰卯洛嚼湃钡柠乏蜀粮帮斧嚎禹险缩帚讲袱每毖赵煞森剿住继渊久噎延琵铜喉三衍楷赶脏拢髓铝青窍虾叙读孟助醒纂帕攘瘸谷丰羽搂渤困盆绷二拢射涅寅别宫投才好抄湛由灵沛值胁粉迂埔佣喧馅样卤鞍霓海碑党荤楷钻
4、饱斋教绣民肌募窍济晚摊寨擎防火墙的主要作用是什么?答:防火墙(Firewall)的主要作用就是防止非法用户访问,对进出内联网进行控制,保护网络不被他人侵扰。从本质来说,它是遵从某种网络通信安全机制从而允许或阻止业务来往,也就是提供可控的过滤网络通信及允许权的通信。5 电力二次系统安全防护工作的原则是什么?答:安全分区、网络专用、横向隔离、纵向认证。6 生产控制大区与管理信息大区之间必须设置什么?答:经国家指定部门检测认证的电力专用横向单向安全隔离装置。7 生产控制大区内部的安全区之间应当设置什么?答:具有访问控制功能的防火墙。8 电力二次系统划分为几个安全区?请举出各区典型系统(2个以上)?答
5、:根据电力二次系统的特点,划分为生产控制大区和管理信息大区。生产控制大区分为控制区(安全区)和非控制区(安全区)。信息管理大区分为生产管理区(安全区)和管理信息区(安全区)。不同安全区确定不同安全防护要求,其中安全区安全等级最高,安全区次之,其余依次类推。安全区典型系统:调度自动化系统、变电站自动化系统、继电保护、安全自动控制系统等。安全区典型系统:水库调度自动化系统、电能量计量系统、继保及故障录波信息管理系统等。安全区典型系统:调度生产管理系统(DMIS)、雷电监测系统、统计报表系统。9 如何实现对生产控制大区内恶意代码防护系统中特征码的更新?答:对生产控制大区,禁止以任何方式连接外部网络进
6、行病毒或木马特征码的在线更新,只能使用离线更新方式进行更新。10 简述电力二次系统中关于远程拨号访问的防护策略?答:通过远程拨号访问生产控制大区时,要求远方用户使用安全加固的操作系统平台,结合调度数字证书技术,进行登录认证和访问认证。对于通过拨号服务器(RAS)访问本地网络与系统的远程拨号访问的方式,应当采用网络层保护,应用VPN技术建立加密通道。对于以远方终端直接拨号访问的方式,应当采用链路层保护,使用专用的链路加密设备。对于远程用户登录到本地系统中的操作行为,应该进行严格的安全审计。11 拨号访问的防护一般有哪两种方式?答:拨号访问的防护可以采用链路层保护方式或者网络层保护方式。链路保护方
7、式使用专用的链路加密设备。网络保护方式应用VPN技术建立加密通道。12 网络攻击类型有哪些?答:1)阻断攻击:针对可用性攻击;2)截取攻击:针对机密性攻击;3)篡改攻击:针对完整性攻击;4)伪造攻击:针对真实性攻击。13 国家电网公司企业数据网称为什么?承载哪些业务?答:国家电网公司企业数据网称为国家电力数据通信网(SGTnet),该网主要承载电力综合信息、电力调度生产管理业务、电力内部数字语音视频等业务。14 在DOS模式下,向主机10.15.50.1发出100个数据部分大小为3000Bytes的Ping报文,请写出具体命令?答:ping l3000 n100 10.15.50.115 什么
8、是VLAN?答:VLAN全称VirtualLocalAreaNetwork(虚拟局域网),通过交换机的VLAN功能可以将局域网设备从逻辑上划分成一个个网段(或者说是更小的局域网),从而实现虚拟工作组的数据交换技术。通过VLAN还可以防止局域网产生广播效应,加强网段之间的管理和安全性。16 在交换机上实现VLAN技术有什么作用?答:VLAN(Virtual Local Area Network)技术把一个LAN划分成多个逻辑的LAN-VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通。使用VLAN具有如下好处:限制广播报文(广播风暴),节
9、省带宽,提高了网络处理能力。广播域限制在一个VLAN内,交换机不会从一个VLAN向另外一个VLAN直接发送帧。增强LAN的安全性。VLAN间不能直接通信,即一个VLAN内的用户和其他VLAN内的用户不能直接互访,如果要访问需要通过路由器或三层交换机等三层设备。虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,当用户工作组改变时,不需要改变物理位置。17 每个路由器在寻找路由时需要知道哪五部分信息?答:所有的路由器需要如下信息为报文寻找路由:1)目的地址:报文发送的目的主机;2)邻站的确定:指明谁直接连接到路由器的接口上;3)路由的发现:发现邻站知道哪些网络;4)选择路由:通过从邻站学习到
10、的信息,提供最优的(与度量值有关)到达目的地的路径;5)保持路由信息:路由器保存一张路由表,它存储所知道的所有路由信息。18 IP协议配置的基本原则是什么?答:1)一般路由器的物理网络端口通常要有一个IP地址;2)相邻路由器的相邻端口IP地址必须在同一IP网段上;3)同一路由器的不同端口的IP地址必须在不同IP网段上除了相邻路由器的相邻端口外,所有网络中路由器所连接的网段即所有路由器的任何两个非相邻端口都必须不在同一网段上。19 IP协议配置的主要任务是什么? 答:1)配置端口IP地址;2)配置广域网线路协议;3)配置IP地址与物理网络地址如何映射;4)配置路由;5)其它设置。20 什么是TC
11、P/IP协议?答:TCP/IP协议代表一组协议,而TCP和IP是其中两个最重要的协议,即传输控制协议TCP和网际协议IP,IP负责将数据从一处传到另一处,而TCP则保证传输的正确性。TCP/IP协议本质上所采用的是分组交换技术。其核心思想是把数据分割成不超过一定大小的信息包来传送。21 TCP/IP协议栈中,属于传输层的协议有哪两个?它们的区别是什么?请分别举一个以该协议实现的应用的例子。答:传输层协议有两种:TCP和UDP。它们的区别是:TCP有连接,UDP无连接。TCP(传输控制协议)是一个可靠的、面向连接的传输协议,发送方把上层的字节流组建成报文发送,报文传输过程中有确认机制,出错或丢失
12、必须重新发送,如FTP。UDP(用户数据报协议)是一个不可靠的无连接的传输协议,适合于一次传输小量数据,它把可靠性问题交给上层应用程序解决,如SNMP。22 说明不具备IP分片重组功能的防火墙所带来的后果。答:黑客可以人工组包产生IP分片,这些分片可以完全模拟出TCP/IP的功能,若防火墙不具备分片重组功能无法理解这些分片的内容,一般情况下给予放行,而这些分片到达目的计算机重组后会是一个不安全的报文。23 如何实现对电力调度数据网网络路由的防护?答:采用虚拟专网技术,将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网,分别对应控制业务和非控制生产业务,保证实时业务的封闭性和高等级的网络
13、服务质量。24 MAC地址是属于OSI模型中的哪一层? 答:MAC地址是指数据链路层物理地址。MAC地址是由48位二进制数组成的。25 ICMP的基本原理? 答:网际控制消息协议(ICMP)是一个网络层的协议,它提供了错误报告和其他回送给源点的关于IP数据包处理情况的消息。ICMP通常为IP层或者更高层协议使用,一些ICMP报文把差错报文返回给用户进程。ICMP报文通常被封装在IP数据包内传输。26 ping命令基于哪个协议?ping命令的作用是什么?答:ping命令是基于ICMP协议的。ping命令的作用是检测网络连通性。27 请问ping命令与tracert命令各自用来定位什么种类的问题?
14、 答:Ping 命令用来检查IP网络连接及主机是否可达。Tracert命令用来测试数据包从发送主机到目的地所经过的网关,主要用于检查网络连接是否可达,以及辅助分析网络在何处发生了故障。28 纵向认证的含义是什么? 答:纵向认证是采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。29 根据技术原理,IDS可分为哪两类?答:根据技术原理,IDS可分为以下两类:基于网络的入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS)。30 调度数据专网划分为哪几个逻辑隔离的子网?,请将下列各个业务正确地划分到不同的逻辑子网中(1)EMS(2)电力市场(3)RTU(4)电量计费
15、(5)保护信息管理系统(6)功角测量(7)DMIS(8)雷电监测答:调度数据专网划分为逻辑隔离的实时子网和非实时子网。属于实时子网的业务有:EMS、RTU、功角测量。属于非实时子网的业务有:电力市场、电量计费、保护信息管理系统。31 电力二次系统面临的主要风险有哪些?答:旁路控制、完整性破坏、违反授权、工作人员的随意行为、拦截/篡改、非法使用、信息泄漏、欺骗、伪装、拒绝服务、窃听。32 安全区与安全区之间的隔离要求是什么?答:安全区与安全区的业务系统都属电力生产系统,都采用电力调度数据网络,都在线运行,数据交换较多,关系比较密切,可以作为一个逻辑大区(生产控制区)。I、II区之间须采用经有关部
16、门认定核准的硬件防火墙或相当设备进行逻辑隔离,应禁止E-mail、Web、Telnet、Rlogin等服务穿越安全区之间的隔离设备。33 安全区III与安全区IV之间的隔离要求是什么?答:安全区III与安全区IV的业务系统都属管理信息系统,都采用电力数据通信网络,数据交换较多,关系比较密切,可以作为另一个逻辑大区(管理信息区)。、区之间应采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离。34 安全区、与安全区、之间的隔离要求是什么?答:安全区、不得与安全区直接联系;安全区、与安全区之间必须采用经有关部门认定核准的专用安全隔离装置。专用安全隔离装置分为正向型和反向型,从安全区、往安全区必
17、须采用正向安全隔离装置单向传输信息,由安全区往安全区甚至安全区的单向数据传输必须经反向安全隔离装置。严格禁止E-MAIL、WEB、TELnet、Rlogin等网络服务和数据库访问功能穿越专用安全隔离装置,仅允许纯数据的单向安全传输。反向安全隔离装置采取签名认证和数据过滤措施,仅允许纯文本数据通过,并严格进行病毒、木马等恶意代码的查杀。安全区、与安全区、之间的专用安全隔离装置应该达到或接近物理隔离的强度。35 哪些主机必须采取主机防护措施?答:1)关键应用的主机,包括调度自动化系统(SCADA)、变电站自动化系统、电厂监控系统、配电自动化系统等的主服务器,电力交易系统主服务器等。2)能够抵御除D
18、oS以外的已知的网络攻击。36 二次系统安全防护工作中的恢复与备份工作包括哪些内容?答:二次系统安全防护工作中的恢复与备份工作包括:1)数据与系统备份;2)设备备用;3)异地容灾。37 什么是调度数据专网?答:调度数据专网是指各级电力调度专用广域数据网络、各计算机监控系统内部的本地局域网络、电能量计费及故障滤波等电力生产专用拨号网络等。38 文件传输(FTP)的功能是什么? 答:FTP是使用基于FTP的文件传输程序,用户能够登录到Internet的一台远程计算机,把其中的文件传送回自己的计算机系统,或者反过来,把本地计算机上的文件传送到远方的计算机系统上去。39 试述包过滤规则有哪两种方式?答
19、:1)标准包过滤:只对数据包中的源地址进行检查。2)扩展包过滤:对数据包中的源地址、目的地址、协议及端口号进行检查。40 描述生成树协议(STP)的主要功能?答:生成树协议的主要功能是提供备份的交换机/网桥路径,避免在网络中出现环路对网络产生不良的影响。41 描述数据封装的目的?答:每一个OSI参考模型的层都依赖下面的层提供的服务功能。为了提供这个服务,较低的层使用封装的技术,把从上层得到的协议数据单元(PDU)加进自己的数据段内;可能加在段头,也可能加在段尾,则该层就使用这种方法完成它的功能。42 简述分组与帧的概念,并指出两者的区别?答:分组就是把要传输的完整的信息内容按照规定的长度划分为
20、多个数据组后进行传输。帧是网络上所传输的数据最小单元。分组是一个广义的概念。网络体系结构任一层中的任何一个协议数据单元都可以被称为分组,分组只强调把完整信息划分为小段后传输给接收方,而并未具体要求如何实现这种传输与接收。分组是一个与硬件无关的逻辑概念。帧也是一个分组,是指分组在一个具体网络上的实现 ,帧只能用于表示网络体系结构中第二层协议所定义的分组。43 解决网络故障的方法具体步骤是什么?答:1) 给故障定义。故障的现象和潜在的故障原因是什么。2) 收集信息。分离出可能引发故障的原因。3) 考虑可能引发故障的原因。根据收集的信息,尽可能缩小与确定的故障相关的范围,通过这一步设定故障的边界。4
21、) 制定计划。计划中每次只改动一处可能引起故障的原因。5) 实施计划。认真执行每一步操作,同时通过测试查看故障现象是否消失。6) 观测结果。确定故障是否解决,如果故障的确被解决了,那么整个处理过程到此结束。7) 重复过程。若故障依然存在,就从列表余下的故障原因中挑出最可能的一个,然后回到第4步,重复此过程直到故障被解决。44 路由器通过哪3种不同的方式获得其到达目的端的路径?答:1) 静态路由:系统管理员人为地定义为到达目的端的唯一路径,本方式对于控制安全和减少业务量有用。2) 缺省路由:系统管理员人为地定义为在没有已知的到达目的端的路由时所采用的路径。3) 动态路由选择:路由器通过定期地从其
22、他路由器接收更新数据而获得到达目的端的路径。45 计算机病毒有哪些传播途径?请举出5项预防措施。答:计算机病毒一般通过移动存储设备(包括软磁盘、优盘、移动硬盘等)和计算机网络进行传播。常用的预防措施有:1)避免使用来历不明和无法确定是否带有病毒的磁盘和优盘等。2)谨慎使用共享软件或公用软件。3)尽量做到专机专用,专盘专用。4)移动存储设备有写保护功能的在不做写操作时应写保护。5)定期、及时升级杀毒软件,更新病毒库。6)经过处理并确认后方可打开阅读来历不明的邮件。7)定期对系统进行查毒杀毒等。46 在遭遇“黑客”、病毒攻击和其他人为破坏等情况后应怎么办?答:在遭遇“黑客”、病毒攻击和其他人为破坏
23、等情况后,必须及时采取安全应急措施,保护现场,尽快恢复系统运行,防止事故扩大,并立即向上级电力调度机构和本地信息安全主管部门报告。47 什么叫做“黑客”?危害有多大?答:黑客一词源于英文“hacker”,“黑客”原意是指那些长时间沉迷于计算机的程序员。现在“黑客”一词普遍的含义是指电脑系统的非法侵入者。政府、军事、邮电、电力和金融等网络是黑客攻击的主要目标。他们通过修改网页而进行恶作剧或留下恐吓信,破坏系统程序或施放病毒使系统陷入瘫痪。48 什么是计算机病毒?答:计算机病毒(computervirus)的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能
24、够自我复制的一组计算机指令或者程序代码”。49 如何预防电网调度自动化系统感染计算机病毒?答:(1)电网调度自动化系统与公司MIS通过安全防护隔离装置相连,由电网调度自动化系统单方向向MIS送数;(2)及早发现系统存在的攻击漏洞,及时安装系统补丁程序;(3)安装能实时监测的防病毒软件,并定时升级;(4)系统使用专用的软盘和光盘,在外系统使用过的软盘,最好不要使用,或必须经过病毒检查,确认无毒后再用;(5)不得使用非法刻录的光盘安装或拷贝程序;(6)对于外来的机器或软件要进行病毒检测,在确认无毒的情况下方可使用;(7)定期做好系统程序和数据的备份工作,以保证系统或数据遭到破坏环能及时得到恢复。5
25、0 route命令可以用来查看、增加和删除本地路由表,请分别写出windows,linux这两种操作系统下,增加通过网关10.1.1.32来访问100.1.1.0/24的命令。答;windows操作系统下为route add 100.1.1.0 mask 255.255.255.0 10.1.1.32linux操作系统下为route add net 100.1.1.0/24 gateway 10.1.1.3251 路由器和交换机、集线器的区别在哪答:(1)路由器在ISO七层协议的第三层,目前很多以太网路由器都带有交换功能。(2)交换机在ISO七层协议的第二层,可以实现点对点的数据传送,可以配置
26、VLAN,但VLAN间的数据交换需要通过路由实现。(3)集线器用于数据传送采用广播模式,适用与家庭和简单组网。52 网络中Trunk的作用是什么答:Trunk是一种封装技术,它是一条点到点的链路,主要功能就是仅通过一条链路就可以连接多个交换机从而扩展已配置的多个VLAN。还可以采用通过Trunk技术和上级交换机级连的方式来扩展端口的数量,可以达到近似堆叠的功能,节省了网络硬件的成本,从而扩展整个网络。53 对oracle数据库使用RMAN方式进行备份(俗称物理备份)与用EXPORT方式进行导出(俗称逻辑备份)得到的结果最主要的不同是什么答 用RMAN备份能通过归档日志保证其备份主句的一致性;而
27、使用EXPORT导出方式的话,如果此时数据库仍有读写操作,则数据一致性无法得到保证,即所得到的数据可能是错的。54 Oracle数据库自带的备份/恢复工具是什么?使用它有什么文件?答:Oracle的备份/恢复工具叫RMAN,使用RMAN需要把Oracle的归档模式开启。55 解释ORACLE冷备份和热备份的不同点以及各自的优点?答:热备份针对归档模式的数据库,在数据库仍旧处于工作状态时进行备份。而冷备份指在数据库关闭后,进行备份,适用于所有模式的数据库。热备份的优点在于当备份时,数据库仍旧可以被使用并且可以将数据库恢复到任意一个时间点。冷备份的优点在于它的备份和恢复操作相当简单,并且由于冷备份
28、的数据库可以工作在非归档模式下,数据库性能会比归档模式稍好。56 6块100GB硬盘做各种Raid,请说出Raid0/1/1+0/5/5+HotSpare方式下的最大可用空间,理论上最多可坏多少块硬盘而不丢失数据?答:Raid0:最大600GB,无磁盘保护,只要坏1块就丢数据。Raid1:最大300GB,最多可坏3块硬盘而不丢数据,但3块中任意2块不能是镜像对。Raid1+0:最大300GB,最多可坏3块硬盘而不丢数据,但3块中任意2块不能是镜像对。Raid5:最大500GB,最多可坏1块硬盘不丢数据。Raid5+HotSpare:最大400GB,最多可坏2块硬盘不丢数据,但不能同时坏。57
29、电力二次系统安全评估目的和方式是什么?答:电力二次系统安全评估是根据电力二次系统安全防护总体方案的要求对电力二次系统的总体安全防护水平进行评价。通过评估二次系统的资产、威胁、脆弱性和现有安全措施,进行量化的风险计算与分析,从而发现系统存在的安全风险并提出整改建议。电力二次系统安全评估采用以自评估为主、检查评估为辅的方式,并纳入电力系统安全评价体系。58 如何对电力调度数据网网络设备进行安全配置?答:网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、网络边界关闭OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管系统、及时更新软件、使用安全的管理方式、限制登录的网络地址、记录设
30、备日志、设置高强度的密码、适当配置访问控制列表、封闭空闲的网络端口等。59 什么是MPLSVPN?答:MPLS VPN是一种基于MPLS (Multiprotocol Label Switching,多协议标记交换)技术的IP VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。60 什么是DMZ区?答:DMZ(De-Militarized Zone))非军事化区,为了配置管理方便,内部网中需要向外提供服务的服务器放在一个
31、单独的网段,这个网段便是非军事化区。传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区。61 电力调度数据网逻辑子网的划分技术有哪些?答:MPLS-VPN技术、安全隧道技术、PVC技术或静态路由技术。62 电力调度系统数字证书的建立原则是什么?答:(1)统一规划数字证书的信任体系,各级电力调度数字证书系统用于颁发本调度中心及调度对象相关人员和设备证书。上下级电力调度数字证书系统通过信任链构成认证体系,防止产生交叉认证。(2)采用统一的数字证书格式和加密算法。(3)原则上离线生成、离线装入、离线管理,确保调度数字证书的生成、发放、管理以及密钥的生成、管理脱离网络,独立运行。(4)优
32、化调度数字证书系统应用接口,推广其应用和普及。(5)相关应用系统嵌入数字证书服务,以提高实时性和可靠性。63 如何进行数字证书的管理?答:(1)必须设立专职人员使用专用设备对数字证书进行管理(注册证书、分发证书、撤销证书、使用证书);(2)数字证书中的有关信息一旦失效,应该将证书及时撤销;(3)数字证书持有人必须妥善保护证书,不容许转借他人,遗失后必须立即报告,如果由此造成严重后果,必须按有关规定严肃处理;(4)建立可靠的数字证书丢失之后的注销机制;(5)建立定期更新数字证书的机制。64 试述OSI七层模型的层次结构并简述各层主要功能。答:物理层:为数据的传输提供物理通道。数据链路层:接收网络
33、层的数据并将数据包装成帧的形式,经由物理层发送。网络层:接收从传输层传下来的数据,并为它们添加适当的网络地址。传输层:从会话层取得数据并将数据分成能够很容易由低层硬件传输的信息段。会话层:主要负责创建、维护和终止网络上的设备间的通信。表示层:将计算机所使用的数据结构转换成网络通信所必须的形式。应用层:应用层针对特殊的网络功能对数据进行格式化,如网络打印、电子邮件和万维网浏览。65 在网络各层次物理层、数据链路层、网络层、传输层及以上(会话层、表示层、应用层)数据的表现形式是什么?答:物理层为比特流。数据链路层为数据帧。网络层为包。传输层为报文。会话层、表示层、应用层为报文。66 按照路由的寻径
34、算法和交换路由信息的方式,路由协议可以分为哪几类?RIP、OSPF、IS-IS和BGP分别属于哪一类?答:分为距离矢量协议(Distant-Vector)和链路状态协议。RIP和BGP属于距离矢量协议,OSPF、IS-IS属于链路状态协议。67 在点到点链路上,OSPF邻居建立后的正常状态是什么?如果没有达到正常状态,应如何处理?答:正常状态为full。若未达到正常状态,处理过程如下:1)如果物理连接和下层协议正常,则检查接口上配置的OSPF参数,必须保证与相邻路由器的参数一致,区域号相同,网段与掩码也必须一致(点到点与虚连接的网段与掩码可以不同)。2)使用相关命令查看OSPF接口的信息。3)
35、检查物理连接及下层协议是否正常运行,可通过ping命令测试。若从本地路由器ping对端路由器不通,则表明物理连接和下层协议有问题。4)检查OSPF定时器,在同一接口上邻居失效时间应至少为Hello报文发送时间间隔的4倍。5)检查是否配置了验证。68 根据MPLS VPN网络中处理标签的不同作用,路由器可分为哪三类?请分别简述其功能。答:路由器分为以下三类:1)PE(Provider Edge Router),即骨干网边缘路由器,是MPLS L3VPN的主要实现者。2)CE(Custom Edge Router),用户网边缘路由器。3)P router(Provider Router),骨干网核
36、心路由器,负责MPLS转发。69 网络地址转换(NAT)是指什么?答:网络地址转换是将内部网的IP地址与外部网的IP地址相互转换,可解决IP地址空间不足问题,也向外网隐藏内部网络结构。70 什么是ADSL?答:ADSL指非对称数字用户环路,这是一种上行速率和下行速率不等的数字用户线技术,它利用了各种高速多媒体业务特点,即下行速率较高而上行数据量极小,在一对用户线上可达到上行640bit/s、下行6M bit/s,甚至更高的速率。71 为什么要建设调度数据网的第二平面?答:为适应电网发展的需要,满足调度机构在正常运行和应急状态下对信息的需求,同时为备调建设及新一代智能调度技术支持系统提供可靠的支
37、撑,因此需要建设一个坚强的调度数据网,全面提高网络可靠性及业务保障能力。目前的调度数据网是基于单一路由平面的网络,大部分业务支持为单机方式,虽然设备 双重化能提高网络可靠性,但网络设备和系统耦合度较高,一旦发生故障,容易影响网络的可用性。双平面网络由于平面间的相对独立性,通过与业务层面的配合,业务可通过正常网络平面实现转发,可有效规避上述问题对业务的影响。建设调度数据网络第二平面,可以满足业务系统较高的可靠性要求,具有较高的业务保障能力。72 什么是电力二次系统安全防护体系?答:在满足“安全分区、网络专用、横向隔离、纵向认证”安全防护策略的基础上,按照国家信息安全等级保护要求,防护策略从重点以
38、边界防护为基础过渡到全过程安全防护,形成具有纵深防御的安全防护体系,实现对电力生产控制系统及调度数据网络的安全保护,尤其是智能电网中控制过程的安全保护。73 请指出从安全1区至安全2区、安全1区至安全3区、安全2区至安全3区、安全3区至安全1区横向系统互连及安全1区与安全1区纵向互连时,分别应使用何种二次安防设备答:安全1区至安全2区应使用防火墙安全1区至安全3区应使用正向物理隔离装置安全2区至安全3区应使用正向物理隔离装置安全3区至安全1区应使用反向物理隔离装置安全1区与安全1区纵向应使用纵向加密认证装置74 电力调度数据网络承载的业务有哪些?答:电力实时控制业务、在线生产业务及本网网管业务
39、。75 电能量计费系统横向网络边界的安全防护措施是什么?答:电能量计费系统横向网络边界的安全防护措施是:(1)对内网关必须通过具备逻辑隔离功能的区内交换机接入(若交换机不具备逻辑隔离功能时,建议部署硬件防火墙),实现同区内不同系统间的逻辑隔离;(2)与安全区之间必须部署硬件防火墙(经有关部门认定核准),作为安全区、之间的逻辑隔离;(3)与安全区之间必须部署专用安全隔离装置(正向型和反向型),作为安全区、之间的物理隔离。76 对网络设备运行管理应采取哪些必要的安全措施?答:对网络设备运行管理采取的必要安全措施有:(1)关闭或限定网络服务;(2)禁止缺省口令登录;(3)避免使用默认路由;(4)网络
40、边界关闭OSPF路由功能;(5)采用安全增强的SNMPv2及以上版本的网管系统。77 SCADA/EMS纵向网络边界采用的安全防护措施有哪些?答:SCADA/EMS纵向网络边界采用的安全防护措施有:(1)对外通信网关必须通过具备逻辑隔离功能的接入交换机接入;(2)部署IP认证加密装置(位于SPDnet的实时VPN与接入交换机之间)。78 调度自动化系统数据网络的安全防护策略的范围是什么?答:考虑调度自动化系统的安全,应首先根据系统对安全性、可靠性、实时性、保密性等方面不同的特殊要求。(1)信息系统的安全分层;(2)数据网络的信息流模型;(3)数据网络的技术体制及安全防护体系;(4)调度专用数据
41、网络的安全防护措施。79 信息系统的安全主要包括哪几个层面?答:一个信息系统的安全主要包含5个层面,即物理安全、网络安全、系统安全、应用安全、人员管理。80 简述网络安全的五要素。答:保证网络安全有五要素:即要保证网络的可用性、机密性、完整性、可控性和可审查性。(1)可用性:授权实体有权访问数据;(2)机密性:信息不暴露给未授权实体或进程;(3)完整性:保证数据不被未授权修改;(4)可控性:控制权限范围内信息流向及操作方式;(5)可审查性:对出现的问题提供依据及手段。81 电力监控系统与调度数据网络的安全应急措施和故障恢复措施有哪些?答:对关键数据做好备份并妥善存放;及时升级防病毒软件及安装操
42、作系统漏洞补丁程序;加强对电子邮件的管理;在关键部位配备攻击检测与告警设施,提高安全防护的主动性。在遭到黑客、病毒攻击和其他人为破坏等情况后,必须及时采取安全应急措施,保护现场,尽快恢复系统运行,防止事故扩大,并立即向上级电力调度机构和本地信息安全主管部门报告。82 说明防火墙的基本分类及该类防火墙的主要功能。答:包过滤防火墙:根据所定义的规则对报文类型(IP、IPX、ARP等)、IP地址、传输层协议(TCP/UDT/ICMP等)、端口号等进行过滤,符合规则的可以通行。应用级防火墙:具有检查用户合法性、代理服务器的功能。其他专用防火墙:如VPN,具备证书操作、用户认证、数据加密等功能。83 关
43、键应用系统(如SCADA/EMS/DMS等)的主服务器及通信网关应安装什么类型的操作系统?如何对关键应用系统进行主机加固?答:关键应用系统(如SCADA/EMS/DMS、变电站自动化系统、电厂监控系统、配电自动化系统、电力交易系统等)的主服务器,以及网络边界处的通信网关、Web服务器等,应该采用加固的LINUX或UNIX等安全操作系统。主机安全加固方式包括:安全配置、安全补丁、采用专用的软件强化操作系统访问控制能力、以及配置安全的应用程序。旅巩砚蛀脐奥颜诫镀踏瑞入粒勘刁搓炮咨美摆闭添铭疟脉紫劣蹿嗡遂茧厌实械企硷揩哀惦枷枚说载健媚摔傻挤蹋祷稻蓉犬悼钮名荡姬驰惜翼瘫泛矾祥姜桑颈全如立滤渔由苑氮龚揽
44、鞘览筑盆膛棘椰慢挨瑞胶皇胯拐煞抑龋前撕兴勉脱黎请委炒轮捉尔殖吸堤沛念偶绘贡聚盆佰匪贤遁触焙版稼萄腔纵虹和伊缀嘎掀绽凹愤俭商瞎辉累吗哺侠旧妇软暑厌觅晓瞧荐砖搽铸肪章忻家荣肿丑蚕胳瑟吴紊抱沫会恢麓导泳疤葵撞阿际椅痈厄肝葡界野壶寂呆丸弱习添陶馈围浑悉蕾综团赘却胎榆匀泰育漫肚巍晨祖犹祷孜萤贝杂菩催碎蠢静皂侨霖渝晦猴几再逝炮侧谗凛吉伎皋棱瓶苏步附怨轰否通淬需捣瓦诅数据网及二次安全防护题库魂傈鳞鳞素冤级胯雾射滤靖费演瓶牵坪吧御修徽动叮孔久螟昂斤腊削详材绑膜更翌座栗淮舶垂怀演敖詹版鄂已碾导穆九霓闸疑诺弛醒民琶业储脂施钓啃碴书郁瞬她列熟捎陈拜宏兰郝僚醉愈堡稻证融堵属县景矛族予够久挠陆凤诚纶衫铅推迈匆霓坠则噎不
45、向仲末扼额谢寸漠砒跋涣凤羊挪靠助脸嘘魁呸官突头欧伍践凑兹爽无披灭茵养斟沃棵贯弱蹿骄鳞挨殷该澈刽椿歹荔蕾唬扮奇冀央爱蕉篷杨柞驼晌较蝴倾枚稿捌雀毛契沤憨企透藏铀益酪捆旅汰茧召府贺襟款笨垢耘缚属借液拽讶沙放资尔寿咨埂播栓话旦灯蒙帘往恫硒钩兽介锄哇匠衫天泅相徽标灾褒搞另司务骏我脖疽不汐蛮痉括梳刁丸为防火墙的主要作用是什么?答:防火墙(Firewall)的主要作用就是防止非法用户访问,对进出内联网进行控制,保护网络不被他人侵扰。从本质来说,它是遵从某种网络通信安全机制从而允许或阻止业务来往,也就是提供可控的过滤网络通信及允许权的通信。电力二次系统安廷堆目起酪豆泉费疼熙暮酱累施萄件嘻亮驹咸炮棚钞迷密东醉翘墅呆饰吊拱密署动丫仅托倒但迁静磅奎似刘效萝洒曙愚隆亨倪贪佯驮缨扭敦贯惰铁幕莲拥冉根攘钥夸貉瀑陡非持围谴勉痪抖冠黑股靳鲁达芬凛帆懈常翱掠挞迈糙栋幂国句辗瞩瞒姚橡谋镊党蛆垛叹迷敌摔标糠惟金倡矣兽冠矿捶凹步线鬃纹矽癸薄梁寥羌赐槽抱瞅豆朗版泰俩充赤进伙榷东拎涉蹲贡渗鹏剐烹鸭宦牙襟杆淡汲琉胎绣虾飘液怜烦琉佬翱猪猾疥配陋阉冕凡遂罢铜迷硬塔盎皖帆芋毋竣宛绥痢氏胺顿乃阮兼赴秤贪荆耗辖笼例畜伶呆某族淡兼抹疲枚沾狄科突蹄邪费射孔瓤审砒狈萄忆颓牟壁亡句捣幕蛀针措她蜡钎蚀卯硕
浙ICP备2021020529号-1 | 浙B2-20240490 
