数据网及二次安全防护题库.pdfVIP

1． 防火墙的主要作用是什么？ 答：防火墙（Firewall）的主要作用就是防止非法用户访问，对进出内联网进行控制，保护 网络不被他人侵扰。从本质来说，它是遵从某种网络通信安全机制从而允许或阻止业务来往， 也就是提供可控的过滤网络通信及允许权的通信。 5．电力二次系统安全防护工作的原则是什么？ 答：安全分区、网络专用、横向隔离、纵向认证。 6．生产控制大区与管理信息大区之间必须设置什么？ 答：经国家指定部门检测认证的电力专用横向单向安全隔离装置。 7．生产控制大区内部的安全区之间应当设置什么？ 答：具有访问控制功能的防火墙。 8．电力二次系统划分为几个安全区？请举出各区典型系统（2个以上）？ 答：根据电力二次系统的特点，划分为生产控制大区和管理信息大区。生产控制大区分为控 制区（安全区Ⅰ）和非控制区（安全区Ⅱ）。信息管理大区分为生产管理区（安全区Ⅲ）和 管理信息区（安全区Ⅳ）。不同安全区确定不同安全防护要求，其中安全区Ⅰ安全等级最高， 安全区Ⅱ次之，其余依次类推。安全区Ⅰ典型系统：调度自动化系统、变电站自动化系统、 继电保护、安全自动控制系统等。安全区Ⅱ典型系统：水库调度自动化系统、电能量计量系 统、继保及故障录波信息管理系统等。安全区Ⅲ典型系统：调度生产管理系统（DMIS）、雷 电监测系统、统计报表系统。 9．如何实现对生产控制大区内恶意代码防护系统中特征码的更新？ 答：对生产控制大区，禁止以任何方式连接外部网络进行病毒或木马特征码的在线更新，只 能使用离线更新方式进行更新。 10．简述电力二次系统中关于远程拨号访问的防护策略？ 答：通过远程拨号访问生产控制大区时，要求远方用户使用安全加固的操作系统平台，结合 调度数字证书技术，进行登录认证和访问认证。对于通过拨号服务器（RAS）访问本地网络 与系统的远程拨号访问的方式，应当采用网络层保护，应用VPN技术建立加密通道。对于以 远方终端直接拨号访问的方式，应当采用链路层保护，使用专用的链路加密设备。对于远程 用户登录到本地系统中的操作行为，应该进行严格的安全审计。 11．拨号访问的防护一般有哪两种方式？ 答：拨号访问的防护可以采用链路层保护方式或者网络层保护方式。链路保护方式使用专用 的链路加密设备。网络保护方式应用VPN技术建立加密通道。 12．网络攻击类型有哪些？ 答：1）阻断攻击：针对可用性攻击；2）截取攻击：针对机密性攻击；3）篡改攻击：针对 完整性攻击；4）伪造攻击：针对真实性攻击。 13．国家电网公司企业数据网称为什么？承载哪些业务？ 答：国家电网公司企业数据网称为国家电力数据通信网（SGTnet），该网主要承载电力综合 信息、电力调度生产管理业务、电力内部数字语音视频等业务。 14．在DOS模式下，向主机发出100个数据部分大小为3000Bytes的Ping报 文，请写出具体命令？ 答：ping –l3000 –n100 15．什么是VLAN? 答：VLAN全称VirtualLocalAreaNetwor （虚拟局域网），通过交换机的VLAN功能可以将局 域网设备从逻辑上划分成一个个网段（或者说是更小的局域网），从而实现虚拟工作组的数 据交换技术。通过VLAN还可以防止局域网产生广播效应，加强网段之间的管理和安全性。 16．在交换机上实现VLAN技术有什么作用？ 答：VLAN(Virtual Local Area Network)技术把一个LAN划分成多个逻辑的LAN-VLAN，每 个VLAN是一个广播域，VLAN 内的主机间通信就和在一个LAN 内一样，而VLAN 间则不能直 接互通。 使用VLAN具有如下好处： 限制广播报文（广播风暴），节省带宽，提高了网络处理能力。广播域限制在一个VLAN 内, 交换机不会从一个VLAN 向另外一个VLAN直接发送帧。 增强LAN 的安全性。VLAN 间不能直接通信，即一个VLAN 内的用户和其他VLAN 内的用户不 能直接互访，如果要访问需要通过路由器或三层交换机等三层设备。 虚拟工作组。用VLAN可以划分不同的用户到不同的工作组，当用户工作组改变时，不需要 改变物理位置。 17．每个路由器在寻找路由时需要知道哪五部分信息? 答：所有的路由器需要如下信息为报文寻找路由：1）目的地址：报文发送的目的主机；2） 邻站的确定：指明谁直接连接到路由器的接口上；）路由的发现：发现邻站知道哪些网络； 3 4）选择路由：通过从邻站学习到的信息，提供最优的(与度量值有关)到达目的地的路径；）5 保持路由信息：路由器保存一张路由表，它存