21.?在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處如何實現(xiàn)安全防護？
答：在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關及相應設施，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。如暫時不具備條件，可采用硬件防火墻或網(wǎng)絡設備的訪問控制技術臨時代替。
22.?在管理信息大區(qū)與廣域網(wǎng)的縱向交接處如何實現(xiàn)安全防護？
答：管理信息大區(qū)應采用硬件防火墻等安全設備接入電力企業(yè)數(shù)據(jù)網(wǎng)。
23.?對處于外部網(wǎng)絡邊界的通信網(wǎng)關如何實現(xiàn)安全防護？
答：對處于外部網(wǎng)絡邊界的通信網(wǎng)關，應進行操作系統(tǒng)的安全加固。根據(jù)具體業(yè)務的重要程度及信息的敏感程度，對生產(chǎn)控制大區(qū)的外部通信網(wǎng)關應該具備加密、認證和過濾的功能。
24.?傳統(tǒng)的基于專用通道的通信是否需要安全防護？
答：傳統(tǒng)的基于專用通道的通信不涉及網(wǎng)絡安全問題，可采用線路加密技術保護關鍵廠站及關鍵業(yè)務。
25.?生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)Ⅰ是否允許WEB服務？
答：生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)Ⅰ禁止安全區(qū)Ⅰ的Web服務。
26.?生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)Ⅱ是否允許WEB服務？
答：允許安全區(qū)Ⅱ內(nèi)部采用B/S結(jié)構(gòu)的業(yè)務系統(tǒng)，但僅限于業(yè)務系統(tǒng)內(nèi)部使用。允許安全區(qū)Ⅱ縱向安全Web服務，經(jīng)過安全加固且支持HTTPS的安全Web服務器和Web瀏覽工作站應在專用網(wǎng)段，應由業(yè)務系統(tǒng)向Web服務器單向主動傳送數(shù)據(jù)。
27.?電力調(diào)度數(shù)字證書的特點？
答：電力調(diào)度數(shù)字證書是專用于電力調(diào)度業(yè)務需要的數(shù)字證書，主要用于生產(chǎn)控制大區(qū)，可使用于交互式登錄的身份認證、網(wǎng)絡身份認證、通信數(shù)據(jù)加密及認證（包括數(shù)據(jù)完整性和數(shù)據(jù)源認證）等。
電力調(diào)度證書系統(tǒng)按照電力調(diào)度管理體系進行配置，省級及以上調(diào)度中心和有實際業(yè)務需要的地區(qū)調(diào)度控制中心應該建立電力調(diào)度證書服務系統(tǒng)。
28.?電力調(diào)度系統(tǒng)數(shù)字證書的建立原則？
答：（1）統(tǒng)一規(guī)劃數(shù)字證書的信任體系，各級電力調(diào)度證書系統(tǒng)用于頒發(fā)本調(diào)度中心及調(diào)度對象相關人員和設備證書。上下級電力調(diào)度證書系統(tǒng)通過信任鏈構(gòu)成認證體系，防止產(chǎn)生交叉認證。
（2）采用統(tǒng)一的數(shù)字證書格式和加密算法。
（3）原則上離線生成、離線裝入、離線管理，確保調(diào)度數(shù)字證書的生成、發(fā)放、管理以及密鑰的生成、管理脫離網(wǎng)絡，獨立運行；
（4）優(yōu)化調(diào)度數(shù)字證書系統(tǒng)應用接口，推進其應用和普及；
（5）?相關應用系統(tǒng)嵌入數(shù)字證書服務，以提高實時性和可靠性。
29.?電力調(diào)度數(shù)據(jù)網(wǎng)絡承載的業(yè)務是什么？
答：電力調(diào)度數(shù)據(jù)網(wǎng)絡是專用網(wǎng)絡，承載的業(yè)務是電力實時控制業(yè)務、在線生產(chǎn)業(yè)務以及本網(wǎng)網(wǎng)管業(yè)務。
30.?如何實現(xiàn)對電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡路由的防護？
答：對路由器之間的路由信息交換進行數(shù)字簽名，保證信息的完整性與可信性。
31.?如何對電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡設備進行安全配置？
答：網(wǎng)絡設備的安全配置包括關閉或限定網(wǎng)絡服務、避免使用默認路由、網(wǎng)絡邊界關閉OSPF路由功能、采用安全增強的SNMPv2及以上版本的網(wǎng)管系統(tǒng)、及時更新軟件、使用安全的管理方式、限制登錄的網(wǎng)絡地址、記錄設備日志、設置高強度的密碼、適當配置訪問控制列表、封閉空閑的網(wǎng)絡端口等。
32.?如何實現(xiàn)對電力企業(yè)數(shù)據(jù)網(wǎng)的防護？
答：電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內(nèi)聯(lián)網(wǎng)，其安全防護由各個企業(yè)負責。其中，電網(wǎng)企業(yè)的數(shù)據(jù)網(wǎng)即為電力數(shù)據(jù)通信網(wǎng)，該網(wǎng)承載業(yè)務主要為電力綜合信息、電力調(diào)度生產(chǎn)管理業(yè)務、電力內(nèi)部數(shù)字語音視頻以及網(wǎng)管業(yè)務，該網(wǎng)不經(jīng)營對外業(yè)務。電力數(shù)據(jù)通信網(wǎng)使用私有網(wǎng)絡地址，與外部互聯(lián)網(wǎng)以及其它外部網(wǎng)絡沒有直接的網(wǎng)絡連接，采用虛擬專網(wǎng)技術構(gòu)造三個子網(wǎng)：調(diào)度子網(wǎng)、信息子網(wǎng)以及語音視頻子網(wǎng)，分別對應電網(wǎng)企業(yè)的電力調(diào)度生產(chǎn)管理、電力綜合信息、電力內(nèi)部數(shù)字語音視頻三類業(yè)務。
33.?如何實現(xiàn)對電力監(jiān)控系統(tǒng)的備份及恢復？
答：必須定期對電力監(jiān)控系統(tǒng)關鍵業(yè)務的數(shù)據(jù)與系統(tǒng)進行備份，建立歷史歸檔數(shù)據(jù)的異地存放制度，確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下快速恢復數(shù)據(jù)與系統(tǒng)，保證系統(tǒng)的可用性。
對關鍵主機設備、網(wǎng)絡設備或關鍵部件進行相應的冗余配置，安全區(qū)I的業(yè)務應采用熱備份方式，其它安全區(qū)的業(yè)務系統(tǒng)可根據(jù)需要選用熱備份、溫備份、冷備份等備份方式，避免單點故障影響系統(tǒng)可靠性。
34.?如何實現(xiàn)對電力二次系統(tǒng)惡意代碼的防范？
答：對病毒、木馬等惡意代碼的防護是電力二次系統(tǒng)安全防護所必須的安全措施。生產(chǎn)控制大區(qū)應該統(tǒng)一部署惡意代碼防護系統(tǒng)，管理信息大區(qū)建議統(tǒng)一部署惡意代碼防護系統(tǒng)，禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一個防惡意代碼管理服務器。對生產(chǎn)控制大區(qū)，禁止以任何方式連接外部網(wǎng)絡進行病毒或木馬特征碼的在線更新。
加強防病毒、木馬等惡意代碼的管理，保證特征碼的及時更新，及時查看查殺記錄，隨時掌握威脅狀況。
35.?如何在生產(chǎn)控制大區(qū)部署防火墻？
答：防火墻產(chǎn)品可以部署在安全區(qū)I與安全區(qū)II之間，實現(xiàn)兩個區(qū)域的邏輯隔離、報文過濾、訪問控制等功能。生產(chǎn)控制大區(qū)與管理信息大區(qū)采用的防火墻安全策略的側(cè)重點應有所不同。
36.?如何在生產(chǎn)控制大區(qū)部署入侵檢測系統(tǒng)？
答：生產(chǎn)控制大區(qū)統(tǒng)一部署一套網(wǎng)絡入侵檢測系統(tǒng)，其安全策略的設置重在捕獲網(wǎng)絡異常行為、分析潛在威脅以及事后安全審計，不宜使用實時阻斷功能。禁止使用入侵檢測與防火墻的聯(lián)動。
加強入侵檢測系統(tǒng)的使用與管理，合理設置檢測規(guī)則，及時分析檢測報告，準確識別攻擊，及時發(fā)出告警信息，充分發(fā)揮其在安全事件檢測與恢復中的作用。
37.?如何在生產(chǎn)控制大區(qū)進行主機加固？
答：主機安全防護首先要確定安全策略，然后采取適當?shù)姆绞皆鰪娖浒踩?。通過合理地設置系統(tǒng)配置、服務、權(quán)限，可有效減少安全薄弱環(huán)節(jié)。
38.?如何對操作系統(tǒng)進行安全加固？
答：操作系統(tǒng)安全加固措施包括：升級到當前系統(tǒng)版本、安裝后續(xù)的補丁合集、加固系統(tǒng)TCP/IP配置、根據(jù)系統(tǒng)應用要求關閉不必要的服務、關閉SNMP協(xié)議避免利用其遠程溢出漏洞獲取系統(tǒng)控制權(quán)或限定訪問范圍、為超級用戶或特權(quán)用戶設定復雜的口令、修改弱口令或空口令、禁止任何應用程序以超級用戶身份運行、設定系統(tǒng)日志和審計行為等。
39.?數(shù)據(jù)庫的加固措施包括什么？
答：數(shù)據(jù)庫的應用程序進行必要的安全審核、及時刪除不再需要的數(shù)據(jù)庫、安裝補丁、使用安全的密碼策略和賬號策略、限定管理員權(quán)限的用戶范圍、禁止多個管理員共享用戶賬戶和口令、禁止一般用戶使用數(shù)據(jù)庫管理員的用戶名和口令、加強數(shù)據(jù)庫日志的管理、管理擴展存儲過程、數(shù)據(jù)定期備份等。
40.?電力調(diào)度數(shù)字證書的應用范圍？
答：電力調(diào)度系統(tǒng)建設基于公鑰技術的分布式的調(diào)度數(shù)字證書系統(tǒng)，由相關主管部門統(tǒng)一頒發(fā)調(diào)度數(shù)字證書，為電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)上的關鍵應用、關鍵用戶和關鍵設備提供數(shù)字證書服務。在數(shù)字證書基礎上可以在調(diào)度系統(tǒng)與網(wǎng)絡關鍵環(huán)節(jié)實現(xiàn)高強度的身份認證、安全的數(shù)據(jù)傳輸以及可靠的行為審計。