21.?在生產控制大區與廣域網的縱向交接處如何實現安全防護？
答：在生產控制大區與廣域網的縱向交接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施，實現雙向身份認證、數據加密和訪問控制。如暫時不具備條件，可采用硬件防火墻或網絡設備的訪問控制技術臨時代替。
22.?在管理信息大區與廣域網的縱向交接處如何實現安全防護？
答：管理信息大區應采用硬件防火墻等安全設備接入電力企業數據網。
23.?對處于外部網絡邊界的通信網關如何實現安全防護？
答：對處于外部網絡邊界的通信網關，應進行操作系統的安全加固。根據具體業務的重要程度及信息的敏感程度，對生產控制大區的外部通信網關應該具備加密、認證和過濾的功能。
24.?傳統的基于專用通道的通信是否需要安全防護？
答：傳統的基于專用通道的通信不涉及網絡安全問題，可采用線路加密技術保護關鍵廠站及關鍵業務。
25.?生產控制大區內部安全區Ⅰ是否允許WEB服務？
答：生產控制大區內部安全區Ⅰ禁止安全區Ⅰ的Web服務。
26.?生產控制大區內部安全區Ⅱ是否允許WEB服務？
答：允許安全區Ⅱ內部采用B/S結構的業務系統，但僅限于業務系統內部使用。允許安全區Ⅱ縱向安全Web服務，經過安全加固且支持HTTPS的安全Web服務器和Web瀏覽工作站應在專用網段，應由業務系統向Web服務器單向主動傳送數據。
27.?電力調度數字證書的特點？
答：電力調度數字證書是專用于電力調度業務需要的數字證書，主要用于生產控制大區，可使用于交互式登錄的身份認證、網絡身份認證、通信數據加密及認證（包括數據完整性和數據源認證）等。
電力調度證書系統按照電力調度管理體系進行配置，省級及以上調度中心和有實際業務需要的地區調度控制中心應該建立電力調度證書服務系統。
28.?電力調度系統數字證書的建立原則？
答：（1）統一規劃數字證書的信任體系，各級電力調度證書系統用于頒發本調度中心及調度對象相關人員和設備證書。上下級電力調度證書系統通過信任鏈構成認證體系，防止產生交叉認證。
（2）采用統一的數字證書格式和加密算法。
（3）原則上離線生成、離線裝入、離線管理，確保調度數字證書的生成、發放、管理以及密鑰的生成、管理脫離網絡，獨立運行；
（4）優化調度數字證書系統應用接口，推進其應用和普及；
（5）?相關應用系統嵌入數字證書服務，以提高實時性和可靠性。
29.?電力調度數據網絡承載的業務是什么？
答：電力調度數據網絡是專用網絡，承載的業務是電力實時控制業務、在線生產業務以及本網網管業務。
30.?如何實現對電力調度數據網網絡路由的防護？
答：對路由器之間的路由信息交換進行數字簽名，保證信息的完整性與可信性。
31.?如何對電力調度數據網網絡設備進行安全配置？
答：網絡設備的安全配置包括關閉或限定網絡服務、避免使用默認路由、網絡邊界關閉OSPF路由功能、采用安全增強的SNMPv2及以上版本的網管系統、及時更新軟件、使用安全的管理方式、限制登錄的網絡地址、記錄設備日志、設置高強度的密碼、適當配置訪問控制列表、封閉空閑的網絡端口等。
32.?如何實現對電力企業數據網的防護？
答：電力企業數據網為電力企業內聯網，其安全防護由各個企業負責。其中，電網企業的數據網即為電力數據通信網，該網承載業務主要為電力綜合信息、電力調度生產管理業務、電力內部數字語音視頻以及網管業務，該網不經營對外業務。電力數據通信網使用私有網絡地址，與外部互聯網以及其它外部網絡沒有直接的網絡連接，采用虛擬專網技術構造三個子網：調度子網、信息子網以及語音視頻子網，分別對應電網企業的電力調度生產管理、電力綜合信息、電力內部數字語音視頻三類業務。
33.?如何實現對電力監控系統的備份及恢復？
答：必須定期對電力監控系統關鍵業務的數據與系統進行備份，建立歷史歸檔數據的異地存放制度，確保在數據損壞或系統崩潰的情況下快速恢復數據與系統，保證系統的可用性。
對關鍵主機設備、網絡設備或關鍵部件進行相應的冗余配置，安全區I的業務應采用熱備份方式，其它安全區的業務系統可根據需要選用熱備份、溫備份、冷備份等備份方式，避免單點故障影響系統可靠性。
34.?如何實現對電力二次系統惡意代碼的防范？
答：對病毒、木馬等惡意代碼的防護是電力二次系統安全防護所必須的安全措施。生產控制大區應該統一部署惡意代碼防護系統，管理信息大區建議統一部署惡意代碼防護系統，禁止生產控制大區與管理信息大區共用一個防惡意代碼管理服務器。對生產控制大區，禁止以任何方式連接外部網絡進行病毒或木馬特征碼的在線更新。
加強防病毒、木馬等惡意代碼的管理，保證特征碼的及時更新，及時查看查殺記錄，隨時掌握威脅狀況。
35.?如何在生產控制大區部署防火墻？
答：防火墻產品可以部署在安全區I與安全區II之間，實現兩個區域的邏輯隔離、報文過濾、訪問控制等功能。生產控制大區與管理信息大區采用的防火墻安全策略的側重點應有所不同。
36.?如何在生產控制大區部署入侵檢測系統？
答：生產控制大區統一部署一套網絡入侵檢測系統，其安全策略的設置重在捕獲網絡異常行為、分析潛在威脅以及事后安全審計，不宜使用實時阻斷功能。禁止使用入侵檢測與防火墻的聯動。
加強入侵檢測系統的使用與管理，合理設置檢測規則，及時分析檢測報告，準確識別攻擊，及時發出告警信息，充分發揮其在安全事件檢測與恢復中的作用。
37.?如何在生產控制大區進行主機加固？
答：主機安全防護首先要確定安全策略，然后采取適當的方式增強其安全性。通過合理地設置系統配置、服務、權限，可有效減少安全薄弱環節。
38.?如何對操作系統進行安全加固？
答：操作系統安全加固措施包括：升級到當前系統版本、安裝后續的補丁合集、加固系統TCP/IP配置、根據系統應用要求關閉不必要的服務、關閉SNMP協議避免利用其遠程溢出漏洞獲取系統控制權或限定訪問范圍、為超級用戶或特權用戶設定復雜的口令、修改弱口令或空口令、禁止任何應用程序以超級用戶身份運行、設定系統日志和審計行為等。
39.?數據庫的加固措施包括什么？
答：數據庫的應用程序進行必要的安全審核、及時刪除不再需要的數據庫、安裝補丁、使用安全的密碼策略和賬號策略、限定管理員權限的用戶范圍、禁止多個管理員共享用戶賬戶和口令、禁止一般用戶使用數據庫管理員的用戶名和口令、加強數據庫日志的管理、管理擴展存儲過程、數據定期備份等。
40.?電力調度數字證書的應用范圍？
答：電力調度系統建設基于公鑰技術的分布式的調度數字證書系統，由相關主管部門統一頒發調度數字證書，為電力監控系統及調度數據網上的關鍵應用、關鍵用戶和關鍵設備提供數字證書服務。在數字證書基礎上可以在調度系統與網絡關鍵環節實現高強度的身份認證、安全的數據傳輸以及可靠的行為審計。