21. 在生产控制大区与广域网的纵向交接处如何实现安全防护？
答：在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。如暂时不具备条件，可采用硬件防火墙或网络设备的访问控制技术临时代替。
22. 在管理信息大区与广域网的纵向交接处如何实现安全防护？
答：管理信息大区应采用硬件防火墙等安全设备接入电力企业数据网。
23. 对处于外部网络边界的通信网关如何实现安全防护？
答：对处于外部网络边界的通信网关，应进行操作系统的安全加固。根据具体业务的重要程度及信息的敏感程度，对生产控制大区的外部通信网关应该具备加密、认证和过滤的功能。
24. 传统的基于专用通道的通信是否需要安全防护？
答：传统的基于专用通道的通信不涉及网络安全问题，可采用线路加密技术保护关键厂站及关键业务。
25. 生产控制大区内部安全区Ⅰ是否允许WEB服务？
答：生产控制大区内部安全区Ⅰ禁止安全区Ⅰ的Web服务。
26. 生产控制大区内部安全区Ⅱ是否允许WEB服务？
答：允许安全区Ⅱ内部采用B/S结构的业务系统，但仅限于业务系统内部使用。允许安全区Ⅱ纵向安全Web服务，经过安全加固且支持HTTPS的安全Web服务器和Web浏览工作站应在专用网段，应由业务系统向Web服务器单向主动传送数据。
27. 电力调度数字证书的特点？
答：电力调度数字证书是专用于电力调度业务需要的数字证书，主要用于生产控制大区，可使用于交互式登录的身份认证、网络身份认证、通信数据加密及认证（包括数据完整性和数据源认证）等。
电力调度证书系统按照电力调度管理体系进行配置，省级及以上调度中心和有实际业务需要的地区调度控制中心应该建立电力调度证书服务系统。
28. 电力调度系统数字证书的建立原则？
答：（1）统一规划数字证书的信任体系，各级电力调度证书系统用于颁发本调度中心及调度对象相关人员和设备证书。上下级电力调度证书系统通过信任链构成认证体系，防止产生交叉认证。
（2）采用统一的数字证书格式和加密算法。
（3）原则上离线生成、离线装入、离线管理，确保调度数字证书的生成、发放、管理以及密钥的生成、管理脱离网络，独立运行；
（4）优化调度数字证书系统应用接口，推进其应用和普及；
（5） 相关应用系统嵌入数字证书服务，以提高实时性和可靠性。
29. 电力调度数据网络承载的业务是什么？
答：电力调度数据网络是专用网络，承载的业务是电力实时控制业务、在线生产业务以及本网网管业务。
30. 如何实现对电力调度数据网网络路由的防护？
答：对路由器之间的路由信息交换进行数字签名，保证信息的完整性与可信性。
31. 如何对电力调度数据网网络设备进行安全配置？
答：网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、网络边界关闭OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管系统、及时更新软件、使用安全的管理方式、限制登录的网络地址、记录设备日志、设置高强度的密码、适当配置访问控制列表、封闭空闲的网络端口等。
32. 如何实现对电力企业数据网的防护？
答：电力企业数据网为电力企业内联网，其安全防护由各个企业负责。其中，电网企业的数据网即为电力数据通信网，该网承载业务主要为电力综合信息、电力调度生产管理业务、电力内部数字语音视频以及网管业务，该网不经营对外业务。电力数据通信网使用私有网络地址，与外部互联网以及其它外部网络没有直接的网络连接，采用虚拟专网技术构造三个子网：调度子网、信息子网以及语音视频子网，分别对应电网企业的电力调度生产管理、电力综合信息、电力内部数字语音视频三类业务。
33. 如何实现对电力监控系统的备份及恢复？
答：必须定期对电力监控系统关键业务的数据与系统进行备份，建立历史归档数据的异地存放制度，确保在数据损坏或系统崩溃的情况下快速恢复数据与系统，保证系统的可用性。
对关键主机设备、网络设备或关键部件进行相应的冗余配置，安全区I的业务应采用热备份方式，其它安全区的业务系统可根据需要选用热备份、温备份、冷备份等备份方式，避免单点故障影响系统可靠性。
34. 如何实现对电力二次系统恶意代码的防范？
答：对病毒、木马等恶意代码的防护是电力二次系统安全防护所必须的安全措施。生产控制大区应该统一部署恶意代码防护系统，管理信息大区建议统一部署恶意代码防护系统，禁止生产控制大区与管理信息大区共用一个防恶意代码管理服务器。对生产控制大区，禁止以任何方式连接外部网络进行病毒或木马特征码的在线更新。
加强防病毒、木马等恶意代码的管理，保证特征码的及时更新，及时查看查杀记录，随时掌握威胁状况。
35. 如何在生产控制大区部署防火墙？
答：防火墙产品可以部署在安全区I与安全区II之间，实现两个区域的逻辑隔离、报文过滤、访问控制等功能。生产控制大区与管理信息大区采用的防火墙安全策略的侧重点应有所不同。
36. 如何在生产控制大区部署入侵检测系统？
答：生产控制大区统一部署一套网络入侵检测系统，其安全策略的设置重在捕获网络异常行为、分析潜在威胁以及事后安全审计，不宜使用实时阻断功能。禁止使用入侵检测与防火墙的联动。
加强入侵检测系统的使用与管理，合理设置检测规则，及时分析检测报告，准确识别攻击，及时发出告警信息，充分发挥其在安全事件检测与恢复中的作用。
37. 如何在生产控制大区进行主机加固？
答：主机安全防护首先要确定安全策略，然后采取适当的方式增强其安全性。通过合理地设置系统配置、服务、权限，可有效减少安全薄弱环节。
38. 如何对操作系统进行安全加固？
答：操作系统安全加固措施包括：升级到当前系统版本、安装后续的补丁合集、加固系统TCP/IP配置、根据系统应用要求关闭不必要的服务、关闭SNMP协议避免利用其远程溢出漏洞获取系统控制权或限定访问范围、为超级用户或特权用户设定复杂的口令、修改弱口令或空口令、禁止任何应用程序以超级用户身份运行、设定系统日志和审计行为等。
39. 数据库的加固措施包括什么？
答：数据库的应用程序进行必要的安全审核、及时删除不再需要的数据库、安装补丁、使用安全的密码策略和账号策略、限定管理员权限的用户范围、禁止多个管理员共享用户账户和口令、禁止一般用户使用数据库管理员的用户名和口令、加强数据库日志的管理、管理扩展存储过程、数据定期备份等。
40. 电力调度数字证书的应用范围？
答：电力调度系统建设基于公钥技术的分布式的调度数字证书系统，由相关主管部门统一颁发调度数字证书，为电力监控系统及调度数据网上的关键应用、关键用户和关键设备提供数字证书服务。在数字证书基础上可以在调度系统与网络关键环节实现高强度的身份认证、安全的数据传输以及可靠的行为审计。