21.?在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處如何實(shí)現(xiàn)安全防護(hù)？
答：在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。如暫時(shí)不具備條件，可采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問控制技術(shù)臨時(shí)代替。
22.?在管理信息大區(qū)與廣域網(wǎng)的縱向交接處如何實(shí)現(xiàn)安全防護(hù)？
答：管理信息大區(qū)應(yīng)采用硬件防火墻等安全設(shè)備接入電力企業(yè)數(shù)據(jù)網(wǎng)。
23.?對(duì)處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)如何實(shí)現(xiàn)安全防護(hù)？
答：對(duì)處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)，應(yīng)進(jìn)行操作系統(tǒng)的安全加固。根據(jù)具體業(yè)務(wù)的重要程度及信息的敏感程度，對(duì)生產(chǎn)控制大區(qū)的外部通信網(wǎng)關(guān)應(yīng)該具備加密、認(rèn)證和過濾的功能。
24.?傳統(tǒng)的基于專用通道的通信是否需要安全防護(hù)？
答：傳統(tǒng)的基于專用通道的通信不涉及網(wǎng)絡(luò)安全問題，可采用線路加密技術(shù)保護(hù)關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。
25.?生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)Ⅰ是否允許WEB服務(wù)？
答：生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)Ⅰ禁止安全區(qū)Ⅰ的Web服務(wù)。
26.?生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)Ⅱ是否允許WEB服務(wù)？
答：允許安全區(qū)Ⅱ內(nèi)部采用B/S結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)，但僅限于業(yè)務(wù)系統(tǒng)內(nèi)部使用。允許安全區(qū)Ⅱ縱向安全Web服務(wù)，經(jīng)過安全加固且支持HTTPS的安全Web服務(wù)器和Web瀏覽工作站應(yīng)在專用網(wǎng)段，應(yīng)由業(yè)務(wù)系統(tǒng)向Web服務(wù)器單向主動(dòng)傳送數(shù)據(jù)。
27.?電力調(diào)度數(shù)字證書的特點(diǎn)？
答：電力調(diào)度數(shù)字證書是專用于電力調(diào)度業(yè)務(wù)需要的數(shù)字證書，主要用于生產(chǎn)控制大區(qū)，可使用于交互式登錄的身份認(rèn)證、網(wǎng)絡(luò)身份認(rèn)證、通信數(shù)據(jù)加密及認(rèn)證（包括數(shù)據(jù)完整性和數(shù)據(jù)源認(rèn)證）等。
電力調(diào)度證書系統(tǒng)按照電力調(diào)度管理體系進(jìn)行配置，省級(jí)及以上調(diào)度中心和有實(shí)際業(yè)務(wù)需要的地區(qū)調(diào)度控制中心應(yīng)該建立電力調(diào)度證書服務(wù)系統(tǒng)。
28.?電力調(diào)度系統(tǒng)數(shù)字證書的建立原則？
答：（1）統(tǒng)一規(guī)劃數(shù)字證書的信任體系，各級(jí)電力調(diào)度證書系統(tǒng)用于頒發(fā)本調(diào)度中心及調(diào)度對(duì)象相關(guān)人員和設(shè)備證書。上下級(jí)電力調(diào)度證書系統(tǒng)通過信任鏈構(gòu)成認(rèn)證體系，防止產(chǎn)生交叉認(rèn)證。
（2）采用統(tǒng)一的數(shù)字證書格式和加密算法。
（3）原則上離線生成、離線裝入、離線管理，確保調(diào)度數(shù)字證書的生成、發(fā)放、管理以及密鑰的生成、管理脫離網(wǎng)絡(luò)，獨(dú)立運(yùn)行；
（4）優(yōu)化調(diào)度數(shù)字證書系統(tǒng)應(yīng)用接口，推進(jìn)其應(yīng)用和普及；
（5）?相關(guān)應(yīng)用系統(tǒng)嵌入數(shù)字證書服務(wù)，以提高實(shí)時(shí)性和可靠性。
29.?電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)承載的業(yè)務(wù)是什么？
答：電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是專用網(wǎng)絡(luò)，承載的業(yè)務(wù)是電力實(shí)時(shí)控制業(yè)務(wù)、在線生產(chǎn)業(yè)務(wù)以及本網(wǎng)網(wǎng)管業(yè)務(wù)。
30.?如何實(shí)現(xiàn)對(duì)電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)路由的防護(hù)？
答：對(duì)路由器之間的路由信息交換進(jìn)行數(shù)字簽名，保證信息的完整性與可信性。
31.?如何對(duì)電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置？
答：網(wǎng)絡(luò)設(shè)備的安全配置包括關(guān)閉或限定網(wǎng)絡(luò)服務(wù)、避免使用默認(rèn)路由、網(wǎng)絡(luò)邊界關(guān)閉OSPF路由功能、采用安全增強(qiáng)的SNMPv2及以上版本的網(wǎng)管系統(tǒng)、及時(shí)更新軟件、使用安全的管理方式、限制登錄的網(wǎng)絡(luò)地址、記錄設(shè)備日志、設(shè)置高強(qiáng)度的密碼、適當(dāng)配置訪問控制列表、封閉空閑的網(wǎng)絡(luò)端口等。
32.?如何實(shí)現(xiàn)對(duì)電力企業(yè)數(shù)據(jù)網(wǎng)的防護(hù)？
答：電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內(nèi)聯(lián)網(wǎng)，其安全防護(hù)由各個(gè)企業(yè)負(fù)責(zé)。其中，電網(wǎng)企業(yè)的數(shù)據(jù)網(wǎng)即為電力數(shù)據(jù)通信網(wǎng)，該網(wǎng)承載業(yè)務(wù)主要為電力綜合信息、電力調(diào)度生產(chǎn)管理業(yè)務(wù)、電力內(nèi)部數(shù)字語音視頻以及網(wǎng)管業(yè)務(wù)，該網(wǎng)不經(jīng)營對(duì)外業(yè)務(wù)。電力數(shù)據(jù)通信網(wǎng)使用私有網(wǎng)絡(luò)地址，與外部互聯(lián)網(wǎng)以及其它外部網(wǎng)絡(luò)沒有直接的網(wǎng)絡(luò)連接，采用虛擬專網(wǎng)技術(shù)構(gòu)造三個(gè)子網(wǎng)：調(diào)度子網(wǎng)、信息子網(wǎng)以及語音視頻子網(wǎng)，分別對(duì)應(yīng)電網(wǎng)企業(yè)的電力調(diào)度生產(chǎn)管理、電力綜合信息、電力內(nèi)部數(shù)字語音視頻三類業(yè)務(wù)。
33.?如何實(shí)現(xiàn)對(duì)電力監(jiān)控系統(tǒng)的備份及恢復(fù)？
答：必須定期對(duì)電力監(jiān)控系統(tǒng)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與系統(tǒng)進(jìn)行備份，建立歷史歸檔數(shù)據(jù)的異地存放制度，確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)，保證系統(tǒng)的可用性。
對(duì)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵部件進(jìn)行相應(yīng)的冗余配置，安全區(qū)I的業(yè)務(wù)應(yīng)采用熱備份方式，其它安全區(qū)的業(yè)務(wù)系統(tǒng)可根據(jù)需要選用熱備份、溫備份、冷備份等備份方式，避免單點(diǎn)故障影響系統(tǒng)可靠性。
34.?如何實(shí)現(xiàn)對(duì)電力二次系統(tǒng)惡意代碼的防范？
答：對(duì)病毒、木馬等惡意代碼的防護(hù)是電力二次系統(tǒng)安全防護(hù)所必須的安全措施。生產(chǎn)控制大區(qū)應(yīng)該統(tǒng)一部署惡意代碼防護(hù)系統(tǒng)，管理信息大區(qū)建議統(tǒng)一部署惡意代碼防護(hù)系統(tǒng)，禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一個(gè)防惡意代碼管理服務(wù)器。對(duì)生產(chǎn)控制大區(qū)，禁止以任何方式連接外部網(wǎng)絡(luò)進(jìn)行病毒或木馬特征碼的在線更新。
加強(qiáng)防病毒、木馬等惡意代碼的管理，保證特征碼的及時(shí)更新，及時(shí)查看查殺記錄，隨時(shí)掌握威脅狀況。
35.?如何在生產(chǎn)控制大區(qū)部署防火墻？
答：防火墻產(chǎn)品可以部署在安全區(qū)I與安全區(qū)II之間，實(shí)現(xiàn)兩個(gè)區(qū)域的邏輯隔離、報(bào)文過濾、訪問控制等功能。生產(chǎn)控制大區(qū)與管理信息大區(qū)采用的防火墻安全策略的側(cè)重點(diǎn)應(yīng)有所不同。
36.?如何在生產(chǎn)控制大區(qū)部署入侵檢測(cè)系統(tǒng)？
答：生產(chǎn)控制大區(qū)統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，其安全策略的設(shè)置重在捕獲網(wǎng)絡(luò)異常行為、分析潛在威脅以及事后安全審計(jì)，不宜使用實(shí)時(shí)阻斷功能。禁止使用入侵檢測(cè)與防火墻的聯(lián)動(dòng)。
加強(qiáng)入侵檢測(cè)系統(tǒng)的使用與管理，合理設(shè)置檢測(cè)規(guī)則，及時(shí)分析檢測(cè)報(bào)告，準(zhǔn)確識(shí)別攻擊，及時(shí)發(fā)出告警信息，充分發(fā)揮其在安全事件檢測(cè)與恢復(fù)中的作用。
37.?如何在生產(chǎn)控制大區(qū)進(jìn)行主機(jī)加固？
答：主機(jī)安全防護(hù)首先要確定安全策略，然后采取適當(dāng)?shù)姆绞皆鰪?qiáng)其安全性。通過合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，可有效減少安全薄弱環(huán)節(jié)。
38.?如何對(duì)操作系統(tǒng)進(jìn)行安全加固？
答：操作系統(tǒng)安全加固措施包括：升級(jí)到當(dāng)前系統(tǒng)版本、安裝后續(xù)的補(bǔ)丁合集、加固系統(tǒng)TCP/IP配置、根據(jù)系統(tǒng)應(yīng)用要求關(guān)閉不必要的服務(wù)、關(guān)閉SNMP協(xié)議避免利用其遠(yuǎn)程溢出漏洞獲取系統(tǒng)控制權(quán)或限定訪問范圍、為超級(jí)用戶或特權(quán)用戶設(shè)定復(fù)雜的口令、修改弱口令或空口令、禁止任何應(yīng)用程序以超級(jí)用戶身份運(yùn)行、設(shè)定系統(tǒng)日志和審計(jì)行為等。
39.?數(shù)據(jù)庫的加固措施包括什么？
答：數(shù)據(jù)庫的應(yīng)用程序進(jìn)行必要的安全審核、及時(shí)刪除不再需要的數(shù)據(jù)庫、安裝補(bǔ)丁、使用安全的密碼策略和賬號(hào)策略、限定管理員權(quán)限的用戶范圍、禁止多個(gè)管理員共享用戶賬戶和口令、禁止一般用戶使用數(shù)據(jù)庫管理員的用戶名和口令、加強(qiáng)數(shù)據(jù)庫日志的管理、管理擴(kuò)展存儲(chǔ)過程、數(shù)據(jù)定期備份等。
40.?電力調(diào)度數(shù)字證書的應(yīng)用范圍？
答：電力調(diào)度系統(tǒng)建設(shè)基于公鑰技術(shù)的分布式的調(diào)度數(shù)字證書系統(tǒng)，由相關(guān)主管部門統(tǒng)一頒發(fā)調(diào)度數(shù)字證書，為電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)上的關(guān)鍵應(yīng)用、關(guān)鍵用戶和關(guān)鍵設(shè)備提供數(shù)字證書服務(wù)。在數(shù)字證書基礎(chǔ)上可以在調(diào)度系統(tǒng)與網(wǎng)絡(luò)關(guān)鍵環(huán)節(jié)實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸以及可靠的行為審計(jì)。