淺析電力二次系統安全防護體系之病毒防護

摘 要：隨著計算機及互聯網技術的日益提高，電力調度自動化二次系統安全防護已成為我們電力系統關注的重中之重。為此，國家電網公司的有關部門制定了《全國電力二次系統安全防護總體方案》，以指導電力自動化系統的安全防護運行。其中電力二次系統安全防護體系中的病毒防護又尤為重要，本文就病毒防護做簡單的分析。

關鍵詞：電力二次系統；安全防護；病毒防護；病毒庫

一、概況

二十一世紀是人類全面進入信息化社會的新世紀，隨著電力行業信息化的深入發展， 基于網絡的跨地區、全行業系統內部信息網已逐步成型。本文從網絡自動化系統安全的現狀出發，針對網絡安全的發展特點進行研究， 探討有效的安全機制， 提高調度自動化的安全系數， 重點是確保整個電網的穩定運行和可持續發展。

二、病毒防護主要目的

就如今網絡發展的趨勢來看，當前電力二次系統安全防護最大的安全隱患不是來自控制系統本身，而是來自與之相連的外部網絡。目前對網絡的主要信息威協主要來自于網絡黑客攻擊和計算機蠕蟲病毒。因此，電力二次系統安全防護工作的重點是抵御黑客、病毒等通過各種形式對系統發起的惡意破壞和攻擊，使其能夠抵御集團式攻擊，重點保護電力實時閉環監控系統和調度數據網絡的安全，防止由此引起的電力系統故障。

一個多層次、全方位的防病毒體系，同時具有跨平臺的技術及強大功能，具有統一的、集中的、智能的和自動化的管理手段和管理工具，包括客戶端的自動安裝、維護、配置、病毒代碼和掃描引擎的升級、定時調度、實時防護等。

另外，根據二次防護總體框架要求，隔離區內分為安全Ⅰ和安全區Ⅱ，縱向安全區Ⅰ和Ⅱ分別形成兩個不同的VPN通道，安全區Ⅰ、Ⅱ中的計算機如何與防病毒中心通信，進行病毒代碼更新等，客戶端防病毒策略的強制定義和執行。

三、病毒防護系統體系結構

一套完整的安全防護病毒庫應包括中心服務器，分服務器，服務器端、客戶端、郵件服務器及網關服務器。前郵件已成為病毒傳播的重要途徑，一個好的郵件或群件病毒防護系統可以很好地和服務器的郵件傳輸無縫結合，完成對服務器和郵件正文的病毒清除；網關是隔離內部網絡和外部網絡的重要設備，在網關級別進行病毒防護可以起到對外部網絡中病毒的隔離作用。

目前自動化系統安全隔離區內的網絡業務及業務系統服務器很多，設備類型、操作系統種類眾多。隔離區內主要是業務系統的各類服務器，郵件服務器根據二次防護總體框架，隔離區內不允許使用郵件服務、WEB等服務，特別是在安全區Ⅰ內嚴禁使用，隔離區內外中間使用專用網絡隔離設備，所以不需要選用郵件服務器組件和網關選件。因此，自動化系統隔離區內防病毒中心的定位就是中心服務器、分服務器及服務器端和客戶端選件。

首先，應確立防病毒中心的管理模式，為了實現整個網絡的防病毒產品和策略的統一、集中、智能管理，盡可能少地影響網絡和計算機性能，調度自動化系統防病毒中心應采用分層控制、集中管理模式；由專職人員定期到隔離區外去拷貝經過病毒查殺的病毒更新碼；各分中心所轄的客戶端則由分中心分發病毒代碼更新。

其次，要部署防病毒中心，就必須了解自動化系統安全隔離區內的網絡拓撲結構。根據二次防護總體框架，安全區Ⅰ和Ⅱ內主站的每個業務系統都分配在不同的VPN內，安全區Ⅰ和Ⅱ之間通過防火墻隔離，相同安全區內的各業務系統之間也通過防火墻隔離；同時安全區Ⅰ和Ⅱ，在縱向上分別形成2個不同的VPN通道，原則上互不通信。因此，考慮防病毒中心設置時，必須符合這種特殊的網絡結構，保證防病毒中心在分發、安裝以及配置時暢通。

同時，對安全隔離區內的所有業務系統、服務器進行統計，要求防病毒中心必須覆蓋所有網絡內的服務器。

根據上述要求，在安全隔離區內部署防病毒中心，由于各業務系統均十分重要，存在許多網段；其次，防病毒中心必須覆蓋調度自動化系統內的所有業務主機，包括廣域網內的變電站系統、集控站系統、各分局自動化系統等。因此，應將防病毒中心也看作為一個業務系統，安排獨立網段，并在縱向形成單獨的VPN通道，通過路由重分布，將需要訪問該VPN的網段路由發布進該VPN，實現網絡互通。通過各級防病毒中心服務器，對安全隔離區內各業務系統網段上的主機進行客戶端軟件的安裝、升級、配置，病毒代碼的更新以及一些日常管理工作，形成一個全區域的病毒防護體系。

四、病毒防護安全策略設計

電力二次系統安全防護系統的病毒防護策略包括兩個方面：一個是以硬件防護配置為主，實現外網的入侵檢測、內外網的有效隔離等；另一個是以系統軟件的設計為主，要求系統軟件的設計，需要滿足安全防護的需要，即使發生外網入侵的事件，入侵者也無法破壞主系統，無法截獲實時系統的信息。

硬件防護配置在電力二次系統中有相應的設備配置明細，我們已經在上章中做了詳細的描述。應用軟件在網絡平臺、數據庫訪問、數據流發布、圖形維護和操作管理上，必須設置嚴格的多級權限管理，以保證軟件和操作安全。

實時監控系統的網絡平臺一般是各個廠家自主開發，基于多種通用的網絡協議，如TCP/IP等，研制而成。在目前流行的各大系統中，網絡平臺多在系統的穩定性、實時數據分流、刷新的快速性等方面作了很多工作，但對于安全性設計考慮不夠。由于網絡平臺多是基于一些通用的網絡協議進行設計，一旦有外系統侵入，侵入者會利用通用的網絡協議十分容易地融入到監控系統中去，給實時監控系統的運行帶來災難性影響。

為此，系統網絡平臺需要增加防護性設計，維護和管理好系統中的網絡節點。具體說來，系統網管

軟件具有以下幾個功能：

1、應用通用網絡協議，但將節點的m地址、MAC地址和CPU標示號充分利用綁定，通過網管軟件預先定置，控制各節點的運行工況，只有經過配置的節點，才能允許運行網絡平臺程序。

2、通過遠程撥號的維護節點也需要通過預先的定制，才能允許進入實時監控系統，進行維護。

3、網絡平臺的數據流發布有多種方式，如：流方式、問答方式等。為提高安全可靠性，對于一些重要的數據，建議通過可靠點對點連接，問答確認的方式進行傳輸，一般數據可通過流數據刷新的方式進行。這樣，可減少數據丟失和被竊聽的概率。

選定防病毒中心后，還要對整個防病毒中心部署與實施有一個詳細的計劃和解決方案。對于自動化系統網絡來說，防病毒并不只是保護某一臺或幾臺服務器和客戶端，需要建立起多層次、立體的病毒防護體系，而且要具備完善的管理系統來設置和維護防病毒策略，實現從服務器到工作站的全面防護，形成一個涉及全網，從上到下，立體的、完整的基于廣域網的病毒防護體系。

首先，應確立防病毒中心的管理模式，為了實現整個網絡的防病毒產品和策略的統一、集中、智能管理，盡可能少地影響網絡和計算機性能，調度自動化系統防病毒中心應采用分層控制、集中管理模式；由專職人員定期到隔離區外去拷貝經過病毒查殺的病毒更新碼；各分中心所轄的客戶端則由分中心分發病毒代碼更新。

其次，要部署防病毒中心，就必須了解自動化系統安全隔離區內的網絡拓撲結構。根據二次防護總體框架，安全區Ⅰ和Ⅱ內主站的每個業務系統都分配在不同的VPN內，安全區Ⅰ和Ⅱ之間通過防火墻隔離，相同安全區內的各業務系統之間也通過防火墻隔離；同時安全區Ⅰ和Ⅱ，在縱向上分別形成2個不同的VPN通道，原則上互不通信。因此，考慮防病毒中心設置時，必須符合這種特殊的網絡結構，保證防病毒中心在分發、安裝以及配置時暢通。

同時，對安全隔離區內的所有業務系統、服務器進行統計，要求防病毒中心必須覆蓋所有網絡內的服務器。

根據上述要求，在安全隔離區內部署防病毒中心，由于各業務系統均十分重要，存在許多網段；其次，防病毒中心必須覆蓋調度自動化系統內的所有業務主機，包括廣域網內的變電站系統、集控站系統、各分局自動化系統等。因此，應將防病毒中心也看作為一個業務系統，安排獨立網段，并在縱向形成單獨的VPN通道，通過路由重分布，將需要訪問該VPN的網段路由發布進該VPN，實現網絡互通。通過各級防病毒中心服務器，對安全隔離區內各業務系統網段上的主機進行客戶端軟件的安裝、升級、配置，病毒代碼的更新以及一些日常管理工作，形成一個全區域的病毒防護體系。

五、病毒防護管理措施

在過硬的基礎設備的支撐下還要有良好的管理措施做保障才能發揮出病毒防護的作用，因此本文在最后制定了一套有效的管理措施。

制定自動化系統網絡安全管理辦法，從系統的設計、建設、接入、運行、維護、使用等多方面，明確管理要求、考核規定，規范工作行為；特別是要加強系統的接入管理。接入管理應包括新系統的投運接入管理、廠家維護接入管理、檢修接入管理等。我們認為系統的接入管理至關重要，只有在系統接入方面加強管理，才能將一些安全隱患消滅在萌芽中，特別是病毒管理。

制定自動化系統病毒預警機制，及時了解病毒的最新動態，做到心中有數。

制定自動化系統病毒專職制度，負責病毒防護工作的組織和開展，同時要求各直屬單位同時設立專職，負責其管轄范圍內的病毒防護工作，使各全網內各單位的防病毒工作同步開展。

制定自動化系統病毒應急處理預案，明確在緊急情況下的處理流程。

六、結束語

病毒防護工作，并不是簡單的建立一個防病毒中心就能解決的，防病毒工作是三分技術七分管理。在運用先進技術手段的同時，需要運用管理手段建立起內部的病毒防護和運行管理工作體系。運用先進的技術來提高管理水平，通過有效的管理來保證防病毒系統的高效運行，使防病毒工作制度化，確保自動化系統安全、穩定、持續地運行。