基于主機操作系統的檢測與加固實現

孫佳煒 朱紅勤 潘小輝 滕力陽 李婉婷

（國網江蘇省電力公司南京供電公司，江蘇南京210019）

0 引言

當前，國內外信息安全形勢嚴峻，電力調度數據網作為電力調度生產服務的專用數據網絡，其部署所在的主機操作系統基線安防要求是否滿足，將直接影響到電網中心人員的使用，系統、項目的運行，為此，調度自動化專業需要根據上級管理機構的最新基線安防配置要求，定期對主站及廠站主機操作系統進行檢測與加固。

本文主要闡述從上而下對電力監控系統網絡中主機操作系統安防配置檢測的系統實現，重點實現電力監控主機操作系統的安防配置的在線檢測和快速加固，以此提高調度自動化人員對電力監控系統主機操作系統安防維護和處置的效率。

1 背景

國內外電力系統針對操作系統的安全防護主要體現在三個方面：

第一，在數據傳輸安全方面，通過防火墻、縱橫向隔離等安防設備實現信息分區隔離[1]、通信數據加密認證或訪問端口控制，控制病毒感染在局限范圍，保障電力監控系統安全運行；

第二，在病毒防護方面，建立內網在線殺毒管理，以360天擎、瑞星、諾頓等廠商殺毒軟件企業版對內網內的信息終端進行病毒掃描和查殺；

第三，在漏洞修復方面，綠盟科技等單位采用了在線漏洞掃描生成報告方式，給出補丁修復建議方式并告知用戶。

可以看出，基于網絡的在線快速檢測并形成定期全網體檢已經成為當前電力系統安全防護的主要發展思路[2]。

當前，調度自動化主機操作系統安防檢測加固工作中存在以下幾點問題：（1）電力監控系統中主機操作系統配置檢測命令繁瑣，記憶困難，檢測修復專業性強，不便于維護；（2）主機操作系統安防檢查需要人工到現場登錄系統進行操作，在線管控率低，難以及時發現問題；（3）缺乏對電力監控系統主機操作系統安防狀態的全面直觀掌控，不利于管理。

因此，研發并部署一套能夠從上而下對電力監控系統主機操作系統安防配置進行檢測的系統顯得十分必要。

2 電力監控主機操作系統安防檢測與加固分析關鍵技術

本課題圍繞電力監控系統主機操作系統安防加固知識庫的建立與應用展開討論，在電力監控系統主機操作系統安防配置加固范圍內，收集專家對主機操作系統安防安全性檢測和加固的經驗，滿足安全配置、安全運行、安全接入、數據安全的要求[3]，兼顧Windows、Linux、凝思等操作系統。在此基礎上，通過網絡連接的方式，在主機端建立代理監聽，主站服務端向主機內代理發送命令，代理客戶端收到命令后通過命令回顯技術識別關鍵字詞，檢測操作系統安防安全性，修復安防安全性配置，并將檢測結果回傳給主站服務端[4]。

2.1 電力監控系統主機操作系統安防配置檢測研判技術

針對多種主流的主機操作系統，收集整理各主機操作系統的配置檢測指令及其之間的差異，并找出多個主機操作系統指令分析的適配方法。同時，對配置檢測指令及主機操作系統反饋回來的信息進行編輯研判，利用檢索包含與不包含關鍵字、分析前后出現的關鍵字邏輯等方法進行配置檢測研判邏輯模型的建立，并使得模型滿足后期定義擴充需求。

2.2 電力監控系統主機操作系統安防配置同時在線檢測技術

通過網絡連接的方式，基于分布式技術[5]，以主站服務端召測—廠站客戶端監聽的主從式運行模式，在不影響電力監控系統業務正常工作的情況下，建立一套電力監控系統主機安防安全性智能在線檢測技術手段。

以TCP/IP協議進行服務端與用戶端的命令以及通信數據的交互。實現的技術步驟如圖1所示：由用戶在服務端選擇單個或全部主機IP地址，從服務端向選擇的IP地址主機發送安防檢測的命令，客戶端在主機一直處于后臺運行狀態，并保持接收模式，當接收到廠站服務端發送過來的檢測命令后，以線程的方式對操作系統相關項進行檢測，結束后將結果返回到主站服務端，主站服務端接收結果并展示。如果有不符合規范的地方，再由用戶選擇單獨修復或全部修復，向客戶端發送修復指令，并保持通信直至客戶端返回修復結果后關閉通信、進行結果展示。

2.3 電力監控系統主機操作系統安防配置快速加固技術

在電力監控系統主機操作系統安防配置加固范圍內，收集專家對主機操作系統安防安全性檢測和加固的經驗，整理當前電力監控系統中主機主要設備類型、操作系統主要類型、網絡連接方式，滿足安全配置、安全運行、安全接入、數據安全的要求，兼顧Windows、Linux、凝思等操作系統，整理出一份針對電力監控系統主機操作系統安防加固知識庫。基于安防加固知識庫，對實時采集到的電力監控系統主機操作系統安防配置檢測數據進行分析，并在線進行快速加固或給出快速加固的指導方法。

圖1 操作系統安防檢測加固流程圖

2.4 通過可視化圖形和表格全面直觀掌控安防狀態

將電力監控系統主機安防安全性檢測和加固情況進行存庫、匯總，加以處理分析，從而將歷史或本期檢測、加固信息以圖形、表格等進行動態可視化評價展示，如圖2所示，讓運維人員能夠快速了解電力監控系統主機安防安全加固和運行情況。

圖2 檢測與加固軟件報表生成界面

3 設計說明

系統部署采用服務器兩臺，分別位于生產一、二區，兩套在線檢測系統軟件服務端分別部署在這兩臺服務器上，管理監控工作直接通過二區電腦網頁訪問二區系統軟件服務端，可視化展示應用通過二區服務器Web訪問查看網絡內主機操作系統安防情況，實現整體安防管控工作。

如圖3所示，二區軟件服務端通過反向隔離實現向一區服務端軟件進行配置更新與命令召喚轉發[6]，一區軟件服務端采集的數據通過正向隔離裝置傳入二區軟件服務端。一、二區其他電力監控主機操作系統安裝軟件客戶端，通過所在區服務端軟件下發更新策略和特征庫，接收服務端命令進行檢測與結果回傳，實現在線配置檢測及加固需求。

圖3 系統網絡結構圖

4 應用情況分析

以往，南京供電公司電力監控系統網絡需要運維上百臺主機，主機操作系統以Windows、Linux、凝思磐石為主，自動化運維人員對一臺主機進行安防安全性檢測及加固每次平均需要約1.5 h，所有主機的安防安全性配置檢測加固需要200 h以上。本文提出的電力監控系統主機安防安全性智能檢測及快速加固實現方案，能將所有主機的安防安全性配置檢測控制在5 min一次，有效提高了調度自動化人員對電力監控系統主機操作系統安防維護和處置的效率。

5 結語

本文闡述了電力監控主機操作系統安防配置在線智能檢測與加固的思路與關鍵技術，開發了滿足不同修復要求的快速加固功能，并應用于安全防護管理工作中，降低了自動化專業運維的難度，提高了工作水平與效率。