一種電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全加固一體化軟件

仇偉杰

摘 要：使用VB、C++等編程語言編制，適用于Windows各版本操作系統(tǒng)，同時可根據(jù)不同業(yè)務(wù)系統(tǒng)要求，實現(xiàn)靈活選擇需要關(guān)閉的端口，除了可關(guān)閉135、137、138、139、445、3389目前要求關(guān)閉的高風(fēng)險端口外，可以根據(jù)實際使用需要，靈活選擇其他端口進行關(guān)閉操作，可選擇通信協(xié)議，可實現(xiàn)Windows各版本操作系統(tǒng)端口的智能關(guān)閉，對各類高危病毒補丁的智能安裝及相關(guān)操作記錄的自動生成及存檔功能，對使用人員的專業(yè)技術(shù)要求不高，極大地提高了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全加固工作效益。

關(guān)鍵詞：電力監(jiān)控系統(tǒng);網(wǎng)絡(luò)安全;一體化

中圖分類號：TM73 文獻標(biāo)識碼：A 文章編號：1671-2064（2020）10-0069-02

0引言

2016年11月頒布的《中華人民共和國網(wǎng)絡(luò)安全法》和同年12月發(fā)布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》都著重強調(diào)了保護國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要性。電網(wǎng)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施，必須加強對網(wǎng)絡(luò)和信息安全的保護措施。

在2016年4月19日網(wǎng)絡(luò)安全和信息化工作座談會上，習(xí)近平主席發(fā)表重要講話，著重指出要樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強網(wǎng)絡(luò)安全防御能力和威懾能力。

《網(wǎng)絡(luò)安全等級保護2.0》標(biāo)準(zhǔn)中非常明確規(guī)定了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全的規(guī)范要求。

國家能源局《36號文》和《14號令》再次強調(diào)堅持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的十六字方針，明確工業(yè)網(wǎng)絡(luò)架構(gòu)安全的方向。

國家《網(wǎng)絡(luò)安全法》、14號令及南網(wǎng)相關(guān)要求的提出，是對國家重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全要求的加大，隨之而來的是對設(shè)備網(wǎng)絡(luò)安全的主機加固要求，且網(wǎng)絡(luò)安全涉及系統(tǒng)平臺多，加固要求繁雜，加固操作對一線系統(tǒng)維護人員的專業(yè)技術(shù)要求高。因此，很難順利落實完成繁雜的網(wǎng)絡(luò)安全加固工作，現(xiàn)場往往需要電話專業(yè)人員技術(shù)支持才能順利完成工作。

如圖1所示，軟件可分別實現(xiàn)高危漏洞補丁安裝管理、高危端口管理、用戶管理、日志管理功能。通過單擊各功能模塊實現(xiàn)各項功能。

1功能介紹

1.1高危端口封閉功能

（1）數(shù)據(jù)流方向選擇：高危端口封端可實現(xiàn)方向性選擇，即能實現(xiàn)“遠程訪問本機”、“本機訪問遠程”分別進行封端，實現(xiàn)數(shù)據(jù)由內(nèi)而外及由外而內(nèi)兩個方向的禁止訪問，如圖2所示。

（2）需禁用端口的選擇：可以根據(jù)實際需求靈活選擇要禁用的端口，軟件可以實現(xiàn)任意端口的封堵。

（3）需關(guān)閉協(xié)議的選擇：可以靈活選擇關(guān)閉的協(xié)議，目前暫開放TCP及UDP協(xié)調(diào)。

（4）訪問策略的設(shè)定：通過“訪問”菜單欄，可以選擇“禁止”及“允許”。

（5）操作記錄功能：在端口禁用或允許操作的過程中，軟件可將所有操作進行記錄，方便使用者查看，并可以對操作記錄導(dǎo)出保存。

像木馬之類的黑客程序，就是通過對端口的入侵來實現(xiàn)其目的的。在端口的利用上，黑客程序通常有兩種方式，就是“端口偵聽”和“端口掃描”。“端口偵聽”與“端口掃描”是黑客攻擊和防護中經(jīng)常要用到的兩種端口技術(shù)，在黑客攻擊中利用它們可以準(zhǔn)確地尋找攻擊的目標(biāo)，獲取有用信息，在個人及網(wǎng)絡(luò)防護方面，通過這種端口技術(shù)的應(yīng)用可以及時發(fā)現(xiàn)黑客的攻擊及一些安全漏洞[1]。因此，關(guān)閉多余端口以及高危端口是防止黑客入侵保證網(wǎng)絡(luò)安全的一種有效手段。

1.2補丁程序自動安裝功能

安裝前首先勾選自動安裝選項，然后關(guān)聯(lián)補丁文件所在的目錄，即可實現(xiàn)補丁文件的自動安裝，如圖3所示。針對計算機漏洞對企業(yè)網(wǎng)絡(luò)帶來的安全風(fēng)險，安裝相應(yīng)的補丁是最高效同時也是最經(jīng)濟的一種防范措施。對于互聯(lián)網(wǎng)上數(shù)目眾多的主機節(jié)點和日益復(fù)雜的各種應(yīng)用，要確保補丁的及時安裝，補丁實施基本是需求方到發(fā)布方去下載補丁程序并安裝的過程，而不是發(fā)布方主動為需求方提供補丁程序并進行針對性的部署，因此補丁實施更依賴于非專業(yè)的需求方[2]。對于主機數(shù)目眾多、應(yīng)用種類繁雜的大型網(wǎng)絡(luò)，不能及時跟蹤補丁的更新，不能實施有效部署，將極大地威脅到網(wǎng)絡(luò)與信息安全，造成不可挽回的損失。因此該一體化軟件提供了一種有效的補丁自動安裝功能，極大提高了企業(yè)網(wǎng)絡(luò)安全。

1.3用戶管理

用戶管理可分別實現(xiàn)新增用戶、修改用戶、刪除用戶，如圖4所示。通過對訪問用戶進行角色劃分，分配角色權(quán)限，合理限制用戶訪問功能的權(quán)限，讓經(jīng)過授權(quán)的用戶可以合法地使用已授權(quán)功能，而對非法用戶拒絕其所有操作，避免平臺系統(tǒng)被非法用戶進行惡意操作或越權(quán)操作[3]。

（1）支持對登錄用戶進行身份標(biāo)識和鑒別，對身份標(biāo)識的唯一性進行檢查，對身份鑒別信息的復(fù)雜度進行檢查，并提醒用戶定期更換;

（2）提供訪問控制功能，能夠?qū)Φ卿浀挠脩舴峙滟~戶和權(quán)限;

（3）支持對登錄裝置的管理員登錄地址進行限制。

1.4日志管理

打開日志管理模塊，單擊查詢，可實現(xiàn)對企業(yè)內(nèi)常見的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、服務(wù)器、應(yīng)用系統(tǒng)、主機等設(shè)備中所產(chǎn)生的運行狀態(tài)、告警信息、應(yīng)用操作、收發(fā)信息等日志進行查詢，并進行存儲、監(jiān)控、審計、分析、報警、響應(yīng)和報告[4]，如圖5所示。

單擊“導(dǎo)出excel”可實現(xiàn)日志導(dǎo)出為excel格式文件功能，運維人員可通過該文件實時有效管控企業(yè)網(wǎng)內(nèi)運行的全部資產(chǎn)，極大提高了網(wǎng)絡(luò)的抗風(fēng)險能力。

2應(yīng)用效果

使用VB、C++等編程語言編制，適用于Windows各版本操作系統(tǒng)，同時可根據(jù)不同業(yè)務(wù)系統(tǒng)要求，實現(xiàn)如下功能：

（1）靈活選擇需要關(guān)閉的端口，除了可關(guān)閉135、137、138、139、445、3389目前要求關(guān)閉的高風(fēng)險端口外，可以根據(jù)實際使用需要，靈活的選擇其他端口進行關(guān)閉操作，可選擇通信協(xié)議，例如可靈活選擇關(guān)閉端口為TCP或者UDP協(xié)議。

（2）各類型病毒補丁實現(xiàn)一鍵安裝，使用者只需要根據(jù)現(xiàn)場系統(tǒng)，選擇操作系統(tǒng)版本，操作系統(tǒng)位數(shù)，補丁類型，即可一鍵安裝補丁，避免部分病毒補丁安裝的復(fù)雜流程，同時軟件可根據(jù)要求對補丁包進行實時更新。

（3）可以使用者進行身份認證，并具備身份認證管理功能。

（4）加固工作完成后可對工作情況自動生成工作單，記錄工作時間、變電站、業(yè)務(wù)系統(tǒng)等工作信息。

（5）軟件運行環(huán)境：具有1GHz以上主頻，512M以上內(nèi)存，5G以上硬盤的各系列微機。操作系統(tǒng)：Windows7、Windows Server 2008等32位，64位Windows操作系統(tǒng)。

3結(jié)語

作為軟件功能集Windows操作系統(tǒng)高風(fēng)險端口關(guān)閉，對于近年來出現(xiàn)的各種高危病毒補丁自動安裝、加固記錄自動生成及存檔為一體的綜合加固軟件，可實現(xiàn)Windows各版本操作系統(tǒng)端口的智能關(guān)閉，對各類高危病毒補丁的智能安裝及相關(guān)操作記錄的自動生成及存檔功能。軟件的使用不受操作者技術(shù)水平的限制，人機界面友好，操作智能。

（1）支持各個版本的Windows操作系統(tǒng)，系統(tǒng)覆蓋面廣;

（2）支持根據(jù)用戶需要，自由選擇需要關(guān)閉的端口，使用靈活;

（3）支持高危病毒補丁的智能安裝，避免繁瑣的安裝步驟，對使用者專業(yè)技術(shù)水平要求較低;

（4）支持自動生成操作記錄并可自動存檔。

參考文獻

[1] 何鯉.電力二次系統(tǒng)網(wǎng)絡(luò)信息安全防護的設(shè)計與實現(xiàn)[J].通信電源技術(shù)，2019，36（8）：229-230.

[2] 吳京明，蘇曉琴.電力監(jiān)控系統(tǒng)二次安防的防護策略探究[J].通訊世界，2019，26（6）：208-209.

[3] 張召亮，孫萌.電力監(jiān)控系統(tǒng)二次安全防護改造方案設(shè)計與實現(xiàn)[J].河南城建學(xué)院學(xué)報，2019，28（1）：60-64.

[4] 徐曉峰.電力系統(tǒng)自動化監(jiān)控系統(tǒng)的設(shè)計應(yīng)用[J].電子世界，2018（24）：174-175.