浅析电力二次系统安全防护体系之病毒防护
摘 要:随着计算机及互联网技术的日益提高,电力调度自动化二次系统安全防护已成为我们电力系统关注的重中之重。为此,国家电网公司的有关部门制定了《全国电力二次系统安全防护总体方案》,以指导电力自动化系统的安全防护运行。其中电力二次系统安全防护体系中的病毒防护又尤为重要,本文就病毒防护做简单的分析。
关键词:电力二次系统;安全防护;病毒防护;病毒库
一、概况
二十一世纪是人类全面进入信息化社会的新世纪,随着电力行业信息化的深入发展, 基于网络的跨地区、全行业系统内部信息网已逐步成型。本文从网络自动化系统安全的现状出发,针对网络安全的发展特点进行研究, 探讨有效的安全机制, 提高调度自动化的安全系数, 重点是确保整个电网的稳定运行和可持续发展。
二、病毒防护主要目的
就如今网络发展的趋势来看,当前电力二次系统安全防护最大的安全隐患不是来自控制系统本身,而是来自与之相连的外部网络。目前对网络的主要信息威协主要来自于网络黑客攻击和计算机蠕虫病毒。因此,电力二次系统安全防护工作的重点是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏和攻击,使其能够抵御集团式攻击,重点保护电力实时闭环监控系统和调度数据网络的安全,防止由此引起的电力系统故障。
一个多层次、全方位的防病毒体系,同时具有跨平台的技术及强大功能,具有统一的、集中的、智能的和自动化的管理手段和管理工具,包括客户端的自动安装、维护、配置、病毒代码和扫描引擎的升级、定时调度、实时防护等。
另外,根据二次防护总体框架要求,隔离区内分为安全Ⅰ和安全区Ⅱ,纵向安全区Ⅰ和Ⅱ分别形成两个不同的VPN通道,安全区Ⅰ、Ⅱ中的计算机如何与防病毒中心通信,进行病毒代码更新等,客户端防病毒策略的强制定义和执行。
三、病毒防护系统体系结构
一套完整的安全防护病毒库应包括中心服务器,分服务器,服务器端、客户端、邮件服务器及网关服务器。前邮件已成为病毒传播的重要途径,一个好的邮件或群件病毒防护系统可以很好地和服务器的邮件传输无缝结合,完成对服务器和邮件正文的病毒清除;网关是隔离内部网络和外部网络的重要设备,在网关级别进行病毒防护可以起到对外部网络中病毒的隔离作用。
目前自动化系统安全隔离区内的网络业务及业务系统服务器很多,设备类型、操作系统种类众多。隔离区内主要是业务系统的各类服务器,邮件服务器根据二次防护总体框架,隔离区内不允许使用邮件服务、WEB等服务,特别是在安全区Ⅰ内严禁使用,隔离区内外中间使用专用网络隔离设备,所以不需要选用邮件服务器组件和网关选件。因此,自动化系统隔离区内防病毒中心的定位就是中心服务器、分服务器及服务器端和客户端选件。
首先,应确立防病毒中心的管理模式,为了实现整个网络的防病毒产品和策略的统一、集中、智能管理,尽可能少地影响网络和计算机性能,调度自动化系统防病毒中心应采用分层控制、集中管理模式;由专职人员定期到隔离区外去拷贝经过病毒查杀的病毒更新码;各分中心所辖的客户端则由分中心分发病毒代码更新。
其次,要部署防病毒中心,就必须了解自动化系统安全隔离区内的网络拓扑结构。根据二次防护总体框架,安全区Ⅰ和Ⅱ内主站的每个业务系统都分配在不同的VPN内,安全区Ⅰ和Ⅱ之间通过防火墙隔离,相同安全区内的各业务系统之间也通过防火墙隔离;同时安全区Ⅰ和Ⅱ,在纵向上分别形成2个不同的VPN通道,原则上互不通信。因此,考虑防病毒中心设置时,必须符合这种特殊的网络结构,保证防病毒中心在分发、安装以及配置时畅通。
同时,对安全隔离区内的所有业务系统、服务器进行统计,要求防病毒中心必须覆盖所有网络内的服务器。
根据上述要求,在安全隔离区内部署防病毒中心,由于各业务系统均十分重要,存在许多网段;其次,防病毒中心必须覆盖调度自动化系统内的所有业务主机,包括广域网内的变电站系统、集控站系统、各分局自动化系统等。因此,应将防病毒中心也看作为一个业务系统,安排独立网段,并在纵向形成单独的VPN通道,通过路由重分布,将需要访问该VPN的网段路由发布进该VPN,实现网络互通。通过各级防病毒中心服务器,对安全隔离区内各业务系统网段上的主机进行客户端软件的安装、升级、配置,病毒代码的更新以及一些日常管理工作,形成一个全区域的病毒防护体系。
四、病毒防护安全策略设计
电力二次系统安全防护系统的病毒防护策略包括两个方面:一个是以硬件防护配置为主,实现外网的入侵检测、内外网的有效隔离等;另一个是以系统软件的设计为主,要求系统软件的设计,需要满足安全防护的需要,即使发生外网入侵的事件,入侵者也无法破坏主系统,无法截获实时系统的信息。
硬件防护配置在电力二次系统中有相应的设备配置明细,我们已经在上章中做了详细的描述。应用软件在网络平台、数据库访问、数据流发布、图形维护和操作管理上,必须设置严格的多级权限管理,以保证软件和操作安全。
实时监控系统的网络平台一般是各个厂家自主开发,基于多种通用的网络协议,如TCP/IP等,研制而成。在目前流行的各大系统中,网络平台多在系统的稳定性、实时数据分流、刷新的快速性等方面作了很多工作,但对于安全性设计考虑不够。由于网络平台多是基于一些通用的网络协议进行设计,一旦有外系统侵入,侵入者会利用通用的网络协议十分容易地融入到监控系统中去,给实时监控系统的运行带来灾难性影响。
为此,系统网络平台需要增加防护性设计,维护和管理好系统中的网络节点。具体说来,系统网管
软件具有以下几个功能:
1、应用通用网络协议,但将节点的m地址、MAC地址和CPU标示号充分利用绑定,通过网管软件预先定置,控制各节点的运行工况,只有经过配置的节点,才能允许运行网络平台程序。
2、通过远程拨号的维护节点也需要通过预先的定制,才能允许进入实时监控系统,进行维护。
3、网络平台的数据流发布有多种方式,如:流方式、问答方式等。为提高安全可靠性,对于一些重要的数据,建议通过可靠点对点连接,问答确认的方式进行传输,一般数据可通过流数据刷新的方式进行。这样,可减少数据丢失和被窃听的概率。
选定防病毒中心后,还要对整个防病毒中心部署与实施有一个详细的计划和解决方案。对于自动化系统网络来说,防病毒并不只是保护某一台或几台服务器和客户端,需要建立起多层次、立体的病毒防护体系,而且要具备完善的管理系统来设置和维护防病毒策略,实现从服务器到工作站的全面防护,形成一个涉及全网,从上到下,立体的、完整的基于广域网的病毒防护体系。
首先,应确立防病毒中心的管理模式,为了实现整个网络的防病毒产品和策略的统一、集中、智能管理,尽可能少地影响网络和计算机性能,调度自动化系统防病毒中心应采用分层控制、集中管理模式;由专职人员定期到隔离区外去拷贝经过病毒查杀的病毒更新码;各分中心所辖的客户端则由分中心分发病毒代码更新。
其次,要部署防病毒中心,就必须了解自动化系统安全隔离区内的网络拓扑结构。根据二次防护总体框架,安全区Ⅰ和Ⅱ内主站的每个业务系统都分配在不同的VPN内,安全区Ⅰ和Ⅱ之间通过防火墙隔离,相同安全区内的各业务系统之间也通过防火墙隔离;同时安全区Ⅰ和Ⅱ,在纵向上分别形成2个不同的VPN通道,原则上互不通信。因此,考虑防病毒中心设置时,必须符合这种特殊的网络结构,保证防病毒中心在分发、安装以及配置时畅通。
同时,对安全隔离区内的所有业务系统、服务器进行统计,要求防病毒中心必须覆盖所有网络内的服务器。
根据上述要求,在安全隔离区内部署防病毒中心,由于各业务系统均十分重要,存在许多网段;其次,防病毒中心必须覆盖调度自动化系统内的所有业务主机,包括广域网内的变电站系统、集控站系统、各分局自动化系统等。因此,应将防病毒中心也看作为一个业务系统,安排独立网段,并在纵向形成单独的VPN通道,通过路由重分布,将需要访问该VPN的网段路由发布进该VPN,实现网络互通。通过各级防病毒中心服务器,对安全隔离区内各业务系统网段上的主机进行客户端软件的安装、升级、配置,病毒代码的更新以及一些日常管理工作,形成一个全区域的病毒防护体系。
五、病毒防护管理措施
在过硬的基础设备的支撑下还要有良好的管理措施做保障才能发挥出病毒防护的作用,因此本文在最后制定了一套有效的管理措施。
制定自动化系统网络安全管理办法,从系统的设计、建设、接入、运行、维护、使用等多方面,明确管理要求、考核规定,规范工作行为;特别是要加强系统的接入管理。接入管理应包括新系统的投运接入管理、厂家维护接入管理、检修接入管理等。我们认为系统的接入管理至关重要,只有在系统接入方面加强管理,才能将一些安全隐患消灭在萌芽中,特别是病毒管理。
制定自动化系统病毒预警机制,及时了解病毒的最新动态,做到心中有数。
制定自动化系统病毒专职制度,负责病毒防护工作的组织和开展,同时要求各直属单位同时设立专职,负责其管辖范围内的病毒防护工作,使各全网内各单位的防病毒工作同步开展。
制定自动化系统病毒应急处理预案,明确在紧急情况下的处理流程。
六、结束语
病毒防护工作,并不是简单的建立一个防病毒中心就能解决的,防病毒工作是三分技术七分管理。在运用先进技术手段的同时,需要运用管理手段建立起内部的病毒防护和运行管理工作体系。运用先进的技术来提高管理水平,通过有效的管理来保证防病毒系统的高效运行,使防病毒工作制度化,确保自动化系统安全、稳定、持续地运行。
下一篇:信息技术国产化为何那么重要