摘 要：隨著計(jì)算機(jī)及互聯(lián)網(wǎng)技術(shù)的日益提高，電力調(diào)度自動(dòng)化二次系統(tǒng)安全防護(hù)已成為我們電力系統(tǒng)關(guān)注的重中之重。為此，國(guó)家電網(wǎng)公司的有關(guān)部門制定了《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》，以指導(dǎo)電力自動(dòng)化系統(tǒng)的安全防護(hù)運(yùn)行。其中電力二次系統(tǒng)安全防護(hù)體系中的病毒防護(hù)又尤為重要，本文就病毒防護(hù)做簡(jiǎn)單的分析。

關(guān)鍵詞：電力二次系統(tǒng)；安全防護(hù)；病毒防護(hù)；病毒庫(kù)

一、概況

二十一世紀(jì)是人類全面進(jìn)入信息化社會(huì)的新世紀(jì)，隨著電力行業(yè)信息化的深入發(fā)展， 基于網(wǎng)絡(luò)的跨地區(qū)、全行業(yè)系統(tǒng)內(nèi)部信息網(wǎng)已逐步成型。本文從網(wǎng)絡(luò)自動(dòng)化系統(tǒng)安全的現(xiàn)狀出發(fā)，針對(duì)網(wǎng)絡(luò)安全的發(fā)展特點(diǎn)進(jìn)行研究， 探討有效的安全機(jī)制， 提高調(diào)度自動(dòng)化的安全系數(shù)， 重點(diǎn)是確保整個(gè)電網(wǎng)的穩(wěn)定運(yùn)行和可持續(xù)發(fā)展。

二、病毒防護(hù)主要目的

就如今網(wǎng)絡(luò)發(fā)展的趨勢(shì)來(lái)看，當(dāng)前電力二次系統(tǒng)安全防護(hù)最大的安全隱患不是來(lái)自控制系統(tǒng)本身，而是來(lái)自與之相連的外部網(wǎng)絡(luò)。目前對(duì)網(wǎng)絡(luò)的主要信息威協(xié)主要來(lái)自于網(wǎng)絡(luò)黑客攻擊和計(jì)算機(jī)蠕蟲病毒。因此，電力二次系統(tǒng)安全防護(hù)工作的重點(diǎn)是抵御黑客、病毒等通過(guò)各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊，使其能夠抵御集團(tuán)式攻擊，重點(diǎn)保護(hù)電力實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，防止由此引起的電力系統(tǒng)故障。

一個(gè)多層次、全方位的防病毒體系，同時(shí)具有跨平臺(tái)的技術(shù)及強(qiáng)大功能，具有統(tǒng)一的、集中的、智能的和自動(dòng)化的管理手段和管理工具，包括客戶端的自動(dòng)安裝、維護(hù)、配置、病毒代碼和掃描引擎的升級(jí)、定時(shí)調(diào)度、實(shí)時(shí)防護(hù)等。

另外，根據(jù)二次防護(hù)總體框架要求，隔離區(qū)內(nèi)分為安全Ⅰ和安全區(qū)Ⅱ，縱向安全區(qū)Ⅰ和Ⅱ分別形成兩個(gè)不同的VPN通道，安全區(qū)Ⅰ、Ⅱ中的計(jì)算機(jī)如何與防病毒中心通信，進(jìn)行病毒代碼更新等，客戶端防病毒策略的強(qiáng)制定義和執(zhí)行。

三、病毒防護(hù)系統(tǒng)體系結(jié)構(gòu)

一套完整的安全防護(hù)病毒庫(kù)應(yīng)包括中心服務(wù)器，分服務(wù)器，服務(wù)器端、客戶端、郵件服務(wù)器及網(wǎng)關(guān)服務(wù)器。前郵件已成為病毒傳播的重要途徑，一個(gè)好的郵件或群件病毒防護(hù)系統(tǒng)可以很好地和服務(wù)器的郵件傳輸無(wú)縫結(jié)合，完成對(duì)服務(wù)器和郵件正文的病毒清除；網(wǎng)關(guān)是隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的重要設(shè)備，在網(wǎng)關(guān)級(jí)別進(jìn)行病毒防護(hù)可以起到對(duì)外部網(wǎng)絡(luò)中病毒的隔離作用。

目前自動(dòng)化系統(tǒng)安全隔離區(qū)內(nèi)的網(wǎng)絡(luò)業(yè)務(wù)及業(yè)務(wù)系統(tǒng)服務(wù)器很多，設(shè)備類型、操作系統(tǒng)種類眾多。隔離區(qū)內(nèi)主要是業(yè)務(wù)系統(tǒng)的各類服務(wù)器，郵件服務(wù)器根據(jù)二次防護(hù)總體框架，隔離區(qū)內(nèi)不允許使用郵件服務(wù)、WEB等服務(wù)，特別是在安全區(qū)Ⅰ內(nèi)嚴(yán)禁使用，隔離區(qū)內(nèi)外中間使用專用網(wǎng)絡(luò)隔離設(shè)備，所以不需要選用郵件服務(wù)器組件和網(wǎng)關(guān)選件。因此，自動(dòng)化系統(tǒng)隔離區(qū)內(nèi)防病毒中心的定位就是中心服務(wù)器、分服務(wù)器及服務(wù)器端和客戶端選件。

首先，應(yīng)確立防病毒中心的管理模式，為了實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的防病毒產(chǎn)品和策略的統(tǒng)一、集中、智能管理，盡可能少地影響網(wǎng)絡(luò)和計(jì)算機(jī)性能，調(diào)度自動(dòng)化系統(tǒng)防病毒中心應(yīng)采用分層控制、集中管理模式；由專職人員定期到隔離區(qū)外去拷貝經(jīng)過(guò)病毒查殺的病毒更新碼；各分中心所轄的客戶端則由分中心分發(fā)病毒代碼更新。

其次，要部署防病毒中心，就必須了解自動(dòng)化系統(tǒng)安全隔離區(qū)內(nèi)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。根據(jù)二次防護(hù)總體框架，安全區(qū)Ⅰ和Ⅱ內(nèi)主站的每個(gè)業(yè)務(wù)系統(tǒng)都分配在不同的VPN內(nèi)，安全區(qū)Ⅰ和Ⅱ之間通過(guò)防火墻隔離，相同安全區(qū)內(nèi)的各業(yè)務(wù)系統(tǒng)之間也通過(guò)防火墻隔離；同時(shí)安全區(qū)Ⅰ和Ⅱ，在縱向上分別形成2個(gè)不同的VPN通道，原則上互不通信。因此，考慮防病毒中心設(shè)置時(shí)，必須符合這種特殊的網(wǎng)絡(luò)結(jié)構(gòu)，保證防病毒中心在分發(fā)、安裝以及配置時(shí)暢通。

同時(shí)，對(duì)安全隔離區(qū)內(nèi)的所有業(yè)務(wù)系統(tǒng)、服務(wù)器進(jìn)行統(tǒng)計(jì)，要求防病毒中心必須覆蓋所有網(wǎng)絡(luò)內(nèi)的服務(wù)器。

根據(jù)上述要求，在安全隔離區(qū)內(nèi)部署防病毒中心，由于各業(yè)務(wù)系統(tǒng)均十分重要，存在許多網(wǎng)段；其次，防病毒中心必須覆蓋調(diào)度自動(dòng)化系統(tǒng)內(nèi)的所有業(yè)務(wù)主機(jī)，包括廣域網(wǎng)內(nèi)的變電站系統(tǒng)、集控站系統(tǒng)、各分局自動(dòng)化系統(tǒng)等。因此，應(yīng)將防病毒中心也看作為一個(gè)業(yè)務(wù)系統(tǒng)，安排獨(dú)立網(wǎng)段，并在縱向形成單獨(dú)的VPN通道，通過(guò)路由重分布，將需要訪問(wèn)該VPN的網(wǎng)段路由發(fā)布進(jìn)該VPN，實(shí)現(xiàn)網(wǎng)絡(luò)互通。通過(guò)各級(jí)防病毒中心服務(wù)器，對(duì)安全隔離區(qū)內(nèi)各業(yè)務(wù)系統(tǒng)網(wǎng)段上的主機(jī)進(jìn)行客戶端軟件的安裝、升級(jí)、配置，病毒代碼的更新以及一些日常管理工作，形成一個(gè)全區(qū)域的病毒防護(hù)體系。

四、病毒防護(hù)安全策略設(shè)計(jì)

電力二次系統(tǒng)安全防護(hù)系統(tǒng)的病毒防護(hù)策略包括兩個(gè)方面：一個(gè)是以硬件防護(hù)配置為主，實(shí)現(xiàn)外網(wǎng)的入侵檢測(cè)、內(nèi)外網(wǎng)的有效隔離等；另一個(gè)是以系統(tǒng)軟件的設(shè)計(jì)為主，要求系統(tǒng)軟件的設(shè)計(jì)，需要滿足安全防護(hù)的需要，即使發(fā)生外網(wǎng)入侵的事件，入侵者也無(wú)法破壞主系統(tǒng)，無(wú)法截獲實(shí)時(shí)系統(tǒng)的信息。

硬件防護(hù)配置在電力二次系統(tǒng)中有相應(yīng)的設(shè)備配置明細(xì)，我們已經(jīng)在上章中做了詳細(xì)的描述。應(yīng)用軟件在網(wǎng)絡(luò)平臺(tái)、數(shù)據(jù)庫(kù)訪問(wèn)、數(shù)據(jù)流發(fā)布、圖形維護(hù)和操作管理上，必須設(shè)置嚴(yán)格的多級(jí)權(quán)限管理，以保證軟件和操作安全。

實(shí)時(shí)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)平臺(tái)一般是各個(gè)廠家自主開發(fā)，基于多種通用的網(wǎng)絡(luò)協(xié)議，如TCP/IP等，研制而成。在目前流行的各大系統(tǒng)中，網(wǎng)絡(luò)平臺(tái)多在系統(tǒng)的穩(wěn)定性、實(shí)時(shí)數(shù)據(jù)分流、刷新的快速性等方面作了很多工作，但對(duì)于安全性設(shè)計(jì)考慮不夠。由于網(wǎng)絡(luò)平臺(tái)多是基于一些通用的網(wǎng)絡(luò)協(xié)議進(jìn)行設(shè)計(jì)，一旦有外系統(tǒng)侵入，侵入者會(huì)利用通用的網(wǎng)絡(luò)協(xié)議十分容易地融入到監(jiān)控系統(tǒng)中去，給實(shí)時(shí)監(jiān)控系統(tǒng)的運(yùn)行帶來(lái)災(zāi)難性影響。

為此，系統(tǒng)網(wǎng)絡(luò)平臺(tái)需要增加防護(hù)性設(shè)計(jì)，維護(hù)和管理好系統(tǒng)中的網(wǎng)絡(luò)節(jié)點(diǎn)。具體說(shuō)來(lái)，系統(tǒng)網(wǎng)管

軟件具有以下幾個(gè)功能：

1、應(yīng)用通用網(wǎng)絡(luò)協(xié)議，但將節(jié)點(diǎn)的m地址、MAC地址和CPU標(biāo)示號(hào)充分利用綁定，通過(guò)網(wǎng)管軟件預(yù)先定置，控制各節(jié)點(diǎn)的運(yùn)行工況，只有經(jīng)過(guò)配置的節(jié)點(diǎn)，才能允許運(yùn)行網(wǎng)絡(luò)平臺(tái)程序。

2、通過(guò)遠(yuǎn)程撥號(hào)的維護(hù)節(jié)點(diǎn)也需要通過(guò)預(yù)先的定制，才能允許進(jìn)入實(shí)時(shí)監(jiān)控系統(tǒng)，進(jìn)行維護(hù)。

3、網(wǎng)絡(luò)平臺(tái)的數(shù)據(jù)流發(fā)布有多種方式，如：流方式、問(wèn)答方式等。為提高安全可靠性，對(duì)于一些重要的數(shù)據(jù)，建議通過(guò)可靠點(diǎn)對(duì)點(diǎn)連接，問(wèn)答確認(rèn)的方式進(jìn)行傳輸，一般數(shù)據(jù)可通過(guò)流數(shù)據(jù)刷新的方式進(jìn)行。這樣，可減少數(shù)據(jù)丟失和被竊聽的概率。

選定防病毒中心后，還要對(duì)整個(gè)防病毒中心部署與實(shí)施有一個(gè)詳細(xì)的計(jì)劃和解決方案。對(duì)于自動(dòng)化系統(tǒng)網(wǎng)絡(luò)來(lái)說(shuō)，防病毒并不只是保護(hù)某一臺(tái)或幾臺(tái)服務(wù)器和客戶端，需要建立起多層次、立體的病毒防護(hù)體系，而且要具備完善的管理系統(tǒng)來(lái)設(shè)置和維護(hù)防病毒策略，實(shí)現(xiàn)從服務(wù)器到工作站的全面防護(hù)，形成一個(gè)涉及全網(wǎng)，從上到下，立體的、完整的基于廣域網(wǎng)的病毒防護(hù)體系。

首先，應(yīng)確立防病毒中心的管理模式，為了實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的防病毒產(chǎn)品和策略的統(tǒng)一、集中、智能管理，盡可能少地影響網(wǎng)絡(luò)和計(jì)算機(jī)性能，調(diào)度自動(dòng)化系統(tǒng)防病毒中心應(yīng)采用分層控制、集中管理模式；由專職人員定期到隔離區(qū)外去拷貝經(jīng)過(guò)病毒查殺的病毒更新碼；各分中心所轄的客戶端則由分中心分發(fā)病毒代碼更新。

其次，要部署防病毒中心，就必須了解自動(dòng)化系統(tǒng)安全隔離區(qū)內(nèi)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。根據(jù)二次防護(hù)總體框架，安全區(qū)Ⅰ和Ⅱ內(nèi)主站的每個(gè)業(yè)務(wù)系統(tǒng)都分配在不同的VPN內(nèi)，安全區(qū)Ⅰ和Ⅱ之間通過(guò)防火墻隔離，相同安全區(qū)內(nèi)的各業(yè)務(wù)系統(tǒng)之間也通過(guò)防火墻隔離；同時(shí)安全區(qū)Ⅰ和Ⅱ，在縱向上分別形成2個(gè)不同的VPN通道，原則上互不通信。因此，考慮防病毒中心設(shè)置時(shí)，必須符合這種特殊的網(wǎng)絡(luò)結(jié)構(gòu)，保證防病毒中心在分發(fā)、安裝以及配置時(shí)暢通。

同時(shí)，對(duì)安全隔離區(qū)內(nèi)的所有業(yè)務(wù)系統(tǒng)、服務(wù)器進(jìn)行統(tǒng)計(jì)，要求防病毒中心必須覆蓋所有網(wǎng)絡(luò)內(nèi)的服務(wù)器。

根據(jù)上述要求，在安全隔離區(qū)內(nèi)部署防病毒中心，由于各業(yè)務(wù)系統(tǒng)均十分重要，存在許多網(wǎng)段；其次，防病毒中心必須覆蓋調(diào)度自動(dòng)化系統(tǒng)內(nèi)的所有業(yè)務(wù)主機(jī)，包括廣域網(wǎng)內(nèi)的變電站系統(tǒng)、集控站系統(tǒng)、各分局自動(dòng)化系統(tǒng)等。因此，應(yīng)將防病毒中心也看作為一個(gè)業(yè)務(wù)系統(tǒng)，安排獨(dú)立網(wǎng)段，并在縱向形成單獨(dú)的VPN通道，通過(guò)路由重分布，將需要訪問(wèn)該VPN的網(wǎng)段路由發(fā)布進(jìn)該VPN，實(shí)現(xiàn)網(wǎng)絡(luò)互通。通過(guò)各級(jí)防病毒中心服務(wù)器，對(duì)安全隔離區(qū)內(nèi)各業(yè)務(wù)系統(tǒng)網(wǎng)段上的主機(jī)進(jìn)行客戶端軟件的安裝、升級(jí)、配置，病毒代碼的更新以及一些日常管理工作，形成一個(gè)全區(qū)域的病毒防護(hù)體系。

五、病毒防護(hù)管理措施

在過(guò)硬的基礎(chǔ)設(shè)備的支撐下還要有良好的管理措施做保障才能發(fā)揮出病毒防護(hù)的作用，因此本文在最后制定了一套有效的管理措施。

制定自動(dòng)化系統(tǒng)網(wǎng)絡(luò)安全管理辦法，從系統(tǒng)的設(shè)計(jì)、建設(shè)、接入、運(yùn)行、維護(hù)、使用等多方面，明確管理要求、考核規(guī)定，規(guī)范工作行為；特別是要加強(qiáng)系統(tǒng)的接入管理。接入管理應(yīng)包括新系統(tǒng)的投運(yùn)接入管理、廠家維護(hù)接入管理、檢修接入管理等。我們認(rèn)為系統(tǒng)的接入管理至關(guān)重要，只有在系統(tǒng)接入方面加強(qiáng)管理，才能將一些安全隱患消滅在萌芽中，特別是病毒管理。

制定自動(dòng)化系統(tǒng)病毒預(yù)警機(jī)制，及時(shí)了解病毒的最新動(dòng)態(tài)，做到心中有數(shù)。

制定自動(dòng)化系統(tǒng)病毒專職制度，負(fù)責(zé)病毒防護(hù)工作的組織和開展，同時(shí)要求各直屬單位同時(shí)設(shè)立專職，負(fù)責(zé)其管轄范圍內(nèi)的病毒防護(hù)工作，使各全網(wǎng)內(nèi)各單位的防病毒工作同步開展。

制定自動(dòng)化系統(tǒng)病毒應(yīng)急處理預(yù)案，明確在緊急情況下的處理流程。

六、結(jié)束語(yǔ)

病毒防護(hù)工作，并不是簡(jiǎn)單的建立一個(gè)防病毒中心就能解決的，防病毒工作是三分技術(shù)七分管理。在運(yùn)用先進(jìn)技術(shù)手段的同時(shí)，需要運(yùn)用管理手段建立起內(nèi)部的病毒防護(hù)和運(yùn)行管理工作體系。運(yùn)用先進(jìn)的技術(shù)來(lái)提高管理水平，通過(guò)有效的管理來(lái)保證防病毒系統(tǒng)的高效運(yùn)行，使防病毒工作制度化，確保自動(dòng)化系統(tǒng)安全、穩(wěn)定、持續(xù)地運(yùn)行。