电力二次系统安全防护体系下防病毒中心的部署研究.pdf

—舅黑篡黑舅舅黑璺舅圈鬯黧篓羹鋈二……旦!缉壁塑全!墨望壁熏垄!丝箜塞堡垒叁垫堕 电力二次系统安全防护体系下防病毒 中心的部署 郑翔 周生苗 浙江省衢州电力局 崔良勇 国电自动化研究院 【摘要】本文从防病毒服务中心部署的角度，提出了在电力二次系统安全防护体系下，调度自动 化系统在安全隔离区内选择和实施防病毒中心的解决方案。 【关键词】自动化系统安全隔离区 防病毒中心网络结构 1．引言 随着电力一次系统规模的扩大，无人值班变电所的全面铺开，电力生产对自动化系统的依赖性越 来越高，自动化系统的规模也越来越大，网络越来越复杂。同时自动化系统必须保证24小时连续稳定 运行，因此必须要有一个确实可行的防病毒解决方案，来确保自动化系统重要业务不受病毒侵害，保 证自动化系统的安全、稳定运行。 根据全国二次防护总体框架要求，电力二次系统，必须将所有的重要业务系统与办公信息系统隔 离，这样就必须在安全隔离区内部署一套企业级的防病毒中心，同时由于安全防护框架的要求，该套 防病毒中心必须能在全网调度自动化系统中共享应用，达到全网统一规划、建设及实施统一的防病毒 策略，以取得良好效果。 2．防病毒中心的定位 一套完整的企业级防病毒中心应包括中心服务器，分服务器，服务器端、客户端、邮件服务器及 网关服务器。中心服务器主要提供病毒代码的升级与分发，同时也作为也作为防病毒中心的数据库服 务器，接受各种病毒报告以及向上一级防病毒中心提出告警，分服务器提供与中心服务器基本相同功 能；客户端，不管使用何种操作系统，都必须有相应的防病毒软件进行安装防范；服务器端与客户端 件已成为病毒传播的重要途径，一个好的邮件或群件病毒防护系统可以很好地和服务器的邮件传输无 缝结合，完成对服务器和邮件正文的病毒清除；网关是隔离内部网络和外部网络的重要设备，在网关 级别进行病毒防护可以起到对外部网络中病毒的隔离作用。 目前自动化系统安全隔离区内的网络业务及业务系统服务器很多，设备类型、操作系统种类纵多。 隔离区内主要是业务系统的各类服务器，邮件服务器根据二次防护总体框架，隔离区内不允许使用邮 件服务、WEB等服务，特别是在安全区I内严禁使用，隔离区内外中间使用专用网络隔离设备，所以 不需要选用邮件服务器组件和网关选件。因此，自动化系统隔离区内防病毒中心的定位就是中心服务 器、分服务器及服务器端和客户端选件。 3．防病毒中心应考虑的几个因素 在选择隔离区内企业级防病毒中心时应考虑以下几个问题： 2005皋电力行业信患化年会论文集f网络与信息安全 ，|c一个多层次、全方位的防病毒体系，同时具有跨平台的技术及强大功能 卑应该具有统一的、集中的、智能的和自动化的管理手段和管理工具，包括客户端的自动安装、 维护、配置、病毒代码和扫描引擎的升级、定时调度、实时防护等 ，．：采用先进的防病毒技术，能够有效的查杀各种多态病毒和未知病毒 木集中、方便地进行病毒代码和扫描引擎的更新，尤其是能否及时更新扫描引擎 ：．c方便、全面、友好的病毒报警和报表系统管理机制 ，-c病毒防护自动化体制 木客户端防病毒策略的强制定义和执行，确保客户端不会因人为因素而造成防病毒策略的更改、 破环，保证全网统一的防病毒策略 宰良好的服务和强大支持，时刻具有最强的防病毒能力 ，一c紧急处理能力和对新病毒的响应速度 木当前，自动化系统隔离安全区内业务系统中服务器的型号纵多，操作系统包括WINDOWS、So— laris、HP—UNIX、Tur—UNIX等，防病毒软件都应对他们支持 木客户端防病毒软件对系统资源的占用率，不能因运行了防病毒软件影响系统的响应速度，特别 是运行扫描程序时。 木选用防病毒软件因具有良好的售后服务，防病毒工作不是仅仅安装了软件就完事，售后的服务 支持也至关重要 宰防病毒中心的管理模式 宰根据二次防护总体框架要求，隔离区内分为安全I和安全区Ⅱ，纵向安全区I和Ⅱ分别形成两 个不同的VPN通道，安全区I、Ⅱ中韵计算机如何与防病毒中心通信，进行病毒代码更新等 4．解决方案 选定防病毒中心后，还要对整个防病毒中心部署与实施有一个详细的计划和解决方案。对于自动 化系统网络来说，防病毒并不只是保