浅析电力二次系统安全防护的体系之病毒防护.docVIP

浅析电力二次系统安全防护的体系之病毒防护 　　摘 要：随着计算机及互联网技术的日益提高，电力调度自动化二次系统安全防护已成为我们电力系统关注的重中之重。为此，国家电网公司的有关部门制定了《全国电力二次系统安全防护总体方案》，以指导电力自动化系统的安全防护运行。其中电力二次系统安全防护体系中的病毒防护又尤为重要，本文就病毒防护做简单的分析。 　　关键词：电力二次系统；安全防护；病毒防护；病毒库 　　一、概况 　　二十一世纪是人类全面进入信息化社会的新世纪，随着电力行业信息化的深入发展， 基于网络的跨地区、全行业系统内部信息网已逐步成型。本文从网络自动化系统安全的现状出发，针对网络安全的发展特点进行研究， 探讨有效的安全机制， 提高调度自动化的安全系数， 重点是确保整个电网的稳定运行和可持续发展。 　　二、病毒防护主要目的 　　就如今网络发展的趋势来看，当前电力二次系统安全防护最大的安全隐患不是来自控制系统本身，而是来自与之相连的外部网络。目前对网络的主要信息威协主要来自于网络黑客攻击和计算机蠕虫病毒。因此，电力二次系统安全防护工作的重点是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏和攻击，使其能够抵御集团式攻击，重点保护电力实时闭环监控系统和调度数据网络的安全，防止由此引起的电力系统故障。 　　一个多层次、全方位的防病毒体系，同时具有跨平台的技术及强大功能，具有统一的、集中的、智能的和自动化的管理手段和管理工具，包括客户端的自动安装、维护、配置、病毒代码和扫描引擎的升级、定时调度、实时防护等。 　　另外，根据二次防护总体框架要求，隔离区内分为安全Ⅰ和安全区Ⅱ，纵向安全区Ⅰ和Ⅱ分别形成两个不同的VPN通道，安全区Ⅰ、Ⅱ中的计算机如何与防病毒中心通信，进行病毒代码更新等，客户端防病毒策略的强制定义和执行。 　　三、病毒防护系统体系结构 　　一套完整的安全防护病毒库应包括中心服务器，分服务器，服务器端、客户端、邮件服务器及网关服务器。前邮件已成为病毒传播的重要途径，一个好的邮件或群件病毒防护系统可以很好地和服务器的邮件传输无缝结合，完成对服务器和邮件正文的病毒清除；网关是隔离内部网络和外部网络的重要设备，在网关级别进行病毒防护可以起到对外部网络中病毒的隔离作用。 　　目前自动化系统安全隔离区内的网络业务及业务系统服务器很多，设备类型、操作系统种类众多。隔离区内主要是业务系统的各类服务器，邮件服务器根据二次防护总体框架，隔离区内不允许使用邮件服务、WEB等服务，特别是在安全区Ⅰ内严禁使用，隔离区内外中间使用专用网络隔离设备，所以不需要选用邮件服务器组件和网关选件。因此，自动化系统隔离区内防病毒中心的定位就是中心服务器、分服务器及服务器端和客户端选件。 　　首先，应确立防病毒中心的管理模式，为了实现整个网络的防病毒产品和策略的统一、集中、智能管理，尽可能少地影响网络和计算机性能，调度自动化系统防病毒中心应采用分层控制、集中管理模式；由专职人员定期到隔离区外去拷贝经过病毒查杀的病毒更新码；各分中心所辖的客户端则由分中心分发病毒代码更新。 　　其次，要部署防病毒中心，就必须了解自动化系统安全隔离区内的网络拓扑结构。根据二次防护总体框架，安全区Ⅰ和Ⅱ内主站的每个业务系统都分配在不同的VPN内，安全区Ⅰ和Ⅱ之间通过防火墙隔离，相同安全区内的各业务系统之间也通过防火墙隔离；同时安全区Ⅰ和Ⅱ，在纵向上分别形成2个不同的VPN通道，原则上互不通信。因此，考虑防病毒中心设置时，必须符合这种特殊的网络结构，保证防病毒中心在分发、安装以及配置时畅通。 　　同时，对安全隔离区内的所有业务系统、服务器进行统计，要求防病毒中心必须覆盖所有网络内的服务器。 　　根据上述要求，在安全隔离区内部署防病毒中心，由于各业务系统均十分重要，存在许多网段；其次，防病毒中心必须覆盖调度自动化系统内的所有业务主机，包括广域网内的变电站系统、集控站系统、各分局自动化系统等。因此，应将防病毒中心也看作为一个业务系统，安排独立网段，并在纵向形成单独的VPN通道，通过路由重分布，将需要访问该VPN的网段路由发布进该VPN，实现网络互通。通过各级防病毒中心服务器，对安全隔离区内各业务系统网段上的主机进行客户端软件的安装、升级、配置，病毒代码的更新以及一些日常管理工作，形成一个全区域的病毒防护体系。 　　四、病毒防护安全策略设计 　　电力二次系统安全防护系统的病毒防护策略包括两个方面：一个是以硬件防护配置为主，实现外网的入侵检测、内外网的有效隔离等；另一个是以系统软件的设计为主，要求系统软件的设计，需要满足安全防护的需要，即使发生外网入侵的事件，入侵者也无法破坏主系统，无法截获实时系统的信息。 　　硬件防护配置在电力二次系统中有相应的设备配置明细，我们