孙佳炜 朱红勤 潘小辉 滕力阳 李婉婷

（国网江苏省电力公司南京供电公司，江苏南京210019）

0 引言

当前，国内外信息安全形势严峻，电力调度数据网作为电力调度生产服务的专用数据网络，其部署所在的主机操作系统基线安防要求是否满足，将直接影响到电网中心人员的使用，系统、项目的运行，为此，调度自动化专业需要根据上级管理机构的最新基线安防配置要求，定期对主站及厂站主机操作系统进行检测与加固。

本文主要阐述从上而下对电力监控系统网络中主机操作系统安防配置检测的系统实现，重点实现电力监控主机操作系统的安防配置的在线检测和快速加固，以此提高调度自动化人员对电力监控系统主机操作系统安防维护和处置的效率。

1 背景

国内外电力系统针对操作系统的安全防护主要体现在三个方面：

第一，在数据传输安全方面，通过防火墙、纵横向隔离等安防设备实现信息分区隔离[1]、通信数据加密认证或访问端口控制，控制病毒感染在局限范围，保障电力监控系统安全运行；

第二，在病毒防护方面，建立内网在线杀毒管理，以360天擎、瑞星、诺顿等厂商杀毒软件企业版对内网内的信息终端进行病毒扫描和查杀；

第三，在漏洞修复方面，绿盟科技等单位采用了在线漏洞扫描生成报告方式，给出补丁修复建议方式并告知用户。

可以看出，基于网络的在线快速检测并形成定期全网体检已经成为当前电力系统安全防护的主要发展思路[2]。

当前，调度自动化主机操作系统安防检测加固工作中存在以下几点问题：（1）电力监控系统中主机操作系统配置检测命令繁琐，记忆困难，检测修复专业性强，不便于维护；（2）主机操作系统安防检查需要人工到现场登录系统进行操作，在线管控率低，难以及时发现问题；（3）缺乏对电力监控系统主机操作系统安防状态的全面直观掌控，不利于管理。

因此，研发并部署一套能够从上而下对电力监控系统主机操作系统安防配置进行检测的系统显得十分必要。

2 电力监控主机操作系统安防检测与加固分析关键技术

本课题围绕电力监控系统主机操作系统安防加固知识库的建立与应用展开讨论，在电力监控系统主机操作系统安防配置加固范围内，收集专家对主机操作系统安防安全性检测和加固的经验，满足安全配置、安全运行、安全接入、数据安全的要求[3]，兼顾Windows、Linux、凝思等操作系统。在此基础上，通过网络连接的方式，在主机端建立代理监听，主站服务端向主机内代理发送命令，代理客户端收到命令后通过命令回显技术识别关键字词，检测操作系统安防安全性，修复安防安全性配置，并将检测结果回传给主站服务端[4]。

2.1 电力监控系统主机操作系统安防配置检测研判技术

针对多种主流的主机操作系统，收集整理各主机操作系统的配置检测指令及其之间的差异，并找出多个主机操作系统指令分析的适配方法。同时，对配置检测指令及主机操作系统反馈回来的信息进行编辑研判，利用检索包含与不包含关键字、分析前后出现的关键字逻辑等方法进行配置检测研判逻辑模型的建立，并使得模型满足后期定义扩充需求。

2.2 电力监控系统主机操作系统安防配置同时在线检测技术

通过网络连接的方式，基于分布式技术[5]，以主站服务端召测—厂站客户端监听的主从式运行模式，在不影响电力监控系统业务正常工作的情况下，建立一套电力监控系统主机安防安全性智能在线检测技术手段。

以TCP/IP协议进行服务端与用户端的命令以及通信数据的交互。实现的技术步骤如图1所示：由用户在服务端选择单个或全部主机IP地址，从服务端向选择的IP地址主机发送安防检测的命令，客户端在主机一直处于后台运行状态，并保持接收模式，当接收到厂站服务端发送过来的检测命令后，以线程的方式对操作系统相关项进行检测，结束后将结果返回到主站服务端，主站服务端接收结果并展示。如果有不符合规范的地方，再由用户选择单独修复或全部修复，向客户端发送修复指令，并保持通信直至客户端返回修复结果后关闭通信、进行结果展示。

2.3 电力监控系统主机操作系统安防配置快速加固技术

在电力监控系统主机操作系统安防配置加固范围内，收集专家对主机操作系统安防安全性检测和加固的经验，整理当前电力监控系统中主机主要设备类型、操作系统主要类型、网络连接方式，满足安全配置、安全运行、安全接入、数据安全的要求，兼顾Windows、Linux、凝思等操作系统，整理出一份针对电力监控系统主机操作系统安防加固知识库。基于安防加固知识库，对实时采集到的电力监控系统主机操作系统安防配置检测数据进行分析，并在线进行快速加固或给出快速加固的指导方法。

图1 操作系统安防检测加固流程图

2.4 通过可视化图形和表格全面直观掌控安防状态

将电力监控系统主机安防安全性检测和加固情况进行存库、汇总，加以处理分析，从而将历史或本期检测、加固信息以图形、表格等进行动态可视化评价展示，如图2所示，让运维人员能够快速了解电力监控系统主机安防安全加固和运行情况。

图2 检测与加固软件报表生成界面

3 设计说明

系统部署采用服务器两台，分别位于生产一、二区，两套在线检测系统软件服务端分别部署在这两台服务器上，管理监控工作直接通过二区电脑网页访问二区系统软件服务端，可视化展示应用通过二区服务器Web访问查看网络内主机操作系统安防情况，实现整体安防管控工作。

如图3所示，二区软件服务端通过反向隔离实现向一区服务端软件进行配置更新与命令召唤转发[6]，一区软件服务端采集的数据通过正向隔离装置传入二区软件服务端。一、二区其他电力监控主机操作系统安装软件客户端，通过所在区服务端软件下发更新策略和特征库，接收服务端命令进行检测与结果回传，实现在线配置检测及加固需求。

图3 系统网络结构图

4 应用情况分析

以往，南京供电公司电力监控系统网络需要运维上百台主机，主机操作系统以Windows、Linux、凝思磐石为主，自动化运维人员对一台主机进行安防安全性检测及加固每次平均需要约1.5 h，所有主机的安防安全性配置检测加固需要200 h以上。本文提出的电力监控系统主机安防安全性智能检测及快速加固实现方案，能将所有主机的安防安全性配置检测控制在5 min一次，有效提高了调度自动化人员对电力监控系统主机操作系统安防维护和处置的效率。

5 结语

本文阐述了电力监控主机操作系统安防配置在线智能检测与加固的思路与关键技术，开发了满足不同修复要求的快速加固功能，并应用于安全防护管理工作中，降低了自动化专业运维的难度，提高了工作水平与效率。