管进,付同福,陈刚,谢华全,袁勇
(贵州电网有限责任公司六盘水供电局,贵州 六盘水 553000)
随着信息网络技术在电力系统领域的不断推广应用,促使现代电力技术由数字化电网向智能电网方向不断发展,大调度运维模式下,电网运维更加依赖于网络信息的传输,随之而来的电力监控系统网络安全问题也日益凸显,并且被提升至前所未有的高度。
变电站主机加固是电力监控系统网络安全的一项重要内容,是各级网络安全检查和攻防测试的主战场,变电站主机加固情况是监控系统网络安全检测的一项重要指标,但在实际工作中还存在如下问题:
目前,变电站内涉及的工作站主机主要为Windows系统和LINUX系统两大类,对于这两类系统主机加固的具体内容和操作方法都不尽相同,同时,我们缺乏网络安全专业运维人员,主要依赖维保厂家进行主机加固,对于工作的过程和质量不能有效把控,只知其表,不知其里。
后台监控机的作用是通过报文、图像的形式监视现场设备正常、故障时的运行状况,在系统发生故障时,能够正确反馈故障现象,及时查找原因,方便日常的维护工作。但是,在日常的维护工作中,后台机经常发生蓝屏、黑屏后台监控系统无法启动等情况,除硬件自身的原因外,大多数是因为人为外来的计算机病毒在后台监控机中破坏系统程序导致无法正常启动,后台监控机从站控层网络采集变电站数据,涉及电力系统的核心义务,一旦中病毒将导致变电站内电力系统的核心业务数据有泄漏的风险,并且存在遭受网络攻击的风险,当遭受不法分子的网络攻击,极易造成大面积的停电事故,经济损失难以预估;现阶段,还没有对后台机的监视工具,在变电站内的后台监控机损坏后,运行人员操作停、送电时无法查看相应的报文及细节图情况,严重影响工作进度,因此对后台监控机进行加固非常有必要[1]。
1)数据加密保护:客户端收集整理数据加密之后,传输给主机监控端,主机端进行数据解密展示,主机监控端下发的数据加密,客户端进行解密。
2) 病毒库自动更新:主机监控端自动更新病毒库信息,并加密同步下发给客户端,客户端进行更新病毒库信息,并定期扫描上传最新病毒扫描信息。
3) 病毒补丁管理:主机监控端发现客户端上报的病毒信息异常之后,会根据病毒信息下发对应的病毒补丁,根据病毒严重程度来自动安装补丁或选择手动安装。
4) 服务器补丁管理:主机监控端通过客户端提交系统报告定期检测服务器补丁信息,有最新补丁信息之后可以一键选择手动安装[2]。
图1为本发明第一个实施例提供的一种后台监控机加固方法的整体流程图。
图1 后台监控机加固方法
图2为本发明第一个实施例提供的一种后台监控机加固方法中主机防护管理平台功能构成图。
图2 主机防护管理平台
本发明的有益效果:提供的后台监控机加固方法可分别针对Windows 系统和LINUX 系统主机进行加固检测,自动进行账户管理和认证授权加固检测,包含账户、口令、远程授权等内容的检测并主动将检测结果呈现给运维人员;自动化检测系统日志管理、IP协议管理及其他网络参数管理的策略,并对策略的安全性进行评估,对于安全性低的策略给予告警提示;自动检测端口管理状态,对于高危端口的检测结果清晰明了,对于未关闭的高危端口进行预警,提示可能产生的风险等级;自动化进行防病毒检测,检测预装的杀毒软件及病毒库的更新状况,能够解决现有后台监控系统长期中病毒、死机、无法启动等问题,自动生成系统报告及病毒库。
结合以上示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时电力监控系统主机跨操作系统的漏洞检测的描述中,需要说明“上、下、内和外”等指示的方位或位置关系。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义[3]。
Agent 获取当前服务器IP 判断当前所在系统平台,执行相应的指令收集用户的安全信息并上报到管理平台;管理平台对收集到的账户的行为与信息安全进行分析,将不合规、有威胁的服务器进行自动弹窗警告并通知到管理人员。
账户安全性管理执行的相应的指令包括Chage(密码的实效管理)、Net user(密码的实效管理)命令;安全信息包括密码时效信息、用户登录日志、用户操作指令。
账户安全性管理包含账户、口令、远程授权、pam认证内容(一种高效而且灵活便利的用户级别的认证方式)的检测和系统日志管理、IP 协议管理及其他网络参数管理。PAM 模块可以提供各种类型的身份验证,例如基于密码的身份验证、基于证书的身份验证、双因素身份验证等。每个模块都有特定的目的,例如检查密码、检查用户账户是否过期、检查用户是否在允许的 IP 地址范围内等。根据需要,管理员可以组合多个模块来构建一个定制的身份验证流程。例如密码过期时间、失效时间等,管理平台即可对该账户进行锁定并要求整改后才能继续使用。
Agent 判断当前所在系统平台,执行相应的指令收集用户的当前端口信息并上报到管理平台;管理平台对收集到的信息进行根据IP地址进行分类呈现,将端口信息归属到对应ip服务器中,将高风险、中风险、低风险端口通过内存与CPU占用率进行标注,将高风险、中风险、低风险端口进行标注并提供关闭操作,对于未关闭的高危端口进行自动弹窗预警,并提示可能产生的风险等级。IP 地址的分配方式取决于企业的网络规模。如果企业的电脑数量不多且网络并不是很复杂,网络管理人员的精力和时间能够充分投入到交换机端口的管理中去,那么就能管理好。此外,也可以将接入层交换机的管理放弃,将MAC/IP 与核心交换机进行绑定,这样维护工作就能显著减少。
其中,端口信息包括当前监听地址、端口号、协议、端口进程、进程路径;高危高风险异常端口默认进行自动关闭,也可手动进行关闭处理[4]。
Agent 判断当前所在系统平台,执行相应的指令收集服务器版本信息并上报到管理平台进行数据存储记录;管理平台对系统内核版本、发行版本与系统官网和安全平台做出联动,对具有风险的系统版本做出警告和升级提示。
服务器版本信息包括系统CPU信息、进程管理、内核版本,发行版信息;管理平台对系统内核版本,发行版本与系统官网和安全平台做出联动,定期获取系统官网存在风险的系统内核版本进行平台存储;根据联动管理,对比版本号版本补丁等方式进行风险性识别,对识别出根据联动管理,对比版本号版本补丁等方式进行风险性识别的系统版本做出警告和升级提示。
Agent 定时检测当前服务器重要补丁,连接互联网的外网服务器,可以选择从微软的官方网站上,直接同步补丁信息,默认选择“从Microsoft Update 进行同步”;连接涉密网的补丁服务器,选择手动导入补丁包的方式。当外网WSUS服务器补丁更新完成后,将补丁包通过涉密网信息输入输出方式导入到内部WSUS服务器,并将放在WSUS指定的目录下,补丁包下载存放路径为F: WSUSWsusContent 中。注意如果是第一次导入补丁,则需将所有补丁导入;如果是阶段性的更新补丁,可以将此目录中的文件按时间进行排序,对时间有变化的文件导出即可,服务器中源文件的导出方式不变,管理平台对系统内核版本,发行版与系统官网和安全平台做出联动,对具有风险的系统版本做出警告和升级提示。
服务器需要具有良好的性能和较高的可靠性,这就要求对服务器进行经常性的维护与备份工作;由于服务器通常都处于不同操作系统之间,因此应定期为系统安装最新版本以及相应工具软件。同时需注意在安装系统时不要将其与其他计算机操作系统相冲突;如果出现问题则应立即关闭相应程序或应用(包括杀毒软件)以保证运行环境正常;另外还要注意定期备份数据库中重要的数据文件和数据库表信息等,以防在系统突然出现故障时能及时进行处理。
Agent 每周对服务器硬盘进行扫描,获取系统官网存在风险的系统内核版本,与当前服务器版本自动比较是否在内,如果在内在平台侧显示升级提示以及系统官网的风险提示主流病毒名称、文件路径、病毒特征、病毒行为信息;结合CPU、硬盘空间等情况检测服务器对检测出的信息进行归纳上报管理平台,通过管理平台记录和分析处理结果。
电力监控系统主机跨操作系统的漏洞检测与管理时,有关工作人员必须建立健全的计算机安全管理制度,从运作管理的观点对其进行有效的分类与分级,在进行管理时,要根据员工的账号等级设置相应的权限,并根据其使用的权限来确定所能使用的范围。这就要求在设定系统时,要对非系统的维护人员进行一定的屏蔽,这样既可以保证部分核心数据的安全,又可以防止误操作造成的安全事故。另外,在建设期间,工作人员要保证电力监控系统主机跨操作系统的正常运转,在实施过程中,使用不同的网络服务器实现自动化调度的功能,在调试和校验中,工作人员要对各个服务器的检测指标进行记录和分析,并根据服务器的运行情况,对故障状态进行科学、合理的评价,从而实现对故障信息的及时通知。为了保证后台监控系统的正常运行,必须要对计算机的硬件进行维修,同时还要加强防火墙的监控和功能,定期检查系统的稳定性,并采取必要的措施,防止发生重大的安全事故。
为保证电力监控系统的安全和性能,需要进一步完善后台监控系统,及时消除隐患,并且需要设立专用的系统管理部门,并对电力监控系统的运行情况进行定期的监督,从而找到问题并进行处理。变电站的自控装置应做好防雷、过电压的防护,并对其进行定时检查,并在其内部安装消防设施,以保证其运行。
本发明公开了一种后台监控机加固方法包括:判断当前系统所在平台;收集服务器上的账户信息、端口信息、性能信息并上报到管理平台;管理平台对收集到的信息进行处理,并通过优化管理进行后台监控机加固。本发明提供的后台监控机加固方法可分别针对Windows系统和LINUX系统主机进行加固检测,自动进行账户管理和认证授权、端口管理状态等的加固检测,自动检测系统日志管理、IP 协议管理及其他网络参数管理的策略,并主动将检测结果呈现给运维人员,对于安全性低的策略给予告警提示;自动化进行防病毒检测,检测预装的杀毒软件及病毒库的更新状况,能够解决现有后台监控系统长期中病毒、死机、无法启动等问题,自动生成系统报告及病毒库[5]。
随着计算机技术和现代通信技术大量应用于电力监控系统,其安全防护不断面临新的挑战。各供电厂和变电站必须遵守电力行业安全防护原则和要求,做好安全制度建设,培养工作人员网络安全意识,切实做好威胁风险分析,提高电力监控系统整体抗风险能力,保障数据不被盗取,打造安全可靠的电力系统。未来应用与研发电力监控系统时对智能化与自动化的重视度不断提高,且电力监控系统主机跨操作系统的漏洞检测的改革具有很大的发展空间,具有较高的发展潜力。