電力企業(yè)中的病毒防護(hù)

引言：電力企業(yè)信息網(wǎng)絡(luò)地域覆蓋面廣（跨越若干縣、市，方圓數(shù)百平方公里），信息處理、存儲一般為分布式與集中式相結(jié)合的方式。為了最大限度地防范病毒危害，在建立企業(yè)網(wǎng)防病毒體系時，必須針對電力企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡(luò)構(gòu)造和應(yīng)用環(huán)境的實際情況，從桌面客戶端、服務(wù)器、群件及網(wǎng)關(guān)上進(jìn)行全方位、多層次的整體病毒防護(hù)。并實現(xiàn)整個網(wǎng)絡(luò)防病毒策略的集中統(tǒng)一管理和各個網(wǎng)段防病毒維護(hù)工作的分級管理。

電力行業(yè)作為國家的經(jīng)濟(jì)命脈，在國民經(jīng)濟(jì)中具有舉足輕重的作用，其網(wǎng)絡(luò)安全問題直接關(guān)系到國家命脈。近年來，隨著電力企業(yè)信息網(wǎng)絡(luò)的建設(shè)和應(yīng)用的不斷發(fā)展，病毒的困擾和危害日益突出，如何構(gòu)筑無毒環(huán)境、保障網(wǎng)絡(luò)安全成為急需解決的問題，如圖1。

由于電力企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)具有網(wǎng)絡(luò)規(guī)模龐大，客戶機(jī)及服務(wù)器數(shù)量眾多，網(wǎng)絡(luò)維護(hù)人員相對較少的特點，因此需要一套全方位、多層次、集中管理、分級維護(hù)和經(jīng)濟(jì)高效的病毒防護(hù)體系（如圖2）。

圖1 供電系統(tǒng)

圖2 多層次病毒防護(hù)體系示意圖

電力企業(yè)病毒防護(hù)系統(tǒng)應(yīng)當(dāng)考慮的幾個問題

電力企業(yè)信息網(wǎng)絡(luò)地域覆蓋面廣（跨越若干縣、市，方圓數(shù)百平方公里），為了最大限度地防范病毒危害，在建立企業(yè)網(wǎng)防病毒體系時，必須針對電力企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡(luò)構(gòu)造和應(yīng)用環(huán)境的實際情況，從桌面客戶端、服務(wù)器、群件及網(wǎng)關(guān)上進(jìn)行全方位、多層次的整體病毒防護(hù)。并實現(xiàn)整個網(wǎng)絡(luò)防病毒策略的集中統(tǒng)一管理和各個網(wǎng)段防病毒維護(hù)工作的分級管理。

所使用的殺毒軟件必須適應(yīng)企業(yè)管理的需要，必須能夠?qū)崿F(xiàn)企業(yè)病毒防護(hù)策略的集中管理和分級式維護(hù)的需要。

必須對整個網(wǎng)絡(luò)實行全方位、多層次的病毒防護(hù)，對所有可能存在的病毒的侵入點進(jìn)行防護(hù)，也就是說應(yīng)該在網(wǎng)絡(luò)的每一個層次都要進(jìn)行有效的病毒防護(hù)。

必須在主要服務(wù)器上實現(xiàn)防毒軟件的遠(yuǎn)程安裝，以方便企業(yè)內(nèi)部的工作人員更加方便直接的完成殺毒程序的安裝管理，減輕網(wǎng)絡(luò)管理人員的工作壓力。

由于現(xiàn)在電子郵件已成為企業(yè)應(yīng)用最多的工具，因此殺毒軟件必須具備最先進(jìn)的郵件監(jiān)控功能。當(dāng)遇到感染性很強(qiáng)的郵件病毒時，要能夠快速有效地將病毒清除，防止郵件病毒對企業(yè)造成更大的危害。

病毒定義碼以及掃描病毒引擎的更新必須快速方便。

防病毒系統(tǒng)必須提供詳細(xì)的日志，并能夠分析統(tǒng)計病毒攻擊事件的次數(shù)、原因以及來源。

多層次、分級式病毒防護(hù)體系的設(shè)計原理

針對電力企業(yè)信息網(wǎng)絡(luò)環(huán)境的實際情況，為了保障企業(yè)信息安全和保證網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，必須建立基于網(wǎng)絡(luò)的多層次的病毒防護(hù)系統(tǒng)。從網(wǎng)絡(luò)系統(tǒng)的各組成環(huán)節(jié)來看，多層防御的網(wǎng)絡(luò)防毒體系應(yīng)該是利用先進(jìn)的分布式技術(shù)，將整個防病毒體系分為五個相互關(guān)聯(lián)的子系統(tǒng)，分別是：系統(tǒng)中心、服務(wù)器端、客戶端、Internet網(wǎng)關(guān)和“移動式”管理員控制臺。各個子系統(tǒng)協(xié)同工作，共同完成對整個網(wǎng)絡(luò)的病毒防護(hù)工作，能夠最大限度地完成對病毒的全面防護(hù)和查殺，如圖3所示。

圖3 病毒防護(hù)體系集中管理、分級維護(hù)示意圖

系統(tǒng)中心

系統(tǒng)中心是整個防病毒體系的信息管理和病毒防護(hù)的自動控制核心，它實時地記錄防護(hù)體系內(nèi)每臺計算機(jī)上的病毒監(jiān)控、檢測和清除信息，同時根據(jù)管理員控制臺的設(shè)置，實現(xiàn)對整個防護(hù)系統(tǒng)的自動控制。通過系統(tǒng)中心可以實現(xiàn)整個信息網(wǎng)絡(luò)防病毒策略的強(qiáng)制實施，以及通過其與Internet的實時連接獲得防病毒工具的最新病毒定義代碼，確保以最快的響應(yīng)速度完成整個信息網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)自動升級。

服務(wù)器端

在各個網(wǎng)段設(shè)置病毒服務(wù)器，病毒服務(wù)器主要負(fù)責(zé)實時與系統(tǒng)中心通信，獲得最新的病毒定義更新代碼和最新的系統(tǒng)病毒防護(hù)策略。在系統(tǒng)中心授權(quán)后，通過服務(wù)器端可以根據(jù)本網(wǎng)段的實際情況定制本網(wǎng)段有效的病毒防護(hù)策略和定時完成在本網(wǎng)段的全線病毒查殺工作。系統(tǒng)中心通過服務(wù)器端獲得各個網(wǎng)段的病毒監(jiān)控、檢測和清除信息。服務(wù)器端根據(jù)實際情況可以建立一級防病毒服務(wù)器、二級防病毒服務(wù)器等多個級別的服務(wù)器端，以便實現(xiàn)防病毒系統(tǒng)的分級管理和劃地區(qū)維護(hù)。

客戶端

客戶端是分別針對網(wǎng)絡(luò)應(yīng)用服務(wù)器和網(wǎng)絡(luò)工作站（客戶機(jī)）設(shè)計的，承擔(dān)著對當(dāng)前應(yīng)用服務(wù)器和工作站上病毒的實時監(jiān)控、檢測和清除，自動向其所屬的病毒服務(wù)器報告病毒監(jiān)測情況，以及自動通過病毒服務(wù)器進(jìn)行升級的任務(wù)。客戶端沒有權(quán)利更改系統(tǒng)中心和所屬的病毒服務(wù)器端強(qiáng)制布置的病毒防護(hù)策略。

Internet網(wǎng)關(guān)

目前企業(yè)普遍采用的病毒防護(hù)是軟件防護(hù)，即在網(wǎng)絡(luò)接入郵件服務(wù)器、文件服務(wù)器或者工作站上進(jìn)行防毒。這類軟件防護(hù)因為架構(gòu)在操作系統(tǒng)之上，所以受到了服務(wù)器的系統(tǒng)資源、操作系統(tǒng)穩(wěn)定和有否漏洞的影響。因此在基于軟件防毒的基礎(chǔ)上,在電力企業(yè)信息網(wǎng)的Internet接口和廣域網(wǎng)接口處應(yīng)當(dāng)配置網(wǎng)關(guān)級的硬件防毒墻，將網(wǎng)絡(luò)病毒擋在“門”外，解決了軟件防毒的“瓶頸”，以實現(xiàn)病毒防護(hù)的軟硬兼施。

“移動式”管理員控制臺

管理員控制臺是整個防病毒系統(tǒng)設(shè)置、管理和控制的操作平臺，它集中管理網(wǎng)絡(luò)上所有已安裝過防毒軟件的計算機(jī)，同時實現(xiàn)對系統(tǒng)中心和防病毒服務(wù)器的管理，它可以安裝到任何一臺安裝了防毒軟件的計算機(jī)上，實現(xiàn)“移動式”管理。管理員控制臺能夠直接顯示每一個服務(wù)器端/客戶端計算機(jī)的實時監(jiān)控狀態(tài) 、病毒定義代碼更新版本、查殺毒狀態(tài)，這樣管理員對于任何安裝了防毒軟件的計算機(jī)防毒狀態(tài)都一目了然，隨時對各個的防病毒情況進(jìn)行監(jiān)控。管理員還能夠隨時啟動（關(guān)閉）單個（多個）服務(wù)器端（客戶端計算機(jī)）上的實時監(jiān)控，確保整個網(wǎng)絡(luò)上的每臺計算機(jī)都處于最佳的防護(hù)狀態(tài)，同時也能保證全網(wǎng)隨時處于高效運(yùn)行之中，充分的實現(xiàn)了對全網(wǎng)的客戶端和服務(wù)器的24小時不間斷的查殺毒準(zhǔn)備。

圖4 病毒代碼分流分級更新示意圖

根據(jù)電力企業(yè)信息網(wǎng)絡(luò)覆蓋面積廣、局客戶端多，管理程序復(fù)雜的狀況，電力企業(yè)病毒防護(hù)系統(tǒng)還應(yīng)當(dāng)有一個合理、有效的分級維護(hù)管理模式。有利于電力企業(yè)的統(tǒng)一、高效的管理。它將病毒防護(hù)的管理權(quán)限分為多個級別，在企業(yè)內(nèi)部設(shè)立超級管理員和普通管理員進(jìn)行分級管理。超級管理員可以創(chuàng)建若干普通管理員，并可任意挑選出若干客戶端分派給普通管理員。而普通管理員同樣也可以對自己管理的客戶端進(jìn)行進(jìn)一步的分組，并對任意分組進(jìn)行管理。在這種分級管理模式下，超級管理員和普通管理員的權(quán)限設(shè)計和職能分工是非常明確的。超級管理員具有添加刪除普通管理員賬號、分配計算機(jī)給普通管理員管理、對全網(wǎng)的計算機(jī)進(jìn)行查殺毒等全面的管理職能；而普通管理員則對其網(wǎng)段的計算機(jī)進(jìn)行分組、查殺毒等方面的管理。這種分級管理的模式使信息安全管理員的工作變得更加明確和輕松。分級管理模式充分考慮到了電力企業(yè)復(fù)雜的信息網(wǎng)絡(luò)設(shè)置，從根本上解決了電力企業(yè)網(wǎng)絡(luò)管理難度大，操作困難這一難題，實現(xiàn)了對網(wǎng)絡(luò)信息安全高效、簡易的管理要求。

電力企業(yè)多層次、分級式病毒防護(hù)體系的主要布置策略具體表現(xiàn)在:

病毒定義代碼的更新策略

如圖4所示，系統(tǒng)中心可以和防病毒一級服務(wù)器安裝在同一臺服務(wù)器上，并與Internet實時相連，每天以固定時間從互聯(lián)網(wǎng)上下載并更新最新的病毒定義代碼庫；二級服務(wù)器追隨一級服務(wù)器下載并更新病毒定義代碼庫；客戶端在每天的固定時間會從其所屬的防病毒服務(wù)器中下載并更新病毒定義代碼庫，以實現(xiàn)網(wǎng)絡(luò)防病毒系統(tǒng)的實時更新。病毒定義代碼超過30天不更新就會向所屬的服務(wù)器和管理員報警。

病毒服務(wù)器的實時防護(hù)策略

病毒服務(wù)器的實時防護(hù)策略是啟動實時病毒防護(hù)功能，實時監(jiān)控網(wǎng)絡(luò)、軟驅(qū)和光驅(qū)有無病毒入侵，若發(fā)現(xiàn)病毒，第一操作清除病毒，第二操作隔離未清除的病毒，所有的操作都記錄到日志。

客戶端的實時防護(hù)策略

強(qiáng)制啟動實時病毒防護(hù)功能，實時監(jiān)控網(wǎng)絡(luò)、軟驅(qū)和光驅(qū)有無病毒入侵，如果發(fā)現(xiàn)病毒，第一操作是清除病毒，第二操作是隔離未清除的病毒，所有的操作都記錄并傳送到所屬的防病毒服務(wù)器端?？蛻舳诵遁d防病毒軟件需要密碼?？蛻舳瞬荒芡Ｖ共《緦崟r防護(hù)功能和操作規(guī)則。

客戶端的安裝策略

客戶端可以通過網(wǎng)絡(luò)或光盤安裝病毒防護(hù)軟件，但必須接受所在子網(wǎng)的防病毒服務(wù)器的管理。

電力企業(yè)多層次、分級式病毒防護(hù)體系具有以下4個主要特點：

1.層次性

在用戶桌面、服務(wù)器、Internet網(wǎng)關(guān)安裝適當(dāng)?shù)姆蓝静考陀布《痉阑饓?，?yīng)當(dāng)以網(wǎng)為本、多層次地最大限度地發(fā)揮病毒防護(hù)作用。

2.集中性

整個信息網(wǎng)絡(luò)的病毒防護(hù)策略是相互配合和統(tǒng)一制定管理的，支持遠(yuǎn)程集中式配置和管理。

3.自動化

整個防病毒系統(tǒng)能自動更新病毒特征碼數(shù)據(jù)庫和其它相關(guān)信息。配置好后，無需人工干涉。

4.高效性

病毒定義更新的優(yōu)點在于采用分流分級管理，更新速度快，占用網(wǎng)絡(luò)資源少，維護(hù)工作簡單明了，應(yīng)用和運(yùn)行效率高。

5.智能化

系統(tǒng)能夠通過詳細(xì)的日志按照預(yù)定的要求分析統(tǒng)計出當(dāng)前網(wǎng)絡(luò)中的病毒源及其他病毒活動情況，使網(wǎng)絡(luò)管理員直接了解到網(wǎng)絡(luò)中的病毒活動狀況。針對一些突發(fā)問題做出快速響應(yīng)。

結(jié)論

正如以上本文所論述，電力企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)規(guī)模龐大，客戶機(jī)及服務(wù)器數(shù)量眾多，電力企業(yè)防毒體系的建立不能單純地依靠幾種防毒產(chǎn)品的堆積，它的重點在于要針對企業(yè)現(xiàn)有的網(wǎng)絡(luò)環(huán)境，對網(wǎng)絡(luò)中所有可能存在的病毒侵入點進(jìn)行詳細(xì)的分析，由一個或幾個系統(tǒng)管理中心集中對企業(yè)網(wǎng)絡(luò)進(jìn)行病毒查殺，從而實現(xiàn)企業(yè)全網(wǎng)的多層次、智能化、高效性和統(tǒng)一性的安全管理與分級維護(hù)。

為確保網(wǎng)絡(luò)信息的安全，企業(yè)還必須制定完善的管理制度以配合多層次、分級式病毒防護(hù)系統(tǒng)的有效運(yùn)行。如配備相應(yīng)的維護(hù)人員負(fù)責(zé)整個網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)的日常管理及維護(hù)；制定相應(yīng)的網(wǎng)絡(luò)病毒防護(hù)的管理制度；強(qiáng)制實施統(tǒng)一的防病毒策略等。確保網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)真正的為電力企業(yè)的發(fā)展保駕護(hù)航。