电力企业中的病毒防护

引言：电力企业信息网络地域覆盖面广（跨越若干县、市，方圆数百平方公里），信息处理、存储一般为分布式与集中式相结合的方式。为了最大限度地防范病毒危害，在建立企业网防病毒体系时，必须针对电力企业内部网的网络构造和应用环境的实际情况，从桌面客户端、服务器、群件及网关上进行全方位、多层次的整体病毒防护。并实现整个网络防病毒策略的集中统一管理和各个网段防病毒维护工作的分级管理。

电力行业作为国家的经济命脉，在国民经济中具有举足轻重的作用，其网络安全问题直接关系到国家命脉。近年来，随着电力企业信息网络的建设和应用的不断发展，病毒的困扰和危害日益突出，如何构筑无毒环境、保障网络安全成为急需解决的问题，如图1。

由于电力企业的信息网络系统具有网络规模庞大，客户机及服务器数量众多，网络维护人员相对较少的特点，因此需要一套全方位、多层次、集中管理、分级维护和经济高效的病毒防护体系（如图2）。

图1 供电系统

图2 多层次病毒防护体系示意图

电力企业病毒防护系统应当考虑的几个问题

电力企业信息网络地域覆盖面广（跨越若干县、市，方圆数百平方公里），为了最大限度地防范病毒危害，在建立企业网防病毒体系时，必须针对电力企业内部网的网络构造和应用环境的实际情况，从桌面客户端、服务器、群件及网关上进行全方位、多层次的整体病毒防护。并实现整个网络防病毒策略的集中统一管理和各个网段防病毒维护工作的分级管理。

所使用的杀毒软件必须适应企业管理的需要，必须能够实现企业病毒防护策略的集中管理和分级式维护的需要。

必须对整个网络实行全方位、多层次的病毒防护，对所有可能存在的病毒的侵入点进行防护，也就是说应该在网络的每一个层次都要进行有效的病毒防护。

必须在主要服务器上实现防毒软件的远程安装，以方便企业内部的工作人员更加方便直接的完成杀毒程序的安装管理，减轻网络管理人员的工作压力。

由于现在电子邮件已成为企业应用最多的工具，因此杀毒软件必须具备最先进的邮件监控功能。当遇到感染性很强的邮件病毒时，要能够快速有效地将病毒清除，防止邮件病毒对企业造成更大的危害。

病毒定义码以及扫描病毒引擎的更新必须快速方便。

防病毒系统必须提供详细的日志，并能够分析统计病毒攻击事件的次数、原因以及来源。

多层次、分级式病毒防护体系的设计原理

针对电力企业信息网络环境的实际情况，为了保障企业信息安全和保证网络安全稳定运行，必须建立基于网络的多层次的病毒防护系统。从网络系统的各组成环节来看，多层防御的网络防毒体系应该是利用先进的分布式技术，将整个防病毒体系分为五个相互关联的子系统，分别是：系统中心、服务器端、客户端、Internet网关和“移动式”管理员控制台。各个子系统协同工作，共同完成对整个网络的病毒防护工作，能够最大限度地完成对病毒的全面防护和查杀，如图3所示。

图3 病毒防护体系集中管理、分级维护示意图

系统中心

系统中心是整个防病毒体系的信息管理和病毒防护的自动控制核心，它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息，同时根据管理员控制台的设置，实现对整个防护系统的自动控制。通过系统中心可以实现整个信息网络防病毒策略的强制实施，以及通过其与Internet的实时连接获得防病毒工具的最新病毒定义代码，确保以最快的响应速度完成整个信息网络病毒防护系统自动升级。

服务器端

在各个网段设置病毒服务器，病毒服务器主要负责实时与系统中心通信，获得最新的病毒定义更新代码和最新的系统病毒防护策略。在系统中心授权后，通过服务器端可以根据本网段的实际情况定制本网段有效的病毒防护策略和定时完成在本网段的全线病毒查杀工作。系统中心通过服务器端获得各个网段的病毒监控、检测和清除信息。服务器端根据实际情况可以建立一级防病毒服务器、二级防病毒服务器等多个级别的服务器端，以便实现防病毒系统的分级管理和划地区维护。

客户端

客户端是分别针对网络应用服务器和网络工作站（客户机）设计的，承担着对当前应用服务器和工作站上病毒的实时监控、检测和清除，自动向其所属的病毒服务器报告病毒监测情况，以及自动通过病毒服务器进行升级的任务。客户端没有权利更改系统中心和所属的病毒服务器端强制布置的病毒防护策略。

Internet网关

目前企业普遍采用的病毒防护是软件防护，即在网络接入邮件服务器、文件服务器或者工作站上进行防毒。这类软件防护因为架构在操作系统之上，所以受到了服务器的系统资源、操作系统稳定和有否漏洞的影响。因此在基于软件防毒的基础上,在电力企业信息网的Internet接口和广域网接口处应当配置网关级的硬件防毒墙，将网络病毒挡在“门”外，解决了软件防毒的“瓶颈”，以实现病毒防护的软硬兼施。

“移动式”管理员控制台

管理员控制台是整个防病毒系统设置、管理和控制的操作平台，它集中管理网络上所有已安装过防毒软件的计算机，同时实现对系统中心和防病毒服务器的管理，它可以安装到任何一台安装了防毒软件的计算机上，实现“移动式”管理。管理员控制台能够直接显示每一个服务器端/客户端计算机的实时监控状态 、病毒定义代码更新版本、查杀毒状态，这样管理员对于任何安装了防毒软件的计算机防毒状态都一目了然，随时对各个的防病毒情况进行监控。管理员还能够随时启动（关闭）单个（多个）服务器端（客户端计算机）上的实时监控，确保整个网络上的每台计算机都处于最佳的防护状态，同时也能保证全网随时处于高效运行之中，充分的实现了对全网的客户端和服务器的24小时不间断的查杀毒准备。

图4 病毒代码分流分级更新示意图

根据电力企业信息网络覆盖面积广、局客户端多，管理程序复杂的状况，电力企业病毒防护系统还应当有一个合理、有效的分级维护管理模式。有利于电力企业的统一、高效的管理。它将病毒防护的管理权限分为多个级别，在企业内部设立超级管理员和普通管理员进行分级管理。超级管理员可以创建若干普通管理员，并可任意挑选出若干客户端分派给普通管理员。而普通管理员同样也可以对自己管理的客户端进行进一步的分组，并对任意分组进行管理。在这种分级管理模式下，超级管理员和普通管理员的权限设计和职能分工是非常明确的。超级管理员具有添加删除普通管理员账号、分配计算机给普通管理员管理、对全网的计算机进行查杀毒等全面的管理职能；而普通管理员则对其网段的计算机进行分组、查杀毒等方面的管理。这种分级管理的模式使信息安全管理员的工作变得更加明确和轻松。分级管理模式充分考虑到了电力企业复杂的信息网络设置，从根本上解决了电力企业网络管理难度大，操作困难这一难题，实现了对网络信息安全高效、简易的管理要求。

电力企业多层次、分级式病毒防护体系的主要布置策略具体表现在:

病毒定义代码的更新策略

如图4所示，系统中心可以和防病毒一级服务器安装在同一台服务器上，并与Internet实时相连，每天以固定时间从互联网上下载并更新最新的病毒定义代码库；二级服务器追随一级服务器下载并更新病毒定义代码库；客户端在每天的固定时间会从其所属的防病毒服务器中下载并更新病毒定义代码库，以实现网络防病毒系统的实时更新。病毒定义代码超过30天不更新就会向所属的服务器和管理员报警。

病毒服务器的实时防护策略

病毒服务器的实时防护策略是启动实时病毒防护功能，实时监控网络、软驱和光驱有无病毒入侵，若发现病毒，第一操作清除病毒，第二操作隔离未清除的病毒，所有的操作都记录到日志。

客户端的实时防护策略

强制启动实时病毒防护功能，实时监控网络、软驱和光驱有无病毒入侵，如果发现病毒，第一操作是清除病毒，第二操作是隔离未清除的病毒，所有的操作都记录并传送到所属的防病毒服务器端。客户端卸载防病毒软件需要密码。客户端不能停止病毒实时防护功能和操作规则。

客户端的安装策略

客户端可以通过网络或光盘安装病毒防护软件，但必须接受所在子网的防病毒服务器的管理。

电力企业多层次、分级式病毒防护体系具有以下4个主要特点：

1.层次性

在用户桌面、服务器、Internet网关安装适当的防毒部件和硬件病毒防火墙，应当以网为本、多层次地最大限度地发挥病毒防护作用。

2.集中性

整个信息网络的病毒防护策略是相互配合和统一制定管理的，支持远程集中式配置和管理。

3.自动化

整个防病毒系统能自动更新病毒特征码数据库和其它相关信息。配置好后，无需人工干涉。

4.高效性

病毒定义更新的优点在于采用分流分级管理，更新速度快，占用网络资源少，维护工作简单明了，应用和运行效率高。

5.智能化

系统能够通过详细的日志按照预定的要求分析统计出当前网络中的病毒源及其他病毒活动情况，使网络管理员直接了解到网络中的病毒活动状况。针对一些突发问题做出快速响应。

结论

正如以上本文所论述，电力企业的信息网络系统网络规模庞大，客户机及服务器数量众多，电力企业防毒体系的建立不能单纯地依靠几种防毒产品的堆积，它的重点在于要针对企业现有的网络环境，对网络中所有可能存在的病毒侵入点进行详细的分析，由一个或几个系统管理中心集中对企业网络进行病毒查杀，从而实现企业全网的多层次、智能化、高效性和统一性的安全管理与分级维护。

为确保网络信息的安全，企业还必须制定完善的管理制度以配合多层次、分级式病毒防护系统的有效运行。如配备相应的维护人员负责整个网络病毒防护系统的日常管理及维护；制定相应的网络病毒防护的管理制度；强制实施统一的防病毒策略等。确保网络病毒防护系统真正的为电力企业的发展保驾护航。