關(guān)于電力監(jiān)控系統(tǒng)應(yīng)用級自保護技術(shù)的探討

司曉博

（云南華電金沙江中游水電開發(fā)有限公司 梨園發(fā)電分公司，云南 麗江 674100）

0 引 言

若想使電力生產(chǎn)管控更加高效和規(guī)范，應(yīng)當(dāng)充分結(jié)合電力監(jiān)控及相關(guān)系統(tǒng)，同時確保其能夠運行在相同體系內(nèi)。當(dāng)前，我國總體用電量越來越大，相應(yīng)電站規(guī)模也將逐步擴大，一體化系統(tǒng)也會出現(xiàn)更多告警和監(jiān)控等重要信息數(shù)據(jù)，因此電力企業(yè)必須積極應(yīng)用更多保護技術(shù)，以確保電力監(jiān)控系統(tǒng)的穩(wěn)定運行。

1 常見的自保護技術(shù)

1.1 操作系統(tǒng)層面

1.1.1 訪問控制

（1）自主訪問控制（Discretionary Access Control，DAC）是指信息數(shù)據(jù)相應(yīng)主體能夠?qū)Ψ峙錂?quán)限展開自主管理，并且向其余客體分配管控權(quán)限，當(dāng)出現(xiàn)訪問的時候，對應(yīng)模型將結(jié)合訪問權(quán)限的實際狀況判斷信息主體的權(quán)限。

（2）強制訪問控制（Mandatory Access Control，MAC）是指以信息保密性和敏感性為基礎(chǔ)分類信息的客體和主體，同時以技術(shù)系統(tǒng)為基礎(chǔ)確保主體只能訪問級別相當(dāng)?shù)目腕w，向其訪問控制措施。MAC對于電力系統(tǒng)的安全操作極為關(guān)鍵，然而也能夠從整體系統(tǒng)中獨立出來，需要注意的是，若系統(tǒng)以MAC為基礎(chǔ)，用戶在訪問文件時，相應(yīng)的控制體系將判斷用戶和文件的安全標(biāo)簽，并且結(jié)合安全標(biāo)簽和相應(yīng)策略確定用戶權(quán)限[1]。

1.1.2 安全操作

通常，電力行業(yè)在安全操作層面的主要要求包括完整的數(shù)據(jù)、標(biāo)記、審計、可信的路徑與恢復(fù)、MAC、分析隱蔽信道、鑒別身份、DAC以及重用客體等，系統(tǒng)的主要特點為有效分離權(quán)限、自主的訪問與管控、嚴(yán)格審計以及安全隔離等。若系統(tǒng)符合要求，便可有效防止網(wǎng)絡(luò)受到病毒和木馬等的侵襲，避免非法侵入和攻擊，提升總體系統(tǒng)安全，但目前安全操作系統(tǒng)并不具備較長的商用時間，未完全相符各項要求，許多功能還有待提升。

1.2 硬件層面

1.2.1 安全芯片的應(yīng)用

通常在可信的計算方式下，安全芯片屬于一種可信基，其自身的儲存空間與CPU具有獨立性特征，能夠有效保存保密數(shù)據(jù)與特征值，并且結(jié)合相應(yīng)的計算和加密等技術(shù)形成對應(yīng)的密鑰，從而實現(xiàn)加密認(rèn)證。在安全芯片的應(yīng)用過程中，一般都是利用獨立的芯片實現(xiàn)身份認(rèn)證、儲存密鑰以及加密解密計算等全程運行，從而為系統(tǒng)內(nèi)部的敏感信息數(shù)據(jù)提供安全保障，使分配權(quán)限和鑒別身份等工作更為可靠。

1.2.2 自安全儲存設(shè)施的應(yīng)用

此類設(shè)施的應(yīng)用能夠抵擋惡意攻擊者向儲存介質(zhì)內(nèi)提供敏感信息數(shù)據(jù)的行為。通常操作系統(tǒng)會及時管控儲存器，但是若操作系統(tǒng)自身鑒別身份的各項信息數(shù)據(jù)被泄露出去，便會導(dǎo)致有關(guān)資源和儲存設(shè)施失去安全性。而自安全儲存設(shè)施能夠有效識別相應(yīng)不安全的各類主體，從操作系統(tǒng)中獨立出來，隨即形成專屬管控訪問的體系[2]。

1.3 應(yīng)用系統(tǒng)層面

1.3.1 沙箱技術(shù)

在當(dāng)今的電力監(jiān)控體系里，沙箱技術(shù)可以有效識別需訪問的信息數(shù)據(jù)，避免重要數(shù)據(jù)被誤殺。通常情況下，若系統(tǒng)中代碼存在可疑的動作，沙箱技術(shù)不會在第一時間干預(yù)這些動作，而會使代碼處于運行狀態(tài)，對其進行監(jiān)控，并采取有關(guān)預(yù)防措施，若隨后代碼出現(xiàn)了惡意行為，那么便會馬上終止其工作，同時保存其運行的各項數(shù)據(jù)。

1.3.2 防惡意代碼

防惡意代碼軟件有較多類型，各類軟件特點都有所不同，當(dāng)前最為常見的軟件保護形式主要有以下兩種。一種是通過對比原惡意代碼和新識別代碼相應(yīng)數(shù)據(jù)庫，判別代碼是否存在惡意風(fēng)險，另一種是結(jié)合訪問代碼日常行為展開深入分析。如果不能在第一時間更新數(shù)據(jù)庫，那么將很難識別最新的惡意代碼，這就會加大代碼識別和匹配的難度。此外，電力監(jiān)控系統(tǒng)自身環(huán)境將會影響惡意代碼數(shù)據(jù)庫的日常更新和升級。

1.3.3 監(jiān)測管控功能

系統(tǒng)監(jiān)測人員能夠不受限制地遠程管控電力通信網(wǎng)內(nèi)部各類設(shè)施。當(dāng)監(jiān)測人員暫時離開監(jiān)測點，個別不法分子偷竊數(shù)據(jù)信息時，系統(tǒng)會自動發(fā)出報警信號，監(jiān)測人員便可及時收到此信號，同時經(jīng)由遠程管控確保系統(tǒng)能夠順利工作，并且及時記錄不法分子的盜竊行徑。此外，通信網(wǎng)存在問題時，相應(yīng)的監(jiān)測系統(tǒng)也會報警，這樣監(jiān)測人員便能夠在第一時間展開相應(yīng)的處理工作。監(jiān)測管控功能若能被完全發(fā)揮出來，便能很大程度確保通信網(wǎng)的安全穩(wěn)定運行，因此需要逐步改善和健全監(jiān)測系統(tǒng)。

2 監(jiān)測系統(tǒng)主要硬件結(jié)構(gòu)

對于監(jiān)測系統(tǒng)來說，其關(guān)鍵的組成部分包含了中心站和外圍站，主要硬件結(jié)構(gòu)中包含了外部設(shè)施、監(jiān)控工作站、大數(shù)據(jù)庫對應(yīng)服務(wù)系統(tǒng)以及數(shù)據(jù)信息收集設(shè)備。在電力監(jiān)控系統(tǒng)中，其通信中心的日常工作是采集數(shù)據(jù)，并將其有關(guān)的信息數(shù)據(jù)上傳至對應(yīng)中心站，隨后安排中心電站分類處理信息數(shù)據(jù)，另外還有設(shè)備報警功能。中心機房提供大數(shù)據(jù)庫相關(guān)服務(wù)，其核心任務(wù)是儲存系統(tǒng)信息數(shù)據(jù)。數(shù)據(jù)庫相應(yīng)服務(wù)器在日常工作時會利用文件和數(shù)據(jù)的各自服務(wù)器功能組建動態(tài)數(shù)據(jù)庫，在第一時間儲存和處理相應(yīng)數(shù)據(jù)，另外也可借助雙機共享模式儲存異地數(shù)據(jù)資料[3]。

3 當(dāng)前電力企業(yè)監(jiān)管系統(tǒng)發(fā)展?fàn)顩r

一般電站日常工作的實際狀況包括常規(guī)人數(shù)值班、人數(shù)較少的值班以及無人值守，電力系統(tǒng)的管理制度包括規(guī)范化體制、標(biāo)準(zhǔn)化體制以及自動化機制，這些制度和機制的完善，可以在一定程度上緩解工作人員的工作壓力，并且提升數(shù)據(jù)信息精準(zhǔn)度，繼而推動電力企業(yè)的健康和有序發(fā)展。因此，有關(guān)工作人員必須主動引用國內(nèi)外成功的監(jiān)管方式、系統(tǒng)以及技術(shù)，借鑒其成功經(jīng)驗，使電力企業(yè)的管理模式更加先進、規(guī)范、標(biāo)準(zhǔn)以及精細化。同時，工作人員需要結(jié)合我國電力系統(tǒng)總體發(fā)展方向，進一步研討電力系統(tǒng)發(fā)展的優(yōu)勢和劣勢，提升電力監(jiān)測系統(tǒng)的整體質(zhì)量，早日實現(xiàn)智能化運行。

4 應(yīng)用級自保護技術(shù)的運用方法

從本質(zhì)上來看，以安全操作系統(tǒng)和硬件設(shè)施為基礎(chǔ)的自保護技術(shù)通常只能依靠系統(tǒng)和硬件的全面支持，然而如今系統(tǒng)和硬件市場缺少可靠性較高的知名產(chǎn)品與廠商，以往產(chǎn)品不具備自保護作用，新產(chǎn)品也尚不完善，因此無法有效滿足電力系統(tǒng)可靠性和安全穩(wěn)定性等需求。

以應(yīng)用系統(tǒng)為基礎(chǔ)的自保護技術(shù)已經(jīng)出現(xiàn)了成熟的病毒預(yù)防類產(chǎn)品，但其存在不能有效支持監(jiān)控系統(tǒng)自身的獨特性要求和無法有效支持Unix系統(tǒng)的問題，因此不能對系統(tǒng)相應(yīng)數(shù)據(jù)和進程等展開精準(zhǔn)的定位，繼而會引發(fā)漏防和誤殺等問題。此外，前文提及的沙箱技術(shù)還無法得到廣泛應(yīng)用，這主要是因為其適應(yīng)環(huán)境一般為Java虛擬機和各類瀏覽器等，但是現(xiàn)今我國電力監(jiān)控系統(tǒng)基本沒有這種運行環(huán)境。

4.1 構(gòu)建模型

自保護技術(shù)系統(tǒng)中的重要模塊主要包括后臺監(jiān)控模塊和定時報警模塊。

4.1.1 后臺監(jiān)控模塊

設(shè)置定時監(jiān)控的后臺監(jiān)控模塊，定時激活后臺監(jiān)控相應(yīng)功能，防止系統(tǒng)被破壞，不僅可以監(jiān)控系統(tǒng)總體在內(nèi)存和寬帶中的占比，而且可以動態(tài)監(jiān)控處理器的相應(yīng)資源，當(dāng)系統(tǒng)出現(xiàn)異常時可執(zhí)行應(yīng)對方案，此外可以實時監(jiān)控系統(tǒng)中的各項指標(biāo)、重要信息以及關(guān)鍵數(shù)據(jù)等。

4.1.2 定時告警模塊

定時報警功能模塊可以借助以操作系統(tǒng)為基礎(chǔ)的相應(yīng)報警程序接口發(fā)揮作用，結(jié)合所設(shè)定的具體時間啟動相應(yīng)監(jiān)控功能。設(shè)置定時告警模塊的主要目的在于對所監(jiān)控的各項內(nèi)容進行及時預(yù)警通告，并根據(jù)監(jiān)控情況合理配置后臺函數(shù)，為技術(shù)人員提供參考。

后臺監(jiān)控和定時報警這兩大模塊可以互相調(diào)用，降低外界影響，保證電力監(jiān)控系統(tǒng)應(yīng)用級自保護技術(shù)可以順利工作，繼而有效解決以往監(jiān)控模式內(nèi)進程受損的問題。此外，基于電力監(jiān)控系統(tǒng)報警體系的應(yīng)用系統(tǒng)自保護模型通?？梢宰鳛閱为氝\行的系統(tǒng)。

4.2 應(yīng)用實例

由于不同模型間程序接口存在較大不同，因此應(yīng)用系統(tǒng)自保護技術(shù)模型中相應(yīng)的構(gòu)建模式也有差異。如今，基于Java虛擬機的程序接口運作技術(shù)是最為常見的模型構(gòu)建方式，有關(guān)人員在實現(xiàn)自保護技術(shù)應(yīng)用模型的過程中，后臺監(jiān)控和定時報警模塊主要的實現(xiàn)位置在Monitor And Control系統(tǒng)與Timer Service系統(tǒng)中。以上述模式構(gòu)建的模型若能得到有效應(yīng)用，不僅可保證后臺監(jiān)控模塊能夠長期穩(wěn)定工作，還可以有效避免監(jiān)控階段受外界影響而發(fā)生的中斷問題。此外，根據(jù)業(yè)務(wù)具體要求來監(jiān)控后臺監(jiān)控模塊相應(yīng)性能，同時對有關(guān)函數(shù)展開安全處理與監(jiān)控時能夠強化系統(tǒng)的自保護能力[4]。

5 結(jié) 論

總體而言，自保護技術(shù)水平將對電力監(jiān)控系統(tǒng)自身穩(wěn)定性和安全性產(chǎn)生了極大影響。構(gòu)建基于告警系統(tǒng)的應(yīng)用層面自保護技術(shù)模型，當(dāng)自保護的相關(guān)成效能達到一定水平時，能夠為電力監(jiān)控系統(tǒng)的穩(wěn)定運行提供可靠的借鑒經(jīng)驗，因此需對其展開深入研究。