廣東電網(wǎng)有限責任公司茂名供電局 傅鈺津

基于應用虛擬化的U盤殺毒技術(shù)在變電站監(jiān)控系統(tǒng)中的應用

廣東電網(wǎng)有限責任公司茂名供電局 傅鈺津

本文介紹了一種可應用于變電站監(jiān)控系統(tǒng)的基于應用虛擬化的U盤殺毒技術(shù)。介紹該應用產(chǎn)生的背景，列舉了現(xiàn)行的變電站后臺監(jiān)控系統(tǒng)病毒查殺維護工作中存在的三大難題；闡述了解決這三大難題的思路，巧妙地將應用虛擬化、U盤殺毒、文件白名單等技術(shù)結(jié)合起來，制作出一套具有較高推廣價值、易于推廣的殺毒工具；通過現(xiàn)場實踐，對比應用該技術(shù)前后的殺毒效果；總結(jié)出應用該技術(shù)進行變電站后臺監(jiān)控系統(tǒng)病毒查殺維護工作的流程要點。通過使用該技術(shù)，能正確、便捷地對變電站后臺監(jiān)控系統(tǒng)進行病毒查殺，而不會對監(jiān)控系統(tǒng)產(chǎn)生不利影響，有效地保障了變電站監(jiān)控系統(tǒng)的安全可靠運行。

應用虛擬化；殺毒；文件白名單；變電站；后臺監(jiān)控；Windows系統(tǒng)

引言

當前主流的變電站后臺監(jiān)控絕大多數(shù)運行在獨立組網(wǎng)的Windows系統(tǒng)上，在運行中由于U盤的使用容易受病毒入侵，輕則影響后臺監(jiān)控系統(tǒng)性能，重則導致后臺監(jiān)控癱瘓。而現(xiàn)行的變電站后臺監(jiān)控系統(tǒng)病毒查殺維護工作中普遍存在三大難題：一是后臺監(jiān)控電腦上不能直接安裝殺毒軟件，否則會與后臺監(jiān)控系統(tǒng)軟件產(chǎn)生沖突[1]，導致后者出現(xiàn)不可知的異常；二是變電站監(jiān)控系統(tǒng)不允許聯(lián)網(wǎng)，無法在線升級病毒庫，無法對新型病毒進行查殺；三是殺毒軟件容易誤殺后臺監(jiān)控系統(tǒng)的正常文件，特別是一些私有程序，嚴重影響后臺監(jiān)控系統(tǒng)的正常運行。

本文提出的基于應用虛擬化的U盤殺毒技術(shù)將能有效解決上述難題，確保變電站后臺監(jiān)控系統(tǒng)免受病毒侵擾[2]。

1.技術(shù)簡介

應用虛擬化技術(shù)是指使用虛擬化重定向技術(shù)[2]將軟件的讀寫操作指向到一塊虛擬區(qū)域，從而將軟件數(shù)據(jù)與系統(tǒng)隔離開來，避免某些軟件之間產(chǎn)生沖突而影響正常運行。

（1）傳統(tǒng)軟件安裝時，以軟件A為例，在注冊表系統(tǒng)中有軟件A的注冊表項集合，在文件系統(tǒng)中也有軟件A文件集合。軟件A可對注冊表系統(tǒng)和文件系統(tǒng)的任何位置訪問，所有寫的操作的結(jié)果都會留在原始的物理位置上[3]，容易與其他軟件或系統(tǒng)進程發(fā)生沖突。如圖1所示。

（2）使用應用虛擬化技術(shù)后，軟件A原本寫到注冊表系統(tǒng)的注冊表項和寫到文件系統(tǒng)的的文件被分離出來，存儲在軟件A的注冊表緩存和文件緩存中[4,5]，這些緩存數(shù)據(jù)存儲在一個獨有的存儲空間。

當軟件A被激活時，這個獨有的存儲空間會將軟件A的注冊表緩存投影到真實系統(tǒng)的注冊表中，并不占用該物理位置空間；文件系統(tǒng)也是如此，會將文件緩存投影至真實的文件系統(tǒng)中，并不占物理空間。如圖2所示。

當軟件A被隱藏后，軟件A原來的注冊表和文件的投影將被取消，電腦操作系統(tǒng)也就看不到軟件A了。效果相當于軟件A在系統(tǒng)中被卸載了。

因此，從根本上避免了軟件之間產(chǎn)生沖突的可能。

圖1 傳統(tǒng)的軟件訪問方式

圖2 虛擬化后軟件訪問方式

2.解決方案

針對開篇提出的變電站后臺監(jiān)控系統(tǒng)病毒查殺維護工作時存在的三大難題，采用以下解決方案：

（1）對于后臺監(jiān)控系統(tǒng)與殺毒軟件沖突的問題，考慮將殺毒軟件應用虛擬化技術(shù)安裝在U盤上，這樣殺毒軟件的安裝和運行無需占用實際的物理位置空間，避免了與實際安裝在操作系統(tǒng)中的后臺監(jiān)控系統(tǒng)軟件發(fā)生沖突。

通過對市場上多款主流應用虛擬化軟件的功能進行分析對比，結(jié)合本應用的功能需求，選擇兼具安全性、便攜性和易操作性的免費軟件云端軟件平臺[6]作為此次U盤殺毒技術(shù)的軟件平臺，殺毒軟件則選用病毒查殺率高的360免費殺毒軟件。

（2）對于病毒庫升級的問題。由于殺毒軟件虛擬化安裝在U盤上，可方便地定期在聯(lián)網(wǎng)的PC機上運行U盤上的殺毒軟件在線升級病毒庫。

（3）對于后臺監(jiān)控系統(tǒng)的正常文件容易被殺毒軟件誤殺的問題，可采取設置殺毒軟件的文件白名單的方法防止殺毒軟件誤殺正常文件的情況發(fā)生。即后臺廠家提供的后臺監(jiān)控系統(tǒng)所有文件的全路徑添加進殺毒軟件文件白名單，使殺毒軟件不對該部分文件進行查殺。

3.工程應用

（1）基于應用虛擬化技術(shù)的U盤殺毒工具的安裝配置

首先將云端軟件平臺安裝在讀寫速度較快的U盤上，即將云端軟件平臺的安裝目錄(Cloud和CloudCache)設置在U盤上；然后在云端軟件平臺中添加360殺毒軟件；最后在360殺毒軟件中針對某種型號的后臺監(jiān)控系統(tǒng)的正常文件定制文件白名單。

這樣一方面實現(xiàn)了即插即用，只要將U盤插到變電站任何一臺后臺監(jiān)控電腦上運行云端，無需再在這臺電腦上安裝云端軟件平臺或者360殺毒軟件，都可以正常啟動原本已配置好的360殺毒軟件進行病毒查殺；另一方面使該成果便于推廣，因為可以通過簡單地將U盤中云端軟件平臺的安裝目錄(Cloud和CloudCache)拷貝到任何其它U盤中，就使得其他U盤也具備同樣的功能，而無需事先在其他U盤上也進行一次云端軟件平臺和360殺毒軟件的安裝操作。

（2）該技術(shù)已在茂名地區(qū)的220kV泥喬站、110kV大園站等多個變電站得到驗證。

表1 220kV泥喬站設置文件白名單后掃描結(jié)果對比

第一次掃描結(jié)果顯示，有一部分監(jiān)控系統(tǒng)文件被當作可疑文件，殺毒軟件將其判為Malware.QVM27.Gen木馬。經(jīng)咨詢廠家后得知，由于該類文件是屬于私人開發(fā)程序[7]，殺毒軟件無法識別，因此將其判為木馬病毒并告警。在設置文件白名單后，殺毒軟件不再出現(xiàn)此類誤判行為。

4.應用前景

從現(xiàn)場試驗的實際情況來看，變電站監(jiān)控電腦受病毒感染的情況比較嚴重，迫切需要一種便捷而高效的殺毒方法。

該項基于應用虛擬化的U盤殺毒技術(shù)，具有即插即用、易于復制推廣、針對性強、安全可靠的特點，只需要針對每一種型號的后臺監(jiān)控系統(tǒng)制作一份定制了相應文件白名單的U盤殺毒工具，就能廣泛應用于所有Windows平臺的后臺監(jiān)控系統(tǒng)日常殺毒維護工作，很好地保障了變電站后臺監(jiān)控系統(tǒng)的安全可靠穩(wěn)定運行，也極大地提高了現(xiàn)場維護人員的工作效率。

5.結(jié)語

本文介紹了一種可應用于變電站監(jiān)控系統(tǒng)的基于應用虛擬化的U盤殺毒技術(shù)，有效地解決了變電站監(jiān)控系統(tǒng)病毒查殺工作中存在的難點問題，并通過工程實際應用驗證了該項技術(shù)的可行性，對于變電站監(jiān)控系統(tǒng)的維護具有較高的現(xiàn)實意義。

[1]李宜恒．關于電力自動化系統(tǒng)網(wǎng)絡安全的幾點思考[J]． 企業(yè)技術(shù)開發(fā),2013(32):91-92．

[2]王保義．電力信息系統(tǒng)信息安全關鍵技術(shù)的研究[D]． 北京：華北電力大學,2009．

[3]英特爾開源軟件研究中心．系統(tǒng)虛擬化:原理與實現(xiàn)[M]． 北京:清華大學出版社,2009．

傅鈺津（1988-），女，工程師，本科，研究方向為電力自動化、繼保。