引言

随着信息化建设的不断深入，供电企业已广泛利用视频监控、油色谱在线监测系统、电压监测系统等物联网应用，这些应用为供电企业管理逐步向自动化、综合化、集中化、智能化方向发展提供有力的技术保障。大大提升企业服务质量及经济效益。虚拟化技术的应用，帮助供电企业实现了IT资源使用及管理的集约化，有效节省了业务系统的资源投入成本和管理维护成本。但物联网和虚拟化技术的广泛应用，也给供电企业的网络安全防护及运维管理带来新的风险及挑战。

1.供电企业物联网和虚拟化技术应用架构

物联网（TheInternetofThings)是指通过信息传感设备，按约定的协议，将任何物品与网络相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网应用中有两项关键技术，分别是传感器技术和嵌入式技术。物联网架构可分为三层，分别是感知层、网络层和应用层。供电企业物联网应用感知层主要由智能终端组成。网络层主要采用光纤专网作为远程通信网络技术，无线公网、无线专网等作为补充的通信方式，应用服务层即物联网系统的应用或控制中心，实现对现场数据的集中存储、分析和处理，并进行智能化的决策、控制和服务。虚拟化是一种资源管理技术，计算机虚拟化架构通常由宿主机、虚拟化层软件和虚拟机三部分构成。供电企业利用计算机虚拟化技术主要是服务器和桌面虚拟化，即在一台物理主机内安装一个虚拟化软件，从而实现服务器虚拟化层的部署，再在虚拟化层上安装虚拟机，让一台服务器变成十几台甚至上百台相互隔离的虚拟服务器或计算机终端。

2.供电企业物联网和虚拟化技术应用网络安全风险

2.1供电企业物联网应用主要风险

物联网架构简单但组成复杂，包含各种应用和各类设备，不仅面临传统管理信息系统和网络模式的安全问题，还存在传感器设备、智能终端等带来的新的安全问题。感知层面临的主要风险：（1）智能终端或设备被物理操控，实施破坏、软硬件更换等操作。（2）智能设备或终端被远程植入控制程序，实现非法控制智能设备或终端并发动网络攻击。如2016年10月黑客控制了大量美国的网络摄像头和DVR录像机，然后操纵这些摄像头攻击了包括Twitter、Paypal、Spotify在内多个知名网站，超过半数人无法上网，造成大规模断网。（3）短距离无线通信被恶意利用，利用无线信道的开放特性，攻击者通过监听、伪造、重放等技术手段，在无线网络上非法接入设备、阻塞信道、破坏路由和发送虚假信息等。（4）篡改或伪造的业务指令使设备误动。对于未采用消息源认证和消息完整性鉴别机制的物联网系统，智能设备和终端将无法判定业务指令是否被伪造或已被恶意篡改，攻击者可使用精心编制的指令非法控制现场的智能设备或终端，造成配置更改或设备误动等。网络层风险：供电企业物联网应用采用了移动互联网、有线网、Wi-Fi、WiMAX等多种网络接入技术，出现了不同网络间通信时安全认证、访问控制等安全风险。同时主要数据传输主要依赖于传统网络技术，网络层典型的攻击风险有邻居发现协议攻击、虫洞攻击、黑洞攻击等。应用服务层风险：物联网应用层主要是指建立在物联网服务与支撑数据上的各种应用平台，如云计算、分布式系统、海量信息处理等，典型的安全风险包括操作系统、应用平台、应用软件漏洞被利用，主机遭受病毒攻击、拒接服务流攻击。

2.2供电企业虚拟化技术应用主要风险

（1）破坏了正常的网络架构。虚拟机连接到同一个虚拟交换机上，通过虚拟交换机就把所有的虚拟的服务器同外部网络联系了起来。一方面造成了传统网络边界设置防火墙功能失去了防护作用，另一方面给所有的虚拟服务器增加了安全风险。当一个虚拟服务器遭受到攻击或出现状况时，其它的虚拟服务器也会受到影响。（2）虚拟机补丁更新带来的安全风险。每个虚拟机就是一台服务器，都需要安装补丁，工作量太大。如果利用补丁服务器推送将占用大量网络带宽，影响虚拟化运行稳定性，同时用于虚拟机的灾难恢复的镜像没有及时安装新的补丁，从而会给灾难恢复的虚拟机带来运行的安全风险。（3）如虚拟化平台每台虚拟机按传统部署防病毒软件，当多台虚拟机同时开启病毒查杀或病毒库升级时，会因物理主机的相关资源消耗过大影响虚拟机服务或造成虚拟机宕机。（4）同一物理主机上不同虚拟机之间的互相攻击和互相入侵的安全风险。

3.解决物联网和虚拟化技术应用网络安全风险的相应对策

3.1物联网应用网络安全风险对策

感知层安全防护。非智能设备主要是采用防窃、防破坏、用DOI:10.19353/j.cnki.dzsj.2018.18.112电安全等措施；智能终端设备除防窃、防破坏、用电安全物理保护装置外，还应配备安全模块保障原始数据不被篡改，修改终端配置默认密码，密码长度不小于8位，复杂性要求为大小写字母+数字+特殊字符的组合，及时修复程序漏洞。网络层安全防护。感知设备利用短距离无线通信网络传输数据，需要采用标准的802.11i或者WAPI安全机制，并采用隐藏接入点SSID、绑定IP/MAC地址等技术措施，防止DoS等攻击；采用无线公网传输业务数据时，应采用VPN或APN服务，采用端到端的安全密码算法，保障无线公网上传输数据的机密性、完整性；利用内部网络传输数据时，进行网络安全接入认证、边界访问控制、信息内容过滤等措施，实现边界安全控制。应用层安全防护：限制可登录终端的网络地址范围，对登录服务器的用户进行身份鉴别并控制用户对资源的访问。对用户登录/登出、连接超时、配置变更、时间变更等重要事件进行审计。及时修复服务器操作系统、中间件平台、数据库平台、应用程序漏洞。定期检测计算机病毒，并进行隔离或清除。制定切合实际的数据备份策略，采用灾难恢复技术及相适应的存储介质进行备份。

3.2虚拟化技术风险对策

虚拟化技术破坏了网络架构导致传统防火墙对虚拟机安全防护失效，必须构建虚拟化安全平台，该平台应具有防恶意软件、IDS/IPS、防火墙、Web应用程序防护和应用程序控制防护，数据完整性监控等安全功能，平台防火墙应能无需修改虚拟交换机配置即可实现虚拟机隔离，防止虚拟机之间的相互攻击，通过实施有关IP地址、Mac地址、端口及其他内容的防火墙规则过滤通信流，支持检测端口扫描等活动，还可限制非IP通信流，如ARP通信流，可以对虚拟机进行安全策略绑定，无论虚拟机漂移至虚拟化资源池中的任何宿主机均可提供全时的坚实防护。部署自动化补丁管理工具，制定出详细的更新补丁的计划表，从而能够有计划、有步骤的对各个虚拟机进行补丁更新，避免出现遗漏。虚拟机管理员经常检查关闭的虚拟机的补丁状态，同时定期更新虚拟机模板，保障用来创建新虚拟机的镜像模板内安装的软件版本是近期的。（3）选择专为虚拟环境所打造的防病毒系统，该系统只在每台宿主物理服务器上安装一次，即可实现病毒安全防护，能实现自动继承的保护，虚拟镜像可即装即防，裸机也能立即保护。已经在虚拟化环境采用了传统的防病毒病毒和恶意代码软件虚拟机，则应该细化虚拟机的病毒防护策略，对虚拟机实行分时升级和病毒扫描策略，避免所有虚拟机同时升级和扫描形成“病毒风暴”而导致系统服务异常，同时虚拟机管理员还应定期开启关闭的虚拟机进行病毒库升级和扫描。

结束语

综上所述，物联网和虚拟化的发展是大势所趋，但在他们深入应用的同时带来了相应的网络安全问题，不解决好物联网和虚拟化的安全问题就不能正常运作物联网和虚拟化应用，还可能造成重大安全事件，因此解决物联网的安全风险迫在眉睫。对物联网和虚拟化应用网络安全风险一定要做到管理和技术并重，要加强各种手段预防物联网和虚拟化应用网络安全风险.