電力監(jiān)控系統(tǒng)遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)分析

伍曉泉

（廣東電網(wǎng)有限責(zé)任公司 電力科學(xué)研究院，廣東 廣州 510080）

電力監(jiān)控系統(tǒng)遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)分析

伍曉泉

（廣東電網(wǎng)有限責(zé)任公司 電力科學(xué)研究院，廣東 廣州 510080）

遠(yuǎn)程運(yùn)維管控是電力監(jiān)控系統(tǒng)運(yùn)維中的必要措施，文章介紹了電力監(jiān)控系統(tǒng)遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)的功能需求、架構(gòu)設(shè)計(jì)和基于代理的審計(jì)實(shí)現(xiàn)原理。遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)的建立，可大大地提高電力監(jiān)控系統(tǒng)運(yùn)維水平，對運(yùn)維人員的行為也能進(jìn)行有效管控。

電力監(jiān)控系統(tǒng)；遠(yuǎn)程運(yùn)維；審計(jì)平臺(tái)；透明代理

1 電力監(jiān)控研究背景

電力監(jiān)控系統(tǒng)，是監(jiān)視和控制整個(gè)電力生產(chǎn)過程的自動(dòng)化系統(tǒng)以及支撐其運(yùn)行的通信和數(shù)據(jù)網(wǎng)絡(luò)等。它包含調(diào)度自動(dòng)化系統(tǒng)、變電站視頻及環(huán)境監(jiān)控系統(tǒng)等。由于電力監(jiān)控系統(tǒng)的安全直接關(guān)乎電網(wǎng)的安全穩(wěn)定運(yùn)行，因此對電力監(jiān)控系統(tǒng)進(jìn)行安全防護(hù)是電力監(jiān)控系統(tǒng)運(yùn)維中的至關(guān)重要的內(nèi)容。根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》及能源局《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》的要求，需定期對電力監(jiān)控系統(tǒng)進(jìn)行安全測評，及時(shí)發(fā)現(xiàn)系統(tǒng)中的安全漏洞，防止電力系統(tǒng)遭受惡意攻擊。其工作內(nèi)容包括對組成系統(tǒng)的各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器以及應(yīng)用系統(tǒng)進(jìn)行安全測評，并根據(jù)測評結(jié)果對其進(jìn)行安全加固[1]。

電力監(jiān)控系統(tǒng)分布于供電局機(jī)房以及變電站中，在多年深入現(xiàn)場開展實(shí)地測評工作的過程中發(fā)現(xiàn)，現(xiàn)場測試這種工作方式存在一定的問題。一是測評效率無法滿足測評需求；二是測試人員直接對設(shè)備進(jìn)行操作，存在風(fēng)險(xiǎn)。現(xiàn)場測試過程中，涉及一些敏感操作，如：需查看設(shè)備密碼策略、安全策略等關(guān)鍵信息，有時(shí)需獲取設(shè)備的最高權(quán)限。在測試過程中，由于測試人員直接對設(shè)備進(jìn)行操作，無監(jiān)控措施，因此存在測試人員由于惡意操作或操作不當(dāng)引起設(shè)備異常的風(fēng)險(xiǎn)。因此需要對運(yùn)維人員的行為采取安全審計(jì)等管控措施。

2 電力監(jiān)控系統(tǒng)遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)功能需求

隨著通信技術(shù)日新月異的發(fā)展，無線通信因其靈活性、經(jīng)濟(jì)性而逐漸進(jìn)入工業(yè)控制網(wǎng)絡(luò)。無線網(wǎng)絡(luò)能夠有效改善和解決在惡劣工廠環(huán)境下出現(xiàn)的布線困難、網(wǎng)絡(luò)維護(hù)成本高等問題[2]。為克服目前現(xiàn)場測試中的由于路途奔波、直接操作設(shè)備而影響測評工作效率和質(zhì)量的問題，文章開發(fā)了一套基于TD-LTE無線網(wǎng)絡(luò)的電力監(jiān)控系統(tǒng)遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)，實(shí)現(xiàn)對電力監(jiān)控系統(tǒng)遠(yuǎn)程測試，同時(shí)在系統(tǒng)中增加權(quán)限管理、運(yùn)維審計(jì)等功能，其基本功能如下：

2.1 用戶賬號管理

對人員的帳號統(tǒng)一管理維護(hù)，定期審計(jì)，同時(shí)解決帳號的共享和鎖定問題。支持管理人員、運(yùn)維操作人員、審計(jì)人員3類角色。對管理員帳號、普通帳號定期進(jìn)行審查。用戶登錄失敗超過限定次數(shù)，應(yīng)對帳號進(jìn)行鎖定。生成的密碼應(yīng)符合密碼規(guī)則策略（密碼長度、有效期、復(fù)雜度）。

遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)是用戶登錄各類服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的唯一入口，在一次登錄后，能夠無需認(rèn)證的訪問所連接并已授權(quán)的各類服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。各類服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的賬號密碼對用戶不可見。

2.2 設(shè)備管理功能

對用戶的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器以及運(yùn)行在服務(wù)器上的UNIX操作系統(tǒng)、Oracle數(shù)據(jù)庫等進(jìn)行集中的管理。管理的內(nèi)容包括設(shè)備名、設(shè)備所屬的部門、設(shè)備的物理位置、主機(jī)名、主機(jī)IP 地址、遠(yuǎn)程登錄協(xié)議以及協(xié)議的端口號等。遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)通過密碼代填的方式遠(yuǎn)程登錄到設(shè)備，避免了用戶對大量賬號和密碼的管理工作，增加了遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)的便捷性。

2.3 訪問控制及權(quán)限管理功能

支持雙因素認(rèn)證功能，用戶通過雙因子認(rèn)證登錄堡壘機(jī)。通過支持RBAC基于角色訪問控制的權(quán)限管理功能，建立用戶賬號與用戶資源的對應(yīng)關(guān)系，不同用戶使用不同的資源賬號訪問資源。同時(shí)，根據(jù)不同的用戶賬號建立對資源操作的白名單，以控制用戶對資源的操作權(quán)限，防止用戶越權(quán)對資源進(jìn)行操作所帶來的風(fēng)險(xiǎn)。

記錄用戶對資源的整個(gè)操作過程，其內(nèi)容包括：（1）字符操作安全審計(jì)記錄的存儲(chǔ)和回放；（2）圖形操作安全審計(jì)記錄存儲(chǔ)和回放；（3）數(shù)據(jù)庫操作安全審計(jì)記錄存儲(chǔ)和回放。同時(shí)應(yīng)提供對所記錄內(nèi)容的搜索、統(tǒng)計(jì)功能，并應(yīng)提供審計(jì)日志的導(dǎo)出功能，能夠?qū)徲?jì)日志以標(biāo)準(zhǔn)格式導(dǎo)出。

2.4 數(shù)據(jù)管理功能

支持自動(dòng)化腳本自動(dòng)推送等自動(dòng)化運(yùn)維功能，持系統(tǒng)配置備份和還原功能，系統(tǒng)能夠?qū)ψ陨磉\(yùn)行情況進(jìn)行檢查，記錄系統(tǒng)當(dāng)前的內(nèi)存使用情況，包括物理內(nèi)存及虛擬內(nèi)存、已用空間、剩余空間等；記錄系統(tǒng)當(dāng)前的硬盤文件系統(tǒng)使用情況，包括掛載路徑、已用空間、剩余空間等。

3 電力監(jiān)控系統(tǒng)遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)系統(tǒng)架構(gòu)

系統(tǒng)在物理裝置上采用“主站-終端”的兩級體系架構(gòu)，終端設(shè)備部署在測評現(xiàn)場，接入被測系統(tǒng)所在網(wǎng)絡(luò)，用于執(zhí)行主站傳來的命令，并將命令直接結(jié)果返回主站。主站面向測評人員，用于管理功能的實(shí)現(xiàn)及測評指令的發(fā)送等。主站與終端之間通過TD-LTE無線網(wǎng)絡(luò)進(jìn)行通信。系統(tǒng)架構(gòu)如圖1所示。

圖1 系統(tǒng)架構(gòu)

如圖2所示，運(yùn)維操作審計(jì)系統(tǒng)主要是B/S 架構(gòu)，整體架構(gòu)由數(shù)據(jù)層、功能層和用戶接口層3個(gè)部分組成。

圖2 功能結(jié)構(gòu)示意

4 關(guān)鍵技術(shù)分析與實(shí)現(xiàn)

4.1 SSH字符審計(jì)功能的分析與實(shí)現(xiàn)

SSH 的英文全稱為 Secure Shell，是互聯(lián)網(wǎng)工程任務(wù)組（Internet Engineering Task Force，IETF）的 Network Working Group 所制定的協(xié)議，主要目的是提供安全的遠(yuǎn)程登錄和其他安全網(wǎng)絡(luò)服務(wù)，相比Telnet和Rlogin等協(xié)議，傳輸過程加密，更加安全。傳輸層協(xié)議、用戶認(rèn)證協(xié)議和連接協(xié)議是SSH 協(xié)議框架中最主要的3部分內(nèi)容。

SSH的工作過程為：在整個(gè)通訊過程中，為實(shí)現(xiàn) SSH 的安全連接，服務(wù)器端與客戶端要經(jīng)歷協(xié)議號協(xié)商階段、密鑰和算法協(xié)商階段、認(rèn)證階段、會(huì)話請求階段和交互會(huì)話階段5個(gè)階段[3]。

SSH 的安全驗(yàn)證方式有兩種，一種是基于口令的安全驗(yàn)證，憑借用戶的帳號和口令進(jìn)行認(rèn)證，登錄到遠(yuǎn)程主機(jī)；另一種是基于密匙的安全驗(yàn)證，服務(wù)器與客戶端根據(jù)協(xié)商的密鑰進(jìn)行安全驗(yàn)證。由于遠(yuǎn)程終端需提前部署在測試現(xiàn)場，因此可以采用基于密鑰的安全驗(yàn)證方式。

基于密鑰的安全驗(yàn)證方式其驗(yàn)證過程為：

（1）在本地創(chuàng)建一對密鑰，將公匙放在遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)所管轄的服務(wù)器上；（2）遠(yuǎn)程運(yùn)維時(shí)，本地的SSH客戶端向服務(wù)器發(fā)出登錄請求，使用密鑰進(jìn)行安全驗(yàn)證；（3）服務(wù)器收到客戶端請求后，將客戶端發(fā)送的公鑰與本機(jī)存儲(chǔ)的公鑰進(jìn)行比較，若兩者一致，就向客戶端返回一條經(jīng)過公鑰加密的“質(zhì)詢”消息；（4）客戶端收到“質(zhì)詢”后，用私密解密，再將其返回給服務(wù)器完成安全驗(yàn)證過程。

遠(yuǎn)程運(yùn)維工具通過ssh與各個(gè)主機(jī)之間建立連接，使用JSch來實(shí)現(xiàn).JSch是SSH2的一個(gè)純Java實(shí)現(xiàn)。它允許你連接到一個(gè)sshd 服務(wù)器，使用端口轉(zhuǎn)發(fā)，X11轉(zhuǎn)發(fā)，文件傳輸?shù)鹊取?/p>

4.2 圖形審計(jì)功能

會(huì)話審計(jì)功能主要是對遠(yuǎn)程運(yùn)維過程中的圖形界面進(jìn)行會(huì)話記錄與回放。圖形審計(jì)主要通過RDP（Windows 服務(wù)器）或VNC（Linux/Unix）協(xié)議實(shí)現(xiàn)[4]。以遠(yuǎn)程桌面協(xié)議為例，用于由用戶界面?zhèn)鬏攨f(xié)議來連接客戶端和服務(wù)器端，進(jìn)行數(shù)據(jù)交換傳輸。其執(zhí)行過程為：

（1）RDP 客戶端開放端口，持續(xù)接收同步遠(yuǎn)程運(yùn)維的服務(wù)器發(fā)送的數(shù)據(jù)；（2）遠(yuǎn)程服務(wù)器端使用 TCP協(xié)議將數(shù)據(jù)發(fā)送給RDP客戶端；（3）RDP客戶端在接到TCP數(shù)據(jù)包后，對其進(jìn)行層層解析，還原成圖形會(huì)話信息顯示，完成圖形會(huì)話的傳輸，還可使用開源軟件proper Java RDP實(shí)現(xiàn)圖形審計(jì)功能。

4.3 透明代理模式與會(huì)話監(jiān)聽

系統(tǒng)采用基于透明代理模型來實(shí)現(xiàn)字符審計(jì)功能。透明代理運(yùn)行在客戶端，即遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)上。它的功能是將用戶發(fā)往服務(wù)器的數(shù)據(jù)包自動(dòng)的截取并轉(zhuǎn)發(fā)到代理服務(wù)器上，其依據(jù)是用戶設(shè)定的代理規(guī)則。通過截取和分析數(shù)據(jù)包，接收客戶端的連接請求，再將請求發(fā)送到服務(wù)器端。利用透明代理，可以記錄用戶發(fā)出的連接命令，接收命令回復(fù)的信息，對這些信息進(jìn)行記錄，從而實(shí)現(xiàn)字符審計(jì)的功能。

5 結(jié)語

基于代理的遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)可以有效地提高電力監(jiān)控系統(tǒng)的運(yùn)維水平，提升電力監(jiān)控系統(tǒng)安全測評等工作的效率，并能對測評人員的行為進(jìn)行審計(jì)管控，降低作業(yè)風(fēng)險(xiǎn)。同時(shí)由于電力監(jiān)控系統(tǒng)的重要性，遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)自身要做好安全防護(hù)，應(yīng)避免其淪為電力監(jiān)控系統(tǒng)的信息安全脆弱點(diǎn)而帶來新的信息安全風(fēng)險(xiǎn)。

[1]朱世順，郭其秀，程章濱.電力生產(chǎn)控制系統(tǒng)信息安全等級保護(hù)研究[J]. 電力信息化，2012（1）：72-75.

[2]孫長江，謝欣岳.工業(yè)無線控制網(wǎng)絡(luò)安全方法的研究與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（2）：89-90.

[3]甘長華.網(wǎng)絡(luò)安全協(xié)議SSH的研究與實(shí)現(xiàn)[D].天津：天津大學(xué)，2007.

[4]李灝.基于代理的遠(yuǎn)程訪問審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：華北電力大學(xué)，2014.

Analysis on design and implementation of operation and maintenance audit platform for remote electric supervisory control system

Wu Xiaoquan
（Electronic Power Research Institiute of Gudnagdong Power Grid Corporation, Guangzhou 510080, China）

Remote operation and maintenance of management control is necessary for the operation and maintenance in electric supervisory control system. This paper introduces the functional requirements, architecture design and agent-based auditing principles of operation and maintenance for electric supervisory remote control system.Through the establishment of this platform, the maintenance level of the electric supervisory control system can be greatly improved, which also can effectively control the personnel behavior of operations engineers.

electric supervisory control system; remote audit system; transparent proxy

伍曉泉（1984— ），女，湖南石門。