變電站自動化廣域運維系統安全防護技術的設計與實現

吳小娟，張叢叢，潘洪湘，王海峰，裴玉龍

（1.南瑞集團公司（國網電力科學研究院），南京 211106；2.國電南瑞科技股份有限公司，南京 211106）

0 引言

目前，變電站自動化系統和設備的運維檢修，以現場作業為主。變電站具有寬地域、維護點分布廣、監控系統廠家眾多等特點[1]，傳統的現場作業模式需要往返于變電站現場，消耗的時間過長，有效工作時間較短。隨著調變一體化大運行、大檢修的深入，無人值守智能變電站進入全面建設階段[2]，變電站自動化廣域運維系統得到了廣泛應用。

目前已有的運維方式包括主子站間故障診斷的協調處理系統[3]、智能變電站遠程虛擬終端訪問系統[4]、基于KVM（內核虛擬機）技術的遠程系統[5]、基于C/S 結構的遠程維護調試系統[6]等，常用的廣域運維系統[7-8]包含運維中心、服務管理中心和變電站自動化系統，通過構建一個服務于主、子站之間的服務管理系統，提供服務的注冊、審批、定位和調用等，實現變電站自動化設備的遠程喚醒、復位、模型診斷、狀態監視、歷史信息檢索和遠程桌面等運維工作。

現有廣域運維系統的安全防護方法主要采用縱向隔離[9]、日志記錄等技術，安全防護管理模式單一，未考慮遠程運維的安全問題，包括登錄驗證、通信安全以及權限管理和維護等，缺乏系統內通信安全、數據交互安全的防護措施，無法滿足變電站自動化廣域運維安全穩定運行的要求。

對此，本文基于運維主、子站二次系統安全防護的要求，結合當前常用的廣域運維系統架構，設計一種變電站自動化廣域運維系統安全防護技術，在服務管理中心、運維中心和變電站分別設立安全認證體系，同時在服務管理中心、運維中心和變電站之間部署雙因子登錄、加密認證等安全訪問功能，提高廣域網絡通信、數據交互的安全性，提升廣域運維規范化水平。

1 變電站自動化廣域運維系統架構設計

變電站自動化廣域運維實現了在運維主站集中對變電站自動化系統及設備進行遠程運行監視、組態配置、設備管理、維護操作及異常診斷等功能。系統采用高性能通用服務框架[10-12]，由運維主站和變電站端組成，如圖1 所示。根據服務的功能定位將廣域運維服務接口分為公共服務與應用服務。

公共服務為廣域運維應用的基礎服務，包含文件服務、數據服務和模型服務等。通過服務管理中心實現公共服務的關聯、釋放、申請、注冊、出錯處理及監視等通用類服務管理。應用服務為面向廣域運維功能應用的服務，實現變電站自動化的遠程運行監視、狀態估計、設備管理及異常診斷等應用功能。

基于高性能通用服務的遠程交互技術，運維中心向服務管理中心查詢和調用變電站提供的各類公共服務，實現各類應用服務。

圖1 廣域運維系統架構

針對廣域運維系統“面向服務”的架構特點，本文在原有縱向加密的邊界安全防護基礎上，在服務的認證和調用等方面，采用雙因子登錄、審計日志、權限認證、流量管控等安全防護技術，在廣域運維系統的子系統間增加了安全設計，保障通信和數據交互的安全性。

2 廣域運維子系統安全防護關鍵技術

2.1 運維中心安全防護關鍵技術

運維中心通過服務管理中心的授權，向變電站調用所需的應用服務，為運維人員提供多變電站不同廠商設備的遠程監視、診斷、維護、全壽命周期管理等應用。運維中心安全防護技術包括管理用戶的雙因子登錄、安全審計、主站錄屏等。

2.1.1 安全審計

運維系統不但能夠監視關鍵進程是否啟動、應用告警和節點CPU、內存等資源信息，還能夠深入了解系統內部狀態，監控關鍵進程運行狀態，對操作系統日志和智能電網調度控制系統日志進行安全審計。通過深入、細致的安全審核和應用監控，有利于系統故障的事前預防、事中控制和事后治理。

安全審計模快實時監視四個不同等級（emerg，err，warnning 和notice）的日志文件變化，如圖2所示，當目標日志文件發生變化時，能夠立即發現并檢索新增加的日志，并對日志內容進行語法分析，按照統一的規則進行重新組裝，形成新的歸一化的日志格式。

圖2 安全審計流程

對于安全等級較高（emerg，err）的日志，當日志出現時就立即發送告警，從而保證維護人員能夠及時處理；對于安全等級較低（warnning，notice）的日志，當日志出現時先緩存，當達到一定數量或緩存超過了一定時間再發送告警，從而保證系統的穩定性。

2.1.2 雙因子登錄

雙因子登錄技術依托中國電力調度數字證書系統，是將電力調度數字證書與用戶口令相結合的高安全等級的認證方式。

在運維中心，運維人員在登錄遠程運維界面時，需要進行雙因子登錄。登錄過程包括兩個環節，一是用戶需要插入電力調度專用移動數字證書（USBKey）進行身份認證[13-14]；二是需要用戶輸入正確的用戶名和對應的密碼。如圖3 所示，運維中心通過身份認證后，通過調度數據網將交互數據信息和用戶信息一起傳送到變電站端。同樣地，變電站端也會對用戶信息進行驗證，只有通過驗證后，才會執行運維中心的指令。

圖3 雙因子登錄示意

通過這樣的雙重身份認證，可有效防止用戶名和密碼泄露導致的安全隱患，保障運維用戶的登錄安全。

2.1.3 主站錄屏

主站端的錄屏功能，主要記錄運維人員通過遠程運維客戶端訪問和維護子站端數據的過程。當運維人員登錄遠程運維客戶端時，錄屏功能自動開啟，記錄運維人員的維護過程，并保存至本地庫，便于后續的查看。若主站端沒有運維人員登錄，則錄屏功能處于關閉狀態。

2.2 服務管理中心安全防護關鍵技術

服務管理中心采用服務代理機制，向變電站調用所需的運維服務，增強數據處理的準確性和靈活性，有效解決變電站自動化設備運維服務私有化問題。

服務管理中心通過責任區和權限認證、服務調用限制等關鍵技術，實現運維主站對變電站內各類運維服務的注冊、審核、監視全過程縱深安全防護等管理服務,并將操作過程自動記錄入日志文件，例如記錄登錄人員的姓名、維護時間、維護內容、維護結果等信息，并可按時間的先后順序排列，形成日志文件，以供查詢和審閱。

2.2.1 責任區和權限認證

服務管理中心為用戶設置了服務權限管理和可切換責任區。如圖4 所示，當服務管理中心通過運維人員的登錄驗證后，并將當前運維人員的責任區和服務管理權限返回給運維中心，運維人員才可在相應的責任區內管理和調用對應的權限服務。

此外，在權限認證處做進一步安全加固：

圖4 責任區安全認證

（1）用戶密碼加固。配置復雜密碼功能，用戶在設置密碼需同時包含數字、字母和特殊符號；配置密碼有效期，強制用戶定期修改密碼；配置密碼加密傳輸功能，在網絡間傳輸密碼信息時數據經過AES（高級加密標準）加密，避免泄露。

（2）限制管理員角色。配置管理員分配限制功能，在權限管理界面將系統管理員、安全管理員、審計管理員分配給用戶時有確認提示，具有管理員角色的用戶不能再包含其他業務功能角色；若用戶已被分配了一個管理員角色，則無法再給其分配其他的管理員角色；刪除系統中的“超級用戶”。

（3）用戶登錄限制。配置用戶登錄鎖定功能，當用戶連續使用錯誤密碼登錄失敗后，鎖定該用戶一段時間；配置同一角色可登錄用戶數上限；配置用戶單節點登錄功能，當用戶在一臺工作站登錄后，同一用戶無法再在其他工作站登錄；配置自動登出功能，工作站無鼠標鍵盤操作一段時間后，已登錄的用戶自動注銷。

2.2.2 服務調用限制

服務管理中心周期性地監視各類運維服務的狀態，并提供服務黃頁，實時顯示已注冊的運維服務的服務信息。服務管理中心采用服務代理模式實現運維服務的管理。

服務代理的服務調用限制功能如圖5 所示，當子站端的外部服務Server1 完成服務上線后，服務管理中心會通知服務代理放開Server1 服務的調用請求。服務代理只能通過已上線運維服務的調用請求，并將相應請求發送給變電站端。對于未上線的Server2 服務調用請求，服務代理會直接拒絕。

2.3 變電站運維安全防護關鍵技術

圖5 服務代理限制服務調用流程

變電站提供各種運維服務，向服務管理中心提出服務注冊、服務上線等請求，并響應運維中心的服務調閱請求。變電站安全防護關鍵技術包括日志管理和服務調用的流量控制。

2.3.1 日志管理

日志管理指對系統業務運行過程中的狀態和告警進行采集和管理，是智能運維系統安全穩定分析的一個數據來源。在變電站端中，本文主要采集以下幾種日志數據：

（1）網絡狀況日志。主要記錄交換機以及網卡的故障、恢復等信息。

（2）系統管理日志。主要記錄應用主備切換、應用斷網、應用故障、應用退出、進程啟停等信息。

（3）服務器資源日志。主要記錄CPU 越限、主機不刷新、與天文鐘時間差越限、交換區越限、磁盤分區越限、磁盤故障等信息。

（4）服務訪問日志。主要記錄客戶端IP、端口號以及服務處理耗時等信息。

（5）進程運行日志。主要記錄進程運行跟蹤信息。

2.3.2 流量管控

為了解決多種信息業務綜合傳輸中的流量沖突問題，必須在變電站信息綜合傳輸中實施有效的流量控制策略，設定主、子站通信最大流量限制。變電站服務數據上送的最大瞬時流量不能超過設定閥值。如果超過設定的閥值，則服務無法調用，并優先保證電力系統中敏感數據業務的可靠實時傳輸。

流量控制可采用以下方法：

（1）帶寬保證和限制。針對敏感數據業務的數據傳輸，需要保證其帶寬，對其他數據則應進行帶寬限制。

（2）采用優先級保證。對于不同服務的特殊性質，建立優先級流量控制隊列，實現按照優先級的流量控制策略。如對于敏感數據業務的數據傳輸，將其優先級設置為最高；而對于圖形、視頻和文件等大量的成塊數據傳輸可以設置為較低的優先級，以保證敏感數據傳輸的可靠性。

3 廣域運維主、子站交互安全訪問流程設計

為了進一步提高廣域運維中主站客戶端對子站端服務訪問的安全性，提出運維主、子站交互安全訪問機制，主、子站安全防護訪問示意圖如圖6 所示。

圖6 廣域運維主、子站系統安全防護訪問

服務管理員在服務管理中心通過服務管理系統，添加運維人員管轄責任區內的變電站，并注冊運維人員權限范圍內的服務，保證運維人員只能調用屬于自己責任區內的變電站和服務，避免超權限管理。同時，調用審計日志管理功能接口，記錄服務管理人員的操作過程。

首先，運維人員在運維中心通過用戶名、口令和USBKey 進行雙因子加密認證登錄，通過服務管理中心的用戶認證后，才可調用變電站服務；其次，運維中心采用通用服務協議與服務管理中心進行交互，服務管理中心的權限認證服務根據運維人員的責任區和權限，將責任區內的變電站和權限內的服務列表反饋給運維中心，運維中心將運維人員責任區內的變電站和權限內的服務以人機界面的形式直觀展示。最后，運維中心通過服務管理系統調用變電站的服務，通過變電站的“雙確認”認證，即需要通過操作員和監護員的雙重確認后方可調用在流量管控范圍內的服務，保證主、子站之間數據交互訪問流暢。

運維中心在調用變電站自動化設備服務和使用過程中，激活運維中心錄屏功能和審計日志功能，保證運維人員的所有操作均有操作記錄可查詢。同時，在服務管理中心服務管理系統和變電站自動化設備監控系統中，均有審計日志記錄功能，詳細記錄運維人員調用運維服務的時間、操作人、操作過程等信息，最大限度地保證服務管理中心、運維中心和變電站交互的安全性。

4 試點應用情況

基于變電站自動化設備廣域運維安全防護技術的廣域運維系統通過了國網江蘇電科院的各項功能測試，滿足設計要求和現場驗收標準。目前，系統已在南京、蘇州投入使用，南京已經部署2 個運維中心，接入220 kV 嘉慶變、110 kV同曦變等90 多座變電站，蘇州已經部署1 個運維中心，接入220 kV 書臺變、110 kV 流虹變等70 多座變電站，接入廠家分別有南瑞科技、南瑞繼保、許繼電氣、國電南自和長園深瑞等。截至目前，已投入試點工程的廣域運維系統功能正常、運行穩定。

5 結語

為了實現運維系統對變電站自動化設備的安全穩定操作，本文提出了一種變電站自動化廣域運維系統安全防護設計方法。在服務管理中心、運維中心和變電站分別設定廣域運維系統的安全認證體系，同時在服務管理中心、運維中心和變電站之間部署加密認證功能，基于雙因子登錄、數字簽名、審計日志、流量管控、權限認證、主站錄屏等多種關鍵技術，實現了遠方對變電站自動化設備集中運維，提高了主站遠方操作變電站設備的安全性。

變電站自動化設備廣域運維安全防護技術能夠提高廣域運維系統的安全性，在后續的產業化過程中，隨著變電站運維服務的擴增，對運維系統的安全要求會更高。下一步需要在當前安全防護系統的基礎上，進一步優化和完善安全防護措施，例如在用戶登錄時，可以增加動態密碼和生物特征等鑒別技術；采用安全態勢感知技術，對系統日志、系統告警和網絡流量等信息進行綜合管理和分析，快速發現威脅，控制威脅，從而進一步提高廣域運維系統安全水平。