調控終端安全管控技術研究與應用

王先強,張 睿，張 華

(國網四川省電力公司南充供電公司，四川 南充 637000)

0 引 言

隨著電網業務模式的逐步改革，除傳統的縣/區調度外，現貨交易、檢修公司、集控站運維班等調度以外的單位也有著連接訪問調度主站系統，并對與之業務相關的電網運行數據、廠站設備信息等進行運行監控和信息查詢的需求。

國家電網有限公司在2020年提出建設具有中國特色國際領先的能源互聯網企業的宏偉目標，各項工作正在加緊步伐開展建設，各類新型電網業務和工作場景中訪問調度主站系統的需求將會更多。

在目前國家電網有限公司“調控一體化”的運行管理模式下，縣/區調及檢修公司等基層調度單位已無獨立的調度主站系統，完全依賴地市調度端主站系統，在此應用背景下調控人機工作站終端成為了基層調度單位工作人員訪問主站系統的唯一工具，其重要性不言而喻。

目前各級調度單位所使用的調控人機終端，仍為傳統物理圖形工作站，以國網四川省電力公司南充供電公司(以下簡稱南充公司)為例，調度員工作站30臺，監控工作站30臺，運維工作站18臺，培訓模擬工作站6臺，未來延伸至檢修公司及各變電站運維檢修工作站需30臺，共計114臺。

目前，影響調度人機工作站穩定安全運行和無法實現集中統一管控的主要因素有以下4個方面。

1)縣供電公司、變電站端與市級調度自動化主站系統之間的調度數據網帶寬有限，縣供電公司、變電站端工作站與調度自動化主站系統之間發生模型、圖形下載、數據更新等批量操作和大數據量更新時，會阻塞站端與主站系統的網絡通道，使工作站無法正常操作，影響站端實時數據上傳。遠端調度終端與主站系統的數據通訊流量峰值超過50 MB，遠端查詢調度自動化主站系統中歷史數據時，從提交查詢到出現查詢結果超過2 min。

2)現貨交易大廳、集控站、第三應急調度大廳等需進行工作站延伸的辦公場所，在網絡安全防護技術手段、基礎設施和運行環境上相較調度中心仍待完善，尚無法達到調度系統安全Ⅰ區的系統運行安全要求，易導致通過非工作站設備的違規接入調度生產大區網絡和工作站上的重要數據外露。

3)人機工作站的管理和維護完全依賴地市級調度中心，以四川南充地調與所屬閬中縣供電公司為例，兩地相距近90 km，人機工作站被廣泛應用在各區縣供電公司、現貨交易大廳、集控站、第三應急調度大廳等地后，造成工作站出現故障后無法及時響應且維護成本高、周期長。

4)為滿足網絡安全要求，需定期對工作站操作系統、應用客戶端進行安全漏洞檢查、補丁加固、程序版本升級等工作，手工進行此類頻繁且瑣碎的工作容易出現紕漏，并需占用大量的人力資源。

下面研究了應用于調控人機交互終端安全管控領域的關鍵技術，提出基于能源互聯網的調控終端集中管控系統整體框架，重點研究了調控終端集中管控軟件的架構及功能，并在南充公司地、縣兩級調度中心進行了示范應用，為后期調控終端運行工況及調控人機交互終端安全管控領域的發展提供實時數據。

1 調控終端安全管控技術現狀

國家電網有限公司各級調控中心本部或是延伸至縣、區供電公司及檢修公司、運維班、集控站等地所使用的調控終端主要采用物理工作站結合鍵盤、顯示器、鼠標(keyboard video mouse，KVM)延長器的技術形式進行安全管控。

1)該技術形式需要為每位調度員及相關運維人員均分配1臺獨立的圖形工站，每臺工作站的硬件操作系統、應用、補丁均需逐個在現場進行安裝、維護和調試。

2)工作站集中部署在調度機房中，工作站1臺占用2U機柜位置，大量工作站會占據大量機房空間。

3)使用KVM延長器進行顯示畫面延伸，實現人員和設備之間進行簡單的物理距離、空間隔離。但使用時網絡帶寬占用高，無法滿足目前國家電網公司變電站通道多為2 M的窄帶寬通訊現狀，且通訊鏈路無加密等安全防護手段。

4)調度臺及各辦公工位無工作站主機，通過KVM延長器連接相應人機交互外設。主站系統操作確權所需的安全ukey識別率較低影響工作效率。USB外部設備可隨意接入使用，存在數據漏風險。延長器無生物因子安全認證功能，賬號密碼易泄漏。

5)操作人員使用KVM延長器操作工作站時，對調度控制主站系統的操作過程無法進行審計和記錄，無不合規操作進行責任追溯和源頭分析能力，無法實現危險指令的阻截。

2 基于云計算和生物多因子認證的調控終端安全管控技術

針對目前調度終端工作站分布廣、數量多、維護困難且成本高，新應用安裝部署繁瑣、周期長，外設無法有效管控，違規操作無法追蹤，安全事故無法回溯等問題，將計算虛擬化、網絡虛擬化、存儲虛擬化、融合運維監控管理、云業務流程交付等軟件技術應用于調控終端安全管控，形成基于云計算技術的終端操作系統桌面交付與“云桌面”管理解決方案，并可以根據電網調度自動化的業務場景，定制標準化的調度人機交互終端系統模板。利用調度數據專網聚合多套X86設備，實現資源模塊化的橫向彈性伸縮，形成統一的計算與存儲資源池。

2.1 調控應用集中管控技術

針對人機工作站被廣泛應用在各區縣供電公司、現貨交易大廳、集控站、第三應急調度大廳等不同地理區域的問題，采用云桌面技術將所有工作站都集中虛擬化到終端管控系統上，可集中管理不同場所中的所有調度人機終端。

1)在安全加固、補丁升級等操作過程中，相較傳統物理工作站，無需逐臺進行安全加固和補丁升級，可通過管理策略統一下發功能，集中對所有虛擬工作站進行安全策略和補丁的分發，進而快速便捷地完成所有虛擬工作站的安全加固和補丁升級，可靠性高，減少了人工加固、升級時誤操作可能性，極大縮減了人力投入。

2)通過終端管控系統的虛擬工作站克隆復制功能，可在短時間完成工作站的批量安裝和部署。工作站系統出現故障時也可通過此功能進行快速恢復，有效地節約自動化人員的時間和維護工作量。

2.2 瘦終端安全防護技術

針對傳統圖形工作站維護成本高、故障修復周期長問題，將基于云計算的瘦安全終端作為調控終端。該設備使用免維護式設計，設備中內嵌了獨立的嵌入式、精簡化的國產安全操作系統基礎內核，僅保留了網絡通訊、屏幕操作等基本功能，即插即用，不存在其他的繁瑣配置過程。瘦安全終端是提供給調度員和運維人員使用的前端基本操作設備，通過此設備連接訪問地調側的虛擬調度工作站桌面。

瘦安全終端采用人臉識別和指紋識別的生物多因子認證技術進行登錄。終端加電啟動時，使用圖像識別人臉檢測算法完成人臉檢測功能，人臉識別庫完成人臉特征提取的功能，完成人臉特征識別檢測。瘦安全終端配套的指紋識別鼠標，將射頻傳感器內嵌在鼠標裝置內，通過傳感器發射微量的射頻信號，可以穿透手指的表皮層獲取里層的紋路以獲取信息。相對于傳統光學識別等傳統指紋技術，射頻傳感器對手指的干凈程度要求較低，具有更高的識別率和準確度。生物多因子特征識別檢測認證成功后方可對瘦安全終端進行操作，可有效避免非授權人員通過終端進行違規操作。

2.3 圖形壓縮編碼安全傳輸技術

基于目前地調與站端通訊時，調度數據網帶寬較窄(≤2 MB)的特點，研究并驗證通過新一代虛擬桌面傳輸協議，通過采用基于圖形庫的軟件處理方式，使用CPU計算資源，提供2D圖形數據的渲染處理能力。同時也提供了基于GPU的硬件處理方法。通過分類壓縮技術提供3種無損圖像壓縮算法，分別是Quic、LZ和Glz壓縮算法。優化視頻數據傳輸方式，直接把視頻數據以流媒體的方式發送到終端設備，避免解碼操作，圖像渲染性能優化通過圖形區域的刷新頻率來偵測視頻區域，采用MJPEG壓縮算法。

通過該協議可以實現瘦安全終端遠程訪問虛擬調度工作站桌面，并具有文字與圖像顯示更清晰細膩、視頻播放更清晰流暢、聲音音質更真實飽滿、兼容性更好、帶寬低等特點。

2.4 基于國密的可信接入和通信加密技術

通過基于國密算法的可信接入和通道加密技術，再結合在各網絡邊界國家電網專用縱向加密裝置，實現調度人機終端在不同工作場所通過人機交互網或調度數據網與主站系統之間的信息通訊安全可控，且無需對生產控制大區的網絡安全架構進行調整。

基于國密的可信接入和通信加密技術隔離了終端與調控主站系統之間的直接通訊。基于國密算法的加解密技術以識別、匹配、認證和授權接入的終端，徹底杜絕使用筆記本等設備的違規、非法接入調度專網。

2.5 多屏幕擴展跨屏操作時的實時安全審計

通過深入研究多屏操作實時安全審計功能，實現人機安全終端開機即可以自動開啟運維審計模式，前端操作人員無感知，不需經瀏覽器等第三方工具跳轉，圖形化操作等使用習慣和之前一致。對所有圖形和字符操作進行審計，支持雙屏、四屏擴展顯示操作時實時錄屏審計，并可對操作指令及輸出結果進行搜索、定位和查詢，實現對危險指令的阻截。根據工作需要對USB外設進行管控，選擇是否啟用相應的USB外設。對于U盤等存儲設備還可記錄數據的上傳和下載記錄。

進一步加強對維護人員的安全監管，擴大行為審計范圍，加強事前授權與事后行為記錄的合規性審計能力和評估各類角色人員的專業度能力，全面提升規范化管理水平。

3 調控終端安全管控系統架構

根據電網調度自動化的業務場景，融合計算虛擬化、網絡虛擬化、存儲虛擬化、運維監控管理、云桌面業務流程交付等軟件技術，形成標準化的調控終端安全管控系統架構。實現調控終端從物理工作站轉換為虛擬化工作站，并對其進行集中安全管控。一臺虛擬工作站對應傳統的一臺物理調度工作站。

圖1 調控終端安全管控系統架構

調度主站系統相關數據、應用均運行在虛擬工作站上。統一部署在調控終端安全管控系統上由省、地市統一管控，調度臺、變電運維班、現貨交易大廳等辦公場景，僅需通過精簡的安全終端(瘦客戶機)設備，復用現有電力專網通道，連接至地調側的終端管控系統，終端管控系統對申請接入的調控安全終端進行識別和安全認證，接入成功后將虛擬工作站的操作界面傳遞給安全終端，調度員即可按傳統物理工作站的使用習慣進行日常的監控和調度操作。安全終端與終端管控系統之間通訊帶寬要求較低，具有與后端調度自動化主站系統之間數據交互簡單的技術特性。

4 調控終端安全管控系統應用方式

4.1 整體應用架構

遵循國家電網有限公司要求的“安全分區、網絡專用、橫向隔離、縱向認證”[1-3]的電力調度數據網絡安全規范，在生產控制內部署；終端管控系統通過安全區內核心交換機接入安全Ⅰ區和Ⅱ區，平臺內虛擬工作站按使用需求可同時配置Ⅰ區和Ⅱ區IP地址，在防火墻上配置訪問策略，并安裝相應調度主站系統客戶端程序后通過調度主站系統配置連接相應的主站系統。

圖2 整體應用架構

4.1.1 網絡接入

1)終端管控系統通過多網口冗余綁定方式擴展數據交互帶寬。

2)終端管控系統通過虛擬交換機的方式接入生產控制大區內的核心交換機。

4.1.2 數據交互

1)虛擬工作站通過終端管控系統虛擬交換機與安全分區內的調度自動化系統主站系統進行數據交互。

2)虛擬工作站與調度自動化系統主站系統的業務、數據交互模式，維持與物理工作站方式一致。

3)無需對調度自動化系統主站系統進行改造，不影響調度自動化系統主站系統的正常運行。

4.2 全分布式的存儲技術應用

研究新一代的基于X86架構的分布式存儲技術應用技術，采用基于業界標準的X86服務器，徹底拋棄了很多系統仍在使用的存在性能和可靠性問題的集中化元數據處理節點架構，借鑒業界最先進的全分布式、無共享(share nothing)架構設計理念，采用基于策略的分布式哈希表數據路由算法，使得客戶端無需查找元數據節點，通過計算就能直接尋址到數據所在的存儲節點，大大縮短了數據IO訪問路徑，提升了系統性能。

同時，整個系統也無集中管理和控制節點，每一個數據節點都有能力承擔另一數據節點的功能，節點之間通過內部高效的分布式協議完成相互協作和通信。這種去中心化、無狀態的全分布式數據處理架構是系統能實現水平、線性擴展能力的關鍵，有力地保證了整個系統無單點故障，無性能瓶頸。

圖3 全分布式存儲

4.3 GPU虛擬化技術應用

計算機圖形處理器(graphic processing unit，GPU)，1999年由NVIDIA公司提出。GPU虛擬化即將GPU進行切片，并將這些GPU時間片分配給虛擬機使用的過程。

調控終端集中終端管控系統的桌面虛擬化解決方案中，基于NVIDIA公司提供的GPU虛擬化技術，即vCUDA(virtual CUDA)技術，采用在用戶層攔截和重定向CUDA API的方法，在虛擬機中建立物理GPU的邏輯映像——虛擬GPU，實現GPU資源的細粒度劃分、重組和再利用，支持多機并發、掛起恢復等虛擬機高級特性[4]。

其vCUDA的實現原理大概包括3個模塊：CUDA客戶端、CUDA服務端和CUDA管理端。

調控終端集中終端管控系統基礎服務器，能夠直接控制硬件，系統內安裝著原生的CUDA庫以及GPU驅動，使得Host OS可以直接訪問GPU和使用CUDA。其他的虛擬機屬于非特權虛擬機(guest VM)，其上運行的操作系統(guest OS)不能直接操縱GPU。CUDA客戶端稱之為客戶端驅動，CUDA服務端稱之為宿主機的驅動，CUDA管理端稱之為GPU管理器[5-7]。

在調控人機交互終端領域由于調度終端工作站必須采用國產安全操作系統，針對國產操作系統(麒麟、凝思等)在云桌面使用場景中對圖形顯示和圖形運算進行優化，以滿足在電力調度控制應用場景下對圖形顯示和圖形運算的高標準、高性能需求。

國產安全操作系統在生產銷售之前需要通過公安部計算機信息系統安全產品質量監督檢驗中心的檢測，基本功能需符合GB/T 20272—2006《信息安全技術操作系統安全技術要求》第四級結構化保護級的安全功能的相關要求，因此其內核驅動接口已被重新封裝和改造，研究根據國產操作系統的內核驅動接口開發安全規范，根據內核中platform.c 提供的平臺總線(platform_bus)以及注冊平臺設備(platform_device)和平臺驅動(platform_driver)的相關接口，對平臺設備(platform_device)和平臺驅動(platform_driver)進行編碼，重新開發vGPU設備驅動，并使其可在國產安全操作系統中得以應用。

5 實驗數據

為了驗證調控終端安全管控系統效果，在南充公司智能電網調度控制系統場景下進行實驗。運用所提的基于云計算和生物多因子認證的調控終端安全管控技術，構建調控終端安全管控系統典型應用架構，如圖4所示。

圖4 調控終端安全管控系統典型應用架構

系統關鍵指標參數如下：

1)實現基于凝思、麒麟等多個版本國產安全操作系統的GPU虛擬化功能，支持雙屏和四屏顯示。一塊Nvidia M10 32 G顯存GPU，虛擬化后可分配給64臺虛擬工作站同時使用。

2)一臺雙路CPU、128 G內存配置的通用X86服務器支持同時運行32臺調度虛擬工作站。

3)在閬中(距南充地調80 km)縣供電公司，30 MB網絡帶寬條件下訪問調度主站系統并進行數據查詢、曲線調閱等日常調度操作時，傳統物理工作站模式與瘦安全終端模式的對比數據如表1所示。

表1 實驗耗時對比 單位：s

4)在閬中縣供電公司，分別進行2 M、4 M、6 M、8 M、10 M帶寬限制，通過縣調安全終端訪問和操作調度主站系統。顯示畫面分辨率設置為3840×1080的雙屏顯示。

(1)2 M帶寬限制的情況下進行日常操作及維護，告警聲音、告警彈窗、告警信息、報表生成、潮流圖、接線圖等功能正常可用，畫面拖動有輕微拖影操作稍有卡頓。

(2)4 M和6 M帶寬限制的情況下終端可正常操作使用應用，操作頻繁時稍有卡頓，無延遲，告警聲音、告警彈窗、告警信息、報表生成、潮流圖、接線圖等功能正常可用。畫面拖動以及操作使用應用正常流暢，畫面拖動無拖影。

(3)8 M和10 M以上系統畫面流暢，清晰度高，無延遲，無卡頓，告警聲音、告警彈窗、告警信息、報表生成、潮流圖、接線圖等功能正常可用。

5)瘦安全終端開機自啟動實時操作安全審計，平均一小時審計視屏占用60 MB磁盤空間，審計視頻調閱無延遲，可搜索定位。

6 方案對比

從規范權限配置，加強操作過程安全審計，完善管理制度和技術手段，防范安全攻擊，應對極端風險防控，加密網絡傳輸，完善對延伸至外部的遠程接入安全終端設備進行集中、統一的安全管控和運維管理等多個維度，綜合對比傳統物理工作站與調控終端安全管控系統兩種技術方案，對比數據如表2所示。

表2 方案對比

7 示范應用

南充公司于2019年12月開始本系統的試點建設部署和應用，通過多輪的技術交流、現場收資、方案制定，最終完成調控終端集中終端管控系統在智能電網調度控制系統“地縣一體化”模式下和基于國產安全操作系統GPU虛擬化、生物多因子特征安全認證等關鍵技術的適應性定制。經過測試驗證，于2020年1月正式投入上線試運行，目前使用場景包括部分地調調度席位、地調自動化值班席位、四川電網備調中心運維席位以及閬中縣等6個分公司。該系統示范應用拓樸如圖5所示。

圖5 示范應用拓撲

在調度坐席、值班席位和運維席位等不同應用場景的實際使用過程中，調度員、運維開發人員通過在桌面放置的小型化、精簡的安全終端設備經網絡接入終端管控系統，獲取相應的虛擬機資源和交互畫面并對其進行操作，使用體驗與使用物理工作站無差別。

特別是在西充(距地調40 km)和閬中(距地調80 km)兩個縣供電公司遠程部署的場景下，終端管控系統優化了自身傳輸協議，對于網絡帶寬的需求降至10 M以下，滿足窄帶寬工作要求，相較傳統物理工作站30 M以上的帶寬需求，明顯降低了對于網絡帶寬的消耗。同時對于所穿透的縱向加密設備，也減輕了其加密負載。數據實時刷新、場站圖形和模型加載、歷史庫數據查詢速度較傳統工作站提升60%以上。

8 結 語

所提出的調控終端安全管控系統極大提高了日常對工作站的管理和維護效率，結合終端管控系統的安全審計、認證管理、授權管理等運維安全管理功能，可對調控終端進行統一管理和集中調配，實現了對調度員和維護人員使用調控終端的安全審計、風險防范，加強了調度工作站使用的機密性和規范性，滿足等保要求。

項目試運行以后運行良好、穩定、可靠，達到了項目預期效果，可以推廣應用。