基于網絡安全機制的變電站遠程許可系統

姜琳，范承志

上海欣能信息科技發展有限公司，上海，200023

0 引言

變電站是電力系統變換電壓、接收和分配電能、控制電力流向和調整電壓的電力設施，是電力系統的核心場所。嚴格控制和管理變電站房人員進入，是變電站運維一項重要的安全工作，直接關系到變電站甚至整個電網的運行安全。傳統的方式是工作人員對出入人員進行登記放行，這種方式費時、費力又容易出錯，管理不夠嚴格。因此使用智能、安全、高效的現代化門禁管理已經成為社會發展的必然趨勢，同時它也是現代化智能建筑的一個重要組成部分。

變電站遠程許可系統采用最新的計算機、生物及通信技術，從變配電站的安全要求和實際情況出發，設計開發一種安全、可靠、便捷的變配電站房作業許可站端系統，對進站人員進行多重身份識別，確保進站人員的合法性，從而保障站房的設備安全。

系統對人員數據的保密性有要求，但是在運用計算機網絡時往往很難保障用戶的數據信息安全。經過歸納，變電站遠程許可系統從認證、訪問控制、數據機密性、數據完整性、抗抵賴這五方面對網絡安全進行加固。

1 系統概述

1.1 認證服務

認證服務是為了防止其他實體占用和獨立操作被認證實體的身份。認證服務主要實現方式有以下五種：已有的信息，如認證口令；擁有的信息,如IC卡、令牌等；不可改變的特征，如指紋、虹膜等生物特征；可靠的第三方建立的認證；環境，如主機地址等。

變電站遠程許可系統提供了用戶聲明其身份的保證。系統提供獨立的登陸模塊對所有登陸用戶進行身份認證，要求用戶口令的復雜度滿足限制要求：長度不小于8位字符，由大寫字母、小寫字母、數字、特殊字符中的三種或三種以上組合而成，不可連貫，不能為空，且用戶口令不能與用戶名相同或包含，修改用戶口令不允許與原口令相同，普通用戶（非用戶管理員）不能修改除自身以外的其他用戶的口令。使用唯一的用戶標識鑒別所有人員，在系統的所有接口上執行標識和鑒別。對用戶IP地址進行限制，同一個用戶只能在一臺前端登陸。在系統的遠程許可終端上，使用人臉/指紋等生物特征和IC卡信息進行認證識別，只有被授權的人員才能通過認證，進入到相應的區域內[1]。系統部署結構如圖1所示。

圖1 系統部署結構圖

1.2 訪問控制服務

訪問控制是決定開放環境中允許使用哪些資源、在什么地方適合組織為授權訪問的過程。常見的訪問控制服務的實現方式有三種：自主訪問控制、強制訪問控制、基于角色的訪問控制。

變電站遠程許可系統主要采用基于角色訪問控制的方式，通過對角色的訪問進行控制，使權限和角色相關聯，用戶通過成為適當的角色成員而得到其角色的權限，而權限也可根據需要從角色中收回。用戶可以擁有多個角色，一個角色擁有若干權限，形成用戶-角色-權限的關系，當人員訪問遠程許可系統時，系統根據用戶角色，授予用戶對應的菜單訪問權限、操作權限和數據權限。具有用戶管理角色的用戶登錄系統，可以對不同的角色進行權限分配，已授權的用戶進行登錄后，可查看用戶所分配的權限。

在變電站遠程許可系統的終端，準許進站的人員名單分為白名單和臨時名單兩種。其中，臨時名單是根據工作任務臨時生成的，給予相應人員在相應時間段內，可進出相應門房的權限。白名單中的用戶可以在不配置任務的情況下進出入門禁，只對門房權限進行劃分，比如保安和清潔，這樣能大大提高管控效率和安全。

1.3 數據機密性服務

數據機密性服務的目的是確保信息僅僅是對被授權者可用，信息的保護可以通過確保數據被限制于僅授權者獲得，或通過特定方式表示數據來獲得[2]。變電站遠程許可系統通過加密提供機密性，即防止數據在存儲和傳輸過程中泄露。通常較為常用的加密技術主要有對稱加密、非對稱加密和Hash加密。其中數據對稱加密和非對稱加密的圖解如圖2所示。

圖2 數據對稱加密和非對稱加密圖解

對稱加密技術速度快，但是密鑰管理較難，適合大數據量的加密。本系統的人員信息庫中包含有單位、部門、班組、身份證號、工作證ID卡號、人臉照片、安全相關資質等屬性，為防止數據泄露和丟失，采用AES加密算法對下發到遠程許可終端中的人員數據進行加密。

非對稱加密安全性高，但是加解密速度慢，適合小數據量加解密。本系統采用RSA加密算法對用戶密碼進行加密，當用戶登錄的時候，Web端把用戶輸入的密碼使用服務端公鑰進行加密運算，然后傳輸到服務端，服務端再用自身的密鑰進行解密，進而判斷輸入的密碼是否正確，從而防止系統受到不法用戶的入侵。

Hash函數是一種將任意長度的消息壓縮到某一固定長度的函數，且該過程不可逆，可用于數字簽名和認證檢測等。本系統中使用MD5實現對用戶的認證檢測，在用戶登陸時，服務端會產生一個MD5的值返回給到客戶端，并對這個MD5的值進行保存。在之后所有的用戶端請求中，系統都會對接口所攜帶的MD5值進行驗證。這樣系統在受到CSRF跨站請求的惡意攻擊時，會發現MD5的值不同而不去響應，這樣就可以判斷是否為合法請求了。

1.4 數據完整性服務

數據完整性的目的是通過阻止威脅或探測威脅，保證數據不以未經授權的方式進行改變或者損毀[3]。

變電站遠程許可系統使用TLS 1.3傳輸層安全協議，在TLS 1.3之前，整個握手環節都是沒有加密保護的，這泄漏了很多信息，包括客戶端和服務器的身份。TLS 1.3對握手的絕大部分信息進行了加密，這保護了用戶隱私，也在一定程度上防止了協議僵化問題。TLS 1.3不僅握手所花費的往返次數更少，降低了協議的延遲，也刪除了那些不安全的加密算法，增加了傳輸的安全性，而且保證了數據在傳輸過程中的完整性，能夠有效抵御非法用戶的入侵，并防止惡意軟件對系統數據進行篡改。

系統中對遠程終端電控大門的控制是通過104規約進行通訊、TCP進行傳輸，使用消息序列號來保證傳送數據包的順序。發送方發送命令都會帶一個序列號，相應的應答報文中也要包括序列號，表示確定收到發送方的消息報文，并進行響應，這樣就保證了數據不會被非授權修改[4]。

1.5 抗抵賴服務

抗抵賴服務是指提供有關特定事件或者行為的證據，包括證據的生成、驗證和記錄，以及在解決糾紛時隨時進行的證據恢復和再次驗證。

本系統中采用日志方式保證數據的抗抵賴性，系統日志可以記錄系統中硬件、軟件和系統問題的信息，同時還可以監視系統中發生的事件。可以通過它來檢查錯誤發生的原因，或者尋找受到攻擊時攻擊者留下的痕跡。本系統的運行日志會輸出到指定文件中，文件按照時間日期命名，一天的日志記錄保存到一個日志文件中。為防止占用存儲空間過大，只保留一個月內的日志文件。日志等級分為調試、信息、警告、錯誤4個等級，一旦項目出現問題，運維人員就可以把日志給到開發人員，從而確定到底是哪里出問題了。所以系統中的各種信息都要打印到日志里做記錄，方便后續對日志進行分析統計以及查找問題[5]。

為方便用戶對系統使用情況進行統計和監控，本系統提供了安全審計機制，對用戶登陸、用戶權限操作、終端操作、任務授權執行和結果全過程進行監控，確保了系統審計數據產生的全面性。審計數據對異常事件等級進行了劃分，并根據異常的嚴重程度采用了不同的告警方式。軟件系統提供對審計數據進行搜索、查詢、分析、統計、分類、排序等功能，實現必要的審計查閱能力。具有審計權限的人員，可以在web端查詢操作過程和描述，也可以查看統計結果。當數據庫中審計記錄存儲超過預期存儲量時，進行報警，用戶可以將審計記錄導出文件存儲。安全審計數據生成示意圖如圖3所示。

圖3 安全審計數據生成示意圖

2 結語

計算機網絡是指以共享資源為目的，利用通信手段把地域上相對分散的若干獨立的計算機系統、終端設備和數據設備連接起來，并在協議的控制下進行數據交換的系統。計算機網絡的根本目的在于資源共享，通信網絡是實現網絡資源共享的途徑。因此，網絡安全對系統的穩定性和強壯性起到了非常重要的作用，相關人員應當要對其網絡系統的安全予以充分重視，并采取有效的方法措施來確保計算機通信網絡的安全。

變電站遠程許可系統是一套對進站人員身份統一管理、能夠完成臨時進站授權、對非法人員進行識別及告警以及人員權限管理的系統。人員檔案、權限數據等敏感信息都很重要，軟件設計人員可以通過設計程序來操控軟件，不給黑客或不法分子提供機會，否則就可能導致重要信息發生泄漏，從而嚴重威脅到整個系統的安全。