基于網(wǎng)絡(luò)安全機(jī)制的變電站遠(yuǎn)程許可系統(tǒng)

姜琳，范承志

上海欣能信息科技發(fā)展有限公司，上海，200023

0 引言

變電站是電力系統(tǒng)變換電壓、接收和分配電能、控制電力流向和調(diào)整電壓的電力設(shè)施，是電力系統(tǒng)的核心場(chǎng)所。嚴(yán)格控制和管理變電站房人員進(jìn)入，是變電站運(yùn)維一項(xiàng)重要的安全工作，直接關(guān)系到變電站甚至整個(gè)電網(wǎng)的運(yùn)行安全。傳統(tǒng)的方式是工作人員對(duì)出入人員進(jìn)行登記放行，這種方式費(fèi)時(shí)、費(fèi)力又容易出錯(cuò)，管理不夠嚴(yán)格。因此使用智能、安全、高效的現(xiàn)代化門禁管理已經(jīng)成為社會(huì)發(fā)展的必然趨勢(shì)，同時(shí)它也是現(xiàn)代化智能建筑的一個(gè)重要組成部分。

變電站遠(yuǎn)程許可系統(tǒng)采用最新的計(jì)算機(jī)、生物及通信技術(shù)，從變配電站的安全要求和實(shí)際情況出發(fā)，設(shè)計(jì)開(kāi)發(fā)一種安全、可靠、便捷的變配電站房作業(yè)許可站端系統(tǒng)，對(duì)進(jìn)站人員進(jìn)行多重身份識(shí)別，確保進(jìn)站人員的合法性，從而保障站房的設(shè)備安全。

系統(tǒng)對(duì)人員數(shù)據(jù)的保密性有要求，但是在運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)往往很難保障用戶的數(shù)據(jù)信息安全。經(jīng)過(guò)歸納，變電站遠(yuǎn)程許可系統(tǒng)從認(rèn)證、訪問(wèn)控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、抗抵賴這五方面對(duì)網(wǎng)絡(luò)安全進(jìn)行加固。

1 系統(tǒng)概述

1.1 認(rèn)證服務(wù)

認(rèn)證服務(wù)是為了防止其他實(shí)體占用和獨(dú)立操作被認(rèn)證實(shí)體的身份。認(rèn)證服務(wù)主要實(shí)現(xiàn)方式有以下五種：已有的信息，如認(rèn)證口令；擁有的信息,如IC卡、令牌等；不可改變的特征，如指紋、虹膜等生物特征；可靠的第三方建立的認(rèn)證；環(huán)境，如主機(jī)地址等。

變電站遠(yuǎn)程許可系統(tǒng)提供了用戶聲明其身份的保證。系統(tǒng)提供獨(dú)立的登陸模塊對(duì)所有登陸用戶進(jìn)行身份認(rèn)證，要求用戶口令的復(fù)雜度滿足限制要求：長(zhǎng)度不小于8位字符，由大寫字母、小寫字母、數(shù)字、特殊字符中的三種或三種以上組合而成，不可連貫，不能為空，且用戶口令不能與用戶名相同或包含，修改用戶口令不允許與原口令相同，普通用戶（非用戶管理員）不能修改除自身以外的其他用戶的口令。使用唯一的用戶標(biāo)識(shí)鑒別所有人員，在系統(tǒng)的所有接口上執(zhí)行標(biāo)識(shí)和鑒別。對(duì)用戶IP地址進(jìn)行限制，同一個(gè)用戶只能在一臺(tái)前端登陸。在系統(tǒng)的遠(yuǎn)程許可終端上，使用人臉/指紋等生物特征和IC卡信息進(jìn)行認(rèn)證識(shí)別，只有被授權(quán)的人員才能通過(guò)認(rèn)證，進(jìn)入到相應(yīng)的區(qū)域內(nèi)[1]。系統(tǒng)部署結(jié)構(gòu)如圖1所示。

圖1 系統(tǒng)部署結(jié)構(gòu)圖

1.2 訪問(wèn)控制服務(wù)

訪問(wèn)控制是決定開(kāi)放環(huán)境中允許使用哪些資源、在什么地方適合組織為授權(quán)訪問(wèn)的過(guò)程。常見(jiàn)的訪問(wèn)控制服務(wù)的實(shí)現(xiàn)方式有三種：自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、基于角色的訪問(wèn)控制。

變電站遠(yuǎn)程許可系統(tǒng)主要采用基于角色訪問(wèn)控制的方式，通過(guò)對(duì)角色的訪問(wèn)進(jìn)行控制，使權(quán)限和角色相關(guān)聯(lián)，用戶通過(guò)成為適當(dāng)?shù)慕巧蓡T而得到其角色的權(quán)限，而權(quán)限也可根據(jù)需要從角色中收回。用戶可以擁有多個(gè)角色，一個(gè)角色擁有若干權(quán)限，形成用戶-角色-權(quán)限的關(guān)系，當(dāng)人員訪問(wèn)遠(yuǎn)程許可系統(tǒng)時(shí)，系統(tǒng)根據(jù)用戶角色，授予用戶對(duì)應(yīng)的菜單訪問(wèn)權(quán)限、操作權(quán)限和數(shù)據(jù)權(quán)限。具有用戶管理角色的用戶登錄系統(tǒng)，可以對(duì)不同的角色進(jìn)行權(quán)限分配，已授權(quán)的用戶進(jìn)行登錄后，可查看用戶所分配的權(quán)限。

在變電站遠(yuǎn)程許可系統(tǒng)的終端，準(zhǔn)許進(jìn)站的人員名單分為白名單和臨時(shí)名單兩種。其中，臨時(shí)名單是根據(jù)工作任務(wù)臨時(shí)生成的，給予相應(yīng)人員在相應(yīng)時(shí)間段內(nèi)，可進(jìn)出相應(yīng)門房的權(quán)限。白名單中的用戶可以在不配置任務(wù)的情況下進(jìn)出入門禁，只對(duì)門房權(quán)限進(jìn)行劃分，比如保安和清潔，這樣能大大提高管控效率和安全。

1.3 數(shù)據(jù)機(jī)密性服務(wù)

數(shù)據(jù)機(jī)密性服務(wù)的目的是確保信息僅僅是對(duì)被授權(quán)者可用，信息的保護(hù)可以通過(guò)確保數(shù)據(jù)被限制于僅授權(quán)者獲得，或通過(guò)特定方式表示數(shù)據(jù)來(lái)獲得[2]。變電站遠(yuǎn)程許可系統(tǒng)通過(guò)加密提供機(jī)密性，即防止數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中泄露。通常較為常用的加密技術(shù)主要有對(duì)稱加密、非對(duì)稱加密和Hash加密。其中數(shù)據(jù)對(duì)稱加密和非對(duì)稱加密的圖解如圖2所示。

圖2 數(shù)據(jù)對(duì)稱加密和非對(duì)稱加密圖解

對(duì)稱加密技術(shù)速度快，但是密鑰管理較難，適合大數(shù)據(jù)量的加密。本系統(tǒng)的人員信息庫(kù)中包含有單位、部門、班組、身份證號(hào)、工作證ID卡號(hào)、人臉照片、安全相關(guān)資質(zhì)等屬性，為防止數(shù)據(jù)泄露和丟失，采用AES加密算法對(duì)下發(fā)到遠(yuǎn)程許可終端中的人員數(shù)據(jù)進(jìn)行加密。

非對(duì)稱加密安全性高，但是加解密速度慢，適合小數(shù)據(jù)量加解密。本系統(tǒng)采用RSA加密算法對(duì)用戶密碼進(jìn)行加密，當(dāng)用戶登錄的時(shí)候，Web端把用戶輸入的密碼使用服務(wù)端公鑰進(jìn)行加密運(yùn)算，然后傳輸?shù)椒?wù)端，服務(wù)端再用自身的密鑰進(jìn)行解密，進(jìn)而判斷輸入的密碼是否正確，從而防止系統(tǒng)受到不法用戶的入侵。

Hash函數(shù)是一種將任意長(zhǎng)度的消息壓縮到某一固定長(zhǎng)度的函數(shù)，且該過(guò)程不可逆，可用于數(shù)字簽名和認(rèn)證檢測(cè)等。本系統(tǒng)中使用MD5實(shí)現(xiàn)對(duì)用戶的認(rèn)證檢測(cè)，在用戶登陸時(shí)，服務(wù)端會(huì)產(chǎn)生一個(gè)MD5的值返回給到客戶端，并對(duì)這個(gè)MD5的值進(jìn)行保存。在之后所有的用戶端請(qǐng)求中，系統(tǒng)都會(huì)對(duì)接口所攜帶的MD5值進(jìn)行驗(yàn)證。這樣系統(tǒng)在受到CSRF跨站請(qǐng)求的惡意攻擊時(shí)，會(huì)發(fā)現(xiàn)MD5的值不同而不去響應(yīng)，這樣就可以判斷是否為合法請(qǐng)求了。

1.4 數(shù)據(jù)完整性服務(wù)

數(shù)據(jù)完整性的目的是通過(guò)阻止威脅或探測(cè)威脅，保證數(shù)據(jù)不以未經(jīng)授權(quán)的方式進(jìn)行改變或者損毀[3]。

變電站遠(yuǎn)程許可系統(tǒng)使用TLS 1.3傳輸層安全協(xié)議，在TLS 1.3之前，整個(gè)握手環(huán)節(jié)都是沒(méi)有加密保護(hù)的，這泄漏了很多信息，包括客戶端和服務(wù)器的身份。TLS 1.3對(duì)握手的絕大部分信息進(jìn)行了加密，這保護(hù)了用戶隱私，也在一定程度上防止了協(xié)議僵化問(wèn)題。TLS 1.3不僅握手所花費(fèi)的往返次數(shù)更少，降低了協(xié)議的延遲，也刪除了那些不安全的加密算法，增加了傳輸?shù)陌踩裕冶ＷC了數(shù)據(jù)在傳輸過(guò)程中的完整性，能夠有效抵御非法用戶的入侵，并防止惡意軟件對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行篡改。

系統(tǒng)中對(duì)遠(yuǎn)程終端電控大門的控制是通過(guò)104規(guī)約進(jìn)行通訊、TCP進(jìn)行傳輸，使用消息序列號(hào)來(lái)保證傳送數(shù)據(jù)包的順序。發(fā)送方發(fā)送命令都會(huì)帶一個(gè)序列號(hào)，相應(yīng)的應(yīng)答報(bào)文中也要包括序列號(hào)，表示確定收到發(fā)送方的消息報(bào)文，并進(jìn)行響應(yīng)，這樣就保證了數(shù)據(jù)不會(huì)被非授權(quán)修改[4]。

1.5 抗抵賴服務(wù)

抗抵賴服務(wù)是指提供有關(guān)特定事件或者行為的證據(jù)，包括證據(jù)的生成、驗(yàn)證和記錄，以及在解決糾紛時(shí)隨時(shí)進(jìn)行的證據(jù)恢復(fù)和再次驗(yàn)證。

本系統(tǒng)中采用日志方式保證數(shù)據(jù)的抗抵賴性，系統(tǒng)日志可以記錄系統(tǒng)中硬件、軟件和系統(tǒng)問(wèn)題的信息，同時(shí)還可以監(jiān)視系統(tǒng)中發(fā)生的事件?？梢酝ㄟ^(guò)它來(lái)檢查錯(cuò)誤發(fā)生的原因，或者尋找受到攻擊時(shí)攻擊者留下的痕跡。本系統(tǒng)的運(yùn)行日志會(huì)輸出到指定文件中，文件按照時(shí)間日期命名，一天的日志記錄保存到一個(gè)日志文件中。為防止占用存儲(chǔ)空間過(guò)大，只保留一個(gè)月內(nèi)的日志文件。日志等級(jí)分為調(diào)試、信息、警告、錯(cuò)誤4個(gè)等級(jí)，一旦項(xiàng)目出現(xiàn)問(wèn)題，運(yùn)維人員就可以把日志給到開(kāi)發(fā)人員，從而確定到底是哪里出問(wèn)題了。所以系統(tǒng)中的各種信息都要打印到日志里做記錄，方便后續(xù)對(duì)日志進(jìn)行分析統(tǒng)計(jì)以及查找問(wèn)題[5]。

為方便用戶對(duì)系統(tǒng)使用情況進(jìn)行統(tǒng)計(jì)和監(jiān)控，本系統(tǒng)提供了安全審計(jì)機(jī)制，對(duì)用戶登陸、用戶權(quán)限操作、終端操作、任務(wù)授權(quán)執(zhí)行和結(jié)果全過(guò)程進(jìn)行監(jiān)控，確保了系統(tǒng)審計(jì)數(shù)據(jù)產(chǎn)生的全面性。審計(jì)數(shù)據(jù)對(duì)異常事件等級(jí)進(jìn)行了劃分，并根據(jù)異常的嚴(yán)重程度采用了不同的告警方式。軟件系統(tǒng)提供對(duì)審計(jì)數(shù)據(jù)進(jìn)行搜索、查詢、分析、統(tǒng)計(jì)、分類、排序等功能，實(shí)現(xiàn)必要的審計(jì)查閱能力。具有審計(jì)權(quán)限的人員，可以在web端查詢操作過(guò)程和描述，也可以查看統(tǒng)計(jì)結(jié)果。當(dāng)數(shù)據(jù)庫(kù)中審計(jì)記錄存儲(chǔ)超過(guò)預(yù)期存儲(chǔ)量時(shí)，進(jìn)行報(bào)警，用戶可以將審計(jì)記錄導(dǎo)出文件存儲(chǔ)。安全審計(jì)數(shù)據(jù)生成示意圖如圖3所示。

圖3 安全審計(jì)數(shù)據(jù)生成示意圖

2 結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)是指以共享資源為目的，利用通信手段把地域上相對(duì)分散的若干獨(dú)立的計(jì)算機(jī)系統(tǒng)、終端設(shè)備和數(shù)據(jù)設(shè)備連接起來(lái)，并在協(xié)議的控制下進(jìn)行數(shù)據(jù)交換的系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)的根本目的在于資源共享，通信網(wǎng)絡(luò)是實(shí)現(xiàn)網(wǎng)絡(luò)資源共享的途徑。因此，網(wǎng)絡(luò)安全對(duì)系統(tǒng)的穩(wěn)定性和強(qiáng)壯性起到了非常重要的作用，相關(guān)人員應(yīng)當(dāng)要對(duì)其網(wǎng)絡(luò)系統(tǒng)的安全予以充分重視，并采取有效的方法措施來(lái)確保計(jì)算機(jī)通信網(wǎng)絡(luò)的安全。

變電站遠(yuǎn)程許可系統(tǒng)是一套對(duì)進(jìn)站人員身份統(tǒng)一管理、能夠完成臨時(shí)進(jìn)站授權(quán)、對(duì)非法人員進(jìn)行識(shí)別及告警以及人員權(quán)限管理的系統(tǒng)。人員檔案、權(quán)限數(shù)據(jù)等敏感信息都很重要，軟件設(shè)計(jì)人員可以通過(guò)設(shè)計(jì)程序來(lái)操控軟件，不給黑客或不法分子提供機(jī)會(huì)，否則就可能導(dǎo)致重要信息發(fā)生泄漏，從而嚴(yán)重威脅到整個(gè)系統(tǒng)的安全。