伍曉泉

（廣東電網(wǎng)有限責任公司 電力科學研究院，廣東 廣州 510080）

電力監(jiān)控系統(tǒng)遠程運維審計平臺的設計與實現(xiàn)分析

伍曉泉

（廣東電網(wǎng)有限責任公司 電力科學研究院，廣東 廣州 510080）

遠程運維管控是電力監(jiān)控系統(tǒng)運維中的必要措施，文章介紹了電力監(jiān)控系統(tǒng)遠程運維審計平臺的功能需求、架構設計和基于代理的審計實現(xiàn)原理。遠程運維審計平臺的建立，可大大地提高電力監(jiān)控系統(tǒng)運維水平，對運維人員的行為也能進行有效管控。

電力監(jiān)控系統(tǒng)；遠程運維；審計平臺；透明代理

1 電力監(jiān)控研究背景

電力監(jiān)控系統(tǒng)，是監(jiān)視和控制整個電力生產(chǎn)過程的自動化系統(tǒng)以及支撐其運行的通信和數(shù)據(jù)網(wǎng)絡等。它包含調(diào)度自動化系統(tǒng)、變電站視頻及環(huán)境監(jiān)控系統(tǒng)等。由于電力監(jiān)控系統(tǒng)的安全直接關乎電網(wǎng)的安全穩(wěn)定運行，因此對電力監(jiān)控系統(tǒng)進行安全防護是電力監(jiān)控系統(tǒng)運維中的至關重要的內(nèi)容。根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》及能源局《電力監(jiān)控系統(tǒng)安全防護規(guī)定》的要求，需定期對電力監(jiān)控系統(tǒng)進行安全測評，及時發(fā)現(xiàn)系統(tǒng)中的安全漏洞，防止電力系統(tǒng)遭受惡意攻擊。其工作內(nèi)容包括對組成系統(tǒng)的各類網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫、服務器以及應用系統(tǒng)進行安全測評，并根據(jù)測評結果對其進行安全加固[1]。

電力監(jiān)控系統(tǒng)分布于供電局機房以及變電站中，在多年深入現(xiàn)場開展實地測評工作的過程中發(fā)現(xiàn)，現(xiàn)場測試這種工作方式存在一定的問題。一是測評效率無法滿足測評需求；二是測試人員直接對設備進行操作，存在風險?，F(xiàn)場測試過程中，涉及一些敏感操作，如：需查看設備密碼策略、安全策略等關鍵信息，有時需獲取設備的最高權限。在測試過程中，由于測試人員直接對設備進行操作，無監(jiān)控措施，因此存在測試人員由于惡意操作或操作不當引起設備異常的風險。因此需要對運維人員的行為采取安全審計等管控措施。

2 電力監(jiān)控系統(tǒng)遠程運維審計平臺功能需求

隨著通信技術日新月異的發(fā)展，無線通信因其靈活性、經(jīng)濟性而逐漸進入工業(yè)控制網(wǎng)絡。無線網(wǎng)絡能夠有效改善和解決在惡劣工廠環(huán)境下出現(xiàn)的布線困難、網(wǎng)絡維護成本高等問題[2]。為克服目前現(xiàn)場測試中的由于路途奔波、直接操作設備而影響測評工作效率和質(zhì)量的問題，文章開發(fā)了一套基于TD-LTE無線網(wǎng)絡的電力監(jiān)控系統(tǒng)遠程運維審計平臺，實現(xiàn)對電力監(jiān)控系統(tǒng)遠程測試，同時在系統(tǒng)中增加權限管理、運維審計等功能，其基本功能如下：

2.1 用戶賬號管理

對人員的帳號統(tǒng)一管理維護，定期審計，同時解決帳號的共享和鎖定問題。支持管理人員、運維操作人員、審計人員3類角色。對管理員帳號、普通帳號定期進行審查。用戶登錄失敗超過限定次數(shù)，應對帳號進行鎖定。生成的密碼應符合密碼規(guī)則策略（密碼長度、有效期、復雜度）。

遠程運維審計平臺是用戶登錄各類服務器、網(wǎng)絡設備、安全設備的唯一入口，在一次登錄后，能夠無需認證的訪問所連接并已授權的各類服務器、網(wǎng)絡設備、安全設備等。各類服務器、網(wǎng)絡設備、安全設備的賬號密碼對用戶不可見。

2.2 設備管理功能

對用戶的網(wǎng)絡設備、安全設備、服務器以及運行在服務器上的UNIX操作系統(tǒng)、Oracle數(shù)據(jù)庫等進行集中的管理。管理的內(nèi)容包括設備名、設備所屬的部門、設備的物理位置、主機名、主機IP 地址、遠程登錄協(xié)議以及協(xié)議的端口號等。遠程運維審計平臺通過密碼代填的方式遠程登錄到設備，避免了用戶對大量賬號和密碼的管理工作，增加了遠程運維審計平臺的便捷性。

2.3 訪問控制及權限管理功能

支持雙因素認證功能，用戶通過雙因子認證登錄堡壘機。通過支持RBAC基于角色訪問控制的權限管理功能，建立用戶賬號與用戶資源的對應關系，不同用戶使用不同的資源賬號訪問資源。同時，根據(jù)不同的用戶賬號建立對資源操作的白名單，以控制用戶對資源的操作權限，防止用戶越權對資源進行操作所帶來的風險。

記錄用戶對資源的整個操作過程，其內(nèi)容包括：（1）字符操作安全審計記錄的存儲和回放；（2）圖形操作安全審計記錄存儲和回放；（3）數(shù)據(jù)庫操作安全審計記錄存儲和回放。同時應提供對所記錄內(nèi)容的搜索、統(tǒng)計功能，并應提供審計日志的導出功能，能夠將審計日志以標準格式導出。

2.4 數(shù)據(jù)管理功能

支持自動化腳本自動推送等自動化運維功能，持系統(tǒng)配置備份和還原功能，系統(tǒng)能夠對自身運行情況進行檢查，記錄系統(tǒng)當前的內(nèi)存使用情況，包括物理內(nèi)存及虛擬內(nèi)存、已用空間、剩余空間等；記錄系統(tǒng)當前的硬盤文件系統(tǒng)使用情況，包括掛載路徑、已用空間、剩余空間等。

3 電力監(jiān)控系統(tǒng)遠程運維審計平臺系統(tǒng)架構

系統(tǒng)在物理裝置上采用“主站-終端”的兩級體系架構，終端設備部署在測評現(xiàn)場，接入被測系統(tǒng)所在網(wǎng)絡，用于執(zhí)行主站傳來的命令，并將命令直接結果返回主站。主站面向測評人員，用于管理功能的實現(xiàn)及測評指令的發(fā)送等。主站與終端之間通過TD-LTE無線網(wǎng)絡進行通信。系統(tǒng)架構如圖1所示。

圖1 系統(tǒng)架構

如圖2所示，運維操作審計系統(tǒng)主要是B/S 架構，整體架構由數(shù)據(jù)層、功能層和用戶接口層3個部分組成。

圖2 功能結構示意

4 關鍵技術分析與實現(xiàn)

4.1 SSH字符審計功能的分析與實現(xiàn)

SSH 的英文全稱為 Secure Shell，是互聯(lián)網(wǎng)工程任務組（Internet Engineering Task Force，IETF）的 Network Working Group 所制定的協(xié)議，主要目的是提供安全的遠程登錄和其他安全網(wǎng)絡服務，相比Telnet和Rlogin等協(xié)議，傳輸過程加密，更加安全。傳輸層協(xié)議、用戶認證協(xié)議和連接協(xié)議是SSH 協(xié)議框架中最主要的3部分內(nèi)容。

SSH的工作過程為：在整個通訊過程中，為實現(xiàn) SSH 的安全連接，服務器端與客戶端要經(jīng)歷協(xié)議號協(xié)商階段、密鑰和算法協(xié)商階段、認證階段、會話請求階段和交互會話階段5個階段[3]。

SSH 的安全驗證方式有兩種，一種是基于口令的安全驗證，憑借用戶的帳號和口令進行認證，登錄到遠程主機；另一種是基于密匙的安全驗證，服務器與客戶端根據(jù)協(xié)商的密鑰進行安全驗證。由于遠程終端需提前部署在測試現(xiàn)場，因此可以采用基于密鑰的安全驗證方式。

基于密鑰的安全驗證方式其驗證過程為：

（1）在本地創(chuàng)建一對密鑰，將公匙放在遠程運維審計平臺所管轄的服務器上；（2）遠程運維時，本地的SSH客戶端向服務器發(fā)出登錄請求，使用密鑰進行安全驗證；（3）服務器收到客戶端請求后，將客戶端發(fā)送的公鑰與本機存儲的公鑰進行比較，若兩者一致，就向客戶端返回一條經(jīng)過公鑰加密的“質(zhì)詢”消息；（4）客戶端收到“質(zhì)詢”后，用私密解密，再將其返回給服務器完成安全驗證過程。

遠程運維工具通過ssh與各個主機之間建立連接，使用JSch來實現(xiàn).JSch是SSH2的一個純Java實現(xiàn)。它允許你連接到一個sshd 服務器，使用端口轉發(fā)，X11轉發(fā)，文件傳輸?shù)鹊取?/p>

4.2 圖形審計功能

會話審計功能主要是對遠程運維過程中的圖形界面進行會話記錄與回放。圖形審計主要通過RDP（Windows 服務器）或VNC（Linux/Unix）協(xié)議實現(xiàn)[4]。以遠程桌面協(xié)議為例，用于由用戶界面?zhèn)鬏攨f(xié)議來連接客戶端和服務器端，進行數(shù)據(jù)交換傳輸。其執(zhí)行過程為：

（1）RDP 客戶端開放端口，持續(xù)接收同步遠程運維的服務器發(fā)送的數(shù)據(jù)；（2）遠程服務器端使用 TCP協(xié)議將數(shù)據(jù)發(fā)送給RDP客戶端；（3）RDP客戶端在接到TCP數(shù)據(jù)包后，對其進行層層解析，還原成圖形會話信息顯示，完成圖形會話的傳輸，還可使用開源軟件proper Java RDP實現(xiàn)圖形審計功能。

4.3 透明代理模式與會話監(jiān)聽

系統(tǒng)采用基于透明代理模型來實現(xiàn)字符審計功能。透明代理運行在客戶端，即遠程運維審計平臺上。它的功能是將用戶發(fā)往服務器的數(shù)據(jù)包自動的截取并轉發(fā)到代理服務器上，其依據(jù)是用戶設定的代理規(guī)則。通過截取和分析數(shù)據(jù)包，接收客戶端的連接請求，再將請求發(fā)送到服務器端。利用透明代理，可以記錄用戶發(fā)出的連接命令，接收命令回復的信息，對這些信息進行記錄，從而實現(xiàn)字符審計的功能。

5 結語

基于代理的遠程運維審計平臺可以有效地提高電力監(jiān)控系統(tǒng)的運維水平，提升電力監(jiān)控系統(tǒng)安全測評等工作的效率，并能對測評人員的行為進行審計管控，降低作業(yè)風險。同時由于電力監(jiān)控系統(tǒng)的重要性，遠程運維審計平臺自身要做好安全防護，應避免其淪為電力監(jiān)控系統(tǒng)的信息安全脆弱點而帶來新的信息安全風險。

[1]朱世順，郭其秀，程章濱.電力生產(chǎn)控制系統(tǒng)信息安全等級保護研究[J]. 電力信息化，2012（1）：72-75.

[2]孫長江，謝欣岳.工業(yè)無線控制網(wǎng)絡安全方法的研究與實現(xiàn)[J].網(wǎng)絡安全技術與應用，2016（2）：89-90.

[3]甘長華.網(wǎng)絡安全協(xié)議SSH的研究與實現(xiàn)[D].天津：天津大學，2007.

[4]李灝.基于代理的遠程訪問審計系統(tǒng)的設計與實現(xiàn)[D].北京：華北電力大學，2014.

Analysis on design and implementation of operation and maintenance audit platform for remote electric supervisory control system

Wu Xiaoquan
（Electronic Power Research Institiute of Gudnagdong Power Grid Corporation, Guangzhou 510080, China）

Remote operation and maintenance of management control is necessary for the operation and maintenance in electric supervisory control system. This paper introduces the functional requirements, architecture design and agent-based auditing principles of operation and maintenance for electric supervisory remote control system.Through the establishment of this platform, the maintenance level of the electric supervisory control system can be greatly improved, which also can effectively control the personnel behavior of operations engineers.

electric supervisory control system; remote audit system; transparent proxy

伍曉泉（1984— ），女，湖南石門。