吳小娟，張叢叢，潘洪湘，王海峰，裴玉龍

（1.南瑞集團公司（國網(wǎng)電力科學(xué)研究院），南京 211106；2.國電南瑞科技股份有限公司，南京 211106）

0 引言

目前，變電站自動化系統(tǒng)和設(shè)備的運維檢修，以現(xiàn)場作業(yè)為主。變電站具有寬地域、維護點分布廣、監(jiān)控系統(tǒng)廠家眾多等特點[1]，傳統(tǒng)的現(xiàn)場作業(yè)模式需要往返于變電站現(xiàn)場，消耗的時間過長，有效工作時間較短。隨著調(diào)變一體化大運行、大檢修的深入，無人值守智能變電站進入全面建設(shè)階段[2]，變電站自動化廣域運維系統(tǒng)得到了廣泛應(yīng)用。

目前已有的運維方式包括主子站間故障診斷的協(xié)調(diào)處理系統(tǒng)[3]、智能變電站遠程虛擬終端訪問系統(tǒng)[4]、基于KVM（內(nèi)核虛擬機）技術(shù)的遠程系統(tǒng)[5]、基于C/S 結(jié)構(gòu)的遠程維護調(diào)試系統(tǒng)[6]等，常用的廣域運維系統(tǒng)[7-8]包含運維中心、服務(wù)管理中心和變電站自動化系統(tǒng)，通過構(gòu)建一個服務(wù)于主、子站之間的服務(wù)管理系統(tǒng)，提供服務(wù)的注冊、審批、定位和調(diào)用等，實現(xiàn)變電站自動化設(shè)備的遠程喚醒、復(fù)位、模型診斷、狀態(tài)監(jiān)視、歷史信息檢索和遠程桌面等運維工作。

現(xiàn)有廣域運維系統(tǒng)的安全防護方法主要采用縱向隔離[9]、日志記錄等技術(shù)，安全防護管理模式單一，未考慮遠程運維的安全問題，包括登錄驗證、通信安全以及權(quán)限管理和維護等，缺乏系統(tǒng)內(nèi)通信安全、數(shù)據(jù)交互安全的防護措施，無法滿足變電站自動化廣域運維安全穩(wěn)定運行的要求。

對此，本文基于運維主、子站二次系統(tǒng)安全防護的要求，結(jié)合當(dāng)前常用的廣域運維系統(tǒng)架構(gòu)，設(shè)計一種變電站自動化廣域運維系統(tǒng)安全防護技術(shù)，在服務(wù)管理中心、運維中心和變電站分別設(shè)立安全認證體系，同時在服務(wù)管理中心、運維中心和變電站之間部署雙因子登錄、加密認證等安全訪問功能，提高廣域網(wǎng)絡(luò)通信、數(shù)據(jù)交互的安全性，提升廣域運維規(guī)范化水平。

1 變電站自動化廣域運維系統(tǒng)架構(gòu)設(shè)計

變電站自動化廣域運維實現(xiàn)了在運維主站集中對變電站自動化系統(tǒng)及設(shè)備進行遠程運行監(jiān)視、組態(tài)配置、設(shè)備管理、維護操作及異常診斷等功能。系統(tǒng)采用高性能通用服務(wù)框架[10-12]，由運維主站和變電站端組成，如圖1 所示。根據(jù)服務(wù)的功能定位將廣域運維服務(wù)接口分為公共服務(wù)與應(yīng)用服務(wù)。

公共服務(wù)為廣域運維應(yīng)用的基礎(chǔ)服務(wù)，包含文件服務(wù)、數(shù)據(jù)服務(wù)和模型服務(wù)等。通過服務(wù)管理中心實現(xiàn)公共服務(wù)的關(guān)聯(lián)、釋放、申請、注冊、出錯處理及監(jiān)視等通用類服務(wù)管理。應(yīng)用服務(wù)為面向廣域運維功能應(yīng)用的服務(wù)，實現(xiàn)變電站自動化的遠程運行監(jiān)視、狀態(tài)估計、設(shè)備管理及異常診斷等應(yīng)用功能。

基于高性能通用服務(wù)的遠程交互技術(shù)，運維中心向服務(wù)管理中心查詢和調(diào)用變電站提供的各類公共服務(wù)，實現(xiàn)各類應(yīng)用服務(wù)。

圖1 廣域運維系統(tǒng)架構(gòu)

針對廣域運維系統(tǒng)“面向服務(wù)”的架構(gòu)特點，本文在原有縱向加密的邊界安全防護基礎(chǔ)上，在服務(wù)的認證和調(diào)用等方面，采用雙因子登錄、審計日志、權(quán)限認證、流量管控等安全防護技術(shù)，在廣域運維系統(tǒng)的子系統(tǒng)間增加了安全設(shè)計，保障通信和數(shù)據(jù)交互的安全性。

2 廣域運維子系統(tǒng)安全防護關(guān)鍵技術(shù)

2.1 運維中心安全防護關(guān)鍵技術(shù)

運維中心通過服務(wù)管理中心的授權(quán)，向變電站調(diào)用所需的應(yīng)用服務(wù)，為運維人員提供多變電站不同廠商設(shè)備的遠程監(jiān)視、診斷、維護、全壽命周期管理等應(yīng)用。運維中心安全防護技術(shù)包括管理用戶的雙因子登錄、安全審計、主站錄屏等。

2.1.1 安全審計

運維系統(tǒng)不但能夠監(jiān)視關(guān)鍵進程是否啟動、應(yīng)用告警和節(jié)點CPU、內(nèi)存等資源信息，還能夠深入了解系統(tǒng)內(nèi)部狀態(tài)，監(jiān)控關(guān)鍵進程運行狀態(tài)，對操作系統(tǒng)日志和智能電網(wǎng)調(diào)度控制系統(tǒng)日志進行安全審計。通過深入、細致的安全審核和應(yīng)用監(jiān)控，有利于系統(tǒng)故障的事前預(yù)防、事中控制和事后治理。

安全審計?？鞂崟r監(jiān)視四個不同等級（emerg，err，warnning 和notice）的日志文件變化，如圖2所示，當(dāng)目標(biāo)日志文件發(fā)生變化時，能夠立即發(fā)現(xiàn)并檢索新增加的日志，并對日志內(nèi)容進行語法分析，按照統(tǒng)一的規(guī)則進行重新組裝，形成新的歸一化的日志格式。

圖2 安全審計流程

對于安全等級較高（emerg，err）的日志，當(dāng)日志出現(xiàn)時就立即發(fā)送告警，從而保證維護人員能夠及時處理；對于安全等級較低（warnning，notice）的日志，當(dāng)日志出現(xiàn)時先緩存，當(dāng)達到一定數(shù)量或緩存超過了一定時間再發(fā)送告警，從而保證系統(tǒng)的穩(wěn)定性。

2.1.2 雙因子登錄

雙因子登錄技術(shù)依托中國電力調(diào)度數(shù)字證書系統(tǒng)，是將電力調(diào)度數(shù)字證書與用戶口令相結(jié)合的高安全等級的認證方式。

在運維中心，運維人員在登錄遠程運維界面時，需要進行雙因子登錄。登錄過程包括兩個環(huán)節(jié)，一是用戶需要插入電力調(diào)度專用移動數(shù)字證書（USBKey）進行身份認證[13-14]；二是需要用戶輸入正確的用戶名和對應(yīng)的密碼。如圖3 所示，運維中心通過身份認證后，通過調(diào)度數(shù)據(jù)網(wǎng)將交互數(shù)據(jù)信息和用戶信息一起傳送到變電站端。同樣地，變電站端也會對用戶信息進行驗證，只有通過驗證后，才會執(zhí)行運維中心的指令。

圖3 雙因子登錄示意

通過這樣的雙重身份認證，可有效防止用戶名和密碼泄露導(dǎo)致的安全隱患，保障運維用戶的登錄安全。

2.1.3 主站錄屏

主站端的錄屏功能，主要記錄運維人員通過遠程運維客戶端訪問和維護子站端數(shù)據(jù)的過程。當(dāng)運維人員登錄遠程運維客戶端時，錄屏功能自動開啟，記錄運維人員的維護過程，并保存至本地庫，便于后續(xù)的查看。若主站端沒有運維人員登錄，則錄屏功能處于關(guān)閉狀態(tài)。

2.2 服務(wù)管理中心安全防護關(guān)鍵技術(shù)

服務(wù)管理中心采用服務(wù)代理機制，向變電站調(diào)用所需的運維服務(wù)，增強數(shù)據(jù)處理的準(zhǔn)確性和靈活性，有效解決變電站自動化設(shè)備運維服務(wù)私有化問題。

服務(wù)管理中心通過責(zé)任區(qū)和權(quán)限認證、服務(wù)調(diào)用限制等關(guān)鍵技術(shù)，實現(xiàn)運維主站對變電站內(nèi)各類運維服務(wù)的注冊、審核、監(jiān)視全過程縱深安全防護等管理服務(wù),并將操作過程自動記錄入日志文件，例如記錄登錄人員的姓名、維護時間、維護內(nèi)容、維護結(jié)果等信息，并可按時間的先后順序排列，形成日志文件，以供查詢和審閱。

2.2.1 責(zé)任區(qū)和權(quán)限認證

服務(wù)管理中心為用戶設(shè)置了服務(wù)權(quán)限管理和可切換責(zé)任區(qū)。如圖4 所示，當(dāng)服務(wù)管理中心通過運維人員的登錄驗證后，并將當(dāng)前運維人員的責(zé)任區(qū)和服務(wù)管理權(quán)限返回給運維中心，運維人員才可在相應(yīng)的責(zé)任區(qū)內(nèi)管理和調(diào)用對應(yīng)的權(quán)限服務(wù)。

此外，在權(quán)限認證處做進一步安全加固：

圖4 責(zé)任區(qū)安全認證

（1）用戶密碼加固。配置復(fù)雜密碼功能，用戶在設(shè)置密碼需同時包含數(shù)字、字母和特殊符號；配置密碼有效期，強制用戶定期修改密碼；配置密碼加密傳輸功能，在網(wǎng)絡(luò)間傳輸密碼信息時數(shù)據(jù)經(jīng)過AES（高級加密標(biāo)準(zhǔn)）加密，避免泄露。

（2）限制管理員角色。配置管理員分配限制功能，在權(quán)限管理界面將系統(tǒng)管理員、安全管理員、審計管理員分配給用戶時有確認提示，具有管理員角色的用戶不能再包含其他業(yè)務(wù)功能角色；若用戶已被分配了一個管理員角色，則無法再給其分配其他的管理員角色；刪除系統(tǒng)中的“超級用戶”。

（3）用戶登錄限制。配置用戶登錄鎖定功能，當(dāng)用戶連續(xù)使用錯誤密碼登錄失敗后，鎖定該用戶一段時間；配置同一角色可登錄用戶數(shù)上限；配置用戶單節(jié)點登錄功能，當(dāng)用戶在一臺工作站登錄后，同一用戶無法再在其他工作站登錄；配置自動登出功能，工作站無鼠標(biāo)鍵盤操作一段時間后，已登錄的用戶自動注銷。

2.2.2 服務(wù)調(diào)用限制

服務(wù)管理中心周期性地監(jiān)視各類運維服務(wù)的狀態(tài)，并提供服務(wù)黃頁，實時顯示已注冊的運維服務(wù)的服務(wù)信息。服務(wù)管理中心采用服務(wù)代理模式實現(xiàn)運維服務(wù)的管理。

服務(wù)代理的服務(wù)調(diào)用限制功能如圖5 所示，當(dāng)子站端的外部服務(wù)Server1 完成服務(wù)上線后，服務(wù)管理中心會通知服務(wù)代理放開Server1 服務(wù)的調(diào)用請求。服務(wù)代理只能通過已上線運維服務(wù)的調(diào)用請求，并將相應(yīng)請求發(fā)送給變電站端。對于未上線的Server2 服務(wù)調(diào)用請求，服務(wù)代理會直接拒絕。

2.3 變電站運維安全防護關(guān)鍵技術(shù)

圖5 服務(wù)代理限制服務(wù)調(diào)用流程

變電站提供各種運維服務(wù)，向服務(wù)管理中心提出服務(wù)注冊、服務(wù)上線等請求，并響應(yīng)運維中心的服務(wù)調(diào)閱請求。變電站安全防護關(guān)鍵技術(shù)包括日志管理和服務(wù)調(diào)用的流量控制。

2.3.1 日志管理

日志管理指對系統(tǒng)業(yè)務(wù)運行過程中的狀態(tài)和告警進行采集和管理，是智能運維系統(tǒng)安全穩(wěn)定分析的一個數(shù)據(jù)來源。在變電站端中，本文主要采集以下幾種日志數(shù)據(jù)：

（1）網(wǎng)絡(luò)狀況日志。主要記錄交換機以及網(wǎng)卡的故障、恢復(fù)等信息。

（2）系統(tǒng)管理日志。主要記錄應(yīng)用主備切換、應(yīng)用斷網(wǎng)、應(yīng)用故障、應(yīng)用退出、進程啟停等信息。

（3）服務(wù)器資源日志。主要記錄CPU 越限、主機不刷新、與天文鐘時間差越限、交換區(qū)越限、磁盤分區(qū)越限、磁盤故障等信息。

（4）服務(wù)訪問日志。主要記錄客戶端IP、端口號以及服務(wù)處理耗時等信息。

（5）進程運行日志。主要記錄進程運行跟蹤信息。

2.3.2 流量管控

為了解決多種信息業(yè)務(wù)綜合傳輸中的流量沖突問題，必須在變電站信息綜合傳輸中實施有效的流量控制策略，設(shè)定主、子站通信最大流量限制。變電站服務(wù)數(shù)據(jù)上送的最大瞬時流量不能超過設(shè)定閥值。如果超過設(shè)定的閥值，則服務(wù)無法調(diào)用，并優(yōu)先保證電力系統(tǒng)中敏感數(shù)據(jù)業(yè)務(wù)的可靠實時傳輸。

流量控制可采用以下方法：

（1）帶寬保證和限制。針對敏感數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)傳輸，需要保證其帶寬，對其他數(shù)據(jù)則應(yīng)進行帶寬限制。

（2）采用優(yōu)先級保證。對于不同服務(wù)的特殊性質(zhì)，建立優(yōu)先級流量控制隊列，實現(xiàn)按照優(yōu)先級的流量控制策略。如對于敏感數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)傳輸，將其優(yōu)先級設(shè)置為最高；而對于圖形、視頻和文件等大量的成塊數(shù)據(jù)傳輸可以設(shè)置為較低的優(yōu)先級，以保證敏感數(shù)據(jù)傳輸?shù)目煽啃浴?/p>

3 廣域運維主、子站交互安全訪問流程設(shè)計

為了進一步提高廣域運維中主站客戶端對子站端服務(wù)訪問的安全性，提出運維主、子站交互安全訪問機制，主、子站安全防護訪問示意圖如圖6 所示。

圖6 廣域運維主、子站系統(tǒng)安全防護訪問

服務(wù)管理員在服務(wù)管理中心通過服務(wù)管理系統(tǒng)，添加運維人員管轄責(zé)任區(qū)內(nèi)的變電站，并注冊運維人員權(quán)限范圍內(nèi)的服務(wù)，保證運維人員只能調(diào)用屬于自己責(zé)任區(qū)內(nèi)的變電站和服務(wù)，避免超權(quán)限管理。同時，調(diào)用審計日志管理功能接口，記錄服務(wù)管理人員的操作過程。

首先，運維人員在運維中心通過用戶名、口令和USBKey 進行雙因子加密認證登錄，通過服務(wù)管理中心的用戶認證后，才可調(diào)用變電站服務(wù)；其次，運維中心采用通用服務(wù)協(xié)議與服務(wù)管理中心進行交互，服務(wù)管理中心的權(quán)限認證服務(wù)根據(jù)運維人員的責(zé)任區(qū)和權(quán)限，將責(zé)任區(qū)內(nèi)的變電站和權(quán)限內(nèi)的服務(wù)列表反饋給運維中心，運維中心將運維人員責(zé)任區(qū)內(nèi)的變電站和權(quán)限內(nèi)的服務(wù)以人機界面的形式直觀展示。最后，運維中心通過服務(wù)管理系統(tǒng)調(diào)用變電站的服務(wù)，通過變電站的“雙確認”認證，即需要通過操作員和監(jiān)護員的雙重確認后方可調(diào)用在流量管控范圍內(nèi)的服務(wù)，保證主、子站之間數(shù)據(jù)交互訪問流暢。

運維中心在調(diào)用變電站自動化設(shè)備服務(wù)和使用過程中，激活運維中心錄屏功能和審計日志功能，保證運維人員的所有操作均有操作記錄可查詢。同時，在服務(wù)管理中心服務(wù)管理系統(tǒng)和變電站自動化設(shè)備監(jiān)控系統(tǒng)中，均有審計日志記錄功能，詳細記錄運維人員調(diào)用運維服務(wù)的時間、操作人、操作過程等信息，最大限度地保證服務(wù)管理中心、運維中心和變電站交互的安全性。

4 試點應(yīng)用情況

基于變電站自動化設(shè)備廣域運維安全防護技術(shù)的廣域運維系統(tǒng)通過了國網(wǎng)江蘇電科院的各項功能測試，滿足設(shè)計要求和現(xiàn)場驗收標(biāo)準(zhǔn)。目前，系統(tǒng)已在南京、蘇州投入使用，南京已經(jīng)部署2 個運維中心，接入220 kV 嘉慶變、110 kV同曦變等90 多座變電站，蘇州已經(jīng)部署1 個運維中心，接入220 kV 書臺變、110 kV 流虹變等70 多座變電站，接入廠家分別有南瑞科技、南瑞繼保、許繼電氣、國電南自和長園深瑞等。截至目前，已投入試點工程的廣域運維系統(tǒng)功能正常、運行穩(wěn)定。

5 結(jié)語

為了實現(xiàn)運維系統(tǒng)對變電站自動化設(shè)備的安全穩(wěn)定操作，本文提出了一種變電站自動化廣域運維系統(tǒng)安全防護設(shè)計方法。在服務(wù)管理中心、運維中心和變電站分別設(shè)定廣域運維系統(tǒng)的安全認證體系，同時在服務(wù)管理中心、運維中心和變電站之間部署加密認證功能，基于雙因子登錄、數(shù)字簽名、審計日志、流量管控、權(quán)限認證、主站錄屏等多種關(guān)鍵技術(shù)，實現(xiàn)了遠方對變電站自動化設(shè)備集中運維，提高了主站遠方操作變電站設(shè)備的安全性。

變電站自動化設(shè)備廣域運維安全防護技術(shù)能夠提高廣域運維系統(tǒng)的安全性，在后續(xù)的產(chǎn)業(yè)化過程中，隨著變電站運維服務(wù)的擴增，對運維系統(tǒng)的安全要求會更高。下一步需要在當(dāng)前安全防護系統(tǒng)的基礎(chǔ)上，進一步優(yōu)化和完善安全防護措施，例如在用戶登錄時，可以增加動態(tài)密碼和生物特征等鑒別技術(shù)；采用安全態(tài)勢感知技術(shù)，對系統(tǒng)日志、系統(tǒng)告警和網(wǎng)絡(luò)流量等信息進行綜合管理和分析，快速發(fā)現(xiàn)威脅，控制威脅，從而進一步提高廣域運維系統(tǒng)安全水平。