基于网络安全机制的变电站远程许可系统

姜琳，范承志

上海欣能信息科技发展有限公司，上海，200023

0 引言

变电站是电力系统变换电压、接收和分配电能、控制电力流向和调整电压的电力设施，是电力系统的核心场所。严格控制和管理变电站房人员进入，是变电站运维一项重要的安全工作，直接关系到变电站甚至整个电网的运行安全。传统的方式是工作人员对出入人员进行登记放行，这种方式费时、费力又容易出错，管理不够严格。因此使用智能、安全、高效的现代化门禁管理已经成为社会发展的必然趋势，同时它也是现代化智能建筑的一个重要组成部分。

变电站远程许可系统采用最新的计算机、生物及通信技术，从变配电站的安全要求和实际情况出发，设计开发一种安全、可靠、便捷的变配电站房作业许可站端系统，对进站人员进行多重身份识别，确保进站人员的合法性，从而保障站房的设备安全。

系统对人员数据的保密性有要求，但是在运用计算机网络时往往很难保障用户的数据信息安全。经过归纳，变电站远程许可系统从认证、访问控制、数据机密性、数据完整性、抗抵赖这五方面对网络安全进行加固。

1 系统概述

1.1 认证服务

认证服务是为了防止其他实体占用和独立操作被认证实体的身份。认证服务主要实现方式有以下五种：已有的信息，如认证口令；拥有的信息,如IC卡、令牌等；不可改变的特征，如指纹、虹膜等生物特征；可靠的第三方建立的认证；环境，如主机地址等。

变电站远程许可系统提供了用户声明其身份的保证。系统提供独立的登陆模块对所有登陆用户进行身份认证，要求用户口令的复杂度满足限制要求：长度不小于8位字符，由大写字母、小写字母、数字、特殊字符中的三种或三种以上组合而成，不可连贯，不能为空，且用户口令不能与用户名相同或包含，修改用户口令不允许与原口令相同，普通用户（非用户管理员）不能修改除自身以外的其他用户的口令。使用唯一的用户标识鉴别所有人员，在系统的所有接口上执行标识和鉴别。对用户IP地址进行限制，同一个用户只能在一台前端登陆。在系统的远程许可终端上，使用人脸/指纹等生物特征和IC卡信息进行认证识别，只有被授权的人员才能通过认证，进入到相应的区域内[1]。系统部署结构如图1所示。

图1 系统部署结构图

1.2 访问控制服务

访问控制是决定开放环境中允许使用哪些资源、在什么地方适合组织为授权访问的过程。常见的访问控制服务的实现方式有三种：自主访问控制、强制访问控制、基于角色的访问控制。

变电站远程许可系统主要采用基于角色访问控制的方式，通过对角色的访问进行控制，使权限和角色相关联，用户通过成为适当的角色成员而得到其角色的权限，而权限也可根据需要从角色中收回。用户可以拥有多个角色，一个角色拥有若干权限，形成用户-角色-权限的关系，当人员访问远程许可系统时，系统根据用户角色，授予用户对应的菜单访问权限、操作权限和数据权限。具有用户管理角色的用户登录系统，可以对不同的角色进行权限分配，已授权的用户进行登录后，可查看用户所分配的权限。

在变电站远程许可系统的终端，准许进站的人员名单分为白名单和临时名单两种。其中，临时名单是根据工作任务临时生成的，给予相应人员在相应时间段内，可进出相应门房的权限。白名单中的用户可以在不配置任务的情况下进出入门禁，只对门房权限进行划分，比如保安和清洁，这样能大大提高管控效率和安全。

1.3 数据机密性服务

数据机密性服务的目的是确保信息仅仅是对被授权者可用，信息的保护可以通过确保数据被限制于仅授权者获得，或通过特定方式表示数据来获得[2]。变电站远程许可系统通过加密提供机密性，即防止数据在存储和传输过程中泄露。通常较为常用的加密技术主要有对称加密、非对称加密和Hash加密。其中数据对称加密和非对称加密的图解如图2所示。

图2 数据对称加密和非对称加密图解

对称加密技术速度快，但是密钥管理较难，适合大数据量的加密。本系统的人员信息库中包含有单位、部门、班组、身份证号、工作证ID卡号、人脸照片、安全相关资质等属性，为防止数据泄露和丢失，采用AES加密算法对下发到远程许可终端中的人员数据进行加密。

非对称加密安全性高，但是加解密速度慢，适合小数据量加解密。本系统采用RSA加密算法对用户密码进行加密，当用户登录的时候，Web端把用户输入的密码使用服务端公钥进行加密运算，然后传输到服务端，服务端再用自身的密钥进行解密，进而判断输入的密码是否正确，从而防止系统受到不法用户的入侵。

Hash函数是一种将任意长度的消息压缩到某一固定长度的函数，且该过程不可逆，可用于数字签名和认证检测等。本系统中使用MD5实现对用户的认证检测，在用户登陆时，服务端会产生一个MD5的值返回给到客户端，并对这个MD5的值进行保存。在之后所有的用户端请求中，系统都会对接口所携带的MD5值进行验证。这样系统在受到CSRF跨站请求的恶意攻击时，会发现MD5的值不同而不去响应，这样就可以判断是否为合法请求了。

1.4 数据完整性服务

数据完整性的目的是通过阻止威胁或探测威胁，保证数据不以未经授权的方式进行改变或者损毁[3]。

变电站远程许可系统使用TLS 1.3传输层安全协议，在TLS 1.3之前，整个握手环节都是没有加密保护的，这泄漏了很多信息，包括客户端和服务器的身份。TLS 1.3对握手的绝大部分信息进行了加密，这保护了用户隐私，也在一定程度上防止了协议僵化问题。TLS 1.3不仅握手所花费的往返次数更少，降低了协议的延迟，也删除了那些不安全的加密算法，增加了传输的安全性，而且保证了数据在传输过程中的完整性，能够有效抵御非法用户的入侵，并防止恶意软件对系统数据进行篡改。

系统中对远程终端电控大门的控制是通过104规约进行通讯、TCP进行传输，使用消息序列号来保证传送数据包的顺序。发送方发送命令都会带一个序列号，相应的应答报文中也要包括序列号，表示确定收到发送方的消息报文，并进行响应，这样就保证了数据不会被非授权修改[4]。

1.5 抗抵赖服务

抗抵赖服务是指提供有关特定事件或者行为的证据，包括证据的生成、验证和记录，以及在解决纠纷时随时进行的证据恢复和再次验证。

本系统中采用日志方式保证数据的抗抵赖性，系统日志可以记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。本系统的运行日志会输出到指定文件中，文件按照时间日期命名，一天的日志记录保存到一个日志文件中。为防止占用存储空间过大，只保留一个月内的日志文件。日志等级分为调试、信息、警告、错误4个等级，一旦项目出现问题，运维人员就可以把日志给到开发人员，从而确定到底是哪里出问题了。所以系统中的各种信息都要打印到日志里做记录，方便后续对日志进行分析统计以及查找问题[5]。

为方便用户对系统使用情况进行统计和监控，本系统提供了安全审计机制，对用户登陆、用户权限操作、终端操作、任务授权执行和结果全过程进行监控，确保了系统审计数据产生的全面性。审计数据对异常事件等级进行了划分，并根据异常的严重程度采用了不同的告警方式。软件系统提供对审计数据进行搜索、查询、分析、统计、分类、排序等功能，实现必要的审计查阅能力。具有审计权限的人员，可以在web端查询操作过程和描述，也可以查看统计结果。当数据库中审计记录存储超过预期存储量时，进行报警，用户可以将审计记录导出文件存储。安全审计数据生成示意图如图3所示。

图3 安全审计数据生成示意图

2 结语

计算机网络是指以共享资源为目的，利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来，并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享，通信网络是实现网络资源共享的途径。因此，网络安全对系统的稳定性和强壮性起到了非常重要的作用，相关人员应当要对其网络系统的安全予以充分重视，并采取有效的方法措施来确保计算机通信网络的安全。

变电站远程许可系统是一套对进站人员身份统一管理、能够完成临时进站授权、对非法人员进行识别及告警以及人员权限管理的系统。人员档案、权限数据等敏感信息都很重要，软件设计人员可以通过设计程序来操控软件，不给黑客或不法分子提供机会，否则就可能导致重要信息发生泄漏，从而严重威胁到整个系统的安全。