電力監(jiān)控系統(tǒng)在線式運(yùn)維審計(jì)平臺(tái)的需求與應(yīng)用場(chǎng)景設(shè)計(jì)

◆鄭偉文 陳海光 吳佩澤

行業(yè)與應(yīng)用安全

電力監(jiān)控系統(tǒng)在線式運(yùn)維審計(jì)平臺(tái)的需求與應(yīng)用場(chǎng)景設(shè)計(jì)

◆鄭偉文 陳海光 吳佩澤

（南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司網(wǎng)絡(luò)安全公司 廣東 510000）

隨著科學(xué)技術(shù)的不斷發(fā)展，電力行業(yè)的各個(gè)方面都有了很大的突破，使得國(guó)家整體的電力水平得到了有效的提升和保障。電力監(jiān)控系統(tǒng)對(duì)于電力系統(tǒng)的正常運(yùn)轉(zhuǎn)和安全穩(wěn)定性能有著重要的作用，是電力行業(yè)進(jìn)行控制和運(yùn)維的重要突破，在電力行業(yè)有著非常重要的意義。電力監(jiān)控系統(tǒng)的運(yùn)維審計(jì)平臺(tái)是針對(duì)電力監(jiān)控系統(tǒng)的運(yùn)維需求進(jìn)行構(gòu)架設(shè)計(jì)，通過(guò)該系統(tǒng)對(duì)電力監(jiān)控系統(tǒng)的運(yùn)維工作進(jìn)行記錄，并分析、監(jiān)測(cè)運(yùn)維過(guò)程，確保運(yùn)維過(guò)程中不對(duì)電力監(jiān)控系統(tǒng)的運(yùn)行造成破壞和影響。本文對(duì)電力監(jiān)控系統(tǒng)在線運(yùn)維審計(jì)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行了分析探討，供相關(guān)讀者參考。

電力監(jiān)控系統(tǒng)；在線運(yùn)維審計(jì)平臺(tái)；設(shè)計(jì)實(shí)現(xiàn)

電力監(jiān)控系統(tǒng)的安全穩(wěn)定運(yùn)行，直接影響了電力系統(tǒng)的電力供應(yīng)可靠性。在電力監(jiān)控系統(tǒng)工作過(guò)程中，不可避免需要對(duì)系統(tǒng)功能、設(shè)備、軟硬件進(jìn)行日常維護(hù)，而且相關(guān)維護(hù)工作必須在電力監(jiān)控系統(tǒng)在線運(yùn)行的條件下開(kāi)展，電力監(jiān)控系統(tǒng)在線運(yùn)維審計(jì)平臺(tái)的目的是為電力監(jiān)控系統(tǒng)的在線運(yùn)行維護(hù)工作提供一套完整解決方案，包括運(yùn)維工作的管理、過(guò)程的監(jiān)控、異常操作的分析和阻斷等，下面對(duì)電力監(jiān)控系統(tǒng)在線運(yùn)維審計(jì)平臺(tái)的設(shè)計(jì)進(jìn)行分析，并就其實(shí)現(xiàn)進(jìn)行了探討。

1 平臺(tái)研究背景

電力監(jiān)控系統(tǒng)主要分布于供電局的機(jī)房以及我國(guó)的大部分變電站中，是電力系統(tǒng)在不斷完善發(fā)展過(guò)程中一項(xiàng)非常重要的技術(shù)內(nèi)容，為電力系統(tǒng)的正常運(yùn)轉(zhuǎn)提供有效的保障，給電力維護(hù)人員帶來(lái)巨大的便利，極大推動(dòng)了我國(guó)電力事業(yè)的發(fā)展。鑒于電力監(jiān)控系統(tǒng)的重要性，對(duì)電力監(jiān)控系統(tǒng)的運(yùn)維審計(jì)平臺(tái)就有了一定的需求。其作用在于通過(guò)對(duì)電力監(jiān)控系統(tǒng)的運(yùn)維風(fēng)險(xiǎn)以及運(yùn)維工作人員的行為操作進(jìn)行監(jiān)測(cè)和分析，從而保證電力監(jiān)控系統(tǒng)能夠發(fā)揮出其有效的作用。

電力監(jiān)控系統(tǒng)的在線運(yùn)維審計(jì)平臺(tái)建設(shè)能夠極大程度的保障電力監(jiān)控系統(tǒng)的有效作用，是規(guī)范電力系統(tǒng)測(cè)試人員操作行為以及防范設(shè)備異常風(fēng)險(xiǎn)的有效舉措。同時(shí)由于其靈活性，經(jīng)濟(jì)性等優(yōu)勢(shì)，能夠極大的滿足對(duì)電力監(jiān)控系統(tǒng)的性能和效果進(jìn)行判斷工作，因此目前在進(jìn)行電力監(jiān)控系統(tǒng)的設(shè)計(jì)安裝時(shí)，必然會(huì)增添其在線運(yùn)維審計(jì)平臺(tái)的建設(shè)工作。目前許多沒(méi)有對(duì)電力監(jiān)控系統(tǒng)進(jìn)行運(yùn)維審計(jì)的區(qū)域也紛紛進(jìn)行改裝完善，使得電力系統(tǒng)工作人員能夠?qū)﹄娏ΡO(jiān)控系統(tǒng)效用和狀況能夠更加清晰明了。

2 功能需求規(guī)劃

為了克服對(duì)電力系統(tǒng)現(xiàn)場(chǎng)測(cè)試時(shí)路途奔波、效率低下、成本較高的問(wèn)題，本文對(duì)電力監(jiān)控系統(tǒng)的在線運(yùn)維審計(jì)平臺(tái)設(shè)計(jì)和實(shí)現(xiàn)進(jìn)行簡(jiǎn)單的探討。首先對(duì)電力監(jiān)控系統(tǒng)在線運(yùn)維審計(jì)平臺(tái)的功能需求進(jìn)行分析，其基本功能如下：

2.1 電力監(jiān)控系統(tǒng)在線運(yùn)維審計(jì)平臺(tái)與生產(chǎn)工作票集成

電力系統(tǒng)的日常運(yùn)行維護(hù)，需要充分遵循工作票制度。因此，電力監(jiān)控系統(tǒng)在線運(yùn)維審計(jì)平臺(tái)也需要考慮與站端監(jiān)控系統(tǒng)具體工作票的關(guān)聯(lián)，明確運(yùn)維場(chǎng)景、時(shí)間、運(yùn)維對(duì)象、運(yùn)維人員與工具。運(yùn)維流程中，通過(guò)電力系統(tǒng)工作票中的上述信息，在線運(yùn)維審計(jì)平臺(tái)根據(jù)上述信息進(jìn)行運(yùn)維工作的授權(quán)，從而實(shí)現(xiàn)身份與權(quán)限準(zhǔn)確的精細(xì)化管控，防止違規(guī)、越權(quán)等操作。

2.2 運(yùn)維人員的用戶賬號(hào)管理

用戶賬號(hào)管理就是對(duì)運(yùn)維人員的賬號(hào)進(jìn)行統(tǒng)一管理和維護(hù)，并進(jìn)行定期的審計(jì)。賬號(hào)管理主要支持管理人員、審計(jì)人員以及運(yùn)維操作人員，對(duì)不同類(lèi)型的人員進(jìn)行賬號(hào)和功能的區(qū)分。賬號(hào)以及密碼是登錄運(yùn)維審計(jì)平臺(tái)的唯一入口，在登錄過(guò)一次之后，給予其訪問(wèn)授權(quán)服務(wù)器、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備的權(quán)限。關(guān)于賬號(hào)管理中的密碼問(wèn)題，設(shè)置密碼錯(cuò)誤限定次數(shù)，超過(guò)限定次數(shù)將賬號(hào)鎖定，制定賬號(hào)密碼的設(shè)定規(guī)則和策略。

2.3 運(yùn)維對(duì)象的設(shè)備管理

設(shè)備管理主要是指對(duì)用戶的各類(lèi)電力監(jiān)控系統(tǒng)運(yùn)維對(duì)象的進(jìn)行集中管理。管理內(nèi)容以臺(tái)賬信息為主，包括了運(yùn)維對(duì)象設(shè)備的設(shè)備名以及設(shè)備所屬部門(mén)、物理位置、主機(jī)名、端口號(hào)等信息。通過(guò)這種管理方式可以大大增加其可靠性，并通過(guò)遠(yuǎn)程登錄功能使得用戶能夠?qū)Υ罅康馁~號(hào)進(jìn)行管理，能夠大大增加在線運(yùn)維審計(jì)平臺(tái)的兼容性。

2.4 訪問(wèn)控制及權(quán)限管理功能

針對(duì)不同的賬號(hào)，建立不同的數(shù)據(jù)庫(kù)和權(quán)限管理內(nèi)容，控制用戶對(duì)于平臺(tái)資源的操作權(quán)限，有效對(duì)系統(tǒng)資源進(jìn)行管理，能夠防止用戶越權(quán)對(duì)系統(tǒng)資源操作，從而給系統(tǒng)帶來(lái)一定的風(fēng)險(xiǎn)。另外系統(tǒng)會(huì)記錄用戶在進(jìn)行資源操作時(shí)的整個(gè)過(guò)程并進(jìn)行存儲(chǔ)。在數(shù)據(jù)庫(kù)中專(zhuān)門(mén)設(shè)置區(qū)域存放，用戶操作過(guò)程信息，設(shè)置用戶操作日志。，并提供搜索、導(dǎo)出、統(tǒng)計(jì)功能，便于后期管理人員對(duì)用戶的整個(gè)操作狀況和水平進(jìn)行分析。

3 系統(tǒng)構(gòu)架設(shè)計(jì)

整個(gè)電力監(jiān)控系統(tǒng)在線運(yùn)維審計(jì)平臺(tái)系統(tǒng)的構(gòu)架包括了四個(gè)部分，分別是數(shù)據(jù)展示層、功能實(shí)現(xiàn)層、權(quán)限控制層和數(shù)據(jù)庫(kù)。如圖1所示：

圖1 電力監(jiān)控系統(tǒng)在線運(yùn)維審計(jì)平臺(tái)系統(tǒng)

圖1中，第一個(gè)部分是運(yùn)維審計(jì)系統(tǒng)功能界面，通過(guò)設(shè)計(jì)軟件進(jìn)行功能界面的設(shè)計(jì)，這個(gè)模塊是進(jìn)行電力監(jiān)控在線運(yùn)維審計(jì)的主界面；第二個(gè)模塊是運(yùn)維審計(jì)系統(tǒng)權(quán)限控制層，包括用戶賬戶管理模塊，設(shè)備管理功能模塊，以及訪問(wèn)控制及權(quán)限管理功能模塊。第三部分是功能實(shí)現(xiàn)層，包括審計(jì)分析、訪問(wèn)代理、工作票聯(lián)動(dòng)等工，最后一個(gè)模塊是運(yùn)維審計(jì)系統(tǒng)數(shù)據(jù)庫(kù)，進(jìn)行不同數(shù)據(jù)和用戶信息的存儲(chǔ)。因?yàn)閷徲?jì)平臺(tái)的硬件系統(tǒng)構(gòu)架主要是以遠(yuǎn)程運(yùn)維審計(jì)主站為核心，通過(guò)不同的運(yùn)維審計(jì)終端對(duì)電力監(jiān)控系統(tǒng)進(jìn)行審計(jì)管理。

4 運(yùn)維審計(jì)應(yīng)用場(chǎng)景

（1）命令行類(lèi)運(yùn)維審計(jì)場(chǎng)景

命令行類(lèi)運(yùn)維主要通過(guò)SSH或者Telnet等協(xié)議，遠(yuǎn)程登錄電力監(jiān)控系統(tǒng)運(yùn)維對(duì)象的后臺(tái)命令行操作界面中，開(kāi)展運(yùn)維工作的，主流采用SSH協(xié)議，SSH協(xié)議除了可以為用戶提供靈魂的遠(yuǎn)程服務(wù)之后，還可以較好的保證遠(yuǎn)程服務(wù)過(guò)程中的安全性，其具有非常先進(jìn)的加密方式，使用這個(gè)協(xié)議能夠讓電力監(jiān)控系統(tǒng)的在線審計(jì)變得更加安全可靠，具有更好的保障。

本文介紹的電力監(jiān)控系統(tǒng)在線運(yùn)維審計(jì)平臺(tái)設(shè)計(jì)采用基于密鑰的安全驗(yàn)證方式作為驗(yàn)證手段。其基本的驗(yàn)證過(guò)程是：首先在本地自動(dòng)創(chuàng)建一對(duì)有關(guān)聯(lián)的密鑰，然后將公鑰存放在遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)管轄之下的服務(wù)器平臺(tái)上，然后在進(jìn)行電力監(jiān)控系統(tǒng)的遠(yuǎn)程運(yùn)維時(shí)，本地的SSH客戶端向服務(wù)器發(fā)出想要登錄的請(qǐng)求，這個(gè)時(shí)候就需要利用密鑰進(jìn)行驗(yàn)證，只有知道密鑰的才能夠進(jìn)行安全驗(yàn)證。服務(wù)器收到密鑰之后同客戶端的公鑰進(jìn)行對(duì)照，然后回發(fā)一條問(wèn)詢(xún)的消息，客戶端收到問(wèn)詢(xún)消息之后，利用自己的私密進(jìn)行解密，最后完成整個(gè)安全驗(yàn)證過(guò)程。

（2）遠(yuǎn)程桌面類(lèi)運(yùn)維審計(jì)場(chǎng)景

遠(yuǎn)程桌面類(lèi)運(yùn)維主要通過(guò)RDP協(xié)議實(shí)現(xiàn)對(duì)運(yùn)維對(duì)象的電力監(jiān)控系統(tǒng)遠(yuǎn)程訪問(wèn)，實(shí)現(xiàn)對(duì)遠(yuǎn)端對(duì)象的圖形化展示和操作，與此同時(shí)，在運(yùn)維審計(jì)過(guò)程中，實(shí)時(shí)記錄運(yùn)維操作中的圖形界面，并具有對(duì)記錄的圖形界面進(jìn)行回放，實(shí)現(xiàn)運(yùn)維過(guò)程的審計(jì)功能。圖形審計(jì)功能主要是通過(guò)RDP協(xié)議進(jìn)行實(shí)現(xiàn)。下面以遠(yuǎn)程桌面協(xié)議為例，簡(jiǎn)單介紹用戶的圖形傳輸協(xié)議，進(jìn)行圖形審計(jì)功能實(shí)現(xiàn)的執(zhí)行過(guò)程。

首先RDP的客戶端開(kāi)放端口，然后持續(xù)不斷的接收同步過(guò)來(lái)的運(yùn)維服務(wù)器數(shù)據(jù)，服務(wù)器端則利用TCP協(xié)議將收到的數(shù)據(jù)報(bào)發(fā)送給RDP客戶端，最后客戶端將接收到的數(shù)據(jù)包進(jìn)行解析還原圖形繪畫(huà)信息，完成對(duì)電力監(jiān)控系統(tǒng)的在線運(yùn)維審計(jì)中的圖形審計(jì)功能。

（3）協(xié)議代理類(lèi)運(yùn)維審計(jì)場(chǎng)景

在電力監(jiān)控系統(tǒng)中，存在眾多運(yùn)維對(duì)象采用專(zhuān)用協(xié)議進(jìn)行維護(hù)，在運(yùn)維過(guò)程中無(wú)法通過(guò)傳統(tǒng)的命令行操作和遠(yuǎn)程桌面，因此，電力監(jiān)控系統(tǒng)運(yùn)維過(guò)程中，還需要重點(diǎn)考慮協(xié)議代理方式的運(yùn)維場(chǎng)景的審計(jì)。

5 總結(jié)

通過(guò)在線的電力系統(tǒng)監(jiān)控運(yùn)維審計(jì)方式，能夠有效提升電力監(jiān)控系統(tǒng)控制能力，提高電力監(jiān)控系統(tǒng)運(yùn)行維護(hù)工作的效率，同時(shí)能夠很好對(duì)各個(gè)維護(hù)人員的操作以及運(yùn)維行為進(jìn)行審計(jì)管控，大大降低了由于運(yùn)維操作人員的不良操作而導(dǎo)致的作業(yè)風(fēng)險(xiǎn)。充分的保障了電力監(jiān)控系統(tǒng)能夠安全、可靠、正常運(yùn)轉(zhuǎn)，使得對(duì)電力監(jiān)控系統(tǒng)的運(yùn)維效率大大的提升。當(dāng)然，在線運(yùn)維審計(jì)平臺(tái)要注重對(duì)于自身信息安全控制和防護(hù)，避免由于信息泄露或信息傳播錯(cuò)誤給電力監(jiān)控系統(tǒng)的運(yùn)維帶來(lái)新的風(fēng)險(xiǎn)。

[1]伍曉泉.電力監(jiān)控系統(tǒng)遠(yuǎn)程運(yùn)維審計(jì)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)分析[J].無(wú)線互聯(lián)科技，2016（24）：66-67.

[2]曾庚.信息安全運(yùn)維審計(jì)系統(tǒng)集群監(jiān)控的設(shè)計(jì)與實(shí)現(xiàn)[D].華北電力大學(xué)(北京)，2016.

[3]江鵬遠(yuǎn)，趙炎，崔保飛，等.電力調(diào)度監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].工程技術(shù)（文摘版）：00246-00246.