姜琳，范承志

上海欣能信息科技發(fā)展有限公司，上海，200023

0 引言

變電站是電力系統(tǒng)變換電壓、接收和分配電能、控制電力流向和調(diào)整電壓的電力設施，是電力系統(tǒng)的核心場所。嚴格控制和管理變電站房人員進入，是變電站運維一項重要的安全工作，直接關(guān)系到變電站甚至整個電網(wǎng)的運行安全。傳統(tǒng)的方式是工作人員對出入人員進行登記放行，這種方式費時、費力又容易出錯，管理不夠嚴格。因此使用智能、安全、高效的現(xiàn)代化門禁管理已經(jīng)成為社會發(fā)展的必然趨勢，同時它也是現(xiàn)代化智能建筑的一個重要組成部分。

變電站遠程許可系統(tǒng)采用最新的計算機、生物及通信技術(shù)，從變配電站的安全要求和實際情況出發(fā)，設計開發(fā)一種安全、可靠、便捷的變配電站房作業(yè)許可站端系統(tǒng)，對進站人員進行多重身份識別，確保進站人員的合法性，從而保障站房的設備安全。

系統(tǒng)對人員數(shù)據(jù)的保密性有要求，但是在運用計算機網(wǎng)絡時往往很難保障用戶的數(shù)據(jù)信息安全。經(jīng)過歸納，變電站遠程許可系統(tǒng)從認證、訪問控制、數(shù)據(jù)機密性、數(shù)據(jù)完整性、抗抵賴這五方面對網(wǎng)絡安全進行加固。

1 系統(tǒng)概述

1.1 認證服務

認證服務是為了防止其他實體占用和獨立操作被認證實體的身份。認證服務主要實現(xiàn)方式有以下五種：已有的信息，如認證口令；擁有的信息,如IC卡、令牌等；不可改變的特征，如指紋、虹膜等生物特征；可靠的第三方建立的認證；環(huán)境，如主機地址等。

變電站遠程許可系統(tǒng)提供了用戶聲明其身份的保證。系統(tǒng)提供獨立的登陸模塊對所有登陸用戶進行身份認證，要求用戶口令的復雜度滿足限制要求：長度不小于8位字符，由大寫字母、小寫字母、數(shù)字、特殊字符中的三種或三種以上組合而成，不可連貫，不能為空，且用戶口令不能與用戶名相同或包含，修改用戶口令不允許與原口令相同，普通用戶（非用戶管理員）不能修改除自身以外的其他用戶的口令。使用唯一的用戶標識鑒別所有人員，在系統(tǒng)的所有接口上執(zhí)行標識和鑒別。對用戶IP地址進行限制，同一個用戶只能在一臺前端登陸。在系統(tǒng)的遠程許可終端上，使用人臉/指紋等生物特征和IC卡信息進行認證識別，只有被授權(quán)的人員才能通過認證，進入到相應的區(qū)域內(nèi)[1]。系統(tǒng)部署結(jié)構(gòu)如圖1所示。

圖1 系統(tǒng)部署結(jié)構(gòu)圖

1.2 訪問控制服務

訪問控制是決定開放環(huán)境中允許使用哪些資源、在什么地方適合組織為授權(quán)訪問的過程。常見的訪問控制服務的實現(xiàn)方式有三種：自主訪問控制、強制訪問控制、基于角色的訪問控制。

變電站遠程許可系統(tǒng)主要采用基于角色訪問控制的方式，通過對角色的訪問進行控制，使權(quán)限和角色相關(guān)聯(lián)，用戶通過成為適當?shù)慕巧蓡T而得到其角色的權(quán)限，而權(quán)限也可根據(jù)需要從角色中收回。用戶可以擁有多個角色，一個角色擁有若干權(quán)限，形成用戶-角色-權(quán)限的關(guān)系，當人員訪問遠程許可系統(tǒng)時，系統(tǒng)根據(jù)用戶角色，授予用戶對應的菜單訪問權(quán)限、操作權(quán)限和數(shù)據(jù)權(quán)限。具有用戶管理角色的用戶登錄系統(tǒng)，可以對不同的角色進行權(quán)限分配，已授權(quán)的用戶進行登錄后，可查看用戶所分配的權(quán)限。

在變電站遠程許可系統(tǒng)的終端，準許進站的人員名單分為白名單和臨時名單兩種。其中，臨時名單是根據(jù)工作任務臨時生成的，給予相應人員在相應時間段內(nèi)，可進出相應門房的權(quán)限。白名單中的用戶可以在不配置任務的情況下進出入門禁，只對門房權(quán)限進行劃分，比如保安和清潔，這樣能大大提高管控效率和安全。

1.3 數(shù)據(jù)機密性服務

數(shù)據(jù)機密性服務的目的是確保信息僅僅是對被授權(quán)者可用，信息的保護可以通過確保數(shù)據(jù)被限制于僅授權(quán)者獲得，或通過特定方式表示數(shù)據(jù)來獲得[2]。變電站遠程許可系統(tǒng)通過加密提供機密性，即防止數(shù)據(jù)在存儲和傳輸過程中泄露。通常較為常用的加密技術(shù)主要有對稱加密、非對稱加密和Hash加密。其中數(shù)據(jù)對稱加密和非對稱加密的圖解如圖2所示。

圖2 數(shù)據(jù)對稱加密和非對稱加密圖解

對稱加密技術(shù)速度快，但是密鑰管理較難，適合大數(shù)據(jù)量的加密。本系統(tǒng)的人員信息庫中包含有單位、部門、班組、身份證號、工作證ID卡號、人臉照片、安全相關(guān)資質(zhì)等屬性，為防止數(shù)據(jù)泄露和丟失，采用AES加密算法對下發(fā)到遠程許可終端中的人員數(shù)據(jù)進行加密。

非對稱加密安全性高，但是加解密速度慢，適合小數(shù)據(jù)量加解密。本系統(tǒng)采用RSA加密算法對用戶密碼進行加密，當用戶登錄的時候，Web端把用戶輸入的密碼使用服務端公鑰進行加密運算，然后傳輸?shù)椒斩耍斩嗽儆米陨淼拿荑€進行解密，進而判斷輸入的密碼是否正確，從而防止系統(tǒng)受到不法用戶的入侵。

Hash函數(shù)是一種將任意長度的消息壓縮到某一固定長度的函數(shù)，且該過程不可逆，可用于數(shù)字簽名和認證檢測等。本系統(tǒng)中使用MD5實現(xiàn)對用戶的認證檢測，在用戶登陸時，服務端會產(chǎn)生一個MD5的值返回給到客戶端，并對這個MD5的值進行保存。在之后所有的用戶端請求中，系統(tǒng)都會對接口所攜帶的MD5值進行驗證。這樣系統(tǒng)在受到CSRF跨站請求的惡意攻擊時，會發(fā)現(xiàn)MD5的值不同而不去響應，這樣就可以判斷是否為合法請求了。

1.4 數(shù)據(jù)完整性服務

數(shù)據(jù)完整性的目的是通過阻止威脅或探測威脅，保證數(shù)據(jù)不以未經(jīng)授權(quán)的方式進行改變或者損毀[3]。

變電站遠程許可系統(tǒng)使用TLS 1.3傳輸層安全協(xié)議，在TLS 1.3之前，整個握手環(huán)節(jié)都是沒有加密保護的，這泄漏了很多信息，包括客戶端和服務器的身份。TLS 1.3對握手的絕大部分信息進行了加密，這保護了用戶隱私，也在一定程度上防止了協(xié)議僵化問題。TLS 1.3不僅握手所花費的往返次數(shù)更少，降低了協(xié)議的延遲，也刪除了那些不安全的加密算法，增加了傳輸?shù)陌踩?，而且保證了數(shù)據(jù)在傳輸過程中的完整性，能夠有效抵御非法用戶的入侵，并防止惡意軟件對系統(tǒng)數(shù)據(jù)進行篡改。

系統(tǒng)中對遠程終端電控大門的控制是通過104規(guī)約進行通訊、TCP進行傳輸，使用消息序列號來保證傳送數(shù)據(jù)包的順序。發(fā)送方發(fā)送命令都會帶一個序列號，相應的應答報文中也要包括序列號，表示確定收到發(fā)送方的消息報文，并進行響應，這樣就保證了數(shù)據(jù)不會被非授權(quán)修改[4]。

1.5 抗抵賴服務

抗抵賴服務是指提供有關(guān)特定事件或者行為的證據(jù)，包括證據(jù)的生成、驗證和記錄，以及在解決糾紛時隨時進行的證據(jù)恢復和再次驗證。

本系統(tǒng)中采用日志方式保證數(shù)據(jù)的抗抵賴性，系統(tǒng)日志可以記錄系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息，同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件?？梢酝ㄟ^它來檢查錯誤發(fā)生的原因，或者尋找受到攻擊時攻擊者留下的痕跡。本系統(tǒng)的運行日志會輸出到指定文件中，文件按照時間日期命名，一天的日志記錄保存到一個日志文件中。為防止占用存儲空間過大，只保留一個月內(nèi)的日志文件。日志等級分為調(diào)試、信息、警告、錯誤4個等級，一旦項目出現(xiàn)問題，運維人員就可以把日志給到開發(fā)人員，從而確定到底是哪里出問題了。所以系統(tǒng)中的各種信息都要打印到日志里做記錄，方便后續(xù)對日志進行分析統(tǒng)計以及查找問題[5]。

為方便用戶對系統(tǒng)使用情況進行統(tǒng)計和監(jiān)控，本系統(tǒng)提供了安全審計機制，對用戶登陸、用戶權(quán)限操作、終端操作、任務授權(quán)執(zhí)行和結(jié)果全過程進行監(jiān)控，確保了系統(tǒng)審計數(shù)據(jù)產(chǎn)生的全面性。審計數(shù)據(jù)對異常事件等級進行了劃分，并根據(jù)異常的嚴重程度采用了不同的告警方式。軟件系統(tǒng)提供對審計數(shù)據(jù)進行搜索、查詢、分析、統(tǒng)計、分類、排序等功能，實現(xiàn)必要的審計查閱能力。具有審計權(quán)限的人員，可以在web端查詢操作過程和描述，也可以查看統(tǒng)計結(jié)果。當數(shù)據(jù)庫中審計記錄存儲超過預期存儲量時，進行報警，用戶可以將審計記錄導出文件存儲。安全審計數(shù)據(jù)生成示意圖如圖3所示。

圖3 安全審計數(shù)據(jù)生成示意圖

2 結(jié)語

計算機網(wǎng)絡是指以共享資源為目的，利用通信手段把地域上相對分散的若干獨立的計算機系統(tǒng)、終端設備和數(shù)據(jù)設備連接起來，并在協(xié)議的控制下進行數(shù)據(jù)交換的系統(tǒng)。計算機網(wǎng)絡的根本目的在于資源共享，通信網(wǎng)絡是實現(xiàn)網(wǎng)絡資源共享的途徑。因此，網(wǎng)絡安全對系統(tǒng)的穩(wěn)定性和強壯性起到了非常重要的作用，相關(guān)人員應當要對其網(wǎng)絡系統(tǒng)的安全予以充分重視，并采取有效的方法措施來確保計算機通信網(wǎng)絡的安全。

變電站遠程許可系統(tǒng)是一套對進站人員身份統(tǒng)一管理、能夠完成臨時進站授權(quán)、對非法人員進行識別及告警以及人員權(quán)限管理的系統(tǒng)。人員檔案、權(quán)限數(shù)據(jù)等敏感信息都很重要，軟件設計人員可以通過設計程序來操控軟件，不給黑客或不法分子提供機會，否則就可能導致重要信息發(fā)生泄漏，從而嚴重威脅到整個系統(tǒng)的安全。