伍晓泉

（广东电网有限责任公司 电力科学研究院，广东 广州 510080）

电力监控系统远程运维审计平台的设计与实现分析

伍晓泉

（广东电网有限责任公司 电力科学研究院，广东 广州 510080）

远程运维管控是电力监控系统运维中的必要措施，文章介绍了电力监控系统远程运维审计平台的功能需求、架构设计和基于代理的审计实现原理。远程运维审计平台的建立，可大大地提高电力监控系统运维水平，对运维人员的行为也能进行有效管控。

电力监控系统；远程运维；审计平台；透明代理

1 电力监控研究背景

电力监控系统，是监视和控制整个电力生产过程的自动化系统以及支撑其运行的通信和数据网络等。它包含调度自动化系统、变电站视频及环境监控系统等。由于电力监控系统的安全直接关乎电网的安全稳定运行，因此对电力监控系统进行安全防护是电力监控系统运维中的至关重要的内容。根据《中华人民共和国计算机信息系统安全保护条例》及能源局《电力监控系统安全防护规定》的要求，需定期对电力监控系统进行安全测评，及时发现系统中的安全漏洞，防止电力系统遭受恶意攻击。其工作内容包括对组成系统的各类网络设备、安全设备、操作系统、数据库、服务器以及应用系统进行安全测评，并根据测评结果对其进行安全加固[1]。

电力监控系统分布于供电局机房以及变电站中，在多年深入现场开展实地测评工作的过程中发现，现场测试这种工作方式存在一定的问题。一是测评效率无法满足测评需求；二是测试人员直接对设备进行操作，存在风险。现场测试过程中，涉及一些敏感操作，如：需查看设备密码策略、安全策略等关键信息，有时需获取设备的最高权限。在测试过程中，由于测试人员直接对设备进行操作，无监控措施，因此存在测试人员由于恶意操作或操作不当引起设备异常的风险。因此需要对运维人员的行为采取安全审计等管控措施。

2 电力监控系统远程运维审计平台功能需求

随着通信技术日新月异的发展，无线通信因其灵活性、经济性而逐渐进入工业控制网络。无线网络能够有效改善和解决在恶劣工厂环境下出现的布线困难、网络维护成本高等问题[2]。为克服目前现场测试中的由于路途奔波、直接操作设备而影响测评工作效率和质量的问题，文章开发了一套基于TD-LTE无线网络的电力监控系统远程运维审计平台，实现对电力监控系统远程测试，同时在系统中增加权限管理、运维审计等功能，其基本功能如下：

2.1 用户账号管理

对人员的帐号统一管理维护，定期审计，同时解决帐号的共享和锁定问题。支持管理人员、运维操作人员、审计人员3类角色。对管理员帐号、普通帐号定期进行审查。用户登录失败超过限定次数，应对帐号进行锁定。生成的密码应符合密码规则策略（密码长度、有效期、复杂度）。

远程运维审计平台是用户登录各类服务器、网络设备、安全设备的唯一入口，在一次登录后，能够无需认证的访问所连接并已授权的各类服务器、网络设备、安全设备等。各类服务器、网络设备、安全设备的账号密码对用户不可见。

2.2 设备管理功能

对用户的网络设备、安全设备、服务器以及运行在服务器上的UNIX操作系统、Oracle数据库等进行集中的管理。管理的内容包括设备名、设备所属的部门、设备的物理位置、主机名、主机IP 地址、远程登录协议以及协议的端口号等。远程运维审计平台通过密码代填的方式远程登录到设备，避免了用户对大量账号和密码的管理工作，增加了远程运维审计平台的便捷性。

2.3 访问控制及权限管理功能

支持双因素认证功能，用户通过双因子认证登录堡垒机。通过支持RBAC基于角色访问控制的权限管理功能，建立用户账号与用户资源的对应关系，不同用户使用不同的资源账号访问资源。同时，根据不同的用户账号建立对资源操作的白名单，以控制用户对资源的操作权限，防止用户越权对资源进行操作所带来的风险。

记录用户对资源的整个操作过程，其内容包括：（1）字符操作安全审计记录的存储和回放；（2）图形操作安全审计记录存储和回放；（3）数据库操作安全审计记录存储和回放。同时应提供对所记录内容的搜索、统计功能，并应提供审计日志的导出功能，能够将审计日志以标准格式导出。

2.4 数据管理功能

支持自动化脚本自动推送等自动化运维功能，持系统配置备份和还原功能，系统能够对自身运行情况进行检查，记录系统当前的内存使用情况，包括物理内存及虚拟内存、已用空间、剩余空间等；记录系统当前的硬盘文件系统使用情况，包括挂载路径、已用空间、剩余空间等。

3 电力监控系统远程运维审计平台系统架构

系统在物理装置上采用“主站-终端”的两级体系架构，终端设备部署在测评现场，接入被测系统所在网络，用于执行主站传来的命令，并将命令直接结果返回主站。主站面向测评人员，用于管理功能的实现及测评指令的发送等。主站与终端之间通过TD-LTE无线网络进行通信。系统架构如图1所示。

图1 系统架构

如图2所示，运维操作审计系统主要是B/S 架构，整体架构由数据层、功能层和用户接口层3个部分组成。

图2 功能结构示意

4 关键技术分析与实现

4.1 SSH字符审计功能的分析与实现

SSH 的英文全称为 Secure Shell，是互联网工程任务组（Internet Engineering Task Force，IETF）的 Network Working Group 所制定的协议，主要目的是提供安全的远程登录和其他安全网络服务，相比Telnet和Rlogin等协议，传输过程加密，更加安全。传输层协议、用户认证协议和连接协议是SSH 协议框架中最主要的3部分内容。

SSH的工作过程为：在整个通讯过程中，为实现 SSH 的安全连接，服务器端与客户端要经历协议号协商阶段、密钥和算法协商阶段、认证阶段、会话请求阶段和交互会话阶段5个阶段[3]。

SSH 的安全验证方式有两种，一种是基于口令的安全验证，凭借用户的帐号和口令进行认证，登录到远程主机；另一种是基于密匙的安全验证，服务器与客户端根据协商的密钥进行安全验证。由于远程终端需提前部署在测试现场，因此可以采用基于密钥的安全验证方式。

基于密钥的安全验证方式其验证过程为：

（1）在本地创建一对密钥，将公匙放在远程运维审计平台所管辖的服务器上；（2）远程运维时，本地的SSH客户端向服务器发出登录请求，使用密钥进行安全验证；（3）服务器收到客户端请求后，将客户端发送的公钥与本机存储的公钥进行比较，若两者一致，就向客户端返回一条经过公钥加密的“质询”消息；（4）客户端收到“质询”后，用私密解密，再将其返回给服务器完成安全验证过程。

远程运维工具通过ssh与各个主机之间建立连接，使用JSch来实现.JSch是SSH2的一个纯Java实现。它允许你连接到一个sshd 服务器，使用端口转发，X11转发，文件传输等等。

4.2 图形审计功能

会话审计功能主要是对远程运维过程中的图形界面进行会话记录与回放。图形审计主要通过RDP（Windows 服务器）或VNC（Linux/Unix）协议实现[4]。以远程桌面协议为例，用于由用户界面传输协议来连接客户端和服务器端，进行数据交换传输。其执行过程为：

（1）RDP 客户端开放端口，持续接收同步远程运维的服务器发送的数据；（2）远程服务器端使用 TCP协议将数据发送给RDP客户端；（3）RDP客户端在接到TCP数据包后，对其进行层层解析，还原成图形会话信息显示，完成图形会话的传输，还可使用开源软件proper Java RDP实现图形审计功能。

4.3 透明代理模式与会话监听

系统采用基于透明代理模型来实现字符审计功能。透明代理运行在客户端，即远程运维审计平台上。它的功能是将用户发往服务器的数据包自动的截取并转发到代理服务器上，其依据是用户设定的代理规则。通过截取和分析数据包，接收客户端的连接请求，再将请求发送到服务器端。利用透明代理，可以记录用户发出的连接命令，接收命令回复的信息，对这些信息进行记录，从而实现字符审计的功能。

5 结语

基于代理的远程运维审计平台可以有效地提高电力监控系统的运维水平，提升电力监控系统安全测评等工作的效率，并能对测评人员的行为进行审计管控，降低作业风险。同时由于电力监控系统的重要性，远程运维审计平台自身要做好安全防护，应避免其沦为电力监控系统的信息安全脆弱点而带来新的信息安全风险。

[1]朱世顺，郭其秀，程章滨.电力生产控制系统信息安全等级保护研究[J]. 电力信息化，2012（1）：72-75.

[2]孙长江，谢欣岳.工业无线控制网络安全方法的研究与实现[J].网络安全技术与应用，2016（2）：89-90.

[3]甘长华.网络安全协议SSH的研究与实现[D].天津：天津大学，2007.

[4]李灏.基于代理的远程访问审计系统的设计与实现[D].北京：华北电力大学，2014.

Analysis on design and implementation of operation and maintenance audit platform for remote electric supervisory control system

Wu Xiaoquan
（Electronic Power Research Institiute of Gudnagdong Power Grid Corporation, Guangzhou 510080, China）

Remote operation and maintenance of management control is necessary for the operation and maintenance in electric supervisory control system. This paper introduces the functional requirements, architecture design and agent-based auditing principles of operation and maintenance for electric supervisory remote control system.Through the establishment of this platform, the maintenance level of the electric supervisory control system can be greatly improved, which also can effectively control the personnel behavior of operations engineers.

electric supervisory control system; remote audit system; transparent proxy

伍晓泉（1984— ），女，湖南石门。