陈秀国，黄 海，樊欣欣

(国网铜陵供电公司，安徽 铜陵 244000)

0 引 言

随着电力需求的持续增加，电网结构越来越复杂，电力通信线路巡检作业的工作量也越来越大。传统巡检方式主要依靠人工巡检，存在以下缺点[1-2]：

(1)巡检的到位时间完全依据手工方式记录在巡检记录本上，对巡检人员的现场到位率不能进行有效的监督，存在一定的管理盲点；

(2)巡检设备情况不能及时上报，通信线路巡检不能定位；

(3)通信运行资料现场改动不能及时录入，最新运行方式不同步容易造成通信调度指挥失误，影响抢修；

(4)完全依靠人工巡检，采用纸质手工记录，导致巡检的历史数据不能存储在信息化系统中，给以后的巡检和检修分析、查询带来不便；

(5)现场故障不能及时上报和跟踪解决，给通信设备和线路的安全可靠运行带来一定的隐患。

为有效规范通信设备和线路运行维护管理，研发了基于物联网技术的移动巡检APP，开启了互联网+通信运检的新模式，实现了通信台账及运行资料的现场核对和更新，完成了基于巡检状况和检修工单的设备状况评级，提高了现场运维人员工作效率。

1 系统设计

1.1 系统的拓扑

通信设备和线路巡检移动应用按三层架构设计，分别是外网移动端、外网管理端、内网数据库，层与层之间通过安全隔离装置完成数据交互。系统拓扑如图1所示。

图1 系统拓扑

(1)互联网移动端：部署在国网公司移动门户企信应用商店平台上，主要实现系统APP前台客户端页面功能。公司各级项目管理人员可使用平板电脑、手机等移动设备通过互联网在移动门户企信应用商店平台中下载使用。

(2)外网管理端：部署在公司信息外网的应用服务器上，主要实现系统后台应用服务功能，提取内网数据库中的信息，供外网移动端调用。系统运维人员可通过公司信息外网电脑，对系统功能和数据进行维护。

(3)内网数据库：部署在公司信息内网的数据库服务器上，主要实现系统数据的存储功能。

1.2 拓扑的实现

通信设备和线路巡检规范化系统应用分为移动客户端和支撑平台两部分，其中移动客户端基于外网移动交互平台，为Hybrid应用，服务主站为B/S架构应用，其总体框架见图2。

图2 通信设备和线路巡检规范化应用系统总体框架

根据《国家电网公司SG-EA架构2012版总体视图-V1.23》、《信息化SG-ERP支撑“大检修”总体架构设计》标准[3-6]，为了方便在手机客户端上对通信巡检时已有的设备或者线路数据的调入以及台账资料的核对与修改，该移动应用系统采用Java和Html5技术，使用Eclipse集成开发环境和Oracle关系型数据库，以外网移动交互平台为基础进行构建。主要应用技术如下：

(1)界面展现采用HTML5、JavaScript、JQuery、Mobile UI；

(2)服务器开发采用JDK1.7、JavaEE6.0；

(3)数据访问采用JDBC；

(4)部署模式采用在省公司部署应用和数据库服务器，在移动终端部署应用软件的方式；

(5)开发工具采用Eclipse、Android Studio(非商业)；

(6)数据库采用事务处理数据库，联机分析处理数据库采用Oracle 11g[6-8]。

2 技术架构

该系统分为移动端Android系统与Web端Windows系统(见图3和图4)。移动端基于移动门户(企信)平台开发，提供统一权限登录界面以及数据同步等功能，使用Html5开发，后台服务程序部署在省公司信息外网，提供Web端数据访问以及移动端，数据库部署省公司信息内网Oracle数据库。

图3 移动端技术架构

图4 Web端技术架构

在Web端服务器中，采用spring boot微服务应用，由于MyBatis消除了几乎所有的JDBC代码和参数的手工设置以及结果集的检索，而且MyBatis使用简单的XML或注解用于配置和原始映射，将接口和Java的POJOs(Plain Ordinary Java Objects，普通的 Java对象)映射成数据库中的记录。因此在Web服务器的顶端采用MyBatis持久层框架，对于其支持的五种不同功能的业务，可采取通用Java进行编程实现通信巡检的五种管理功能，其数据库和移动端一样部署在省公司信息内网Oracle数据库，通过横向加密，纵向隔离的方式实现内外网服务器数据库的交互应用。

3 安全架构

通信设备和线路巡系统统一通过外网移动交互平台(终端表现为企信)进行安全接入；对用户身份进行严格认证，保证用户身份的唯一性和真实性；依据《GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求》，信息系统应从移动终端、网络层、应用层、数据四个层次进行安全防护设计，以实现层层递进，纵深防御。

3.1 移动终端的防护

该系统移动终端的防护采取的措施如下：

(1)外网移动交互平台安全认证。

通信设备和线路巡检系统依托于外网移动交互平台，通过平台身份认证接口获取统一权限认证。在入口这一层由外网移动交互平台的安全防护和认证体系把控，确保接入用户的可靠性。

(2)关键数据加密校验。

移动终端提交数据给服务器或从服务器获取数据时，对统一权限等敏感信息采用一定强度加密算法进行加密；防止数据被恶意篡改、删除或截取。

(3)本地数据存储。

基于通信设备和线路巡检系统和外网移动交互平台的设计架构，终端不会对数据进行存储。数据交换均在通信设备和线路巡检系统的运行生命周期内发生，防止通过数固化操作进行恶意攻击等。

(4)身份信息二次验证。

在应用初始化阶段，对通过移动交互平台的身份验证接口获取的统一权限凭证进行二次验证，对接Oracle用户系统，拒绝无关联人员的接入操作[9-12]。

(5)源码保护。

对源代码做丑化和压缩处理，防止恶意篡改源代码。

3.2 网络层的防护

在移动网络层，重点考虑网络通道防护和网络边界控制两个方面的安全措施：

(1)网络通道防护。

网络通道防护主要体现在应用防火墙安全策略与应用安全传输技术两个方面。在应用防火墙安全策略方面需要在网络防火墙上设置访问控制规则，仅允许访问指定服务器的指定端口；在应用安全传输技术层面上则需要对信息流进行加密处理。

(2)网络边界防护。

网络边界防护依赖于向网络层提供一个安全接入与访问控制。安全接入需要应用终端通过隔离装置进行安全接入，而在访问控制方面可通过IP映射关系接入内网，禁用其他非服务端的IP接入操作，防止来自其他IP的网络攻击[13]。

3.3 主站应用层安全防护设计

在主站应用层，重点落实源代码安全测评、软件容错、安全监控等要求，从应用层落实身份认证、传输加密等要求：

(1)源代码安全测评。

移动信息化应用上线前进行源代码安全检测，验证剩余信息保护措施的有效性，保证重要应用数据所在的存储空间被释放或再分配给其他用户前得到完全清除。

(2)软件容错。

强化移动信息化应用容错与异常处理能力，防止因应用软件异常而导致业务中断的事故。

(3)其他应用安全。

(a)用户权限及访问控制：具备访问控制功能，控制应用系统用户对文件、数据库表等的访问；在应用系统服务器端实现访问控制；取消匿名用户、默认用户访问；根据用户的角色分配权限(RBAC)，设置所需的最小权限。

(b)会话管理：保障会话数据的传输安全，用户身份凭证应加密后进行传输。保障会话数据的存储安全，用户登录成功后所生成的会话数据应存储在服务器端，并确保会话数据不能被非法访问，当更新会话数据时，应对数据进行严格的输入验证，避免会话数据被非法篡改。

(c)异常管理：程序发生异常时，在日志中记录详细的错误消息；使用通用错误信息；使用结构化异常处理机制；程序反复多次发生异常时，终止当前业务，并对当前业务进行回滚操作。

3.4 数据安全防护设计

数据安全防护措施包括：数据分类保护、数据备份、数据容灾和数据加密存储等[14-16]。

该移动巡检系统的数据主要包括移动应用业务数据与内外网系统交互数据两个方面：

(1)移动应用业务数据。

采用严格授权管理，使数据和程序免受无权用户的肆意篡改。数据传输时选用一定强度加密算法进行加密。客户端和应用服务器采用信息加密技术对各环节之间传输的数据流进行加密处理，保证在网络传输过程中的数据安全。实时检测网站数据在传输、存储过程中完整性是否受到破坏。

(2)系统交互数据。

主站服务与Oracle系统交互数据需进行系统间接口安全防护，在系统接口建立连接前需进行接口间认证，保证系统交互数据安全性。

移动巡检数据的加密存储表现数据的传输与存储两个过程进行数据安全保护。在传输(远程登录)过程中采用加密措施和安全的传输方式。在存储过程中必须加密存储鉴别数据，尤其要保存数据库中的用户信息。

移动巡检产生的数据容灾主要体现在移动巡检系统出现异常或原有数据遭到破坏时，能迅速恢复原有系统存储的数据，因此该巡检系统应具备定时或定期执行数据备份操作的功能。

4 巡检系统的应用

设计的巡检系统实现的功能如下：

(1)设备及线路巡检：巡检人员可通过移动APP及时查看巡检计划，对巡检情况进行记录和定位，可现场上传巡视中发现的问题及故障图片。

(2)检修工单：通过移动APP发起、接收工单并记录和反馈处理情况，管理人员可对执行情况进行有效跟踪和反馈。

(3)基础资料核对：运维人员可通过移动APP实现通信台账及运行资料的现场核对和更新。

(4)台账管理及设备评级管理：实现设备、线路台账的基本信息维护以及设备、线路运行状况的评价管理。基本台账维护包括通信站维护、通信站设备维护、光缆维护、线路维护等。评级管理采取Oracle关系型数据库自动搜集巡检的次数与隐患的部位以及检修的次数，进行大数据分析后，实现对设备运行状况的等级评价管理。

5 结束语

该移动终端巡检系统采用Html5前沿技术，整合现有手机平台，解决原生需要适配以及碎片化的问题。相比原生展现形式更为生动与丰富的跨平台应用。服务端采用MyBatis持久层框架的spring boot微服务应用，实现监控与运维一体化，提高运维人员的工作效率与作业规范性。