吴小娟，张丛丛，潘洪湘，王海峰，裴玉龙

（1.南瑞集团公司（国网电力科学研究院），南京 211106；2.国电南瑞科技股份有限公司，南京 211106）

0 引言

目前，变电站自动化系统和设备的运维检修，以现场作业为主。变电站具有宽地域、维护点分布广、监控系统厂家众多等特点[1]，传统的现场作业模式需要往返于变电站现场，消耗的时间过长，有效工作时间较短。随着调变一体化大运行、大检修的深入，无人值守智能变电站进入全面建设阶段[2]，变电站自动化广域运维系统得到了广泛应用。

目前已有的运维方式包括主子站间故障诊断的协调处理系统[3]、智能变电站远程虚拟终端访问系统[4]、基于KVM（内核虚拟机）技术的远程系统[5]、基于C/S 结构的远程维护调试系统[6]等，常用的广域运维系统[7-8]包含运维中心、服务管理中心和变电站自动化系统，通过构建一个服务于主、子站之间的服务管理系统，提供服务的注册、审批、定位和调用等，实现变电站自动化设备的远程唤醒、复位、模型诊断、状态监视、历史信息检索和远程桌面等运维工作。

现有广域运维系统的安全防护方法主要采用纵向隔离[9]、日志记录等技术，安全防护管理模式单一，未考虑远程运维的安全问题，包括登录验证、通信安全以及权限管理和维护等，缺乏系统内通信安全、数据交互安全的防护措施，无法满足变电站自动化广域运维安全稳定运行的要求。

对此，本文基于运维主、子站二次系统安全防护的要求，结合当前常用的广域运维系统架构，设计一种变电站自动化广域运维系统安全防护技术，在服务管理中心、运维中心和变电站分别设立安全认证体系，同时在服务管理中心、运维中心和变电站之间部署双因子登录、加密认证等安全访问功能，提高广域网络通信、数据交互的安全性，提升广域运维规范化水平。

1 变电站自动化广域运维系统架构设计

变电站自动化广域运维实现了在运维主站集中对变电站自动化系统及设备进行远程运行监视、组态配置、设备管理、维护操作及异常诊断等功能。系统采用高性能通用服务框架[10-12]，由运维主站和变电站端组成，如图1 所示。根据服务的功能定位将广域运维服务接口分为公共服务与应用服务。

公共服务为广域运维应用的基础服务，包含文件服务、数据服务和模型服务等。通过服务管理中心实现公共服务的关联、释放、申请、注册、出错处理及监视等通用类服务管理。应用服务为面向广域运维功能应用的服务，实现变电站自动化的远程运行监视、状态估计、设备管理及异常诊断等应用功能。

基于高性能通用服务的远程交互技术，运维中心向服务管理中心查询和调用变电站提供的各类公共服务，实现各类应用服务。

图1 广域运维系统架构

针对广域运维系统“面向服务”的架构特点，本文在原有纵向加密的边界安全防护基础上，在服务的认证和调用等方面，采用双因子登录、审计日志、权限认证、流量管控等安全防护技术，在广域运维系统的子系统间增加了安全设计，保障通信和数据交互的安全性。

2 广域运维子系统安全防护关键技术

2.1 运维中心安全防护关键技术

运维中心通过服务管理中心的授权，向变电站调用所需的应用服务，为运维人员提供多变电站不同厂商设备的远程监视、诊断、维护、全寿命周期管理等应用。运维中心安全防护技术包括管理用户的双因子登录、安全审计、主站录屏等。

2.1.1 安全审计

运维系统不但能够监视关键进程是否启动、应用告警和节点CPU、内存等资源信息，还能够深入了解系统内部状态，监控关键进程运行状态，对操作系统日志和智能电网调度控制系统日志进行安全审计。通过深入、细致的安全审核和应用监控，有利于系统故障的事前预防、事中控制和事后治理。

安全审计模快实时监视四个不同等级（emerg，err，warnning 和notice）的日志文件变化，如图2所示，当目标日志文件发生变化时，能够立即发现并检索新增加的日志，并对日志内容进行语法分析，按照统一的规则进行重新组装，形成新的归一化的日志格式。

图2 安全审计流程

对于安全等级较高（emerg，err）的日志，当日志出现时就立即发送告警，从而保证维护人员能够及时处理；对于安全等级较低（warnning，notice）的日志，当日志出现时先缓存，当达到一定数量或缓存超过了一定时间再发送告警，从而保证系统的稳定性。

2.1.2 双因子登录

双因子登录技术依托中国电力调度数字证书系统，是将电力调度数字证书与用户口令相结合的高安全等级的认证方式。

在运维中心，运维人员在登录远程运维界面时，需要进行双因子登录。登录过程包括两个环节，一是用户需要插入电力调度专用移动数字证书（USBKey）进行身份认证[13-14]；二是需要用户输入正确的用户名和对应的密码。如图3 所示，运维中心通过身份认证后，通过调度数据网将交互数据信息和用户信息一起传送到变电站端。同样地，变电站端也会对用户信息进行验证，只有通过验证后，才会执行运维中心的指令。

图3 双因子登录示意

通过这样的双重身份认证，可有效防止用户名和密码泄露导致的安全隐患，保障运维用户的登录安全。

2.1.3 主站录屏

主站端的录屏功能，主要记录运维人员通过远程运维客户端访问和维护子站端数据的过程。当运维人员登录远程运维客户端时，录屏功能自动开启，记录运维人员的维护过程，并保存至本地库，便于后续的查看。若主站端没有运维人员登录，则录屏功能处于关闭状态。

2.2 服务管理中心安全防护关键技术

服务管理中心采用服务代理机制，向变电站调用所需的运维服务，增强数据处理的准确性和灵活性，有效解决变电站自动化设备运维服务私有化问题。

服务管理中心通过责任区和权限认证、服务调用限制等关键技术，实现运维主站对变电站内各类运维服务的注册、审核、监视全过程纵深安全防护等管理服务,并将操作过程自动记录入日志文件，例如记录登录人员的姓名、维护时间、维护内容、维护结果等信息，并可按时间的先后顺序排列，形成日志文件，以供查询和审阅。

2.2.1 责任区和权限认证

服务管理中心为用户设置了服务权限管理和可切换责任区。如图4 所示，当服务管理中心通过运维人员的登录验证后，并将当前运维人员的责任区和服务管理权限返回给运维中心，运维人员才可在相应的责任区内管理和调用对应的权限服务。

此外，在权限认证处做进一步安全加固：

图4 责任区安全认证

（1）用户密码加固。配置复杂密码功能，用户在设置密码需同时包含数字、字母和特殊符号；配置密码有效期，强制用户定期修改密码；配置密码加密传输功能，在网络间传输密码信息时数据经过AES（高级加密标准）加密，避免泄露。

（2）限制管理员角色。配置管理员分配限制功能，在权限管理界面将系统管理员、安全管理员、审计管理员分配给用户时有确认提示，具有管理员角色的用户不能再包含其他业务功能角色；若用户已被分配了一个管理员角色，则无法再给其分配其他的管理员角色；删除系统中的“超级用户”。

（3）用户登录限制。配置用户登录锁定功能，当用户连续使用错误密码登录失败后，锁定该用户一段时间；配置同一角色可登录用户数上限；配置用户单节点登录功能，当用户在一台工作站登录后，同一用户无法再在其他工作站登录；配置自动登出功能，工作站无鼠标键盘操作一段时间后，已登录的用户自动注销。

2.2.2 服务调用限制

服务管理中心周期性地监视各类运维服务的状态，并提供服务黄页，实时显示已注册的运维服务的服务信息。服务管理中心采用服务代理模式实现运维服务的管理。

服务代理的服务调用限制功能如图5 所示，当子站端的外部服务Server1 完成服务上线后，服务管理中心会通知服务代理放开Server1 服务的调用请求。服务代理只能通过已上线运维服务的调用请求，并将相应请求发送给变电站端。对于未上线的Server2 服务调用请求，服务代理会直接拒绝。

2.3 变电站运维安全防护关键技术

图5 服务代理限制服务调用流程

变电站提供各种运维服务，向服务管理中心提出服务注册、服务上线等请求，并响应运维中心的服务调阅请求。变电站安全防护关键技术包括日志管理和服务调用的流量控制。

2.3.1 日志管理

日志管理指对系统业务运行过程中的状态和告警进行采集和管理，是智能运维系统安全稳定分析的一个数据来源。在变电站端中，本文主要采集以下几种日志数据：

（1）网络状况日志。主要记录交换机以及网卡的故障、恢复等信息。

（2）系统管理日志。主要记录应用主备切换、应用断网、应用故障、应用退出、进程启停等信息。

（3）服务器资源日志。主要记录CPU 越限、主机不刷新、与天文钟时间差越限、交换区越限、磁盘分区越限、磁盘故障等信息。

（4）服务访问日志。主要记录客户端IP、端口号以及服务处理耗时等信息。

（5）进程运行日志。主要记录进程运行跟踪信息。

2.3.2 流量管控

为了解决多种信息业务综合传输中的流量冲突问题，必须在变电站信息综合传输中实施有效的流量控制策略，设定主、子站通信最大流量限制。变电站服务数据上送的最大瞬时流量不能超过设定阀值。如果超过设定的阀值，则服务无法调用，并优先保证电力系统中敏感数据业务的可靠实时传输。

流量控制可采用以下方法：

（1）带宽保证和限制。针对敏感数据业务的数据传输，需要保证其带宽，对其他数据则应进行带宽限制。

（2）采用优先级保证。对于不同服务的特殊性质，建立优先级流量控制队列，实现按照优先级的流量控制策略。如对于敏感数据业务的数据传输，将其优先级设置为最高；而对于图形、视频和文件等大量的成块数据传输可以设置为较低的优先级，以保证敏感数据传输的可靠性。

3 广域运维主、子站交互安全访问流程设计

为了进一步提高广域运维中主站客户端对子站端服务访问的安全性，提出运维主、子站交互安全访问机制，主、子站安全防护访问示意图如图6 所示。

图6 广域运维主、子站系统安全防护访问

服务管理员在服务管理中心通过服务管理系统，添加运维人员管辖责任区内的变电站，并注册运维人员权限范围内的服务，保证运维人员只能调用属于自己责任区内的变电站和服务，避免超权限管理。同时，调用审计日志管理功能接口，记录服务管理人员的操作过程。

首先，运维人员在运维中心通过用户名、口令和USBKey 进行双因子加密认证登录，通过服务管理中心的用户认证后，才可调用变电站服务；其次，运维中心采用通用服务协议与服务管理中心进行交互，服务管理中心的权限认证服务根据运维人员的责任区和权限，将责任区内的变电站和权限内的服务列表反馈给运维中心，运维中心将运维人员责任区内的变电站和权限内的服务以人机界面的形式直观展示。最后，运维中心通过服务管理系统调用变电站的服务，通过变电站的“双确认”认证，即需要通过操作员和监护员的双重确认后方可调用在流量管控范围内的服务，保证主、子站之间数据交互访问流畅。

运维中心在调用变电站自动化设备服务和使用过程中，激活运维中心录屏功能和审计日志功能，保证运维人员的所有操作均有操作记录可查询。同时，在服务管理中心服务管理系统和变电站自动化设备监控系统中，均有审计日志记录功能，详细记录运维人员调用运维服务的时间、操作人、操作过程等信息，最大限度地保证服务管理中心、运维中心和变电站交互的安全性。

4 试点应用情况

基于变电站自动化设备广域运维安全防护技术的广域运维系统通过了国网江苏电科院的各项功能测试，满足设计要求和现场验收标准。目前，系统已在南京、苏州投入使用，南京已经部署2 个运维中心，接入220 kV 嘉庆变、110 kV同曦变等90 多座变电站，苏州已经部署1 个运维中心，接入220 kV 书台变、110 kV 流虹变等70 多座变电站，接入厂家分别有南瑞科技、南瑞继保、许继电气、国电南自和长园深瑞等。截至目前，已投入试点工程的广域运维系统功能正常、运行稳定。

5 结语

为了实现运维系统对变电站自动化设备的安全稳定操作，本文提出了一种变电站自动化广域运维系统安全防护设计方法。在服务管理中心、运维中心和变电站分别设定广域运维系统的安全认证体系，同时在服务管理中心、运维中心和变电站之间部署加密认证功能，基于双因子登录、数字签名、审计日志、流量管控、权限认证、主站录屏等多种关键技术，实现了远方对变电站自动化设备集中运维，提高了主站远方操作变电站设备的安全性。

变电站自动化设备广域运维安全防护技术能够提高广域运维系统的安全性，在后续的产业化过程中，随着变电站运维服务的扩增，对运维系统的安全要求会更高。下一步需要在当前安全防护系统的基础上，进一步优化和完善安全防护措施，例如在用户登录时，可以增加动态密码和生物特征等鉴别技术；采用安全态势感知技术，对系统日志、系统告警和网络流量等信息进行综合管理和分析，快速发现威胁，控制威胁，从而进一步提高广域运维系统安全水平。