電力監控系統在線式運維審計平臺的需求與應用場景設計

◆鄭偉文 陳海光 吳佩澤

行業與應用安全

電力監控系統在線式運維審計平臺的需求與應用場景設計

◆鄭偉文 陳海光 吳佩澤

（南方電網數字電網研究院有限公司網絡安全公司 廣東 510000）

隨著科學技術的不斷發展，電力行業的各個方面都有了很大的突破，使得國家整體的電力水平得到了有效的提升和保障。電力監控系統對于電力系統的正常運轉和安全穩定性能有著重要的作用，是電力行業進行控制和運維的重要突破，在電力行業有著非常重要的意義。電力監控系統的運維審計平臺是針對電力監控系統的運維需求進行構架設計，通過該系統對電力監控系統的運維工作進行記錄，并分析、監測運維過程，確保運維過程中不對電力監控系統的運行造成破壞和影響。本文對電力監控系統在線運維審計平臺的設計與實現進行了分析探討，供相關讀者參考。

電力監控系統；在線運維審計平臺；設計實現

電力監控系統的安全穩定運行，直接影響了電力系統的電力供應可靠性。在電力監控系統工作過程中，不可避免需要對系統功能、設備、軟硬件進行日常維護，而且相關維護工作必須在電力監控系統在線運行的條件下開展，電力監控系統在線運維審計平臺的目的是為電力監控系統的在線運行維護工作提供一套完整解決方案，包括運維工作的管理、過程的監控、異常操作的分析和阻斷等，下面對電力監控系統在線運維審計平臺的設計進行分析，并就其實現進行了探討。

1 平臺研究背景

電力監控系統主要分布于供電局的機房以及我國的大部分變電站中，是電力系統在不斷完善發展過程中一項非常重要的技術內容，為電力系統的正常運轉提供有效的保障，給電力維護人員帶來巨大的便利，極大推動了我國電力事業的發展。鑒于電力監控系統的重要性，對電力監控系統的運維審計平臺就有了一定的需求。其作用在于通過對電力監控系統的運維風險以及運維工作人員的行為操作進行監測和分析，從而保證電力監控系統能夠發揮出其有效的作用。

電力監控系統的在線運維審計平臺建設能夠極大程度的保障電力監控系統的有效作用，是規范電力系統測試人員操作行為以及防范設備異常風險的有效舉措。同時由于其靈活性，經濟性等優勢，能夠極大的滿足對電力監控系統的性能和效果進行判斷工作，因此目前在進行電力監控系統的設計安裝時，必然會增添其在線運維審計平臺的建設工作。目前許多沒有對電力監控系統進行運維審計的區域也紛紛進行改裝完善，使得電力系統工作人員能夠對電力監控系統效用和狀況能夠更加清晰明了。

2 功能需求規劃

為了克服對電力系統現場測試時路途奔波、效率低下、成本較高的問題，本文對電力監控系統的在線運維審計平臺設計和實現進行簡單的探討。首先對電力監控系統在線運維審計平臺的功能需求進行分析，其基本功能如下：

2.1 電力監控系統在線運維審計平臺與生產工作票集成

電力系統的日常運行維護，需要充分遵循工作票制度。因此，電力監控系統在線運維審計平臺也需要考慮與站端監控系統具體工作票的關聯，明確運維場景、時間、運維對象、運維人員與工具。運維流程中，通過電力系統工作票中的上述信息，在線運維審計平臺根據上述信息進行運維工作的授權，從而實現身份與權限準確的精細化管控，防止違規、越權等操作。

2.2 運維人員的用戶賬號管理

用戶賬號管理就是對運維人員的賬號進行統一管理和維護，并進行定期的審計。賬號管理主要支持管理人員、審計人員以及運維操作人員，對不同類型的人員進行賬號和功能的區分。賬號以及密碼是登錄運維審計平臺的唯一入口，在登錄過一次之后，給予其訪問授權服務器、網絡設備以及安全設備的權限。關于賬號管理中的密碼問題，設置密碼錯誤限定次數，超過限定次數將賬號鎖定，制定賬號密碼的設定規則和策略。

2.3 運維對象的設備管理

設備管理主要是指對用戶的各類電力監控系統運維對象的進行集中管理。管理內容以臺賬信息為主，包括了運維對象設備的設備名以及設備所屬部門、物理位置、主機名、端口號等信息。通過這種管理方式可以大大增加其可靠性，并通過遠程登錄功能使得用戶能夠對大量的賬號進行管理，能夠大大增加在線運維審計平臺的兼容性。

2.4 訪問控制及權限管理功能

針對不同的賬號，建立不同的數據庫和權限管理內容，控制用戶對于平臺資源的操作權限，有效對系統資源進行管理，能夠防止用戶越權對系統資源操作，從而給系統帶來一定的風險。另外系統會記錄用戶在進行資源操作時的整個過程并進行存儲。在數據庫中專門設置區域存放，用戶操作過程信息，設置用戶操作日志。，并提供搜索、導出、統計功能，便于后期管理人員對用戶的整個操作狀況和水平進行分析。

3 系統構架設計

整個電力監控系統在線運維審計平臺系統的構架包括了四個部分，分別是數據展示層、功能實現層、權限控制層和數據庫。如圖1所示：

圖1 電力監控系統在線運維審計平臺系統

圖1中，第一個部分是運維審計系統功能界面，通過設計軟件進行功能界面的設計，這個模塊是進行電力監控在線運維審計的主界面；第二個模塊是運維審計系統權限控制層，包括用戶賬戶管理模塊，設備管理功能模塊，以及訪問控制及權限管理功能模塊。第三部分是功能實現層，包括審計分析、訪問代理、工作票聯動等工，最后一個模塊是運維審計系統數據庫，進行不同數據和用戶信息的存儲。因為審計平臺的硬件系統構架主要是以遠程運維審計主站為核心，通過不同的運維審計終端對電力監控系統進行審計管理。

4 運維審計應用場景

（1）命令行類運維審計場景

命令行類運維主要通過SSH或者Telnet等協議，遠程登錄電力監控系統運維對象的后臺命令行操作界面中，開展運維工作的，主流采用SSH協議，SSH協議除了可以為用戶提供靈魂的遠程服務之后，還可以較好的保證遠程服務過程中的安全性，其具有非常先進的加密方式，使用這個協議能夠讓電力監控系統的在線審計變得更加安全可靠，具有更好的保障。

本文介紹的電力監控系統在線運維審計平臺設計采用基于密鑰的安全驗證方式作為驗證手段。其基本的驗證過程是：首先在本地自動創建一對有關聯的密鑰，然后將公鑰存放在遠程運維審計平臺管轄之下的服務器平臺上，然后在進行電力監控系統的遠程運維時，本地的SSH客戶端向服務器發出想要登錄的請求，這個時候就需要利用密鑰進行驗證，只有知道密鑰的才能夠進行安全驗證。服務器收到密鑰之后同客戶端的公鑰進行對照，然后回發一條問詢的消息，客戶端收到問詢消息之后，利用自己的私密進行解密，最后完成整個安全驗證過程。

（2）遠程桌面類運維審計場景

遠程桌面類運維主要通過RDP協議實現對運維對象的電力監控系統遠程訪問，實現對遠端對象的圖形化展示和操作，與此同時，在運維審計過程中，實時記錄運維操作中的圖形界面，并具有對記錄的圖形界面進行回放，實現運維過程的審計功能。圖形審計功能主要是通過RDP協議進行實現。下面以遠程桌面協議為例，簡單介紹用戶的圖形傳輸協議，進行圖形審計功能實現的執行過程。

首先RDP的客戶端開放端口，然后持續不斷的接收同步過來的運維服務器數據，服務器端則利用TCP協議將收到的數據報發送給RDP客戶端，最后客戶端將接收到的數據包進行解析還原圖形繪畫信息，完成對電力監控系統的在線運維審計中的圖形審計功能。

（3）協議代理類運維審計場景

在電力監控系統中，存在眾多運維對象采用專用協議進行維護，在運維過程中無法通過傳統的命令行操作和遠程桌面，因此，電力監控系統運維過程中，還需要重點考慮協議代理方式的運維場景的審計。

5 總結

通過在線的電力系統監控運維審計方式，能夠有效提升電力監控系統控制能力，提高電力監控系統運行維護工作的效率，同時能夠很好對各個維護人員的操作以及運維行為進行審計管控，大大降低了由于運維操作人員的不良操作而導致的作業風險。充分的保障了電力監控系統能夠安全、可靠、正常運轉，使得對電力監控系統的運維效率大大的提升。當然，在線運維審計平臺要注重對于自身信息安全控制和防護，避免由于信息泄露或信息傳播錯誤給電力監控系統的運維帶來新的風險。

[1]伍曉泉.電力監控系統遠程運維審計平臺的設計與實現分析[J].無線互聯科技，2016（24）：66-67.

[2]曾庚.信息安全運維審計系統集群監控的設計與實現[D].華北電力大學(北京)，2016.

[3]江鵬遠，趙炎，崔保飛，等.電力調度監控系統的設計與實現[J].工程技術（文摘版）：00246-00246.