高陽 曹進平 肖萬幸 胡美慧

（國網新疆電力有限公司信息通信公司 新疆維吾爾自治區烏魯木齊市 830000）

在網絡信息技術運用中，網絡安全管理信息技術的整合是較為重要的，通過 RSA雙因素身份動態認證技術的使用，可以保證網絡信息技術使用的價值，為網絡開放性以及安全性的使用提供支持。但是，在信息安全技術管理中，存在著網絡身份認證安全管理不合理以及網絡泄密等問題，若這些問題不能及時解決，會影響網絡安全管理的整體效果。將 RSA雙因素身份動態認證技術運用在信息安全管理系統中，可以通過身份認證、訪問控制以及數據保密性等技術的綜合運用，對網絡系統安全進行精細化的管理，充分保證網絡系統使用的安全性。在電力企業運行中，由于信息化技術的發展，企業管理者應該認識到網絡安全信息保護的重要性，研究中，結合電力業務的相關內容，通過身份識別以及賬號風險等系統的構建，降低系統安全隱患的出現，以期達到電力系統風險控制的目的，為電力系統網絡信息安全的運用提供參考。

1 概念分析

1.1 RSA

RSA算法是一種依賴大數因子分解的非對稱密碼計算方法。計算過程如下，第一，RSA數據加密。當系統接收到對方的公鑰之后，會自動對該內容進行加密處理，之后通過網絡傳輸的方法將信息傳送給接收方。接收方在獲得密鑰信息之后，可以自動解密文件，從而得到相關的數據內容。第二，RSA數字簽名。對于信息發送者，會通過散列函數的方法將信息生成散列值，并使用私鑰對散列值進行加密處理形成數字簽名。對于報文的接收方，需要計算出原始的散列值，之后利用發送方公鑰對報文的附加數據進行解密處理，若發現兩個散列數值相同，意味著接收方可以確認數字簽名。第三，RSA可以同時發現秘密通信及數字簽名。在這種技術支持下，可以保證信息數據處理的機密性、完整性。

1.2 雙因素身份動態認證

對于認證而言，主要是接收方明確發送方身份并對其驗證的過程。認證機制一般包括：第一，用戶所知道的，如知識、密碼等；第二，用戶所擁有的，如身份證等；第三，用戶個人特征，如指紋、聲音等。雙因素動態身份認證系統會對網絡主機進行動態指令的認證，保護網絡設備以及網絡服務系統的安全運行，系統運行的過程中會及時對網絡異常處理，保證系統運行的安全性。

2 RSA雙因素身份動態認證技術的系統組成

2.1 認證令牌

對于認證設備，主要是指雙因素認證的令牌，該種令牌的種類較多，用戶在證明自己身份之后所獲得訪問權。令牌中的隨機用戶“種子值”每60s會變更一次，充分滿足用戶數據的保護需求。例如，在RSA 700型令牌運行中，該令牌中設置了電池以及芯片，芯片固化RSA算法，將這種算法與時間融合，可以實現各個種子文件的穩步運行，而且，系統也會在特定的時間內容同步計算，以60s為一個周期，形成動態令牌碼。對于不同的動態令牌碼而言，可以充分滿足不同信息發布者的需求，之后設定個人識別碼（PIN），最終得到雙因素口令。在認證令牌系統中，認證的主要目的是掌握請求網絡服務的身份信息，認證服務器在接收到相關的代理請求之后，只需要輸入認證令牌的指令，在與用戶信息一致之后，系統會判斷用戶是否合法[1]。

2.2 代理軟件

通過代理認證軟件使用狀況的分析，將其運用在認證服務系統之上，可以通過系統軟件的集中管理以及認證引擎的結合，形成系列針對性的認證程序，提高用戶及認證設備使用的有效性。而且，在認證服務器中，如用戶輸入了正確的指令，就可以讓用戶在有效的資源下進行訪問，保證網絡信息技術使用的穩定性及安全性。而且，該軟件對終端用戶以及需要保護的網絡資源具有一定的作用。例如，若用戶需要訪問某一系統，代理軟件會向管理器發送請求，在得到認證之后自動放行。

2.3 管理服務器

管理服務器一般需要將優質認證引擎以及集中管理方案進行結合，用戶在輸入正確指令之后可以自動訪問，若輸入指令錯誤，三次之后原始密碼失去保護價值。

3 RSA雙因素身份動態認證技術的實施

3.1 網絡設備認證

在電力系統的網絡安全管理中，通過網絡設備認證系統的設計，可以保證網絡信息管理的穩步進行。一般情況下，在網絡設備認證系統設計中應該做到：第一，打開服務器終端，將認證交換機的IP地質以及hostname添加之后進行保存。第二，在RSA程序中打開RSA Authentiaction Manager Control Panel，并在菜單欄中找到name所對應的設備名稱，確認對話所出現的內容，之后進行服務器認證。第三，將設備添加到用戶組之中，選擇SWITCH組中所對應的內容，最終確定對話框中的用戶賬號，對認證管理的交換機進行處理[2]。

3.2 添加服務器認證

添加服務器認證中應該做到：第一，服務器操作端。首先，系統需要打開服務器終端，對需要認證的交換機IP地址以及hostname保存；其次，按照RSA程序對菜單內容以及程序內容進行對比，并在Windows操作系統中選擇Net OS Aget項目，對話框會自動彈出認證服務器。最后，在添加設備的群組里，應該結合認證項目選擇適合的群組，將需要認證的服務項目添加在管理系統之中。第二，Agent端操作。對于該系統而言，為了提高添加服務器認證的整體效果，應該做到：首先，操作人員應該結合電力信息管理系統的操作特點添加賬號，在PC管理系統中建立登錄賬號，并將所添加的賬號放置在相關系群組之后創建RSA組。其次，系統會在服務器上拷貝相關文件并發送到Agent終端，為之后的系統操作提供支持。最后，根據系統安全管理狀況安裝Agent代理系統[3]。

3.3 添加及刪除用戶

一般情況下，在添加或是刪除用戶系統的項目設計中，應該做到以下內容：首先，在RSA系統中打開程序，系統會自動彈出對話框，之后打開Assign Token選項，之后選擇Set程序。其次，測試賬號，在添加及刪除用戶程序結束之后，應該對添加的內容進行測試；最后，賬號禁用設置。當系統連續輸入三次密碼失敗之后，設備無法正常登陸，相關操作人員應該在服務器終端重新進行驗證，以保證用戶在之后操作中的正常登陸。

3.4 應急處理

通過對電力企業網絡安全管理技術的分析，認證服務器的故障以及應急處理系統的設計是較為重要的，在一般的應用場合中，通過預留網絡設備以及服務器設備的使用，可以及時發現認證系統中的故障，保持網絡本地網絡系統的正常操作及穩步運行。對于電力信息網絡安全系統，通過認證服務器數據庫以及日志數據庫的設計，可以對系統進行備份處理，并按照系統提供的指令以及在線備份的方法進行離線處理，保證電力系統運行的穩定性。但是應該注意的是，在認證服務器以及應急處理系統中，應該根據不同的設備情況確定處理方案：第一，在替換備份認證的服務器數據庫中，系統需要在主動認證的狀況下進行備份操作。第二，在替換備份認證服務器硬件系統中，需要重做操作系統，并按照原有的設備名稱、IP地址等回復數據庫。第三，在替換認證服務器數據系統中，應該根據備份認證系統的運行狀況選擇最優的服務器，之后導出數據參數，并對備份系統中的服務設備進行更換處理，以提高系統應急處理的整體效果[4]。

4 RSA雙因素身份動態認證技術在信息安全管理中的運用

4.1 工程概況

研究中根據某電力公司動態認證系統操作狀況，系統中的安全管理設備包括防火墻、路由器以及CIOCO交換機等。根據RSA雙因素身份動態認證技術在信息安全管理中的運用，對系統的安全管理進行分析。

4.2 技術運用

4.2.1 RSA SecurID認證服務器

結合電力企業信息安全管理系統的設計狀況，為保證硬件安裝環境的安全性，選擇了HP DL380G52服務器，服務器按照標準對認證服務器以及從屬服務器的運行狀況進行處理，不同服務器之間在同步運算中，會完成對信息的修改及處理，并對各項認證參數進行調整，保持兩個系統操作的一致性。在兩個服務器運行中，其中一個發生故障，不會中斷系統的運行模式，但是，應該注意系統發生終端的原因，例如，在RSA認證系統運行中，當rimary Ace系統出現故障，信息在這種情況下無法進行修改，相關操作人員應該考慮系統升級或是備份恢復，以保證RSA認證系統的穩步運行[5]。

4.2.2 主機保護

在電力系統的服務器運行中，應該根據供電企業的運行狀況對服務器的關鍵系統以及存儲系統進行保護，以保證電力系統的安全、穩定運行。由于電力企業相關系統運行的特殊性，一些服務器只需要簡單的身份驗證就可以，這種現象增加電力系統運行的安全性。因此，在服務器主機保護系統設計中，應該結合電力系統的運行狀況以及數據使用需求等，對計算機的設備、設施等進行保護，以更好的避免系統安全隱患以及網絡攻擊現象的發生。例如，在RSA系統中，不僅可以為Windows系統提供軟件代理，而且也可以支持IBM AIX以及SUN Solaris系統的正常運行，增強電力系統運行的安全性。而且，當服務器主機保護系統安裝了RSA技術之后，RSA會按照用戶的需求對身份進行驗證，也就是說，當用戶登錄到主機系統之后，會現實正確的用戶信息及密碼，在方便用戶登錄的同時實現信息安全保護。若用在登錄系統中出現密碼輸入錯誤的現象，系統會拒絕用戶的訪問。

4.2.3 數據庫保護系統

電力行業在網絡系統構建中，通過數據庫保護系統的設計，可以通過相關軟件的使用，為系統提供保護裝置。例如，在RSA技術中，若用戶想訪問數據庫，系統會自動加密，并進行安全檢查，RSA服務器的技術會通過用戶身份認證，確定安全選項以及安全令牌，保證系統的安全運行[6]。

4.2.4 無線網絡

結合RSA雙因素身份動態認證技術，通過無線網絡技術的使用，用戶可以在這種環境下需要登錄無線網網絡，并采用雙因素身份動態認證技術，在驗證合格之后用戶可以登錄公司系統。

4.3 保護應用

在RSA雙因素身份動態認證技術中，為了實現電力系統的安全運行，電力企業可以使用Oracle程序，RSA會結合系統狀況，提供AM插件，將插件與Oracle程序融合，可以幫助電力企業使用令牌對用戶進行雙因素動態化身份認證。電力企業相關操作者在這種環境下，只需要提供一個認真就可以進入應用程序，提高程序登錄的效率，同時也避免不安全因素對系統造成的影響。應該注意的是，Oracle程序是一種相對獨立的形式，用戶在該種程序中，應該保持各項參數使用的一致性，若出現信息輸入不一致的問題，系統會進行自動保護[7]。

5 結束語

總而言之，在電力企業運行中，為增強網絡安全系統管理及使用的安全性，相關管理者需要認識到RSA雙因素身份動態認證技術優勢，結合電力系統網絡通信系統的運行狀況，分析影響系統安全運行的因素并根據電力企業的運行模式，積極設計RSA雙因素身份動態認證技術，結合認證令牌、代理軟件以及管理服務器的操作狀況，創新硬件、軟件的安全管理方案，保證電力企業信息安全管理的有效性，實現行業的安全、穩步發展。