一种操作许可安全管控系统及方法

技术领域

本发明属于电力自动化主站通信监控和网络安全技术领域，具体涉及一种操作许可安全管控系统及方法。

背景技术

为了提高运维效率和节省人力资源，电力系统主站端对变电站端的远方控制操作应用越来越广泛。电力系统主站端到变电站端的典型远方控制操作业务有：1)调度主站对变电站断路器和隔离开关设备的遥控操作，以及对主变分接头档位升、降的遥控操作；2)保护信息系统主站对变电站保护装置修改定值和切换定值区操作；3)一键顺控等自动化、智能化管理和运维业务操作。不同地区的远方控制操作业务应用情况有所差异，其中断路器、隔离开关、主变分接头档位遥控操作应用已经非常普遍，远方修改定值、切换定值区、一键顺控等操作也在多个地区多个工程中应用试点，具备良好的推广应用前景。

目前的电力系统主、子站通讯架构示意图如图1所示。在该通讯架构下，主站监控系统数据存储于数据服务器，运维人员通过操作员站监视和控制系统运行情况，整个主站系统通过前置服务器与变电站通讯。为保证通讯可靠性，主站到变电站的通讯通道有两路，通常称为一平面通道和二平面通道，分别对应独立的通讯设备。当进行远方控制操作时，运维人员在操作员站上操作，控制命令经数据服务器、前置服务器、交换机、纵向加密装置后，传输到变电站内部。从操作流程上看，主站端进行远方控制操作时需要对操作人和监护人身份进行校验，但校验的方式主要采用密码校验，而且身份校验直接在业务系统上完成，操作人和监护人是来自于同一运维班组，并在同一物理位置操作。

对上述远方控制业务进行安全风险分析，会发现以下三个方面风险因素：

1)人的因素。从人的因素考虑，采用的密码方式校验易用性较高，但安全性较低，可能存在密码不小心泄露的风险；由于操作人和监护人来自同一班组，操作时也在同一物理位置，极端情况下有人员被控制、人员被收买等不安全因素。

2)网络和系统因素。操作人和监护人都是在保信业务系统上操作，不同角色的人员权限信息统一存储于数据系统中，且人员身份校验直接在本业务系统上完成，缺乏第三方系统的身份验证；在网络被入侵、数据服务器被攻陷、数据库被破坏等极端情况下，人员身份信息可能通过数据注入攻击等被盗取，操作人和监护人的身份可能被伪造，甚至人员身份校验流程可能被直接绕过而下发控制命令，致使远方控制业务失去防护。

3)身份检验方式因素。从校验方式考虑，如果仅使用密码方式属于单因子认证，安全性不够高，存在安全风险。

从以上分析可以看出，现有远方控制业务实施过程中，存在一些安全风险，在极端情况下可能导致远方控制权失去安全管控，进而产生比较严重的后果。

发明内容

针对上述问题，本发明提出一种操作许可安全管控系统及方法，可以在现有业务系统硬件设备、系统配置、软件程序完全不变的情况下，加强远方控制操作许可管控和网络安全防护。

为了实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

第一方面，本发明提供了一种操作许可安全管控系统，包括安全网关和许可服务器；

所述许可服务器与所述安全网关的管理端口相连，用于管理所述安全网关的工作状态；

当所述安全网关收到的报文为非远方控制操作报文，则直接转发；当所述安全网关收到的报文为远方控制操作报文，且所述安全网关的工作状态分为许可状态，则允许所述远方控制操作报文通过，若所述安全网关的工作状态分为非许可状态，则禁止所述远方控制操作报文通过。

可选地，所述安全网关包含两个独立的业务转发通道，每个业务转发通道包含两个业务转发端口，用于串接于电力系统主子站业务数据流之中；所述安全网关的每个业务转发通道均设有旁路，当所述安全网关失电或异常情况下自动闭合旁路，物理上直接导通该业务转发通道的两个业务转发端口的电信号，确保电力系统主子站业务数据交互不因安全网关装置失点或异常而受影响。

可选地，所述操作许可安全管控系统还包括至少一个许可工作站，所述许可工作站与所述许可服务器通过许可数据网相连；所述许可工作站发送状态控制命令至许可服务器，由许可服务器转发给安全网关，实现供许可人操作控制安全网关的工作状态处于许可状态或非许可状态。

可选地，所述许可工作站中包括第二身份验证模块，所述第二身份验证模块通过双因子认证方式校验许可人身份，当许可人身份校验成功，则所述许可工作站可供许可人操作来控制所述安全网关的工作状态处于许可状态或非许可状态。

可选地，所述许可服务器和/或许可工作站中均包括目标设置模块和时长设置模块；所述目标设置模块用于指定处于许可状态的对象，安全网关仅开放该对象的远方操作业务；所述时长设置模块用于指定处于许可状态的对象的许可时长，当许可时长结束时，如果许可人还未将安全网关操作至非许可状态，则安全网关自动恢复为非许可状态。

可选地，所述安全网关的业务转发端口用于串接于主、子站业务数据流中，实时分析主、子站报文，并按预先配置的安全规则，对报文MAC地址、协议类型、IP地址、端口号进行安全规则校验；不符合安全规则的报文不允许通过安全网关，直接丢弃。

可选地，如果所述安全网关处于非许可状态，当其业务端口收到所述远方控制操作报文时，则安全网关将该报文中表示控制属性的字段报文内容修改为表示非控制属性的报文，并重新计算该帧报文的TCP头部“检验和”字段的值，并将计算后的“检验和”字段更新到该帧报文中，同时保持该帧报文的长度、TCP序号不变，然后转发修改后的该帧报文。

可选地，所述许可服务器与所述安全网关的管理端口通过网线或光纤直连；所述许可服务器中包括第一身份验证模块，所述第一身份验证模块通过双因子认证方式校验许可人身份，当许可人身份校验成功，则所述许可服务器可供许可人操作来控制所述安全网关的工作状态处于许可状态或非许可状态。

第二方面，本发明提供了一种操作许可安全管控方法，包括以下步骤：

利用许可服务器管理与其相连的安全网关的工作状态；

当所述安全网关收到的报文为非远方控制操作报文，则直接转发；当所述安全网关收到的报文为远方控制操作报文，且所述安全网关的工作状态分为许可状态，则允许所述远方控制操作报文通过，若所述安全网关的工作状态分为非许可状态，则禁止所述远方控制操作报文通过。

可选地，所述方法还包括：利用许可服务器中的第一身份验证模块，通过双因子认证方式校验许可人身份，当许可人身份校验成功，则所述许可服务器可供许可人操作来控制所述安全网关的工作状态处于许可状态或非许可状态。

可选地，所述方法还包括：利用与所述许可服务器相连的许可工作站发送状态控制命令至许可服务器，由许可服务器转发给安全网关，实现供许可人操作控制安全网关的工作状态处于许可状态或非许可状态。

可选地，所述方法还包括：利用许可工作站中的第二身份验证模块，通过双因子认证方式校验许可人身份，当许可人身份校验成功，则所述许可工作站可供许可人操作来控制所述安全网关的工作状态处于许可状态或非许可状态。

与现有技术相比，本发明的有益效果：

本发明提供了一种操作许可安全管控系统及方法，在不改变原有业务系统硬件设备、系统配置、软件程序的基础上，实现了在电力系统远方操作过程中通过所述操作许可安全管控系统校验操作行为合法性，加强了远方控制操作许可管控和网络安全防护。

进一步地，本发明还实现了对许可人身份进行双因子认证，以及进行了主、子站报文的安全监控。

附图说明

为了使本发明的内容更容易被清楚地理解，下面根据具体实施例并结合附图，对本发明作进一步详细的说明，其中：

图1是现有技术中电力系统主、子站网络架构示意图；

图2是本发明一种实施例中操作许可安全管控系统的组成示意图；

图3是本发明一种实施例中操作许可安全管控系统现场部署示意图；

图4是本发明一种实施例中安全网关硬件组成示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明的保护范围。

下面结合附图对本发明的应用原理作详细的描述。

实施例1

本发明实施例中提供了一种操作许可安全管控系统，如图2所示，包括安全网关和许可服务器；

在实际使用过程中，所述安全网关一般被部署安装在主站的讯通机房，所述许可服务器被部署安装在主站的讯通机房或主站运行监控控制室；

所述安全网关的业务转发端口用于串接于主、子站业务数据流中；在实际应用过程中，所述安全网关的业务转发端口实时接收并分析主、子站业务报文，并按预先配置的安全规则，对报文MAC地址、协议类型、IP地址、端口号进行安全规则校验；不符合安全规则的报文不允许通过安全网关，直接丢弃，实现对主、子站报文的安全监控；

所述许可服务器与所述安全网关的管理端口相连，用于管理所述安全网关的工作状态；在实际应用过程中，所述许可服务器与所述安全网关的管理端口通过网线或光纤直连，并与安全网关通过密文通讯；

当所述安全网关收到的报文为非远方控制操作报文，则直接转发；当所述安全网关收到的报文为远方控制操作报文，且所述安全网关的工作状态分为许可状态，则允许所述远方控制操作报文通过，若所述安全网关的工作状态分为非许可状态，则禁止所述远方控制操作报文通过。在本发明实施例的一种具体实施过程中，如果所述安全网关处于非许可状态，当其业务端口收到所述远方控制操作报文时，则安全网关将该报文中表示控制属性的字段报文内容修改为表示非控制属性的报文，并重新计算该帧报文的TCP头部“检验和”字段的值，并将计算后的“检验和”字段更新到该帧报文中，同时保持该帧报文的长度、TCP序号不变，然后转发修改后的该帧报文。

在本发明实施例的一种具体实施方式中，为了提高本发明实施例中的操作许可安全管控系统的安全性，所述许可服务器中包括第一身份验证模块，所述第一身份验证模块通过双因子认证方式校验许可人身份，当许可人身份校验成功，则所述许可服务器可供许可人操作来控制所述安全网关的工作状态处于许可状态或非许可状态。在实际使用过程中，所述双因子认证许可人身份的方式，可以采用Ukey、指纹、PIN码、人脸识别、语音识别、虹膜几种因子中选择两种因子组合使用。

在本发明实施例的一种具体实施方式中，所述许可服务器中包括目标设置模块和时长设置模块；所述目标设置模块用于指定处于许可状态的对象(比如目标变电站)，安全网关仅开放该对象的远方操作业务；所述时长设置模块用于指定处于许可状态的对象的许可时长，当许可时长结束时，如果许可人还未将安全网关操作至非许可状态，则安全网关自动恢复为非许可状态。

在本发明实施例的一种具体实施方式中，所述安全网关硬件组成示意图如图4所示。每台安全网关包含两个独立的业务转发通道，每个业务通道包含两个业务转发端口，用于串接于电力系统主子站业务数据流之中；每个业务转发通道设计有硬件旁路功能，当所述安全网关失电或异常情况下通过继电器动作自动闭合旁路，物理上直接导通该业务转发通道的两个业务转发端口的电信号，相当于所述安全网关被旁路掉了，原业务通道正常通讯，确保电力系统主子站业务数据交互不因安全网关装置失点或异常而受影响。每台安全网关的业务通道端口物理信号通过PHY芯片组转换为数据信号与CPU模块的SGMII数据接口连接；通讯口物理信号通过PHY芯片组转换为数据信号与CPU模块的RGMII数据接口连接；SSD硬盘通过PCIe接口连接至CPU模块，用于存储运行中产生的应用数据；SD卡用于装置生产阶段写入boot程序和导入系统程序；FLASH芯片用于存储操作系统镜像、应用程序和配置文件；时钟芯片用于装置计时；RS232方式的Console口用于调试。

在主子站系统采用多个通道通讯的场景下，本发明实施例中的操作许可安全管控系统中可配置多台安全网关，分别与所述许可服务器通讯，并接受许可服务器关闭和开放许可操作的命令。

在安全性要求较低的场景下，用于许可工作站与许可服务器通讯的许可数据网可以与业务网共网，许可工作站可以与业务网的操作员站公用物理设备。

如图3所示为本发明实施例中的操作许可安全管控系统的现场部署示意图，除了包含安全网关、许可服务器以外，还包含主站端业务系统的数据服务器、操作员站、前置服务器、纵向加密认证装置，有部分操作员站部署于巡检中心供运行人员使用，也有部分操作员站部署于运维班组供运维人员使用。

综上可见，使用本发明实施例中的操作许可安全管控系统进行远方控制操作安全管控的工作流程包括：

(1)当业务系统操作人有远方控制操作需求时，提起远方操作许可申请；

(2)许可人在接到合理申请要求后，在许可服务器上控制安全网关，进行许可授权；

(3)业务系统远方控制操作结束后，许可人在许可服务器上停止许可授权。

实施例2

基于实施例1，当需要在多个地点进行许可操作时，所述操作许可安全管控系统还包括至少一个许可工作站，各许可工作站被分散布置于需要进行许可操作的地点(例如图3中的巡检中心，所述巡检中心的数量大于或者等于1，分别记为巡检中心1、……巡检中心N)，各许可工作站与所述许可服务器通过许可数据网相连，并且与许可服务器之间采用密文通讯传输；所述许可工作站发送状态控制命令至许可服务器，由许可服务器转发给安全网关，实现供许可人操作控制安全网关的工作状态处于许可状态或非许可状态。优选地，所述许可工作站上也可以显示许可安全管控系统信息。

在本发明实施例的一种具体实施方式中，为了提高本发明中的操作许可安全管控系统的安全性，所述许可服务器中包括第一身份验证模块，所述第一身份验证模块通过双因子认证方式校验许可人身份，当许可人身份校验成功，则所述许可服务器可供许可人操作来控制所述安全网关的工作状态处于许可状态或非许可状态；所述许可工作站中包括第二身份验证模块，所述第二身份验证模块通过双因子认证方式校验许可人身份，当许可人身份校验成功，则所述许可工作站可供许可人操作来控制所述安全网关的工作状态处于许可状态或非许可状态。在实际使用过程中，所述双因子认证许可人身份的方式，可以采用Ukey、指纹、PIN码、人脸识别、语音识别、虹膜几种因子中选择两种因子组合使用。

在本发明实施例的一种具体实施方式中，所述许可服务器和/或许可工作站中均包括目标设置模块和时长设置模块；所述目标设置模块用于指定处于许可状态的对象(比如目标变电站)，安全网关仅开放该对象的远方操作业务；所述时长设置模块用于指定处于许可状态的对象的许可时长，当许可时长结束时，如果许可人还未将安全网关操作至非许可状态，则安全网关自动恢复为非许可状态。

如图3所示为本发明实施例中的操作许可安全管控系统的现场部署示意图，除了包含安全网关、许可服务器、许可工作站三个部分以外，还包含主站端业务系统的数据服务器、操作员站、前置服务器、纵向加密认证装置，有部分操作员站部署于巡检中心供运行人员使用，也有部分操作员站部署于运维班组供运维人员使用。

综上可见，使用本发明实施例中的操作许可安全管控系统进行远方控制操作安全管控的工作流程包括：

(1)当业务系统操作人有远方控制操作需求时，提起远方操作许可申请；

(2)许可人在接到合理申请要求后，在许可服务器或许可工作站上控制安全网关，进行许可授权；

(3)业务系统远方控制操作结束后，许可人在许可服务器或许可工作站上停止许可授权。

实施例3

基于与实施例1相同的发明构思，本发明实施例中提供了一种操作许可安全管控方法，包括以下步骤：

步骤(1)、利用许可服务器管理与其相连的安全网关的工作状态；

步骤(2)、当所述安全网关收到的报文为非远方控制操作报文，则直接转发；当所述安全网关收到的报文为远方控制操作报文，且所述安全网关的工作状态分为许可状态，则允许所述远方控制操作报文通过，若所述安全网关的工作状态分为非许可状态，则禁止所述远方控制操作报文通过。

在本发明实施例的一种具体实施方式中，所述方法还包括：利用许可服务器中的第一身份验证模块，通过双因子认证方式校验许可人身份，当许可人身份校验成功，则所述许可服务器可供许可人操作来控制所述安全网关的工作状态处于许可状态或非许可状态。

本发明实施例中的方法可以被应用至实施例1中的操作许可安全管控系统。

实施例4

基于实施例3，本发明实施例与实施例3的区别在于：

所述方法还包括：利用与所述许可服务器相连的许可工作站发送状态控制命令至许可服务器，由许可服务器转发给安全网关，实现供许可人操作控制安全网关的工作状态处于许可状态或非许可状态。

在本发明实施例的一种具体实施方式中，所述方法还包括：利用许可工作站中的第二身份验证模块，通过双因子认证方式校验许可人身份，当许可人身份校验成功，则所述许可工作站可供许可人操作来控制所述安全网关的工作状态处于许可状态或非许可状态。

本发明实施例中的方法可以被应用至实施例2中的操作许可安全管控系统。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。