1、近年来,有国家背景的网络攻击日趋频繁,攻击目标由情报窃取为主延伸到破坏关键基础设施,电力等行业首当其冲。2020年上半年,国内360安全公司披露了美国中央情报局对我国能源等关键领域长达11年的高级持续威胁网络攻击(APT)。除了外部APT攻击,内部人员的恶意破坏事件也时有发生,其风险同样不容忽视,2020年2月,微盟公司的研发中心运维部核心运维人员恶意删除公司数据库,造成重大损失。上述事件对电网各级调度机构均具有警示意义。调度机构是电网生产运行的指挥中枢,电力监控系统支撑的生产业务众多,核心场所及系统的权限管理至关重要。为深入贯彻落实国家对电力安全风险管控工作的总体部署,有效防控极端情况下的电
2、力安全风险,依托某网级电网(以下简称N网),我们对各级OCS系统的权限管理现状进行调研分析,发现目前各级调度机构主要存在以下问题:人员权限管理意识不强;权限管理制度不健全;权限管理责任主体不明确;权限管理技术措施不完备。这些问题若长期得不到系统性有效解决,权限管理安全隐患日积月累,一旦发生OCS系统被恶意控制或破坏、数据库被恶意删除等事件,将直接影响电网安全运行,造成严重后果。针对上述问题引起的安全隐患,我们提出一种基于PCS9000可扩展因子服务框架与N网安全专业统一身份认证系统相结合的双因子登录验证方案,同时在电网监控系统中首次提出一种全新的权限管控授权机制,对系统中账户的异常登录行为进行
3、授权管控,并对系统运维中的关键操作采用多人授权等方式进行管控。1登录验证方案1.1可扩展因子集成服务框架在电网运行监控系统PCS9000系统中,基于可扩展性需求的考虑,设计了一套可扩展因子集成服务框架,将除用户密码外的因子的验证与PCS9000系统解耦,通过定义统一接口,采用插件动态加载的方式与PCS9000系统实现交互,即插即用。不仅集成开发成本降低,同时通过巧妙的设计降低双因子验证流程的复杂度,用户操作更为简便,体验提升。1.2安全专业统一身份认证系统考虑到N网OCS系统为四级系统,根据安全防护的要求,通过N网网络安全专业提供的专用电力数字证书,引入N网安全专业提供的统一身份认证系统,为O
4、CS系统提供第二个因子的验证。以Ukey认证为例,具体流程示意如图1所示:图1安全专业统一身份认证系统流程示意浅色线条关联的业务流程为发行流程,包括了用户Ukey和中心Ukey的发行流程。深色线条关联的业务流程基于Ukey结合数字证书密码技术的认证流程。(1)发行流程1)用户线下向Ukey管理员申请其登录所需的Ukey;2)Ukey管理员审核用户信息,为其发行Ukey,并将Ukey与用户绑定;3)系统生成空白Ukey的SM2密钥对和证书请求文件,线下提交给调度数字证书系统(离线运行)申请签发证书;4)证书管理员审核后,使用根证书签发用户公钥证书;5)证书管理员将用户公钥证书、根证书离线发放给U
5、key管OCS 系统权限管控提升的研究与应用陈翔明樵王艳蓉(南京南瑞继保电气有限公司,江苏 南京211101)Research of Authority Managment Improvement in OCS System摘要:阐述了国际背景下网络攻击及内部人员恶意破坏事件对电网调度机构的警示。为深入贯彻落实国家对电力安全风险管控工作的总体部署,提出电网运行监控系统(以下简称OCS系统)权限管控提升研究的必要性。依托于某网级OCS系统,首先提出基于PCS9000可扩展因子服务框架及某网安全专业统一身份认证系统的双因子登录方案,接着提出一种全新的权限管控授权机制,对系统中账户的异常登录行为进行
6、授权管控,并对系统运维中的关键操作采用多人授权、多次确认等方式进行管控。关键词:OCS;双因子;权限管控;授权机制Abstract:This paper expounds the warning significance of network attacks and malicious sabotage by insiders to powergrid dispatching institutions in the international context.In order to thoroughly implement the overall deployment of the state
7、for power security risk management and control,it is necessary to study the authority management and control improvementof power grid operation monitoring system(hereinafter referred to as OCS system).Relying on a network level OCS system,this paper proposes a two factor login scheme based on pcs900
8、0 extensible factor service framework and a network secu-rity professional unified identity authentication system,and proposes a new authority control authorization mechanism to au-thorize and control the abnormal login behavior of accounts in the system,and control the key operations in the systemo
9、peration and maintenance by means of multiple authorization and multiple confirmation.Keywords:OCS,two factor,authority control,authorization mechanismOCS系统权限管控提升的研究与应用122工业控制计算机2023年第36卷第2期理员;6)Ukey管理员将用户公钥证书、根证书注入到Ukey硬件介质中同时绑定用户名;7)系统同步将Ukey对应的用户证书、信息同步到OCS登录认证程序,用于后续用户的登录认证;8)Ukey管理员向用户发放Ukey及提供
10、初始PIN码;9)在用户使用Ukey登录前,Ukey管理员还需要完成中心Ukey的发行,并提供给OCS登录认证程序使用。(2)认证流程1)用户登录时插入Ukey,根据提示输入Ukey的PIN码,发起登录流程;2)登录过程中,OCS登录端先调用认证程序SDK获取当前登录的用户名,认证程序SDK与OCS登录认证程序交互完成认证并获取用户名;3)认证程序SDK调用用户Ukey生成随机数R1,并使用用户Ukey私钥对R1进行签名,将R1和签名值发送到OCS登录认证程序;4)OCS登录认证程序读取用户公钥证书信息,使用根证书验证证书的合法性,再使用用户Ukey的公钥对随机数R1进行签名验证,并对随机数进
11、行防重放校验,再获取数字证书绑定的用户名,并对用户名使用用户Ukey的公钥加密,生成随机数R2,获取中心Ukey公钥证书,并对随机数R1、随机数R2、公钥加密的用户名、中心Ukey公钥证书签名;5)OCS登录认证程序返回随机数R2、公钥加密的用户名、中心Ukey公钥证书和对应的签名值;6)认证程序SDK接收到响应数据后,使用根证书校验中心Ukey证书的合法性,再使用随机数R1,结合返回的随机数R2、公钥加密的用户名、中心Ukey公钥证书进行签名验证,然后使用用户Ukey私钥解密获取到用户名,将用户名作为getUser()接口的输出参数。1.3新的登录验证方案我们将PCS9000可扩展因子集成服
12、务框架和N网安全专业统一身份认证系统相结合,实现新型的双因子登录验证方案。用户在登录系统时除输入个人口令外,还需插入认证系统签发的Ukey进行身份验证。新旧登录验证过程对比如图2所示:图2新旧登录验证过程对比示意目前这种解决方案已在N网OCS系统中实施应用,因其高安全性(满足国家密码标准,全自主研发的统一身份认证系统)、高适配性(采用跨平台的通用架构和开发语言,适配X86架构与ARM架构)、高扩展性(支持Ukey、生物识别等各种验证手段的集成)、低影响范围(可在线部署不影响系统正常运行)以及登录验证过程的便利性获得了用户的高度认可。2授权管控机制在原有的OCS系统中,用户登录或者在进行某些关键
13、操作如数据库发布、应用切换等时,对其进行相关权限的校验,这道防线可有效预防无权限的用户的恶意登录或操作。如果一旦具备上述权限的内部人员被策反,那这道防线就失去了作用。在国家安全及反恐形势越发严峻的当下,预防具备一定权限被策反人员的恶意控制或破坏,显得十分必要。于是,我们首次提出在电网监控系统中部署一种全新的权限管控授权机制。2.1授权类账户引入经梳理OCS系统账户类型,在原有的系统管理类账户、操作类账户、浏览类账户之外,考虑引入授权类账户,这类账户对系统中的操作类账户(如调度员、自动化值班员等)的操作行为进行授权。一个用户可以同时为操作类账户和授权类账户,但其不可对自身操作进行授权。系统着重对
14、操作类账户异常登录和关键操作进行授权管控。2.2异常登录的管控我们从四个维度对用户登录是否存在风险进行分析:1)研判用户角色。被管控角色(如调度员、自动化值班员等)的登录需要被授权;管控当值人员可直接登录。2)研判登录时间。保供电时间、非正常上班时间以及节假日、调休日等时间内的登录均需被授权。3)研判账户状态。用户账户之前已30天以上未登录系统以及账户被解锁后首次登录系统均需被授权。4)研判登录节点。用户在其所属角色常用节点之外的场所登录需被授权。引入授权管控机制后的用户登录流程如图3所示:图3用户登录授权流程示意2.3关键操作的管控我们对OCS系统上的操作进行梳理,将其分为两大类:应用操作(
15、在OCS系统上进行监视、控制、运维等行为)和运维操作(检查OCS系统相关的网络、存储和配置等行为),这其中对于OCS系统及电网运行可能产生较大影响的操作都可称之为关键操作,目前我们实现的管控的关键操作有:重要遥测封锁、自驾驶、应用切换、调峰/现货市场投退等应用操作、数据库发123(上接第121页)计、分析,向用户提供实时数据、历史数据、画面、报表等信息,以实现一体化的智慧管控平台平台。5结束语管控一体化一直是生产企业多年来的信息化追求目标,很多企业不惜重金建设。智慧管控平台是一个先进的信息化平台,但是任何一个信息化系统都离不开人的思想。智慧平台在建设初期,就必须要做好管理咨询调研工作,充分了解
16、好企业的各个相关管理流程、生产流程,打造一个高度贴合企业管理流程的平台,才是一个真正成功的平台,才能更好地为企业的管控一体化提供智慧的决策依据。管理流程、管理思想也需要利用信息化手段与时俱进,两者相辅相成,实现真正的智慧管控。参考文献1高建芳,胡明物联网技术J内蒙古科技与经济,2014(6):62,642吴海平分布式实时数据库在广域网SCADA中的应用J工业控制计算机,2017,30(2):16-17,20收稿日期:2022-07-10图6系统硬件结构布、公式定义等运维操作。以数据库发布操作为例,介绍关键操作授权流程:(1)操作端系统维护人员进行完数据库维护,点击发布按钮时,系统将弹出如图4所示授权请求页面:图4关键操作授权请求界面点击“申请授权”按钮,系统将请求发送给自动化当值人员,等待当值人员确认并授权后,数据库发布操作才可执行。(2)授权端在自动化当值人员的工作站在收到授权请求后,将弹出如图5所示页面:图5关键操作授权界面当值人员根据相关提示信息,可选择“授权”或者“拒绝”。如果当前有多个操作申请授权,图5中的表格会出现多条记录。当值人员可在授权界面上查询以往的管控记录以辅助其做