摘要：調(diào)度自動化系統(tǒng)對安全要求很高，二次安全防護(hù)的國網(wǎng)要求及實施，維護(hù)工作大幅度增加，利用撥號安全網(wǎng)關(guān)進(jìn)行調(diào)度自動化遠(yuǎn)程維護(hù)可以提供系統(tǒng)維護(hù)的可靠性、安全性。我公司之前使用傳統(tǒng)MODEM進(jìn)行遠(yuǎn)程不具備可靠性、安全性，所以我們把原來的傳統(tǒng)MODEM更換為撥號安全網(wǎng)關(guān)，進(jìn)而提高調(diào)度自動化系統(tǒng)的安全性。
　　關(guān)鍵詞：調(diào)度自動化系統(tǒng)，撥號安全網(wǎng)關(guān)，遠(yuǎn)程維護(hù)，安全性
　　1引言
　　根據(jù)電力二次系統(tǒng)安全防護(hù)要求，對調(diào)度自動化系統(tǒng)的遠(yuǎn)程撥號服務(wù)加強(qiáng)管理，必須安裝撥號安全網(wǎng)關(guān)服務(wù)器以實現(xiàn)對遠(yuǎn)程撥號的有效管理，沒有安裝撥號安全網(wǎng)關(guān)服務(wù)器的原則上不可開通遠(yuǎn)程撥號。目前我公司調(diào)度自動化系統(tǒng)未安裝撥號安全網(wǎng)關(guān)，而由廠家進(jìn)行遠(yuǎn)程撥號服務(wù)必不可少，為了在保證系統(tǒng)安全的基礎(chǔ)上，更好地保證自動化系統(tǒng)穩(wěn)定運(yùn)行，提高工作效率，針對調(diào)度自動化系統(tǒng)加裝撥號安全網(wǎng)關(guān)是必不可少的。撥號安全網(wǎng)關(guān)采用工業(yè)級服務(wù)器、硬件USBKEY雙因數(shù)強(qiáng)認(rèn)證、防火墻、VPN等安全技術(shù)，對撥號接入用戶進(jìn)行認(rèn)證，對傳輸?shù)男畔⑦M(jìn)行加密和數(shù)字簽名，并設(shè)置安全策略對接入的用戶訪問的范圍和資源進(jìn)行限制，通過審計日志對其訪問進(jìn)行詳細(xì)的記錄，以電力二次安全防護(hù)安全防護(hù)的強(qiáng)度，保證撥號用戶操作的責(zé)任性和可追查性。
　　2現(xiàn)狀分析
　　目前我公司電力調(diào)度信息系統(tǒng)有X個業(yè)務(wù)系統(tǒng)：EMS系統(tǒng)、MIS系統(tǒng)，同時還下轄地調(diào)的SCADA系統(tǒng)，其網(wǎng)絡(luò)結(jié)構(gòu)示意如下：
　　
　　從上面的描述中可以看到，EMS廠家及自動化維護(hù)人員采用了MODEM撥號的方式進(jìn)入安全區(qū)I對調(diào)度主站系統(tǒng)進(jìn)行維護(hù)工作，存在嚴(yán)重的安全隱患。
　　3原因分析
　　我們經(jīng)過認(rèn)真分析研究，確認(rèn)影響遠(yuǎn)程維護(hù)安全性的原因有以下五點(diǎn)：
　　3.1未及時掌握新技術(shù)
　　每天日常維護(hù)任務(wù)重，再加上沒人組織學(xué)習(xí)，所以對新知識學(xué)習(xí)不足，知識落后，對新產(chǎn)品、新技術(shù)和新應(yīng)用了解少，更談不上應(yīng)用。雖然撥號安全網(wǎng)關(guān)非常好，我們卻沒有應(yīng)用。
　　3.2沒有借鑒先進(jìn)經(jīng)驗
　　沒有參觀學(xué)習(xí)其它先進(jìn)系統(tǒng)，對其他局的調(diào)度自動化系統(tǒng)二次安全防護(hù)發(fā)展到什么程度缺乏了解，信息閉塞，無從借鑒別人的先進(jìn)經(jīng)驗。
　　3.3撥入用戶缺少身份認(rèn)證及日志與審計
　　調(diào)度自動化系統(tǒng)需要遠(yuǎn)程維護(hù)是不可改變的事實，只能采取措施適應(yīng)這種變化。
　　3.4PSTN公網(wǎng)傳輸數(shù)據(jù)缺少加密及安全通道
　　隨著國家電力調(diào)度中心對調(diào)度自動化系統(tǒng)的安全性要求越來越高，PSTN網(wǎng)絡(luò)通信安全風(fēng)險日益嚴(yán)重，網(wǎng)絡(luò)被非法利用，通信數(shù)據(jù)被惡意串改等。
　　3.5撥入系統(tǒng)人員缺乏權(quán)限控制
　　傳統(tǒng)MODEM撥入只要具備用戶名、密碼既可實現(xiàn)，同時撥入人員進(jìn)入系統(tǒng)后可以肆意操作，我方缺乏管理、控制。
　　通過以上論證，確認(rèn)其主要原因是：
　�。�1）未及時掌握新技術(shù)
　�。�2）沒有借鑒先進(jìn)經(jīng)驗
　　（3）對撥入用戶缺少身份認(rèn)證及安全審計
　�。�4）對PSTN公網(wǎng)傳輸數(shù)據(jù)缺少加密
　�。�5）對撥入系統(tǒng)人員缺乏權(quán)限控制
　　
　　4對策及改進(jìn)：
　　通過以上分析論證，我們制定了如下對策：
　　4.1針對“未及時掌握新技術(shù)”
　　我們請廠家技術(shù)人員講課，查閱各種技術(shù)資料，選擇專題文章，鼓勵大家利用業(yè)余時間自學(xué)，并每天抽出1個小時時間組織學(xué)習(xí)討論。通過學(xué)習(xí)掌握了新技術(shù)、新知識，了解到調(diào)度自動化二次安全防護(hù)技術(shù)的最新發(fā)展情況，認(rèn)識到我公司的調(diào)度自動化系統(tǒng)安全防護(hù)有其先進(jìn)性，也有不足之處需要改進(jìn)。
　　4.2針對“沒有借鑒先進(jìn)經(jīng)驗”
　　通過咨詢，了解其他局調(diào)度自動化系統(tǒng)的發(fā)展情況并到幾個自動化系統(tǒng)比較先進(jìn)的地市局進(jìn)行參觀學(xué)習(xí)。收集撥號網(wǎng)關(guān)相應(yīng)資料，掌握最新發(fā)展方向。通過學(xué)習(xí)，不僅了解了系統(tǒng)配置、功能的先進(jìn)性，而且對一些附屬設(shè)備的配置使用也開了眼界，開闊了思路。
　　4.3針對“撥入用戶缺少身份認(rèn)證及日志與審計”
　　通過研究撥號安全網(wǎng)關(guān)是對撥入用戶首先需要結(jié)合電力專用調(diào)度數(shù)字證書及結(jié)合用戶名、密碼雙重認(rèn)證，才會建立客戶端與調(diào)度主站之間的通信連接，并且我公司操作人員也可以結(jié)合實際工作變化去增加、注銷客戶端證書，從而提高對撥入人員的控制。
　　撥號安全網(wǎng)關(guān)可以移動客戶端的所有動作事件、安全網(wǎng)關(guān)自身所發(fā)生的事件進(jìn)行日志記錄，審計查詢的內(nèi)容包括用戶撥號的用戶名、密碼，登陸/注銷時間，登陸時長，流量統(tǒng)計，每個數(shù)據(jù)包的內(nèi)容，安全網(wǎng)關(guān)自身事件：開機(jī)/關(guān)機(jī)時間、用戶TELNET/FTP命令的回放等等。
　　4.4針對“PSTN公網(wǎng)傳輸數(shù)據(jù)缺少加密及安全通道”
　　撥號安全網(wǎng)關(guān)以電力系統(tǒng)專用證書頒發(fā)機(jī)構(gòu)即CA中心簽發(fā)的數(shù)字證書為核心的加密技術(shù)，可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實體身份的真實性、簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。通過嚴(yán)格的密鑰協(xié)商、加密傳輸和生存管理過程包裝密鑰不泄漏；采用128位對稱加密和1024非對稱加密算法完成數(shù)據(jù)加密；采用VPN隧道封裝技術(shù)，不僅保護(hù)數(shù)據(jù)，也保護(hù)地址信息。
　　4.5針對“撥入系統(tǒng)人員缺乏權(quán)限控制”
　　撥號安全網(wǎng)關(guān)可以通過安全訪問策略控制，從而做到限制撥入人員只能登陸到指定的主機(jī)進(jìn)行維護(hù)處理，并結(jié)合實際工作需求限定其撥入時間段，提高系統(tǒng)安全管理的規(guī)范性、可控性。
　　
　　5實現(xiàn)目標(biāo)
　　5.1遠(yuǎn)程用戶與工作站與系統(tǒng)本地具有相同的安全信任度與防護(hù)級別。
　　5.2遠(yuǎn)程用戶與工作站的安全防護(hù)是前提。
　　5.3在撥號連接建立過程中對撥號實體（用戶或者設(shè)備）進(jìn)行基于數(shù)字證書的身份認(rèn)證，通過后才可以建立網(wǎng)絡(luò)層的連接。
　　5.4對通信過程中的認(rèn)證信息與應(yīng)用數(shù)據(jù)進(jìn)行完整性、機(jī)密性保護(hù)。
　　5.5對授權(quán)的用戶進(jìn)行合理的權(quán)限限制，在經(jīng)過認(rèn)證的連接上應(yīng)該僅能夠行使受限的網(wǎng)絡(luò)功能與應(yīng)用。
　　5.6防護(hù)措施應(yīng)該對用戶操作、應(yīng)用性能、以及便攜程度產(chǎn)生盡量小的影響。
　　
　　6結(jié)束語
　　為總結(jié)成功經(jīng)驗，我們將《撥號安全網(wǎng)關(guān)實現(xiàn)遠(yuǎn)程安全維護(hù)》記錄成冊，編入《洛陽供電公司調(diào)度所遠(yuǎn)動班工作標(biāo)準(zhǔn)》，為今后類似工作提供技術(shù)指導(dǎo)。同時加強(qiáng)對設(shè)備巡視，確保設(shè)備使用的可靠性。
　　把傳統(tǒng)MODEM更換為撥號安全網(wǎng)關(guān)后，提高了調(diào)度自動化系統(tǒng)的安全性和可靠性，為提高電網(wǎng)的安全、優(yōu)質(zhì)、經(jīng)濟(jì)運(yùn)行奠定了基礎(chǔ)。目前我公司正在創(chuàng)建國際一流供電企業(yè)，科技創(chuàng)新和一流的經(jīng)濟(jì)效益是一個重要方面，調(diào)度自動化系統(tǒng)安全、穩(wěn)定運(yùn)行為建立商業(yè)化運(yùn)營機(jī)制、創(chuàng)建一流供電企業(yè)提供了技術(shù)保證。