袁魯海

摘? ?要：當(dāng)前，網(wǎng)絡(luò)安全監(jiān)測裝置作為保障電網(wǎng)安全穩(wěn)定運(yùn)行的一種有效手段，正廣泛應(yīng)用于各個(gè)電壓等級(jí)變電站內(nèi)，但網(wǎng)絡(luò)安全監(jiān)測裝置的現(xiàn)場運(yùn)維管理工作存在諸多問題。文章從配置參數(shù)、人機(jī)界面和交互協(xié)議3個(gè)方面對變電站網(wǎng)絡(luò)安全監(jiān)測裝置運(yùn)維技術(shù)進(jìn)行研究，提出了一種基于SSH協(xié)議的網(wǎng)絡(luò)安全監(jiān)測裝置遠(yuǎn)程運(yùn)維工具的技術(shù)實(shí)現(xiàn)思路。

關(guān)鍵詞：變電站;網(wǎng)絡(luò)安全;安全外殼傳輸協(xié)議;運(yùn)維配置

近年來網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，相繼發(fā)生了烏克蘭大面積停電、美國東部互聯(lián)網(wǎng)服務(wù)癱瘓、伊朗布什爾核電站遭受“震網(wǎng)”蠕蟲病毒攻擊等網(wǎng)絡(luò)安全事件。變電站作為現(xiàn)代社會(huì)的關(guān)鍵性基礎(chǔ)設(shè)施，是國家級(jí)網(wǎng)絡(luò)對抗的重點(diǎn)目標(biāo)。目前，我國變電站網(wǎng)絡(luò)信息安全防護(hù)過多地依賴于邊界安全的縱深防護(hù)體系，在面對具有國家背景的基于逆向工程的定向攻擊時(shí)很可能使具有物理隔離的邊界防護(hù)失效，因此，電力系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測裝置應(yīng)運(yùn)而生。該裝置能有效采集變電站內(nèi)網(wǎng)絡(luò)安全信息，并對存在的安全隱患進(jìn)行預(yù)警，可以有效預(yù)判、跟蹤和預(yù)防網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[1]。但在實(shí)際運(yùn)維過程中，運(yùn)維人員由于缺少詳細(xì)知悉其配置情況和功能實(shí)現(xiàn)方式的便捷手段，導(dǎo)致后期的專業(yè)管理和運(yùn)維工作存在諸多不便，例如配置參數(shù)繁多、運(yùn)維工具人機(jī)交互界面不夠友好、采用未經(jīng)加密的通信協(xié)議進(jìn)行配置管理、出現(xiàn)錯(cuò)誤配置較難被發(fā)現(xiàn)等問題[2]。為解決上述問題，本文從配置參數(shù)、人機(jī)界面和交互協(xié)議3方面對變電站網(wǎng)絡(luò)安全監(jiān)測裝置遠(yuǎn)程運(yùn)維技術(shù)進(jìn)行研究，提出了一種基于安全外殼傳輸協(xié)議（Secure Shell，SSH）的網(wǎng)絡(luò)安全監(jiān)測裝置遠(yuǎn)程運(yùn)維配置工具的技術(shù)實(shí)現(xiàn)思路。

1? ? 裝置運(yùn)維配置參數(shù)梳理

首先，本文從運(yùn)維人員的角度出發(fā)，以管理和運(yùn)維需求為核心，對裝置配置參數(shù)進(jìn)行梳理。運(yùn)維人員關(guān)心且需要運(yùn)維的參數(shù)[3]，總結(jié)為以下3類。

（1）網(wǎng)絡(luò)參數(shù)：涉及網(wǎng)卡參數(shù)、路由參數(shù)以及與主站通信的參數(shù)。網(wǎng)卡參數(shù)包括網(wǎng)卡名稱、IP、子網(wǎng)掩碼;路由參數(shù)包括網(wǎng)卡名稱、目標(biāo)網(wǎng)段、掩碼、下一跳。主站通信參數(shù)包括主站名稱、IP、端口號(hào)。

（2）采集參數(shù)：涉及簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）采集和Internet控制報(bào)文協(xié)議（Internet Control Message Protocol，ICMP）采集的參數(shù)。SNMP協(xié)議采集參數(shù)包括：開始IP地址和結(jié)束IP地址、SNMP端口號(hào)、SNMP團(tuán)體名稱、SNMP版本。ICMP協(xié)議采集參數(shù)包括：IP子網(wǎng)、VLAN號(hào)、安全分區(qū)、分網(wǎng)標(biāo)識(shí)。

（3）用戶賬戶參數(shù)：涉及用戶賬戶管理的參數(shù)，包括權(quán)限定義參數(shù)、角色配置參數(shù)、用戶配置參數(shù)。權(quán)限定義指根據(jù)用戶角色設(shè)置角色權(quán)限;角色配置包括角色名、具備權(quán)限;用戶配置包括賬戶名、密碼、關(guān)聯(lián)角色名。

通過配置上述參數(shù)，運(yùn)維人員即可對監(jiān)測裝置進(jìn)行基本運(yùn)維管理工作。

2? ? 遠(yuǎn)程運(yùn)維配置工具設(shè)計(jì)

根據(jù)前期的用戶調(diào)研和建模，充分分析用戶需求和用戶特性后，從界面風(fēng)格、界面圖標(biāo)和界面層級(jí)3個(gè)方面確定界面設(shè)計(jì)綱要，最終確定工具的整體界面設(shè)計(jì)方案。在梳理裝置配置參數(shù)的基礎(chǔ)上，考慮工具的功能性、易操作性和便攜性，采用客戶/服務(wù)器模式（Client/Server，C/S）架構(gòu)，簡化人機(jī)交互界面，支持跨平臺(tái)部署。

采用3級(jí)菜單架構(gòu)，如圖1所示，菜單欄是配置工具的功能導(dǎo)航區(qū)，包含運(yùn)行概覽、數(shù)據(jù)采集、安全事件分析、系統(tǒng)管理和用戶登錄功能菜單。

（1）運(yùn)行概覽：包括裝置自檢狀態(tài)、數(shù)據(jù)通道狀態(tài)和資產(chǎn)在線狀態(tài)功能，其中，裝置自檢狀態(tài)指裝置自身CPU利用率、內(nèi)存利用率、磁盤使用率和程序自檢狀態(tài)。數(shù)據(jù)通道狀態(tài)指與主站系統(tǒng)數(shù)據(jù)通道的檢測狀態(tài);資產(chǎn)在線狀態(tài)指被監(jiān)視設(shè)備的在/離線資產(chǎn)統(tǒng)計(jì)。

（2）數(shù)據(jù)采集：對通用主機(jī)、嵌入式主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行數(shù)據(jù)采集，可查詢被采集的監(jiān)視設(shè)備的日志信息和通信流信息，其中，日志信息指通過SNMP，SNMP Trap，Syslog，Agent，ICMP，SSH，網(wǎng)絡(luò)主動(dòng)掃描方式采集的信息。通信流信息指通過流量嗅探方式采集的信息。

（3）安全事件分析：對被監(jiān)視的設(shè)備進(jìn)行安全事件分析，將包括外部威脅和自身脆弱性的安全分析結(jié)果及原始文件上送一個(gè)或多個(gè)主站系統(tǒng)，其中，外部威脅分析應(yīng)包括：網(wǎng)絡(luò)行為、移動(dòng)介質(zhì)、人工操作、代碼程序等;自身脆弱性安全分析應(yīng)包括：設(shè)備發(fā)現(xiàn)、互聯(lián)拓?fù)?、開放服務(wù)、運(yùn)行狀態(tài)、配置合規(guī)等;原始文件包括：原始日志、原始報(bào)文。

（4）系統(tǒng)管理：包括裝置參數(shù)配置和運(yùn)維工具提供的運(yùn)維功能菜單。網(wǎng)絡(luò)參數(shù)配置包括網(wǎng)卡參數(shù)配置、路由參數(shù)配置、主站通信參數(shù)配置;采集參數(shù)配置包括SNMP參數(shù)配置和ICMP參數(shù)配置;用戶參數(shù)配置包括角色配置和用戶配置;規(guī)則查詢提供規(guī)則信息的查看，包括范式化規(guī)則、關(guān)鍵文件清單查詢功能;系統(tǒng)日志提供登錄、操作、維護(hù)等系統(tǒng)日志的記錄和查詢，可以通過條件查詢、關(guān)鍵字查詢等方式，實(shí)現(xiàn)對采集裝置系統(tǒng)日志的查詢。裝置注冊提供裝置注冊信息查看功能，注冊信息包括：站點(diǎn)名稱、安全分區(qū)、裝置名稱、廠家名稱、裝置全局唯一標(biāo)識(shí)符（Globally Unique Identifier，GUID）、歸屬單位、調(diào)管單位、注冊狀態(tài)、注冊時(shí)間等。系統(tǒng)升級(jí)提供軟件升級(jí)功能，上傳補(bǔ)丁包進(jìn)行軟件升級(jí);網(wǎng)絡(luò)診斷提供網(wǎng)絡(luò)診斷工具，包括網(wǎng)絡(luò)主動(dòng)掃描、Ping，Traceroute，Telnet。

（5）用戶登錄：提供用戶登錄操作和顯示當(dāng)前登錄用戶狀態(tài)的功能。遠(yuǎn)程運(yùn)維配置工具界面如圖2所示。

3? ? 遠(yuǎn)程運(yùn)維配置工具信息交互

大部分傳統(tǒng)的傳輸控制協(xié)議/互聯(lián)網(wǎng)絡(luò)協(xié)議（Transmission Control Protocol/Internet Protocol，TCP/IP）傳輸協(xié)議，如telnet，ftp，rlogin等，在設(shè)計(jì)時(shí)并沒有考慮安全認(rèn)證或加密，都是采用明文傳遞用戶名信息和其他數(shù)據(jù)。隨著變電站網(wǎng)絡(luò)安全等級(jí)要求越來越高，大量在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)需要進(jìn)行安全保護(hù)，為了減少在運(yùn)維工作中出現(xiàn)不安全的用戶認(rèn)證和人員誤操作，采用安全通信協(xié)議進(jìn)行信息交互刻不容緩。

采用Client/ Server體系結(jié)構(gòu)的SSH協(xié)議正好可以彌補(bǔ)TCP/ IP中應(yīng)用層協(xié)議的漏洞。SSH協(xié)議是建立在應(yīng)用層和傳輸層之間的安全協(xié)議，它主要由安全傳輸層協(xié)議、用戶認(rèn)證協(xié)議和連接協(xié)議3個(gè)部分共同實(shí)現(xiàn)SSH的安全保密機(jī)制。安全傳輸層協(xié)議一般建立在面向連接的TCP數(shù)據(jù)流之上，除了提供諸如認(rèn)證、信任和完整性檢驗(yàn)等安全措施，還可以提供數(shù)據(jù)壓縮功能。運(yùn)行于安全傳輸層協(xié)議之上的用戶認(rèn)證協(xié)議層，則用來實(shí)現(xiàn)服務(wù)器和客戶端用戶之間的身份認(rèn)證。運(yùn)行于用戶認(rèn)證層協(xié)議之上的連接協(xié)議層，可以在一條安全連接的邏輯通道上，實(shí)現(xiàn)若干個(gè)端口應(yīng)用層數(shù)據(jù)的復(fù)用[4]。

依據(jù)SSH協(xié)議架構(gòu)，將網(wǎng)絡(luò)安全監(jiān)測裝置作為SSH服務(wù)端，遠(yuǎn)程運(yùn)維配置工具為SSH客戶端，在使用SSH進(jìn)行交互的時(shí)候，需要先經(jīng)過認(rèn)證才能正常通信，具體過程如下。

（1）協(xié)商雙方SSH版本號(hào)：首先，由遠(yuǎn)程運(yùn)維配置工具先發(fā)起TCP連接請求，與裝置建立TCP連接之后進(jìn)入等待狀態(tài)。其次，裝置發(fā)送一個(gè)格式為“SSH-<主協(xié)議版本號(hào)> <次協(xié)議版本號(hào)>-<軟件版本號(hào)>”的報(bào)文，表明自己的版本號(hào)。遠(yuǎn)程運(yùn)維配置工具接收到裝置的協(xié)議版本號(hào)之后對其進(jìn)行匹配。如果裝置的協(xié)議版本號(hào)低于工具自己的版本號(hào)但又能支持，則以裝置的低版本號(hào)作為自己的標(biāo)志版本號(hào)報(bào)文回應(yīng)給裝置。如果裝置的協(xié)議版本號(hào)高于或等于自己的版本號(hào)，則以運(yùn)維配置工具實(shí)際的版本號(hào)回應(yīng)給裝置。最后，裝置匹配遠(yuǎn)程運(yùn)維配置工具回應(yīng)的版本號(hào)，如果支持該版本，則協(xié)商完成，進(jìn)入下一階段。如果不支持該版本，則斷開與遠(yuǎn)程運(yùn)維配置工具的TCP連接。

（2）協(xié)商密鑰和算法：裝置和遠(yuǎn)程運(yùn)維配置工具分別向?qū)Ψ桨l(fā)送算法協(xié)商報(bào)文，內(nèi)容包含本端支持的公鑰算法列表、加密算法列表和壓縮算法列表等。裝置與遠(yuǎn)程運(yùn)維配置工具收到對方發(fā)來的報(bào)文進(jìn)行算法匹配，最終確定雙方使用的算法。只要有任何一種算法協(xié)商失敗，裝置都將立即終止與遠(yuǎn)程運(yùn)維配置工具的TCP連接。最后，裝置與遠(yuǎn)程運(yùn)維配置工具雙方根據(jù)密鑰交換算法（Diffie Hellman，DH）和主機(jī)密鑰對等參數(shù)生成相同的會(huì)話ID和會(huì)話密鑰，同時(shí)，運(yùn)維配置工具對裝置的身份完成確認(rèn)。為保證數(shù)據(jù)的安全，在之后的數(shù)據(jù)傳輸過程中，通信雙方都將使用這一會(huì)話密鑰進(jìn)行數(shù)據(jù)的加密和解密處理，而且會(huì)話密鑰只對本次通信有效，若下次通信，則必須重新生成新的會(huì)話密鑰。

（3）安全認(rèn)證：SSH提供3種認(rèn)證方法，即公鑰認(rèn)證、密碼認(rèn)證和可信主機(jī)認(rèn)證。其中，公鑰認(rèn)證的優(yōu)先級(jí)最高，可信主機(jī)認(rèn)證的優(yōu)先級(jí)最低。在默認(rèn)配置情況下，SSH的可信主機(jī)認(rèn)證一般是禁用的。

遠(yuǎn)程運(yùn)維配置工具與網(wǎng)絡(luò)安全監(jiān)測裝置建立連接之后的認(rèn)證步驟如下。

（1）遠(yuǎn)程運(yùn)維配置工具通過發(fā)送一個(gè)包含自己用戶名的SSH_CMSG_USER包，向裝置提出認(rèn)證請求。

（2）裝置接收到遠(yuǎn)程運(yùn)維配置工具的SSH_CMSG_USER信息包之后，檢索本地用戶名列表來判定該用戶是否存在。如果用戶存在且不需要進(jìn)一步認(rèn)證，裝置返回一個(gè)認(rèn)證成功的SSH_SMSG_SUCCESS信息包給遠(yuǎn)程運(yùn)維配置工具。如果用戶不存在或者需要進(jìn)一步認(rèn)證，則返回一個(gè)認(rèn)證錯(cuò)誤的SSH_SMSG_FAILURE信息包給遠(yuǎn)程運(yùn)維配置工具，同時(shí)，仍繼續(xù)保持接收狀態(tài)。

（3）遠(yuǎn)程運(yùn)維配置工具接收到裝置發(fā)來的SSH_SMSG_FAILURE信息包之后，再次向服務(wù)器提出申請，嘗試新的認(rèn)證方式。

（4）裝置根據(jù)遠(yuǎn)程運(yùn)維配置工具的認(rèn)證申請信息進(jìn)行認(rèn)證嘗試。在3種情況下裝置會(huì)停止嘗試：某一種認(rèn)證方式通過了，服務(wù)器會(huì)返回SSH_SMSG_SUCCESS包;認(rèn)證次數(shù)達(dá)到上限和認(rèn)證超時(shí)的情況，服務(wù)器會(huì)返回SSH_SMSG_FAILURE包，直至關(guān)閉連接。

（5）如果認(rèn)證成功，遠(yuǎn)程運(yùn)維配置工具則向裝置提交會(huì)話請求，并等待裝置的響應(yīng)。裝置對會(huì)話請求進(jìn)行分類處理，請求被接受則返回SSH_SMSG_SUCCESS包，進(jìn)行后續(xù)正常通信。若請求被拒絕或無法識(shí)別則返回SSH_SMSG_FAILURE包，斷開連接。具體認(rèn)證過程如圖3所示。

4? ? 結(jié)語

隨著變電站網(wǎng)絡(luò)安全要求日益嚴(yán)格，網(wǎng)絡(luò)安全監(jiān)測裝置應(yīng)用日益廣泛，對裝置運(yùn)維管理過程中出現(xiàn)的配置步驟繁瑣、人機(jī)界面不友好和運(yùn)維工具使用存在安全漏洞的協(xié)議進(jìn)行信息交互等問題。本文從運(yùn)維人員角度出發(fā)，在梳理網(wǎng)絡(luò)安全監(jiān)測裝置配置參數(shù)的基礎(chǔ)上，提出了一種基于SSH安全協(xié)議的網(wǎng)絡(luò)安全監(jiān)測裝置遠(yuǎn)程運(yùn)維工具技術(shù)實(shí)現(xiàn)思路，有效提高網(wǎng)絡(luò)安全裝置運(yùn)維工作效率，降低運(yùn)維風(fēng)險(xiǎn)，本文的設(shè)計(jì)思路同樣可以應(yīng)用于其他類似裝置的運(yùn)維配置。

[參考文獻(xiàn)]

[1]張道銀.智能變電站信息安全技術(shù)研究[J].電力信息與通信技術(shù)，2015（1）：108-111.

[2]高小芊，羅超.電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測裝置功能及實(shí)施[J].通訊世界，2019（4）：176-177.

[3]王亦然，李斌，張希成.淺談自動(dòng)化運(yùn)維配置管理工具的選擇及對比[J].信息系統(tǒng)工程，2018（6）：49.

[4]陳明.基于OpenSSH實(shí)現(xiàn)安全傳輸?shù)慕鉀Q方案[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014（22）：173-174.

Research on remote operation and maintenance technology

of substation network security monitoring device

Yuan Luhai

（State Grid Nari Technology Development Co.， Ltd.， Nanjing 210000， China）

Abstract：At present， network security monitoring devices are widely used in various voltage level substations as an effective means to ensure the safe and stable operation of power grids. However， many problems exist in the field of operation and management of network security monitoring devices. This paper studies the operation and maintenance technology of substation network security monitoring device from three aspects： configuration parameters， human-machine interface and interaction protocol， and proposes a technical realization idea of remote operation and maintenance tool for network security monitoring device based on SSH protocol.

Key words：substation; network security; secure shell; operation and maintenance configuration