一、企業(yè)簡(jiǎn)介：

       山東容弗新信息科技有限公司，位于國(guó)家級(jí)軟件產(chǎn)業(yè)基地，齊魯軟件園的銀荷大廈，是通過(guò)國(guó)家“雙軟認(rèn)定”的高新技術(shù)企業(yè)。公司結(jié)合自身在分布式系統(tǒng)、業(yè)務(wù)協(xié)同集成平臺(tái)方面的研究成果，以及在電網(wǎng)建設(shè)、檢修、運(yùn)行領(lǐng)域的技術(shù)積累，從事電網(wǎng)繼電保護(hù)整定計(jì)算、智能變電站二次系統(tǒng)建設(shè)、檢修及運(yùn)行支持產(chǎn)品的開(kāi)發(fā)，并提供電網(wǎng)生產(chǎn)運(yùn)行與管理方面的技術(shù)咨詢服務(wù)。

 

       智能變電站配置文件運(yùn)行管控系統(tǒng)，是山東容弗新信息科技有限公司于2012年研發(fā)的一款智能變電站配置文件管控業(yè)務(wù)平臺(tái)。該系統(tǒng)以SCD文件的審批歸檔管控為核心，通過(guò)一系列技術(shù)手段和措施，實(shí)現(xiàn)了智能變電站配置文件規(guī)范化管控和有效業(yè)務(wù)支撐。此系統(tǒng)自投入市場(chǎng)以來(lái)，相繼與山東省調(diào)、福建省調(diào)、國(guó)調(diào)中心等單位展開(kāi)交流及合作，并于2014年12月開(kāi)始參與國(guó)網(wǎng)相關(guān)“智能變電站配置文件運(yùn)行管理模塊”技術(shù)規(guī)范的編制，2015年7月，《智能變電站配置文件運(yùn)行管理系統(tǒng)技術(shù)規(guī)范（報(bào)批稿）》報(bào)送國(guó)調(diào)中心審批。

 

       至2016年4月，山東容弗相繼與國(guó)網(wǎng)系統(tǒng)內(nèi)12家電力公司開(kāi)展合作，在智能變電站配置文件運(yùn)行管理系統(tǒng)開(kāi)發(fā)及實(shí)用化上積累了寶貴的經(jīng)驗(yàn)，為國(guó)網(wǎng)國(guó)調(diào)中心智能變電站繼電保護(hù)配置文件運(yùn)行管理模塊的試點(diǎn)建設(shè)工作（調(diào)綜〔2015〕12號(hào)文）作出了貢獻(xiàn)。

 

二、案例背景：

 

       國(guó)家電網(wǎng)公司從維護(hù)國(guó)家安全、社會(huì)穩(wěn)定與公民權(quán)益出發(fā)，按照國(guó)家信息安全等級(jí)保護(hù)制度要求，將信息安全納入電網(wǎng)生產(chǎn)安全體系。信息安全作為電網(wǎng)信息化深入推進(jìn)的基本保障條件，對(duì)公司生產(chǎn)、經(jīng)營(yíng)、管理工作有著重要意義，對(duì)電網(wǎng)安全有著重大影響。隨著管理系統(tǒng)的不斷發(fā)展和廣泛應(yīng)用以及國(guó)家電網(wǎng)公司對(duì)于自建系統(tǒng)提出的一系列安全要求，系統(tǒng)運(yùn)行以及智能變電站配置文件資料的安全性已不容忽視。

       

       本著對(duì)客戶負(fù)責(zé)的態(tài)度，我公司為此成立系統(tǒng)安全檢測(cè)中心，并特別邀請(qǐng)中國(guó)電科院信息安全實(shí)驗(yàn)室、江蘇電科院等協(xié)助我單位進(jìn)行《智能變電站配置文件管控系統(tǒng)》的安全測(cè)評(píng)。

 

三、解決方案：

       

       在所有的信息安全問(wèn)題中，最重要的問(wèn)題就是如何保證數(shù)據(jù)的安全性。為此我公司特邀請(qǐng)多位安全專(zhuān)家，對(duì)如何保證我公司系統(tǒng)數(shù)據(jù)傳輸及存儲(chǔ)的安全性進(jìn)行探討研究。經(jīng)過(guò)長(zhǎng)達(dá)一年的探討研究及無(wú)數(shù)次試驗(yàn)，最終成功的完成了我公司“智能變電站配置文件管控系統(tǒng)”數(shù)據(jù)傳輸及存儲(chǔ)的加密，并通過(guò)了中國(guó)電力科學(xué)研究院的滲透測(cè)試。下面介紹一下我公司研究的加密技術(shù)。

 

       數(shù)據(jù)加密（Data Encryption）技術(shù)是指將一個(gè)信息（或稱(chēng)明文，plain text）經(jīng)過(guò)加密鑰匙（Encryption key）及加密函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文（cipher text），而接收方則將此密文經(jīng)過(guò)解密函數(shù)、解密鑰匙（Decryption key）還原成明文。因此它的核心就是加密算法和加密秘鑰。目前比較著名的加密算法有DES、MD5、RSA、MD5。我們所使用的加密算法為3DES+MD5雙重加密技術(shù)進(jìn)行數(shù)據(jù)的加密，并在傳輸過(guò)程中使用HTTP+ SSL /TLS加密技術(shù)即HTTPS加密進(jìn)行數(shù)據(jù)傳輸加密。

 

       DES是一個(gè)迭代的分組密碼，其使用一個(gè)56位的密鑰以及附加的8位奇偶校驗(yàn)位（每組的第8位作為奇偶校驗(yàn)位），產(chǎn)生最大64位的分組大小。這種技術(shù)稱(chēng)為Feistel，其中將加密的文本塊分成兩半。使用子密鑰對(duì)其中一半應(yīng)用循環(huán)功能，然后將輸出與另一半進(jìn)行“異或”運(yùn)算；接著交換這兩半，這一過(guò)程會(huì)繼續(xù)下去，但最后一個(gè)循環(huán)不交換。DES使用16輪循環(huán)，使用異或、置換、代換、移位操作四種基本運(yùn)算。

       

       3DES（即Triple DES）是DES向AES過(guò)渡的加密算法，它使用3條56位的密鑰對(duì)數(shù)據(jù)進(jìn)行三次加密。是DES的一個(gè)更安全的變形。它以DES為基本模塊，通過(guò)組合分組方法設(shè)計(jì)出分組加密算法。比起最初的DES更為安全。

     

       MD5即Message-Digest Algorithm 5（信息-摘要算法5），用于確保信息傳輸完整一致。將數(shù)據(jù)（如漢字）運(yùn)算為另一固定長(zhǎng)度值，是雜湊算法的基礎(chǔ)原理。MD5的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被"壓縮"成一種保密的格式（就是把一個(gè)任意長(zhǎng)度的字節(jié)串變換成一定長(zhǎng)的十六進(jìn)制數(shù)字串）。

 

       HTTPS（全稱(chēng)：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。它是一個(gè)URI scheme（抽象標(biāo)識(shí)符體系），句法類(lèi)同http：體系。用于安全的HTTP數(shù)據(jù)傳輸。https：URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。

 

        客戶端加密方式如下圖所示：

     

        說(shuō)明：

       1、當(dāng)用戶上傳數(shù)據(jù)時(shí)《數(shù)據(jù)》經(jīng)3DES加密為《3DES數(shù)據(jù)》；

       2、數(shù)據(jù)經(jīng)過(guò)3DES加密后，客戶端會(huì)通過(guò)MD5加密算法進(jìn)行加密處理，得到：[MD5（3DES數(shù)據(jù)）]；

       3、然后系統(tǒng)根據(jù)用戶名匹配私鑰加密[MD5（3DES數(shù)據(jù)）]，得到：[私鑰（MD5（3DES數(shù)據(jù)））]；

       4、最后將[（3DES數(shù)據(jù)）+私鑰（MD5（3DES數(shù)據(jù)））]通過(guò)HTTPS加密后一起傳給服務(wù)器。

       服務(wù)器解密方式如下圖所示：

 

 

       說(shuō)明：

       1、服務(wù)器接到：[（3DES數(shù)據(jù)）+私鑰（MD5（3DES數(shù)據(jù)））]HTTPS

[（3DES數(shù)據(jù)）+私鑰（MD5（3DES數(shù)據(jù)））]HTTPS經(jīng)TTTPS解密后得到[（3DES數(shù)據(jù)）+私鑰（MD5（3DES數(shù)據(jù)））]；

       2、先用MD5算法算出相同的值，得到：[MD5（3DES數(shù)據(jù)）]；

       3、再用用戶的公鑰解密[私鑰（MD5（3DES數(shù)據(jù)））][公鑰(私鑰（MD5（3DES數(shù)據(jù)））)]=[（MD5（3DES數(shù)據(jù)）]如能解開(kāi),證明該[私鑰（MD5（3DES數(shù)據(jù)））]是用戶所提交的信息；

       4、再比效[MD5（3DES數(shù)據(jù)）]與[（MD5（3DES數(shù)據(jù)）]，如果相同,表示（3DES數(shù)據(jù)）在傳遞過(guò)程中沒(méi)有被他人修改過(guò)，繼而保證數(shù)據(jù)傳輸?shù)陌踩耘c完整性；

       5、最后系統(tǒng)對(duì)（3DES數(shù)據(jù)）數(shù)據(jù)解密得到用戶上傳的原始數(shù)據(jù)（數(shù)據(jù)），并加密后存于數(shù)據(jù)庫(kù)中；

       6、經(jīng)過(guò)上述客戶端加密，服務(wù)器解密的方案，可有效的保證數(shù)據(jù)傳輸及存儲(chǔ)的安全性。

 

四、實(shí)施效果：

       通過(guò)長(zhǎng)達(dá)一年的方案研究與試驗(yàn)，我公司《智能變電站配置文件管控系統(tǒng)》數(shù)據(jù)傳輸與存儲(chǔ)的安全性已完全滿足《Q/GDW1594-2014》標(biāo)準(zhǔn)，并達(dá)到了行業(yè)領(lǐng)先水平：

       1、實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)陌踩?/span>

       通過(guò)3DES+MD5+HTTPS的三重加密技術(shù)，杜絕明文傳輸?shù)奈ｋU(xiǎn)，可有效的保證用戶上傳的數(shù)據(jù)的安全性。

       2、實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)耐暾?/span>

       從用戶上傳數(shù)據(jù)到數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)中，全程通過(guò)MD5碼校驗(yàn)，保證數(shù)據(jù)傳輸?shù)耐暾浴?/span>

       3、實(shí)現(xiàn)了數(shù)據(jù)存儲(chǔ)的安全性

       用戶上傳的數(shù)據(jù)加密后存儲(chǔ)于數(shù)據(jù)庫(kù)中，并進(jìn)行備份處理，當(dāng)數(shù)據(jù)存儲(chǔ)的完整性遭到破壞后，系統(tǒng)會(huì)極速響應(yīng)，恢復(fù)破壞的數(shù)據(jù)。

 

五、結(jié)語(yǔ)：

       建設(shè)智能變電站繼電保護(hù)配置文件管控系統(tǒng)，是國(guó)家電網(wǎng)公司為進(jìn)一步提升繼電保護(hù)專(zhuān)業(yè)管理水平，保障電網(wǎng)安全穩(wěn)定運(yùn)行而做出的一項(xiàng)重要要求，符合智能電網(wǎng)、全球能源互聯(lián)建設(shè)的背景需要，勢(shì)必為以后的電網(wǎng)建設(shè)及電網(wǎng)運(yùn)維檢修工作帶來(lái)便利。同時(shí)不遺余力構(gòu)建國(guó)網(wǎng)公司構(gòu)建運(yùn)行維護(hù)標(biāo)準(zhǔn)化體系和信息安全技術(shù)監(jiān)督體系，全面開(kāi)展風(fēng)險(xiǎn)評(píng)估、強(qiáng)化應(yīng)急響應(yīng)、加強(qiáng)信息安全保密等系列措施。保證此部分?jǐn)?shù)據(jù)的安全，是我們的責(zé)任與使命，我們將不遺余力繼續(xù)改進(jìn)，使我們的系統(tǒng)更安全、可靠。