一、企業(yè)簡介：

       山東容弗新信息科技有限公司，位于國家級軟件產(chǎn)業(yè)基地，齊魯軟件園的銀荷大廈，是通過國家“雙軟認定”的高新技術(shù)企業(yè)。公司結(jié)合自身在分布式系統(tǒng)、業(yè)務(wù)協(xié)同集成平臺方面的研究成果，以及在電網(wǎng)建設(shè)、檢修、運行領(lǐng)域的技術(shù)積累，從事電網(wǎng)繼電保護整定計算、智能變電站二次系統(tǒng)建設(shè)、檢修及運行支持產(chǎn)品的開發(fā)，并提供電網(wǎng)生產(chǎn)運行與管理方面的技術(shù)咨詢服務(wù)。

 

       智能變電站配置文件運行管控系統(tǒng)，是山東容弗新信息科技有限公司于2012年研發(fā)的一款智能變電站配置文件管控業(yè)務(wù)平臺。該系統(tǒng)以SCD文件的審批歸檔管控為核心，通過一系列技術(shù)手段和措施，實現(xiàn)了智能變電站配置文件規(guī)范化管控和有效業(yè)務(wù)支撐。此系統(tǒng)自投入市場以來，相繼與山東省調(diào)、福建省調(diào)、國調(diào)中心等單位展開交流及合作，并于2014年12月開始參與國網(wǎng)相關(guān)“智能變電站配置文件運行管理模塊”技術(shù)規(guī)范的編制，2015年7月，《智能變電站配置文件運行管理系統(tǒng)技術(shù)規(guī)范（報批稿）》報送國調(diào)中心審批。

 

       至2016年4月，山東容弗相繼與國網(wǎng)系統(tǒng)內(nèi)12家電力公司開展合作，在智能變電站配置文件運行管理系統(tǒng)開發(fā)及實用化上積累了寶貴的經(jīng)驗，為國網(wǎng)國調(diào)中心智能變電站繼電保護配置文件運行管理模塊的試點建設(shè)工作（調(diào)綜〔2015〕12號文）作出了貢獻。

 

二、案例背景：

 

       國家電網(wǎng)公司從維護國家安全、社會穩(wěn)定與公民權(quán)益出發(fā)，按照國家信息安全等級保護制度要求，將信息安全納入電網(wǎng)生產(chǎn)安全體系。信息安全作為電網(wǎng)信息化深入推進的基本保障條件，對公司生產(chǎn)、經(jīng)營、管理工作有著重要意義，對電網(wǎng)安全有著重大影響。隨著管理系統(tǒng)的不斷發(fā)展和廣泛應(yīng)用以及國家電網(wǎng)公司對于自建系統(tǒng)提出的一系列安全要求，系統(tǒng)運行以及智能變電站配置文件資料的安全性已不容忽視。

       

       本著對客戶負責的態(tài)度，我公司為此成立系統(tǒng)安全檢測中心，并特別邀請中國電科院信息安全實驗室、江蘇電科院等協(xié)助我單位進行《智能變電站配置文件管控系統(tǒng)》的安全測評。

 

三、解決方案：

       

       在所有的信息安全問題中，最重要的問題就是如何保證數(shù)據(jù)的安全性。為此我公司特邀請多位安全專家，對如何保證我公司系統(tǒng)數(shù)據(jù)傳輸及存儲的安全性進行探討研究。經(jīng)過長達一年的探討研究及無數(shù)次試驗，最終成功的完成了我公司“智能變電站配置文件管控系統(tǒng)”數(shù)據(jù)傳輸及存儲的加密，并通過了中國電力科學研究院的滲透測試。下面介紹一下我公司研究的加密技術(shù)。

 

       數(shù)據(jù)加密（Data Encryption）技術(shù)是指將一個信息（或稱明文，plain text）經(jīng)過加密鑰匙（Encryption key）及加密函數(shù)轉(zhuǎn)換，變成無意義的密文（cipher text），而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙（Decryption key）還原成明文。因此它的核心就是加密算法和加密秘鑰。目前比較著名的加密算法有DES、MD5、RSA、MD5。我們所使用的加密算法為3DES+MD5雙重加密技術(shù)進行數(shù)據(jù)的加密，并在傳輸過程中使用HTTP+ SSL /TLS加密技術(shù)即HTTPS加密進行數(shù)據(jù)傳輸加密。

 

       DES是一個迭代的分組密碼，其使用一個56位的密鑰以及附加的8位奇偶校驗位（每組的第8位作為奇偶校驗位），產(chǎn)生最大64位的分組大小。這種技術(shù)稱為Feistel，其中將加密的文本塊分成兩半。使用子密鑰對其中一半應(yīng)用循環(huán)功能，然后將輸出與另一半進行“異或”運算；接著交換這兩半，這一過程會繼續(xù)下去，但最后一個循環(huán)不交換。DES使用16輪循環(huán)，使用異或、置換、代換、移位操作四種基本運算。

       

       3DES（即Triple DES）是DES向AES過渡的加密算法，它使用3條56位的密鑰對數(shù)據(jù)進行三次加密。是DES的一個更安全的變形。它以DES為基本模塊，通過組合分組方法設(shè)計出分組加密算法。比起最初的DES更為安全。

     

       MD5即Message-Digest Algorithm 5（信息-摘要算法5），用于確保信息傳輸完整一致。將數(shù)據(jù)（如漢字）運算為另一固定長度值，是雜湊算法的基礎(chǔ)原理。MD5的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被"壓縮"成一種保密的格式（就是把一個任意長度的字節(jié)串變換成一定長的十六進制數(shù)字串）。

 

       HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細內(nèi)容就需要SSL。它是一個URI scheme（抽象標識符體系），句法類同http：體系。用于安全的HTTP數(shù)據(jù)傳輸。https：URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。

 

        客戶端加密方式如下圖所示：

     

        說明：

       1、當用戶上傳數(shù)據(jù)時《數(shù)據(jù)》經(jīng)3DES加密為《3DES數(shù)據(jù)》；

       2、數(shù)據(jù)經(jīng)過3DES加密后，客戶端會通過MD5加密算法進行加密處理，得到：[MD5（3DES數(shù)據(jù)）]；

       3、然后系統(tǒng)根據(jù)用戶名匹配私鑰加密[MD5（3DES數(shù)據(jù)）]，得到：[私鑰（MD5（3DES數(shù)據(jù)））]；

       4、最后將[（3DES數(shù)據(jù)）+私鑰（MD5（3DES數(shù)據(jù)））]通過HTTPS加密后一起傳給服務(wù)器。

       服務(wù)器解密方式如下圖所示：

 

 

       說明：

       1、服務(wù)器接到：[（3DES數(shù)據(jù)）+私鑰（MD5（3DES數(shù)據(jù)））]HTTPS

[（3DES數(shù)據(jù)）+私鑰（MD5（3DES數(shù)據(jù)））]HTTPS經(jīng)TTTPS解密后得到[（3DES數(shù)據(jù)）+私鑰（MD5（3DES數(shù)據(jù)））]；

       2、先用MD5算法算出相同的值，得到：[MD5（3DES數(shù)據(jù)）]；

       3、再用用戶的公鑰解密[私鑰（MD5（3DES數(shù)據(jù)））][公鑰(私鑰（MD5（3DES數(shù)據(jù)））)]=[（MD5（3DES數(shù)據(jù)）]如能解開,證明該[私鑰（MD5（3DES數(shù)據(jù)））]是用戶所提交的信息；

       4、再比效[MD5（3DES數(shù)據(jù)）]與[（MD5（3DES數(shù)據(jù)）]，如果相同,表示（3DES數(shù)據(jù)）在傳遞過程中沒有被他人修改過，繼而保證數(shù)據(jù)傳輸?shù)陌踩耘c完整性；

       5、最后系統(tǒng)對（3DES數(shù)據(jù)）數(shù)據(jù)解密得到用戶上傳的原始數(shù)據(jù)（數(shù)據(jù)），并加密后存于數(shù)據(jù)庫中；

       6、經(jīng)過上述客戶端加密，服務(wù)器解密的方案，可有效的保證數(shù)據(jù)傳輸及存儲的安全性。

 

四、實施效果：

       通過長達一年的方案研究與試驗，我公司《智能變電站配置文件管控系統(tǒng)》數(shù)據(jù)傳輸與存儲的安全性已完全滿足《Q/GDW1594-2014》標準，并達到了行業(yè)領(lǐng)先水平：

       1、實現(xiàn)了數(shù)據(jù)傳輸?shù)陌踩?/span>

       通過3DES+MD5+HTTPS的三重加密技術(shù)，杜絕明文傳輸?shù)奈ｋU，可有效的保證用戶上傳的數(shù)據(jù)的安全性。

       2、實現(xiàn)了數(shù)據(jù)傳輸?shù)耐暾?/span>

       從用戶上傳數(shù)據(jù)到數(shù)據(jù)存儲到數(shù)據(jù)庫中，全程通過MD5碼校驗，保證數(shù)據(jù)傳輸?shù)耐暾浴?/span>

       3、實現(xiàn)了數(shù)據(jù)存儲的安全性

       用戶上傳的數(shù)據(jù)加密后存儲于數(shù)據(jù)庫中，并進行備份處理，當數(shù)據(jù)存儲的完整性遭到破壞后，系統(tǒng)會極速響應(yīng)，恢復(fù)破壞的數(shù)據(jù)。

 

五、結(jié)語：

       建設(shè)智能變電站繼電保護配置文件管控系統(tǒng)，是國家電網(wǎng)公司為進一步提升繼電保護專業(yè)管理水平，保障電網(wǎng)安全穩(wěn)定運行而做出的一項重要要求，符合智能電網(wǎng)、全球能源互聯(lián)建設(shè)的背景需要，勢必為以后的電網(wǎng)建設(shè)及電網(wǎng)運維檢修工作帶來便利。同時不遺余力構(gòu)建國網(wǎng)公司構(gòu)建運行維護標準化體系和信息安全技術(shù)監(jiān)督體系，全面開展風險評估、強化應(yīng)急響應(yīng)、加強信息安全保密等系列措施。保證此部分數(shù)據(jù)的安全，是我們的責任與使命，我們將不遺余力繼續(xù)改進，使我們的系統(tǒng)更安全、可靠。