[发明专利]电网调度移动平台安全保障管控方法

说明书

技术领域

本方法涉及电力工程领域。本方法主要是实现了调度员在智能移动终端完成调度业务操作和查询的安全。

背景技术

通过智能移动终端技术构建电网移动调度应用平台（以下简称“移动调度”），实现电网运行信息在智能移动终端的全景多维展示，能有效克服现有办公方式中的局限性，提高管理水平和工作效率，帮助各级管理者和运行人员“随时随地”掌握电网运行状态，实现多元化办公。

电力调度数据网承担着电网调度自动化系统的数据传输任务。而智能移动终端具有移动性强，所处网络环境开放性高，应用运行环境复杂等特点，故而在调度移动应用的安全问题尤为突出。一方面智能移动终端处在复杂的公网领域中，面临来自移动通信网络的伪装、内容欺骗、恶意软件等手段对电网调度信息系统的威胁，甚至渗入到调度综合数据网络内部攻击其它系统；另一方面，在智能移动终端与服务器端进行业务数据交互时，业务信息可能被窃听或篡改；另外，终端设备的丢失或被盗同样可能造成电网调度运行业务信息的泄露。

电力行业具有特殊性，其信息系统的安全会影响供电的安全，与社会生产生活有着密切的关系。因此，应用平台的安全性是本平台建设考虑的首要问题。为提高南方电网电力二次系统安全防护水平，保障电力系统安全稳定运行，在移动应用平台建设时，需按照《电力二次系统安全防护规定》、《电力二次系统安全防护总体方案》以及《南方电网电力二次系统安全防护技术规范》的要求来建设。依据二次系统安全防护体系“安全分区、网络专用、横向隔离、纵向认证”的总体策略，创建一套符合电网安全防护要求的安全管控体系和方法。

发明内容

本发明是一套保障电网调度移动平台使用安全的方法，其目的是通过设备接入、通信安全、数据加密三个环节的安全管控设计，确保电网调度数据在移动端使用时的安全。

电网调度移动平台安全保障管控方法，该方法安全从设备接入、通信安全、数据加密三方面进行控制，三个方面的安全管控形成了一个全过程的安全防护体系，能有效的保障在移动端应用及数据的安全，其中，

[1]设备接入方面，移动应用平台通过安全校验，智能移动终端设备与用户经过授权后接入移动调度平台；其中，安全校验为入网许可、设备合法性、用户合法性及权限合法性校验，其方法为：（a）入网许可从设备IMEI、电话号码两方面控制注册入网设备均为合法设备；（b）设备合法性验证是每一次设备登陆都比对注册的IMEI号，并利用短信或动态口令验证；（c）用户合法性验证用户名及密码，能够分配在移动端的操作权限；（d）权限合法性是通过为不同用户的设置权限分配，确保移动端用户只能操作与自己职能权限相符的业务；通过以上四步，能够确保用户在初次注册和日常登陆时的用户验证和账号安全；

[2]通信安全方面，在网络通信稳定的情况下，利用网络、软硬件系统部署一个安全的网络通信环境，保障了信息在通信传输过程中免受攻击；其中，安全的网络通信环境的部署采用VPN技术同时结合调度内网的DMZ区、安全III区的方法；VPN技术采用AES、DES、3DES、RC4、SHA、MD5多种国际标准加密算法，对传输数据进行加密处理；DMZ区与III区分别部署应用，两个区中间由安全隔离网闸分离；

[3]数据传输加密方面，通过电网调度移动应用严密的PKI体系实现数据在传输过程中的安全保障；其中，PKI体系采用智能移动终端的SD-Key卡技术和加解密技术来搭建；

通过以上三步形成的安全保障控制方法，能确保在移动应用时，电网调度的信息安全得到全方位的保障。

本发明在数据传输加密方面，加密技术采用非对称加密。

本发明在数据传输加密方面，加密技术采用RSA非对称加密技术。

1.环节一：设备接入的安全控制方法

网络通信得到了有效的控制，但智能移动终端只有经过授权的用户才能访问系统，需在移动调度中建立安全接入控制机制。安全接入控制通过入网许可、设备合法性、用户合法性及权限合法性四方面进行安全认证，具体认证的时序逻辑如图1所示，包括（1）入网许可，从设备IMEI、电话号码两方面控制注册入网设备均为合法设备，（2）设备合法性验证，是设备合法性验证是每一次设备登陆都比对注册的IMEI号，并利用短信或动态口令验证，（3）用户合法性验证，是验证用户名及密码一致，从而进一步加强安全，并可以分配在移动端的操作权限，（4）权限合法性验证，是为不同用户的设置权限分配，确保移动端用户只能操作与自己职能权限相符的业务。

2.环节二：通信方面的安全控制方法：