中国南方电网有限责任公司 曾初阳 陈刚 庞晓健 吴金宇 胡海生
随着电力信息化的不断推进,电力监控系统安全审计需要对越来越多的电力信息数据进行审计,而在审计过程中的数据安全至关重要。电力监控系统安全审计平台能够充分克服传统的被动防控措施的不足,通过对数据的并行分析实现系统攻击行为的高效监测。本文针对当前电力监控系统安全审计平台的数据存储需求,深入分析了当前电力监控系统安全审计机制下的数据存储路径,引入数据库技术,建立了基于分布式数据库的安全审计数据库模型,并设计了模型的网络模块、通信协议、SQL解析和存储引擎,通过动态均衡技术实现了电力监控系统安全审计平台数据库的分布式管理。通过性能测试可知,本文将数据库技术应用于电力监控系统安全审计平台,可以有效保障电力信息数据的高效精准安全审计。
电力监控系统在电网运行的各个环节中均有分布,故而其安全审计平台所响应的数据存储需求对于系统的安全至关重要,因此可以被划分为三个方面的具体需求。
1.1 生产环节
电力生产过程中会从电力设备、员工等处提取数据信息,囊括有量测数据、控制信号、费控信息、调度指令、自动化管理信息等多个方面。此类信息要求电力监控系统安全审计平台在审计数据安全时需要保证数据处理的精确性和数据更新的即时效果,而当前的监控系统尽管具有专业的数据调控中心进行,但是由于多采用单一化储存方式,仍然具有较高的泄露和丢失风险,从而削弱了数据的安全性。因此电力生产环节对于安全审计平台的数据存储需求主要是需要做到对数据的并行处理和存储。
1.2 行政环节
电力行政环节主要囊括电网组织生产过程中财务、人事和物资等数据信息,为电力生产间接提供数据管理的支撑材料,通常其所使用的操作系统具有各不相同的操作权限,由此造成的异构性使得其面临恶意篡改和系统Bug等诸多不同信息安全风险,故而其所对应的安全审计平台需要满足分布式管理的需要。
1.3 营销环节
电力营销环节主要囊括电力用户的用电行为信息、计费数据、市场信息、招投标数据等,由于营销工作开展过程中其数据需要接入外网,因此面临来自外网的信息入侵风险,故而其所对应的安全审计平台需要满足数据存储的信息保密需求。
综合以上需求分析,针对安全审计平台的数据存储需求,本文引入数据库技术实现分布式数据管理,降低平台的信息安全风险。
2.1 模型总体架构
本文基于分布式结构实现数据库分布式管理,在JSQL安设在网络中时,模型的网络拓扑架构主要包含客户端单元、分布式管理单元、分布式数据库单元与终端PC机,其拓扑结构如图1所示。
图1 网络拓扑架构Fig.1 Network topology
(1)客户端单元。客户端单元的主要作用是衔接分布式数据库,通过传达SQL命令至服务器获取数据。
(2)分布式管理单元。分布式管理单元主要是用于管理对应数据库中的元数据。终端PC机通过连接该单元可以对拓扑中各节点进行实施管理从而监控整个系统。而当客户端单元发送请求指令后,管理单元能够基于动态均衡技术自行回归集群单元,从而实现负载均衡。
(3)分布式数据库单元。该单元主要作用是存储电力信息数据,在此基础上实现客户端对于数据的操作指令,在拓扑连接成功后,仅有授权用户可通过验证访问。各数据库相互独立,并行运行管理数据。
(4)终端PC机。后台管理者利用终端PC机对各单元进行管理,实时核查审计数据,并通过监测预警功能确保平台安全。
2.2 模型具体设计
在电力监控系统安全审计平台中引入数据库技术时需要明晰数据库的功能,进而针对性设计模块,本文的数据库功能模块主要涵盖网络模块、通信协议模块、SQL解析模块以及存储引擎模块,如图2所示。
图2 数据库功能模块Fig.2 Database function modules
2.2.1 网络模块
数据库在实现自身功能时需要网络模块来响应客户需求,因此本文采用Netty设计网络模块,其主要含有3种线程,如图3所示。
图3 网络模块工作流程Fig.3 Network module workflow
(1)主线程池的主要功能是获取用户端的连网要求,将该要求转给从线程池受理,然后继续接收连网要求,提升服务器运行效率。
(2)从线程池完成连网后开始进行读取,将其余的事务逻辑转给工作线程处理,避免线程崩溃。
(3)工作线程主要用于处理耗时较长的操作。
2.2.2 通信协议模块
各服务器与客户端在进行通信时需要相应的协议,因此本文主要采用应用较广的MySQL的通信协议,主要涵盖握手认证与指令执行两个步骤。
(1)握手认证。
客户端A与服务器B连网后开始执行握手,流程为:
1)B传送初始化报文至A。
2)A向B回复登录验证的报文。
3)B向A传送验证结果。
(2)命令执行。
服务器B对客户端A验证成功后开始执行命令,其流程为:
1)A传送命令报文给B。
2)B传送执行结果给A。
2.2.3 SQL解析模块
该模块主要是对客户端传达的语句进行解析,了解后者的设实际意图。衡量应用成本与实际性能后,选择当前较为完善的Druid框架设计SQL引擎。SQL解析层对协议层发送的语句分析词法与语法,获取相应的语法树并以访问者身份遍历,从而获取数据结构,在封装后得到具体类型,对具体类型进行分析后交由存储引擎层完成深化处理。整体流程如图4所示。
图4 SQL解析流程Fig.4 SQL parsing process
2.2.4 存储引擎模块
存储引擎设计时需要考虑数据存储组织结构的最优化,因此本文利用多元NoSQL数据库引擎实现关系封装,并在底层利用OrientDB等存储引擎实现功能。
2.3 动态均衡技术
在分布式数据库中,为了能够平衡系统资源分配,需要采用动态均衡技术实现负荷平衡,其主要流程如下:
(1)分布式数据库集群选取单个单元用于承担管理代理的作用,从而实现正确后端数据库对客户端需求的响应。
(2)集群中各单元自行通过核定单元CPU数量和服务器总内存获取自身权重并传输至管理单元储存。
(3)分布式数据库单元逐秒核算当前负荷并传达至管理单元,通过检验CPU使用率和服务器总内存余额更新负荷。
(4)管理单元重新排布服务器单元为单个数组,并将末尾服务器的下一个服务器设置为首端并存储在数组中,从而实现负荷平衡的初始化。
(5)初始化完成后,集群服务器定期向管理单元输送负荷数据,核定无误后基于选举算法为客户端选定合适单元,并在连网后选定合适的服务器地址。
动态均衡技术可以避免管理单元失效时产生的单点故障,且由于采用选举算法次第对单元进行筛选,不会出现单个服务器全权处理客户端的要求,从而实现负荷的动态均衡。
性能测试可以有效检验数据库技术在电力监控系统安全审计平台中的应用效果。分别测试平台中审计数据的并行处理效果,实验结果如表1所示。
表1 实验结果Tab.1 Experimental results
由表1可以看出,随着SQL运行次数的提升,平台的运算时间逐步层架,当运行次数超过5000时,由于本文采用的MySQL作为通信协议,可以在一定程度上实现数据交换的缓存和优化,因此使得运行效率大幅提升,并且动态均衡技术的引入,使得计算量显著下降,能够确保平台面对海量数据仍然可以进行高效处理。所有数据平台均处理完成,表明本文提出的方法具有较好的实际应用能力。
针对电力监控系统安全审计平台的实际应用需求,本文引入了数据库技术,建立了基于分布式数据库的安全审计数据库模型,并设计了模型的网络模块、通信协议、SQL解析和存储引擎,通过动态均衡技术实现了电力监控系统安全审计平台数据库的分布式管理。通过性能测试可知,本文将数据库技术应用于电力监控系统安全审计平台可以有效保障数据安全与审计,具有较好的安全性和实用性。在未来将继续研究平台的数据复原功能与迁移功能,防止数据遗失,确保平台的更新与升级能够顺利实施。