本發明提出了一種電力系統內網的安全訪問方法及裝置，包括：獲取互聯網終端的訪問請求，基于訪問請求獲取簽名信息，對簽名信息進行驗證；若驗證通過，通過電力外網服務器對訪問請求進行業務邏輯處理，將包含數據庫訪問指令的處理結果發送到隔離裝置；通過隔離裝置將數據庫訪問指令發送給電力內網服務器，通過電力內網服務器基于數據庫訪問指令訪問電力內網數據庫。對來自互聯網終端的訪問請求增加了簽名驗證的過程，能夠讓互聯網終端通過簽名認證獲得訪問內網的權限，實現在保障內網安全的前提下支持互聯網終端訪問的功能，方便有權限的終端訪問電力系統內網。

技術領域

本發明屬于電力系統網絡安全領域，尤其涉及一種電力系統內網的安全訪問方法及裝置。

背景技術

隨著信息化建設的不斷發展，電力系統的內網安全是電網穩定運行的關鍵，為了維護電力系統的網絡安全，通常采用物理隔離手段將外網和內網隔離，工作人員必須通過有權限的指定終端才能訪問內網，并且為了防止內網被攻擊，通常不會將移動互聯網終端作為有權限訪問內網的終端。上述物理隔離手段雖然維護了電力系統的網絡安全，但因必須通過有權限的指定終端才能訪問外網的限制也為日常工作帶來了很多不便。

發明內容

為了解決現有技術中存在的缺點和不足，本發明提出了一種電力系統內網的安全訪問方法，包括：

獲取互聯網終端的訪問請求，基于訪問請求獲取簽名信息，對簽名信息進行驗證；

若驗證通過，通過電力外網服務器對訪問請求進行業務邏輯處理，將包含數據庫訪問指令的處理結果發送到隔離裝置；

通過隔離裝置將數據庫訪問指令發送給電力內網服務器，通過電力內網服務器基于數據庫訪問指令訪問電力內網數據庫。

可選的，所述獲取互聯網終端的訪問請求，基于訪問請求獲取簽名信息，包括：

獲取互聯網終端的訪問請求，所述訪問請求包括互聯網終端的簽名信息與發起訪問請求的時間；

將發起訪問請求的時間與預先存儲的互聯網終端私鑰共同組成字符串；

將字符串通過base64編碼計算出簽名值。

進一步的，所述對簽名信息進行驗證，包括：

獲取訪問請求中的簽名信息，判斷訪問請求中的簽名信息是否與計算出的簽名值一致；

若一致，獲取接收到訪問請求的時間；

若接收到訪問請求的時間與發起訪問請求的時間相差小于預設的時間閾值，則驗證通過，否則拒絕訪問請求。

可選的，所述若驗證通過，通過電力外網服務器對訪問請求進行業務邏輯處理，將包含數據庫訪問指令的處理結果發送到隔離裝置，包括：

通過電力外網服務器將訪問請求處理成基于SQL語句的數據庫訪問指令，將數據庫訪問指令發送到隔離裝置。

可選的，所述通過隔離裝置將數據庫訪問指令發送給電力內網服務器，通過電力內網服務器基于數據庫訪問指令訪問電力內網數據庫，包括：

通過隔離裝置判斷數據庫訪問指令的語句是否合法，若出現不合法的語句則發出告警信息；

將合法的數據庫訪問指令發送給電力內網服務器，通過電力內網服務器基于數據庫訪問指令對預先構建的電力內網數據庫進行SQL訪問。

進一步的，所述通過隔離裝置判斷數據庫訪問指令的語句是否合法，包括：

判斷數據庫訪問指令是否為SQL語句，若不是SQL語句則所述數據庫訪問指令是不合法的；

判斷數據庫訪問指令的語句是否符合預設的SQL語句規范，若不符合SQL語句規范則所述數據庫訪問指令是不合法的。