基于安全操作系統(tǒng)的繼電保護(hù)信息管理系統(tǒng)安全防護(hù)優(yōu)化及應(yīng)用

易亞文，王 鋒，陳 偉，張林枝

（向家壩水力發(fā)電廠，四川省宜賓市 644612）

0 引言

傳統(tǒng)繼電保護(hù)信息管理系統(tǒng)（以下簡(jiǎn)稱保信系統(tǒng)）的工程師站主要采用Windows操作系統(tǒng)。該系統(tǒng)作為不開源系統(tǒng)，暴露出的后門以及NSA等事件，充分說(shuō)明該系統(tǒng)存在不可控的信息安全隱患。2014年4月8日起，美國(guó)微軟公司宣布停止對(duì)Windows XP SP3操作系統(tǒng)提供服務(wù)支持，引起了社會(huì)的廣泛關(guān)注，加深了人們對(duì)信息安全的擔(dān)憂。同年8月1日，國(guó)家發(fā)展改革委頒布《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》[1]，對(duì)電力監(jiān)控系統(tǒng)的設(shè)備選型及配置提出嚴(yán)格要求，禁止選用經(jīng)國(guó)家相關(guān)管理部門檢測(cè)認(rèn)定并經(jīng)國(guó)家能源局通報(bào)存在漏洞和風(fēng)險(xiǎn)的系統(tǒng)及設(shè)備，并對(duì)已投入運(yùn)行的系統(tǒng)及設(shè)備提出整改要求。與此同時(shí)，基于Linux的安全操作系統(tǒng)快速發(fā)展，并逐步實(shí)現(xiàn)了國(guó)產(chǎn)化，其安全性也得到了較大地提升。2017年，向家壩水電站開始推進(jìn)國(guó)產(chǎn)安全操作系統(tǒng)在保信系統(tǒng)中的應(yīng)用，完成以操作系統(tǒng)替換為主要內(nèi)容的安全防護(hù)整改工作。本文分析原繼電保護(hù)信息系統(tǒng)的安全防護(hù)狀況，介紹技術(shù)改進(jìn)方案，結(jié)合安全操作系統(tǒng)的特點(diǎn)和運(yùn)維經(jīng)驗(yàn)，提出基于安全操作系統(tǒng)的主機(jī)加固方法，并分析改進(jìn)后保信系統(tǒng)的優(yōu)缺點(diǎn)。

1 保信系統(tǒng)結(jié)構(gòu)安全防護(hù)優(yōu)化

向家壩水電站保信系統(tǒng)由南瑞繼保生產(chǎn)制造。該系統(tǒng)獨(dú)立于電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)，由繼電保護(hù)裝置、PCS-9798A保護(hù)信息管理裝置、現(xiàn)地工程師站、調(diào)度主站等組網(wǎng)構(gòu)成，系統(tǒng)結(jié)構(gòu)如圖1所示。電站相關(guān)的發(fā)電機(jī)保護(hù)、變壓器保護(hù)等串口保護(hù)裝置經(jīng)RCS-9784A規(guī)約轉(zhuǎn)換器接入繼電保護(hù)信息系統(tǒng)通信網(wǎng)絡(luò)（以下簡(jiǎn)稱保信子網(wǎng)）。500kV開關(guān)站相關(guān)的母線保護(hù)、線路保護(hù)、斷路器保護(hù)等網(wǎng)口保護(hù)裝置直接接入保信子網(wǎng)。 PCS-9798A保護(hù)信息管理裝置處于站控層，是保信系統(tǒng)的通信及數(shù)據(jù)存貯裝置，對(duì)上以IEC104規(guī)約與調(diào)度主站、現(xiàn)地工程師站通信，對(duì)下以IEC103規(guī)約與繼電保護(hù)裝置通信，實(shí)現(xiàn)全站繼電保護(hù)裝置與調(diào)度主站、現(xiàn)地工程師站之間的通信轉(zhuǎn)接及規(guī)約轉(zhuǎn)換。

圖1 原保信系統(tǒng)結(jié)構(gòu)示意圖Fig.1 Schematic diagram of the original Relay protection information management system

1.1 保信系統(tǒng)結(jié)構(gòu)安全分析

按照國(guó)家信息安全等級(jí)保護(hù)的要求，電力監(jiān)控系統(tǒng)應(yīng)堅(jiān)持“安全分區(qū)，網(wǎng)絡(luò)專用，橫向隔離，縱向認(rèn)證”的原則。

安全分區(qū)是電力系統(tǒng)監(jiān)控系統(tǒng)安全防護(hù)體系的結(jié)構(gòu)基礎(chǔ)。向家壩電站保信系統(tǒng)被劃分至生產(chǎn)控制大區(qū)，其中，間隔層的繼電保護(hù)裝置被劃分至控制區(qū)（安全區(qū)Ⅰ），站控層設(shè)備如保護(hù)信息管理裝置、現(xiàn)地工程師站等被劃分至非控制區(qū)（安全區(qū)Ⅱ）。生產(chǎn)控制大區(qū)與管理信息大區(qū)沒(méi)有縱向交叉聯(lián)接，滿足安全防護(hù)要求。

網(wǎng)絡(luò)專用是指電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)。向家壩電站保信系統(tǒng)的相關(guān)設(shè)備通過(guò)專用的保信子網(wǎng)聯(lián)接，在物理層面上與梯級(jí)調(diào)度監(jiān)控系統(tǒng)、電能量計(jì)量系統(tǒng)等的數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)完全隔離，滿足安全防護(hù)要求。

橫向隔離是電力二次安全防護(hù)體系的橫向防線，應(yīng)采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)采用具有訪問(wèn)控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。向家壩電站保信系統(tǒng)的間隔層設(shè)備與站控層設(shè)備分屬于生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)Ⅰ和安全區(qū)Ⅱ，但是沒(méi)有設(shè)計(jì)、安裝橫向隔離設(shè)備，不滿足安全防護(hù)要求。

縱向認(rèn)證是電力二次安全防護(hù)體系的縱向防線，采用認(rèn)證、加密、訪問(wèn)控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。向家壩水電站保信系統(tǒng)沒(méi)有與廣域網(wǎng)縱向連接，不需為此設(shè)計(jì)、安裝縱向加密認(rèn)證裝置。

1.2 保信系統(tǒng)結(jié)構(gòu)優(yōu)化

從安全防護(hù)的角度看，向家壩水電站保信系統(tǒng)結(jié)構(gòu)的主要問(wèn)題是缺少橫向隔離裝置。從運(yùn)行實(shí)踐來(lái)看，該系統(tǒng)還存在以下不足：

（1）PCS-9798A裝置沒(méi)有冗余配置，正常運(yùn)行方式下，該裝置不具備停運(yùn)檢修的條件，一旦該裝置發(fā)生故障，將導(dǎo)致系統(tǒng)停運(yùn)。

（2）PCS-9798A裝置對(duì)上向現(xiàn)地工程師站和調(diào)度主站傳輸數(shù)據(jù)，對(duì)下召喚全站130多套繼電保護(hù)裝置的數(shù)據(jù)，數(shù)據(jù)傳輸量大，頻繁出現(xiàn)數(shù)據(jù)傳輸失敗等現(xiàn)象，影響保信系統(tǒng)功能的發(fā)揮。

（3）故障錄波信息管理系統(tǒng)與保護(hù)信息管理系統(tǒng)完全獨(dú)立，故障錄波器的錄波信息不能通過(guò)保護(hù)信息管理系統(tǒng)查閱，用戶體驗(yàn)不佳。

圖2 改進(jìn)后保信系統(tǒng)結(jié)構(gòu)示意圖Fig.2 Schematic diagram of the improved Relay protection information management system

為解決上述問(wèn)題，向家壩保護(hù)信息系統(tǒng)進(jìn)行了結(jié)構(gòu)優(yōu)化設(shè)計(jì)，并完成現(xiàn)場(chǎng)設(shè)備改造。如圖2所示，改進(jìn)后的保護(hù)信息管理系統(tǒng)新增一套PCS-9798A保護(hù)信息管理裝置和兩套防火墻裝置。原PCS-9798A保護(hù)信息裝置為裝置1，新增PCS-9798A保護(hù)信息裝置為裝置2。裝置1對(duì)上接入主站系統(tǒng)，對(duì)下經(jīng)防火墻1接入保信子網(wǎng)，實(shí)現(xiàn)主站系統(tǒng)與保護(hù)裝置之間的數(shù)據(jù)通信。裝置2對(duì)上接入繼電保護(hù)工程師站，對(duì)下分別經(jīng)防火墻1接入保信子網(wǎng)，經(jīng)防火墻2接入故障錄波信息管理系統(tǒng)網(wǎng)絡(luò)（簡(jiǎn)稱故錄子網(wǎng)），實(shí)現(xiàn)繼電保護(hù)工程師站與保護(hù)裝置、故障錄波裝置之間的數(shù)據(jù)通信。

新增的保護(hù)信息管理裝置實(shí)現(xiàn)了該系統(tǒng)核心設(shè)備的冗余配置，且解決了數(shù)據(jù)傳輸失敗的問(wèn)題。新增的兩個(gè)防火墻實(shí)現(xiàn)了安全區(qū)I和安全區(qū)II設(shè)備的橫向隔離，同時(shí)也將故錄子網(wǎng)與保信子網(wǎng)進(jìn)行了有效隔離。

2 操作系統(tǒng)替換及安全加固

向家壩水電站保信系統(tǒng)的現(xiàn)地工程師站采用Window操作系統(tǒng)，運(yùn)維時(shí)，多采取安裝殺毒軟件、定期更新病毒庫(kù)、定期安全加固等通用安全防護(hù)措施，未發(fā)生信息安全事件。但是，作為系統(tǒng)軟件中最基礎(chǔ)部分的操作系統(tǒng)，其安全問(wèn)題的解決是關(guān)鍵中之關(guān)鍵[2]。Windows操作系統(tǒng)的源碼不公開，無(wú)法對(duì)其進(jìn)行分析，不能排除其中存在著人為“陷阱”。而且，已經(jīng)發(fā)現(xiàn)Windows操作系統(tǒng)存在追蹤用戶ID的“后門”，盡管微軟公司已經(jīng)發(fā)布“后門”補(bǔ)丁，但仍難消除安全顧慮。事實(shí)表明，某些廠站保信系統(tǒng)的Windows操作系統(tǒng)主機(jī)被發(fā)現(xiàn)感染病毒，導(dǎo)致調(diào)度主站難以正常采集現(xiàn)場(chǎng)信息，降低了故障排查和恢復(fù)送電效率，給電網(wǎng)的安全穩(wěn)定運(yùn)行造成了較大影響。

Linux操作系統(tǒng)是20世紀(jì)90年代在UNIX操作系統(tǒng)的基礎(chǔ)上形成的。依據(jù)美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)[3]，Linux的安全性大致處于C2級(jí)[4]。但是，基于其開放源碼的背景，在對(duì)信息安全的迫切需求下，Linux的安全性取得了較快的改進(jìn)。我國(guó)也發(fā)展了具有自主版權(quán)的安全操作系統(tǒng)，如凝思操作系統(tǒng)、中標(biāo)麒麟操作系統(tǒng)等，這些安全操作系統(tǒng)的安全性已經(jīng)達(dá)到相關(guān)標(biāo)準(zhǔn)的要求。依據(jù)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》對(duì)電力監(jiān)控系統(tǒng)的設(shè)備選型及配置的要求，向家壩水電站在保信系統(tǒng)安全防護(hù)結(jié)構(gòu)優(yōu)化的基礎(chǔ)上，于2018年5月將現(xiàn)地工程師站所采用的Windows操作系統(tǒng)替換為國(guó)產(chǎn)凝思安全操作系統(tǒng)，解決了安全問(wèn)題的關(guān)鍵。

2.1 凝思安全操作系統(tǒng)的特點(diǎn)

向家壩水電站改進(jìn)后的保信系統(tǒng)采用凝思安全操作系統(tǒng)。該系統(tǒng)是北京凝思自主研發(fā)、擁有完全自主知識(shí)產(chǎn)權(quán)的操作系統(tǒng)。對(duì)照GA/T 388—2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》[5]，該系統(tǒng)的身份鑒別、自主訪問(wèn)控制、標(biāo)記、強(qiáng)制訪問(wèn)控制、客體重用、審計(jì)、數(shù)據(jù)完整性、隱蔽通道分析、可信路徑等安全功能達(dá)到第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)的要求。

凝思安全操作系統(tǒng)的核心實(shí)現(xiàn)是通過(guò)安全模塊來(lái)完成的，系統(tǒng)中所有的資源請(qǐng)求都受到安全模塊的監(jiān)控和限制。該系統(tǒng)提供了多種強(qiáng)制性安全保護(hù)機(jī)制，包括強(qiáng)制訪問(wèn)控制、強(qiáng)制行為控制、強(qiáng)制能力控制。強(qiáng)制訪問(wèn)控制主要利用BIBA完整性模型和BLP機(jī)密性保護(hù)模型保護(hù)敏感數(shù)據(jù)的訪問(wèn)。強(qiáng)制行為控制主要利用程序的路徑特征限制程序?qū)ξ募脑L問(wèn)。強(qiáng)制能力控制主要將特權(quán)細(xì)分成不同的能力，從而避免因挾持特權(quán)進(jìn)程而產(chǎn)生的安全威脅。

凝思安全操作系統(tǒng)設(shè)置系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、審計(jì)管理員等4個(gè)分權(quán)管理員，以實(shí)現(xiàn)等保四級(jí)中的最小特權(quán)原則。系統(tǒng)管理員主要完成系統(tǒng)設(shè)備的管理，網(wǎng)絡(luò)管理員主要完成網(wǎng)絡(luò)的管理，安全管理員主要完成系統(tǒng)用戶的管理，審計(jì)管理員用于管理審計(jì)信息。各個(gè)管理員都不能控制整個(gè)系統(tǒng)，他們之間相互牽制，相互制約，能夠防止管理員因疏忽而削弱整個(gè)系統(tǒng)的安全性。

2.2 操作系統(tǒng)安全加固

基于凝思安全操作系統(tǒng)的保信系統(tǒng)在投入實(shí)際運(yùn)行時(shí)，應(yīng)當(dāng)對(duì)操作系統(tǒng)進(jìn)行安全加固，主要內(nèi)容如下：

（1）身份鑒別。系統(tǒng)是否對(duì)登錄系統(tǒng)的用戶進(jìn)行身份鑒別，且密碼是否加密存儲(chǔ)；密碼的有效期是否小于90天，密碼長(zhǎng)度是否大于8位，且為字母、數(shù)字或特殊字符的混合組合；用戶名和口令是否相同，密碼策略是否啟用；是否啟用登錄失敗處理功能，即嘗試錯(cuò)誤密碼多少次后鎖定賬戶多長(zhǎng)時(shí)間；是否為不同用戶分配不同的用戶名以確保用戶名具有唯一性；應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。

（2）訪問(wèn)控制。系統(tǒng)是否根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；檢查umask值是否為027；是否存在多余的不必要用戶；對(duì)重要信息資源設(shè)置敏感標(biāo)記，使系統(tǒng)整體支持強(qiáng)制訪問(wèn)控制機(jī)制。

（3）安全審計(jì)。系統(tǒng)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶；審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)重要安全相關(guān)事件；審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋；能夠通過(guò)操作系統(tǒng)自身功能或第三方工具根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷。

（4）入侵防范。系統(tǒng)應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)報(bào)警；應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并具有完整性恢復(fù)的能力。

（5）資源控制。系統(tǒng)應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；應(yīng)根據(jù)需要限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度；應(yīng)關(guān)閉或拆除主機(jī)的軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、USB接口、串行口等，確需保留的應(yīng)嚴(yán)格管理。

（6）網(wǎng)絡(luò)服務(wù)。系統(tǒng)應(yīng)禁止不必要的用戶登錄FTP服務(wù)；應(yīng)關(guān)閉SNMP或修改SNMP默認(rèn)community。

3 結(jié)束語(yǔ)

向家壩水電站保信系統(tǒng)完成系統(tǒng)結(jié)構(gòu)優(yōu)化和工程師站主機(jī)操作系統(tǒng)技術(shù)改造后，運(yùn)行工況良好，表現(xiàn)出如下優(yōu)點(diǎn)：

（1）用國(guó)產(chǎn)凝思安全操作系統(tǒng)替代Windows操作系統(tǒng)，解決了系統(tǒng)的關(guān)鍵安全問(wèn)題，對(duì)常見病毒具有天然的免疫能力，安全性能得到極大地提升，而且占用主機(jī)資源較少，運(yùn)行穩(wěn)定性高；運(yùn)維人員也省去更新病毒庫(kù)、打補(bǔ)丁、定期查殺毒等的工作。

（2）增加防火墻，實(shí)現(xiàn)間隔層（安全區(qū)Ⅰ）和站控層（安全區(qū)Ⅱ）的橫向隔離，增強(qiáng)了網(wǎng)絡(luò)邊界防護(hù)能力。

（3）系統(tǒng)的核心設(shè)備保護(hù)信息管理裝置實(shí)現(xiàn)雙冗余，確保裝置故障處理和停電檢修不影響整個(gè)系統(tǒng)的運(yùn)行。且兩套保護(hù)信息管理裝置分別接入現(xiàn)地工程師站和調(diào)度主站，提高了數(shù)據(jù)傳輸?shù)牧鲿承?，解決了數(shù)據(jù)傳輸失敗的問(wèn)題。

（4）故障錄波器通過(guò)獨(dú)立的故錄子網(wǎng)經(jīng)防火墻接入保信系統(tǒng)，既滿足橫向隔離要求，又為保護(hù)動(dòng)作分析提供便利。

技術(shù)改造后的保信系統(tǒng)的主要不足體現(xiàn)在操作系統(tǒng)方面：

（1）國(guó)產(chǎn)安全操作系統(tǒng)占據(jù)的市場(chǎng)份額較小，生態(tài)環(huán)境有限，基于該系統(tǒng)的硬件驅(qū)動(dòng)軟件和應(yīng)用軟件較少，限制了系統(tǒng)的可擴(kuò)展性和應(yīng)用便利性。

（2）國(guó)產(chǎn)安全操作系統(tǒng)基于開源代碼開發(fā)形成，如果說(shuō)Windows操作系統(tǒng)是一個(gè)黑匣子，那么國(guó)產(chǎn)安全系統(tǒng)就如同一個(gè)透明的玻璃瓶，其安全性存在天然的不足，需要不斷健全其安全機(jī)制，提升安全性能。

（3）基于國(guó)產(chǎn)安全操作系統(tǒng)的防病毒軟件仍沒(méi)有成熟的應(yīng)用，該系統(tǒng)在沒(méi)有安裝防病毒軟件的情況下運(yùn)行，防病毒入侵的能力依然堪憂。

（4）由于操作系統(tǒng)本身的原因，主機(jī)斷電重啟后可能導(dǎo)致系統(tǒng)無(wú)法開啟，因此對(duì)主機(jī)的供電可靠性提出很高要求。而且，系統(tǒng)重啟后，需要檢查系統(tǒng)的umask值是否為027，因?yàn)?umask 027命令只能臨時(shí)修改，重啟可能失效，影響訪問(wèn)控制。

（5）國(guó)產(chǎn)安全操作系統(tǒng)在辦公和日常生活中應(yīng)用較少，且部分操作為命令行操作，對(duì)運(yùn)維人員的技能水平提出較高要求。

綜上所述，向家壩水電站基于國(guó)產(chǎn)安全操作系統(tǒng)的保信系統(tǒng)符合電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定，實(shí)際應(yīng)用狀況良好。國(guó)產(chǎn)安全操作系統(tǒng)曾經(jīng)受產(chǎn)業(yè)生態(tài)環(huán)境影響，發(fā)展緩慢，存在一定的不足，但是，隨著社會(huì)對(duì)安全防護(hù)認(rèn)知的提升，以及電力行業(yè)對(duì)國(guó)產(chǎn)安全操作系統(tǒng)的應(yīng)用普及，國(guó)產(chǎn)安全操作系統(tǒng)將迎來(lái)新的發(fā)展機(jī)遇，其安全技術(shù)水平將會(huì)取得新的進(jìn)步。