安全可信平臺(tái)在巨型水電站監(jiān)控系統(tǒng)中的設(shè)計(jì)及應(yīng)用

陳超群，王芳平，張 煦

（1.三峽水力發(fā)電廠，湖北 宜昌 443000；2.北京中水科水電科技開發(fā)有限公司，北京 100038）

0 引言

當(dāng)前，我國電力系統(tǒng)的基礎(chǔ)性、全局性、全員性作用日益增強(qiáng)，水電站調(diào)度及監(jiān)控系統(tǒng)安全已作為電力自動(dòng)化安全深入推進(jìn)的重要保障，由于其在生產(chǎn)建設(shè)和社會(huì)生活中的重要作用，必須做好直面來自各種網(wǎng)絡(luò)攻擊的準(zhǔn)備。然而網(wǎng)絡(luò)攻擊方式多樣、手法隱藏、在時(shí)間和空間上都不受邊界制約，面對(duì)新形勢(shì)下的網(wǎng)絡(luò)安全威脅，傳統(tǒng)的被動(dòng)防御手段已不能良好的免疫多種多樣的網(wǎng)絡(luò)攻擊手段，某巨型水電站監(jiān)控系統(tǒng)通過采用基于可信3.0技術(shù)的安全可信平臺(tái)，構(gòu)建可信計(jì)算環(huán)境、可信邊界、可信網(wǎng)絡(luò)通信三重防護(hù)框架的可信安全管理中心，保證該巨型水電站監(jiān)控系統(tǒng)在安全可信的環(huán)境中運(yùn)行。

1 可信計(jì)算平臺(tái)概述

某巨型水電站采用的可信計(jì)算平臺(tái)，是由國家電網(wǎng)全球互聯(lián)網(wǎng)能源研究院開發(fā)，基于可信計(jì)算技術(shù)研發(fā)的一款安全產(chǎn)品，主要實(shí)現(xiàn)電力業(yè)務(wù)系統(tǒng)對(duì)惡意代碼的免疫和業(yè)務(wù)應(yīng)用的版本管理，保障系統(tǒng)穩(wěn)定和可靠的運(yùn)行，最終達(dá)到攻擊者無法進(jìn)入、非授權(quán)者無法獲取重要信息、竊取的保密信息無法解密、攻擊行為均有日志記錄的安全防護(hù)效果。

可信計(jì)算平臺(tái)的核心組件包括可信密碼模塊硬件和可信軟件基，其中可信密碼模塊硬件為PCI-E硬件密碼板卡的形態(tài)，以可信密碼模塊為信任根，信任鏈建立從系統(tǒng)引導(dǎo)程序開始，在操作系統(tǒng)引導(dǎo)器中嵌入度量代碼形成引導(dǎo)度量器，實(shí)現(xiàn)對(duì)操作系統(tǒng)引導(dǎo)器代碼自身的度量，確保引導(dǎo)環(huán)境的初態(tài)安全[1]。可信軟件基提供可信度量機(jī)制，提供系統(tǒng)及應(yīng)用程序的惡意代碼免疫。

可信計(jì)算平臺(tái)由可信策略管理端和可信計(jì)算安全模塊客戶端組成，如圖1所示?？蛻舳嗽诠芾矶俗?cè)后，管理端能夠?qū)σ炎?cè)的客戶端提供安全策略定制、集中運(yùn)維管理、系統(tǒng)資源監(jiān)控、審計(jì)信息統(tǒng)一收集等功能。其中，集中運(yùn)維管理功能可大大提高運(yùn)維人員的工作效率、提高客戶端的集中監(jiān)控能力，保障整體業(yè)務(wù)系統(tǒng)環(huán)境的安全可信。

圖1 可信計(jì)算平臺(tái)組成架構(gòu)

2 安全可信平臺(tái)總體設(shè)計(jì)

2.1 安全可信平臺(tái)的適用性

安全可信平臺(tái)采用可信3.0技術(shù)[2]，通過“計(jì)算+保護(hù)”的雙體系結(jié)構(gòu)，有效彌補(bǔ)了計(jì)算平臺(tái)本體的安全漏洞，從而保障監(jiān)控系統(tǒng)各服務(wù)器的操作系統(tǒng)、基礎(chǔ)軟件及上層業(yè)務(wù)程序的完整性，使其免受惡意代碼和操作的破壞，達(dá)到安全免疫系統(tǒng)的功效。

安全可信平臺(tái)是基于國產(chǎn)服務(wù)器、國產(chǎn)操作系統(tǒng)、國產(chǎn)安全商用數(shù)據(jù)庫，整合國產(chǎn)成熟電力中間件產(chǎn)品的技術(shù)成果，并進(jìn)行深度合作、跟蹤國際先進(jìn)的標(biāo)準(zhǔn)和技術(shù)進(jìn)行自主創(chuàng)新而形成的全方位安全監(jiān)控平臺(tái)。通常情況下，安全可信平臺(tái)對(duì)于操作系統(tǒng)版本要求相對(duì)嚴(yán)格，不僅對(duì)操作系統(tǒng)類型有要求，而且對(duì)內(nèi)核版本甚至小版本都有要求，版本號(hào)不對(duì)應(yīng)的系統(tǒng)極易出現(xiàn)不兼容問題。經(jīng)測(cè)試，該平臺(tái)在國產(chǎn)設(shè)備曙光和浪潮、國產(chǎn)操作系統(tǒng)凝思6.0.4和銀河麒麟2.6.32版本上部署后均運(yùn)行正常、功能完整、性能優(yōu)越，兼容性良好。

2.2 水電站監(jiān)控系統(tǒng)基于安全可信平臺(tái)的總體設(shè)計(jì)

水電站監(jiān)控系統(tǒng)按照電力二次安全防護(hù)的分區(qū)原則，可分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)又可以分為控制區(qū)（又稱安全區(qū)Ⅰ）和非控制區(qū)（又稱安全區(qū)Ⅱ）。安全Ⅰ區(qū)是電力生產(chǎn)的重要環(huán)節(jié)，直接負(fù)責(zé)對(duì)電力一次系統(tǒng)的實(shí)時(shí)監(jiān)控，是水電站監(jiān)控系統(tǒng)安全防護(hù)的重點(diǎn)與核心。

為確保電站計(jì)算機(jī)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全，該巨型水電站監(jiān)控系統(tǒng)廠站層均采用國產(chǎn)化設(shè)備，主要服務(wù)器、工作站采用國產(chǎn)曙光設(shè)備，運(yùn)行國產(chǎn)凝思安全操作系統(tǒng)，所有網(wǎng)絡(luò)及安全防護(hù)設(shè)備均采用國產(chǎn)化設(shè)備。同時(shí)在該巨型水電站監(jiān)控系統(tǒng)安全Ⅰ區(qū)部署安全可信平臺(tái)，即安全Ⅰ區(qū)所有服務(wù)器和主機(jī)均配置可信計(jì)算安全模塊硬件和可信軟件基，并在一臺(tái)指定的服務(wù)器上配置可信策略管理端，為其他主機(jī)提供安全策略的定制，保障安全Ⅰ區(qū)處于安全可信環(huán)境，取代以“封堵查殺”為主的傳統(tǒng)信息安全防護(hù)體系，由被動(dòng)防御轉(zhuǎn)為主動(dòng)防御，安全可控，安全免疫，如圖2所示。

圖2 某巨型水電站監(jiān)控系統(tǒng)可信計(jì)算平臺(tái)部署設(shè)計(jì)

在安全Ⅰ區(qū)服務(wù)器和主機(jī)均配置可信密碼模塊硬件和可信軟件基。通過在機(jī)身處插入可信密碼模塊硬件，為操作系統(tǒng)提供可信引導(dǎo)機(jī)制，從硬件上電啟動(dòng)、BIOS自檢、系統(tǒng)引導(dǎo)、系統(tǒng)內(nèi)核模塊加載至軟件運(yùn)行全過程進(jìn)行主動(dòng)的度量和監(jiān)控，使主機(jī)系統(tǒng)可以按照預(yù)期行為合法、合理的運(yùn)行。通過安裝可信軟件基，提供可信度量機(jī)制，實(shí)現(xiàn)系統(tǒng)及應(yīng)用程序的惡意代碼免疫；提供策略安全管理機(jī)制，實(shí)現(xiàn)策略的安全管理；并提供可信策略的保護(hù)機(jī)制。同時(shí)可信軟件基針對(duì)終端操作系統(tǒng)，采用可信計(jì)算技術(shù)來構(gòu)建系統(tǒng)安全內(nèi)核，對(duì)軟件的來源及運(yùn)行進(jìn)行管理和控制，保證軟件的可信、可識(shí)別和可控。

在安全Ⅰ區(qū)工程師站安裝可信安全管理中心（即可信管理端），對(duì)安全Ⅰ區(qū)其他服務(wù)器和主機(jī)上運(yùn)行的可信軟件基進(jìn)行統(tǒng)一管理，提供安全策略的定制和集中的運(yùn)維管理。同時(shí)對(duì)整個(gè)系統(tǒng)資源及性能進(jìn)行監(jiān)控，對(duì)分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制及信息進(jìn)行集中管理和統(tǒng)一收集，實(shí)現(xiàn)安全Ⅰ區(qū)可信一體化的安全管理，如圖3所示。

圖3 某巨型水電站監(jiān)控系統(tǒng)可信計(jì)算平臺(tái)部署

3 安全可信平臺(tái)實(shí)現(xiàn)及應(yīng)用

該巨型水電站監(jiān)控系統(tǒng)采用國產(chǎn)曙光服務(wù)器、國產(chǎn)凝思6.0.4.80版本的操作系統(tǒng)，與安全可信平臺(tái)具有良好的兼容性。根據(jù)設(shè)計(jì)思路，在監(jiān)控系統(tǒng)安全Ⅰ區(qū)部署安全可信平臺(tái)，經(jīng)過測(cè)試，系統(tǒng)運(yùn)行正常、數(shù)據(jù)采集及傳輸安全、性能穩(wěn)定。

通過在監(jiān)控系統(tǒng)安全Ⅰ區(qū)部署安全可信平臺(tái)，達(dá)到以下預(yù)期效果，如圖4所示。

圖4 安全可信平臺(tái)在巨型水電站監(jiān)控系統(tǒng)中應(yīng)用的預(yù)期效果

（1）對(duì)操作系統(tǒng)進(jìn)行保護(hù)，避免系統(tǒng)遭受攻擊和破壞；

（2）對(duì)系統(tǒng)中的重要軟件和數(shù)據(jù)進(jìn)行保護(hù)，防止非法篡改和運(yùn)行；

（3）對(duì)應(yīng)用軟件和系統(tǒng)可以進(jìn)行配置管理，且必須使用合法的u-key，具有身份認(rèn)證校驗(yàn)；

（4）對(duì)原有業(yè)務(wù)功能運(yùn)行透明安全支撐。

4 結(jié)語

水電站監(jiān)控系統(tǒng)是電站運(yùn)行管理的中樞系統(tǒng)，是實(shí)現(xiàn)水電站自動(dòng)化程度和經(jīng)濟(jì)效益的重要保障，因此監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全已成為水電站安全防御體系中密不可分的重要一環(huán)。該巨型水電站監(jiān)控系統(tǒng)采用全國產(chǎn)化設(shè)備并部署安全可信平臺(tái)，在國內(nèi)實(shí)屬首次。

基于雙體系結(jié)構(gòu)思想，可信計(jì)算安全模塊為計(jì)算節(jié)點(diǎn)建立了主動(dòng)免疫框架，在操作系統(tǒng)層主動(dòng)攔截、度量和控制，實(shí)現(xiàn)系統(tǒng)計(jì)算的同時(shí)進(jìn)行安全防護(hù)，達(dá)到主動(dòng)免疫未知惡意代碼的攻擊、保障上層其他安全措施不被旁路的效果，同時(shí)可以為身份識(shí)別、數(shù)據(jù)保護(hù)等安全機(jī)制提供技術(shù)支撐，提高系統(tǒng)整體安全性。該安全可信平臺(tái)在巨型水電站監(jiān)控系統(tǒng)中的設(shè)計(jì)應(yīng)用為以后其他水電站監(jiān)控系統(tǒng)安全防護(hù)提供了有益的借鑒。