可信PLC 和標(biāo)識認(rèn)證加密在水電站監(jiān)控系統(tǒng)的應(yīng)用研究

張文韜，黃家志，孫監(jiān)湖，陳超群，張 鵬，夏國強(qiáng)，艾遠(yuǎn)高

（中國長江電力股份有限公司，湖北 宜昌 443000）

隨著計算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問題日益突出[1]。水電站特別是巨型水電站作為國家關(guān)鍵基礎(chǔ)設(shè)施，其計算機(jī)監(jiān)控系統(tǒng)作為核心的工業(yè)控制系統(tǒng)，是境外敵對勢力、黑客組織的主要攻擊目標(biāo)?；凇鞍踩謪^(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”十六字方針的安全防護(hù)方案面對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢已暴露出其內(nèi)部環(huán)境防護(hù)薄弱、信息安全缺乏深度保障的問題，為實現(xiàn)電力專網(wǎng)內(nèi)部環(huán)境安全可信，亟待將新一代可信計算技術(shù)與標(biāo)識認(rèn)證加密技術(shù)實現(xiàn)綜合應(yīng)用，形成全方位、全覆蓋的基于主動免疫的計算機(jī)監(jiān)控系統(tǒng)。

1 電力專網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系

傳統(tǒng)的電力專網(wǎng)控制系統(tǒng)安全體系核心思路是對系統(tǒng)進(jìn)行安全分區(qū)后強(qiáng)化邊界層面的防護(hù)，主要體現(xiàn)為生產(chǎn)控制大區(qū)與管理信息大區(qū)的物理隔離、信息內(nèi)網(wǎng)與信息外網(wǎng)的強(qiáng)邏輯隔離、調(diào)度側(cè)對生產(chǎn)側(cè)工業(yè)控制系統(tǒng)進(jìn)行控制指令下發(fā)或數(shù)據(jù)傳輸采用加密認(rèn)證[2]，如圖1 所示。

圖1 電力專網(wǎng)網(wǎng)絡(luò)安全防護(hù)拓?fù)鋱D

雖然邊界防護(hù)體系已較為成熟，其安防設(shè)備如橫向隔離裝置甚至具備近似物理隔離效果，能有效防止外部入侵，但是該體系在應(yīng)對有組織的、高技術(shù)能力、大規(guī)模的攻擊時明顯不足，而且邊界一旦被入侵，內(nèi)部系統(tǒng)較為脆弱，如應(yīng)用軟件層面防護(hù)薄弱、終端接入設(shè)備缺乏管控等，導(dǎo)致內(nèi)部計算環(huán)境無法實現(xiàn)可信，系統(tǒng)安全保障從根源上不可控[3]。

為應(yīng)對邊界防護(hù)體系內(nèi)部環(huán)境脆弱的問題，國家能源局于2015 年2 月下發(fā)36 號文關(guān)于印發(fā)《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等安全防護(hù)方案和評估規(guī)范，其中提出的安全防護(hù)的總體原則增加了“綜合防護(hù)”措施。“綜合防護(hù)”是對監(jiān)控系統(tǒng)主機(jī)、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用安全控制、審計、備用及容災(zāi)等多個層面進(jìn)行安全防范的過程。常見的“綜合防護(hù)”措施包含：

（1）加裝入侵檢測裝置：通過實時報文及訪問行為監(jiān)測，鑒別入侵行為；

（2）加裝內(nèi)網(wǎng)監(jiān)視裝置：通過采集監(jiān)控系統(tǒng)涉網(wǎng)部分主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、通用及專用安防設(shè)備的告警信息，實時監(jiān)測電廠內(nèi)部涉網(wǎng)主機(jī)的外設(shè)接入、網(wǎng)絡(luò)設(shè)備接入、人員登錄等安全事件；

（3）部署可信計算：通過對監(jiān)控系統(tǒng)上位機(jī)安裝可信硬件卡、可信軟件基，實現(xiàn)從可信硬件卡到操作系統(tǒng)、操作系統(tǒng)到應(yīng)用程序的信任鏈建立，達(dá)到服務(wù)器主動免疫的效果。

“綜合防護(hù)”在一定程度上強(qiáng)化了電力專網(wǎng)安全防護(hù)能力，已在大量電力生產(chǎn)工控系統(tǒng)實現(xiàn)了應(yīng)用，但大多局限于監(jiān)控系統(tǒng)上位機(jī)的應(yīng)用，對PLC進(jìn)行“綜合防護(hù)”仍是業(yè)界有待探索與研究的方向。

2 PLC 安全防護(hù)分析

2.1 PLC 安全防護(hù)缺陷分析

PLC 是電站工控系統(tǒng)中的核心組成部分，水電站兼具電力生產(chǎn)與防洪抗旱雙重職責(zé)，其PLC 主要承擔(dān)數(shù)據(jù)采集與處理、設(shè)備監(jiān)視與控制、執(zhí)行流程、與其他子系統(tǒng)通信、報警與事件生成的功能。PLC為保證高實時性的邏輯控制、數(shù)據(jù)處理功能，一般缺乏安全防護(hù)措施，導(dǎo)致自身存在較大的潛在網(wǎng)絡(luò)安全風(fēng)險，本文總結(jié)該風(fēng)險來源于3 種情況：

（1）外部入侵：一旦電力專網(wǎng)邊界防護(hù)被突破，攻擊者可以竊取用戶登錄信息，遠(yuǎn)程破壞PLC 存儲內(nèi)容，篡改PLC 內(nèi)存數(shù)據(jù)、控制參數(shù)等。

（2）非法連接：由于PLC 為嵌入式設(shè)備，在缺乏人為管控的情況下，非法連接可使得程序、數(shù)據(jù)點表被篡改，嚴(yán)重情況下甚至對其操作系統(tǒng)植入病毒。

（3）信息泄露：PLC 為保證與上位機(jī)通信的實時性，數(shù)據(jù)傳輸無加密手段，數(shù)據(jù)包被截獲后較易被讀取使用，造成關(guān)鍵生產(chǎn)信息的泄露。

2.2 PLC 可信計算應(yīng)用分析

可信計算是在計算和通信過程中使用硬件安全模塊保障系統(tǒng)安全性的一種技術(shù)。當(dāng)前可信計算已經(jīng)發(fā)展到了3.0 版本，能夠?qū)崿F(xiàn)主動免疫和主動防御[4]?？尚庞嬎爿^為普遍的應(yīng)用方式為：為監(jiān)控系統(tǒng)上位機(jī)服務(wù)器加裝PCI-e 接口的可信硬件板卡并安裝可信軟件基，于某一服務(wù)器部署可信管理端，實現(xiàn)對可信策略、白名單、證書的統(tǒng)一管理及可信設(shè)備的注冊等功能?？尚庞嬎憧蓪崿F(xiàn)的功能包含：

（1）系統(tǒng)可信引導(dǎo)：在系統(tǒng)啟動中，通過可信逐級校驗每個啟動階段的完整性；

（2）靜態(tài)度量：對系統(tǒng)可執(zhí)行程序、共享庫、函數(shù)庫、配置文件等進(jìn)行校驗；

（3）動態(tài)度量：系統(tǒng)運行時，對內(nèi)存中的關(guān)鍵信息實時主動度量；

（4）文件完整性保護(hù)：對文件進(jìn)行寫保護(hù)，只有指定的進(jìn)程可以讀寫文件；

（5）重要配置文件保護(hù)：對重要配置進(jìn)行完整性監(jiān)控，阻止篡改；

（6）進(jìn)程保護(hù)：防止特定進(jìn)程被非法終止。

可信計算技術(shù)如能實現(xiàn)在PLC 上的應(yīng)用，能有效阻止外部入侵和非法連接造成的威脅，但是目前實現(xiàn)可信PLC 應(yīng)用存在兩個方面的難點：①主流可信硬件卡為PCI-e 接口，且體積較大，PLC 機(jī)箱空間較為狹小，且缺乏相應(yīng)接口；②PLC 所用CPU 相較服務(wù)器級CPU 性能較弱，部署可信會在一定程度上占用CPU 資源，PLC 邏輯控制、數(shù)據(jù)處理的實時性無法保證。因此，要想實現(xiàn)可信計算技術(shù)于PLC的應(yīng)用，需要對PLC 設(shè)備進(jìn)行定制化開發(fā)，縮小可信硬件體積，輕量化可信功能。

2.3 上下位機(jī)加密通信應(yīng)用分析

由于傳統(tǒng)工控系統(tǒng)網(wǎng)絡(luò)協(xié)議在設(shè)計之初未考慮認(rèn)證、加密需求，面對當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安防形勢，監(jiān)控系統(tǒng)終端明文數(shù)據(jù)傳輸已不可取。當(dāng)前，PKI 為主流的加密認(rèn)證體系，通過CA（證書認(rèn)證中心）和KM（密鑰管理系統(tǒng)）對用戶進(jìn)行證書簽發(fā)和密鑰管理，保障網(wǎng)絡(luò)終端數(shù)據(jù)傳輸?shù)陌踩?。但是隨著適用范圍和規(guī)模的不斷擴(kuò)大和電站網(wǎng)絡(luò)智能設(shè)備的大量應(yīng)用，PKI 體系的證書和密鑰的分發(fā)管理愈加復(fù)雜，且其數(shù)據(jù)安全傳輸?shù)姆绞捷^為單一。針對傳統(tǒng)PKI 體系的問題，近年來興起了IBC 認(rèn)證體系，IBC 認(rèn)證體系省去了數(shù)字證書部分，每一終端可以基于自己的標(biāo)識申請私鑰，而以自身標(biāo)識為公鑰，簡化了加密認(rèn)證流程，降低了使用者的學(xué)習(xí)和使用成本，解決了規(guī)?；J(rèn)證的問題，較為適用于工業(yè)控制網(wǎng)絡(luò)[5]。

將IBC 標(biāo)識認(rèn)證加密技術(shù)應(yīng)用于PLC，無可避免會出現(xiàn)CPU 資源占用問題，并且加密、解密過程耗時會影響PLC 與上位機(jī)通信的實時性，對于數(shù)據(jù)的吞吐量也可能造成一定限制。另外，兼容性問題也是加密認(rèn)證技術(shù)應(yīng)用于計算機(jī)監(jiān)控系統(tǒng)的一大難點：隨著我國關(guān)鍵領(lǐng)域工控系統(tǒng)自主可控進(jìn)程的加速，國產(chǎn)CPU 及操作系統(tǒng)將全面普及，加密認(rèn)證算法須適配不同架構(gòu)的國產(chǎn)CPU 及操作系統(tǒng)，其部署和運維必然存在一定的復(fù)雜性。

3 基于可信PLC 和標(biāo)識認(rèn)證加密的水電站監(jiān)控系統(tǒng)

3.1 測試環(huán)境

基于上文分析，為驗證可信計算技術(shù)和標(biāo)識認(rèn)證加密技術(shù)于水電站監(jiān)控系統(tǒng)應(yīng)用的可行性，本文在對國產(chǎn)主流的PLC、可信、加密產(chǎn)品進(jìn)行充分調(diào)研后，選型并搭建了一套離線測試平臺。選型硬件及軟件信息如表1、表2 所示。

表1 上位機(jī)及PLC 設(shè)備選型

表2 可信和加密系統(tǒng)選型

設(shè)備選型中采用最小化計算機(jī)監(jiān)控系統(tǒng)架構(gòu)，并且盡可能多元化服務(wù)器CPU 架構(gòu)、操作系統(tǒng)，以便于在后續(xù)對主流國產(chǎn)設(shè)備進(jìn)行兼容性測試。其中PLC 選用的是國產(chǎn)自主可控的S.CTG EdgeBrain-L2大型PLC，其采用龍芯2K1000 處理器，主頻較高，性能在國產(chǎn)自主可控PLC 中處于第一梯隊。在可信系統(tǒng)及加密認(rèn)證系統(tǒng)選型上，對于上文可信計算技術(shù)及IBC 標(biāo)識認(rèn)證技術(shù)應(yīng)用于PLC 的難點進(jìn)行了針對性選型：

（1）可信系統(tǒng)采用某主動免疫防御系統(tǒng)（防病毒）[6]，通過在PLC 主板集成TPCM 主動度量控制芯片并于系統(tǒng)燒寫可信軟件基實現(xiàn)PLC 可信功能部署。該主動度量芯片采用國芯CCM3310 系列芯片，能夠?qū)崿F(xiàn)主流的國密SM1、SM2、SM3、SM4 算法和可信啟動度量、可信驗證，較為適用于嵌入式設(shè)備部署。通過在一臺浪潮服務(wù)器安裝可信管理中心，完成配置可信注冊、策略管理、白名單管理等功能。

（2）加密認(rèn)證系統(tǒng)選用了某國密高速IBC 標(biāo)識認(rèn)證加密系統(tǒng)，該系統(tǒng)由高性能標(biāo)識密鑰管理服務(wù)和終端SDK 兩個模塊組成。高性能標(biāo)識密鑰管理服務(wù)采用了基于組合密鑰的密碼技術(shù)，提供了用戶標(biāo)識密鑰全生命周期的管理，實現(xiàn)用戶標(biāo)識密鑰的分發(fā)、更新、恢復(fù)、掛失、注銷等功能。終端SDK 依托于高性能標(biāo)識密鑰管理服務(wù)，為前端設(shè)備提供多種安全數(shù)據(jù)傳輸方式，確保終端間數(shù)據(jù)傳輸?shù)陌踩?，且具有較強(qiáng)的終端兼容性。通過在一臺中科曙光服務(wù)器安裝加密管理中心，并在其它設(shè)備安裝終端SDK（除B 套PLC 外），完成國密高速IBC 標(biāo)識認(rèn)證加密系統(tǒng)部署。

基于此，本文構(gòu)建的離線測試平臺拓?fù)淙鐖D2所示。

圖2 離線測試平臺拓?fù)鋱D

3.2 功能測試

在集成可信和加密認(rèn)證系統(tǒng)于測試環(huán)境后，對其進(jìn)行功能性測試，測試項目見表3。

表3 可信和加密系統(tǒng)測試項目

經(jīng)測試，上位機(jī)及PLC 可信功能表現(xiàn)良好，測試用例均通過；國密IBC 標(biāo)識認(rèn)證系統(tǒng)于PLC 適配出現(xiàn)少量接口錯誤，例如PLC 設(shè)備標(biāo)識碼以0 開頭出現(xiàn)協(xié)商失敗現(xiàn)象，通過操作人員人為約束進(jìn)行解決，由于其無重要功能錯誤，認(rèn)為其功能性測試通過。因此，在測試環(huán)境中集成應(yīng)用上述系統(tǒng)能滿足安全防護(hù)功能需求，提升系統(tǒng)整體安全性。

3.3 性能測試

由于可信和加密認(rèn)證系統(tǒng)會在一定程度上占用上位機(jī)服務(wù)器及PLC 計算資源，須對其進(jìn)行性能測試，本文對測試環(huán)境中數(shù)據(jù)采集服務(wù)器、歷史數(shù)據(jù)服務(wù)器及兩套PLC 進(jìn)行了unixBench 系統(tǒng)基準(zhǔn)性能測試，認(rèn)為性能損失小于5%則滿足生產(chǎn)實際需求，測試結(jié)果見表4～表6。

表4 PLC 基準(zhǔn)性能測試

表5 數(shù)據(jù)采集服務(wù)器基準(zhǔn)性能測試

表6 歷史數(shù)據(jù)服務(wù)器基準(zhǔn)性能測試

由上述試驗結(jié)果可知，在部署可信與加密認(rèn)證系統(tǒng)后，上下位機(jī)設(shè)備終端基準(zhǔn)性能有所下降。大量的重復(fù)對比試驗基本排除了隨機(jī)誤差影響，可認(rèn)為測試終端性能損失均低于5%，滿足水電站計算機(jī)監(jiān)控系統(tǒng)應(yīng)用要求，具有一定的實施可行性。

3.4 示范應(yīng)用

為進(jìn)一步驗證可信PLC 及國密高速IBC 標(biāo)識認(rèn)證加密技術(shù)于水電站計算機(jī)監(jiān)控系統(tǒng)應(yīng)用的安全性和可靠性，于2023 年5 月某電站計算機(jī)監(jiān)控系統(tǒng)改造項目中進(jìn)行實裝，經(jīng)過長期實際生產(chǎn)檢驗，其安全性表現(xiàn)較為突出，可靠性達(dá)較高水準(zhǔn)。該計算機(jī)監(jiān)控系統(tǒng)在傳統(tǒng)的邊界防護(hù)體系上增加了PLC 可信功能、上下位機(jī)加密通信功能，補(bǔ)齊PLC 安全防護(hù)短板，對于水利水電行業(yè)工控系統(tǒng)安防體系建設(shè)具有一定積極指導(dǎo)作用。

4 結(jié)語

本文對電力專網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系及PLC 安全防護(hù)缺陷進(jìn)行了介紹分析，搭建離線測試環(huán)境，對PLC 可信計算應(yīng)用和監(jiān)控系統(tǒng)國密IBC 標(biāo)識認(rèn)證加密應(yīng)用進(jìn)行了測試分析，驗證了技術(shù)的可行性，為水電行業(yè)工控系統(tǒng)安防體系補(bǔ)齊PLC 防護(hù)短板提供了切實可行的方案。