基于安全操作系統的繼電保護信息管理系統安全防護優化及應用

易亞文，王 鋒，陳 偉，張林枝

（向家壩水力發電廠，四川省宜賓市 644612）

0 引言

傳統繼電保護信息管理系統（以下簡稱保信系統）的工程師站主要采用Windows操作系統。該系統作為不開源系統，暴露出的后門以及NSA等事件，充分說明該系統存在不可控的信息安全隱患。2014年4月8日起，美國微軟公司宣布停止對Windows XP SP3操作系統提供服務支持，引起了社會的廣泛關注，加深了人們對信息安全的擔憂。同年8月1日，國家發展改革委頒布《電力監控系統安全防護規定》[1]，對電力監控系統的設備選型及配置提出嚴格要求，禁止選用經國家相關管理部門檢測認定并經國家能源局通報存在漏洞和風險的系統及設備，并對已投入運行的系統及設備提出整改要求。與此同時，基于Linux的安全操作系統快速發展，并逐步實現了國產化，其安全性也得到了較大地提升。2017年，向家壩水電站開始推進國產安全操作系統在保信系統中的應用，完成以操作系統替換為主要內容的安全防護整改工作。本文分析原繼電保護信息系統的安全防護狀況，介紹技術改進方案，結合安全操作系統的特點和運維經驗，提出基于安全操作系統的主機加固方法，并分析改進后保信系統的優缺點。

1 保信系統結構安全防護優化

向家壩水電站保信系統由南瑞繼保生產制造。該系統獨立于電站監控系統網絡，由繼電保護裝置、PCS-9798A保護信息管理裝置、現地工程師站、調度主站等組網構成，系統結構如圖1所示。電站相關的發電機保護、變壓器保護等串口保護裝置經RCS-9784A規約轉換器接入繼電保護信息系統通信網絡（以下簡稱保信子網）。500kV開關站相關的母線保護、線路保護、斷路器保護等網口保護裝置直接接入保信子網。 PCS-9798A保護信息管理裝置處于站控層，是保信系統的通信及數據存貯裝置，對上以IEC104規約與調度主站、現地工程師站通信，對下以IEC103規約與繼電保護裝置通信，實現全站繼電保護裝置與調度主站、現地工程師站之間的通信轉接及規約轉換。

圖1 原保信系統結構示意圖Fig.1 Schematic diagram of the original Relay protection information management system

1.1 保信系統結構安全分析

按照國家信息安全等級保護的要求，電力監控系統應堅持“安全分區，網絡專用，橫向隔離，縱向認證”的原則。

安全分區是電力系統監控系統安全防護體系的結構基礎。向家壩電站保信系統被劃分至生產控制大區，其中，間隔層的繼電保護裝置被劃分至控制區（安全區Ⅰ），站控層設備如保護信息管理裝置、現地工程師站等被劃分至非控制區（安全區Ⅱ）。生產控制大區與管理信息大區沒有縱向交叉聯接，滿足安全防護要求。

網絡專用是指電力調度數據網應當在專用通道上使用獨立的網絡設備組網。向家壩電站保信系統的相關設備通過專用的保信子網聯接，在物理層面上與梯級調度監控系統、電能量計量系統等的數據網及外部公共信息網完全隔離，滿足安全防護要求。

橫向隔離是電力二次安全防護體系的橫向防線，應采用不同強度的安全設備隔離各安全區。生產控制大區內部的安全區之間應采用具有訪問控制功能的網絡設備、防火墻或者相當功能的設施，實現邏輯隔離。向家壩電站保信系統的間隔層設備與站控層設備分屬于生產控制大區內部的安全區Ⅰ和安全區Ⅱ，但是沒有設計、安裝橫向隔離設備，不滿足安全防護要求。

縱向認證是電力二次安全防護體系的縱向防線，采用認證、加密、訪問控制等技術措施實現數據的遠方安全傳輸以及縱向邊界的安全防護。向家壩水電站保信系統沒有與廣域網縱向連接，不需為此設計、安裝縱向加密認證裝置。

1.2 保信系統結構優化

從安全防護的角度看，向家壩水電站保信系統結構的主要問題是缺少橫向隔離裝置。從運行實踐來看，該系統還存在以下不足：

（1）PCS-9798A裝置沒有冗余配置，正常運行方式下，該裝置不具備停運檢修的條件，一旦該裝置發生故障，將導致系統停運。

（2）PCS-9798A裝置對上向現地工程師站和調度主站傳輸數據，對下召喚全站130多套繼電保護裝置的數據，數據傳輸量大，頻繁出現數據傳輸失敗等現象，影響保信系統功能的發揮。

（3）故障錄波信息管理系統與保護信息管理系統完全獨立，故障錄波器的錄波信息不能通過保護信息管理系統查閱，用戶體驗不佳。

圖2 改進后保信系統結構示意圖Fig.2 Schematic diagram of the improved Relay protection information management system

為解決上述問題，向家壩保護信息系統進行了結構優化設計，并完成現場設備改造。如圖2所示，改進后的保護信息管理系統新增一套PCS-9798A保護信息管理裝置和兩套防火墻裝置。原PCS-9798A保護信息裝置為裝置1，新增PCS-9798A保護信息裝置為裝置2。裝置1對上接入主站系統，對下經防火墻1接入保信子網，實現主站系統與保護裝置之間的數據通信。裝置2對上接入繼電保護工程師站，對下分別經防火墻1接入保信子網，經防火墻2接入故障錄波信息管理系統網絡（簡稱故錄子網），實現繼電保護工程師站與保護裝置、故障錄波裝置之間的數據通信。

新增的保護信息管理裝置實現了該系統核心設備的冗余配置，且解決了數據傳輸失敗的問題。新增的兩個防火墻實現了安全區I和安全區II設備的橫向隔離，同時也將故錄子網與保信子網進行了有效隔離。

2 操作系統替換及安全加固

向家壩水電站保信系統的現地工程師站采用Window操作系統，運維時，多采取安裝殺毒軟件、定期更新病毒庫、定期安全加固等通用安全防護措施，未發生信息安全事件。但是，作為系統軟件中最基礎部分的操作系統，其安全問題的解決是關鍵中之關鍵[2]。Windows操作系統的源碼不公開，無法對其進行分析，不能排除其中存在著人為“陷阱”。而且，已經發現Windows操作系統存在追蹤用戶ID的“后門”，盡管微軟公司已經發布“后門”補丁，但仍難消除安全顧慮。事實表明，某些廠站保信系統的Windows操作系統主機被發現感染病毒，導致調度主站難以正常采集現場信息，降低了故障排查和恢復送電效率，給電網的安全穩定運行造成了較大影響。

Linux操作系統是20世紀90年代在UNIX操作系統的基礎上形成的。依據美國可信計算機系統評價標準[3]，Linux的安全性大致處于C2級[4]。但是，基于其開放源碼的背景，在對信息安全的迫切需求下，Linux的安全性取得了較快的改進。我國也發展了具有自主版權的安全操作系統，如凝思操作系統、中標麒麟操作系統等，這些安全操作系統的安全性已經達到相關標準的要求。依據《電力監控系統安全防護規定》對電力監控系統的設備選型及配置的要求，向家壩水電站在保信系統安全防護結構優化的基礎上，于2018年5月將現地工程師站所采用的Windows操作系統替換為國產凝思安全操作系統，解決了安全問題的關鍵。

2.1 凝思安全操作系統的特點

向家壩水電站改進后的保信系統采用凝思安全操作系統。該系統是北京凝思自主研發、擁有完全自主知識產權的操作系統。對照GA/T 388—2002《計算機信息系統安全等級保護操作系統技術要求》[5]，該系統的身份鑒別、自主訪問控制、標記、強制訪問控制、客體重用、審計、數據完整性、隱蔽通道分析、可信路徑等安全功能達到第四級結構化保護級的要求。

凝思安全操作系統的核心實現是通過安全模塊來完成的，系統中所有的資源請求都受到安全模塊的監控和限制。該系統提供了多種強制性安全保護機制，包括強制訪問控制、強制行為控制、強制能力控制。強制訪問控制主要利用BIBA完整性模型和BLP機密性保護模型保護敏感數據的訪問。強制行為控制主要利用程序的路徑特征限制程序對文件的訪問。強制能力控制主要將特權細分成不同的能力，從而避免因挾持特權進程而產生的安全威脅。

凝思安全操作系統設置系統管理員、網絡管理員、安全管理員、審計管理員等4個分權管理員，以實現等保四級中的最小特權原則。系統管理員主要完成系統設備的管理，網絡管理員主要完成網絡的管理，安全管理員主要完成系統用戶的管理，審計管理員用于管理審計信息。各個管理員都不能控制整個系統，他們之間相互牽制，相互制約，能夠防止管理員因疏忽而削弱整個系統的安全性。

2.2 操作系統安全加固

基于凝思安全操作系統的保信系統在投入實際運行時，應當對操作系統進行安全加固，主要內容如下：

（1）身份鑒別。系統是否對登錄系統的用戶進行身份鑒別，且密碼是否加密存儲；密碼的有效期是否小于90天，密碼長度是否大于8位，且為字母、數字或特殊字符的混合組合；用戶名和口令是否相同，密碼策略是否啟用；是否啟用登錄失敗處理功能，即嘗試錯誤密碼多少次后鎖定賬戶多長時間；是否為不同用戶分配不同的用戶名以確保用戶名具有唯一性；應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。

（2）訪問控制。系統是否根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限；檢查umask值是否為027；是否存在多余的不必要用戶；對重要信息資源設置敏感標記，使系統整體支持強制訪問控制機制。

（3）安全審計。系統審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶；審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統重要安全相關事件；審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；保護審計記錄，避免受到未預期的刪除、修改或覆蓋；能夠通過操作系統自身功能或第三方工具根據記錄數據進行分析，并生成審計報表；保護審計進程，避免受到未預期的中斷。

（4）入侵防范。系統應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發生嚴重入侵事件時報警；應能夠對重要程序的完整性進行檢測，并具有完整性恢復的能力。

（5）資源控制。系統應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄；應根據安全策略設置登錄終端的操作超時鎖定；應根據需要限制單個用戶對系統資源的最大或最小使用限度；應關閉或拆除主機的軟盤驅動、光盤驅動、USB接口、串行口等，確需保留的應嚴格管理。

（6）網絡服務。系統應禁止不必要的用戶登錄FTP服務；應關閉SNMP或修改SNMP默認community。

3 結束語

向家壩水電站保信系統完成系統結構優化和工程師站主機操作系統技術改造后，運行工況良好，表現出如下優點：

（1）用國產凝思安全操作系統替代Windows操作系統，解決了系統的關鍵安全問題，對常見病毒具有天然的免疫能力，安全性能得到極大地提升，而且占用主機資源較少，運行穩定性高；運維人員也省去更新病毒庫、打補丁、定期查殺毒等的工作。

（2）增加防火墻，實現間隔層（安全區Ⅰ）和站控層（安全區Ⅱ）的橫向隔離，增強了網絡邊界防護能力。

（3）系統的核心設備保護信息管理裝置實現雙冗余，確保裝置故障處理和停電檢修不影響整個系統的運行。且兩套保護信息管理裝置分別接入現地工程師站和調度主站，提高了數據傳輸的流暢性，解決了數據傳輸失敗的問題。

（4）故障錄波器通過獨立的故錄子網經防火墻接入保信系統，既滿足橫向隔離要求，又為保護動作分析提供便利。

技術改造后的保信系統的主要不足體現在操作系統方面：

（1）國產安全操作系統占據的市場份額較小，生態環境有限，基于該系統的硬件驅動軟件和應用軟件較少，限制了系統的可擴展性和應用便利性。

（2）國產安全操作系統基于開源代碼開發形成，如果說Windows操作系統是一個黑匣子，那么國產安全系統就如同一個透明的玻璃瓶，其安全性存在天然的不足，需要不斷健全其安全機制，提升安全性能。

（3）基于國產安全操作系統的防病毒軟件仍沒有成熟的應用，該系統在沒有安裝防病毒軟件的情況下運行，防病毒入侵的能力依然堪憂。

（4）由于操作系統本身的原因，主機斷電重啟后可能導致系統無法開啟，因此對主機的供電可靠性提出很高要求。而且，系統重啟后，需要檢查系統的umask值是否為027，因為 umask 027命令只能臨時修改，重啟可能失效，影響訪問控制。

（5）國產安全操作系統在辦公和日常生活中應用較少，且部分操作為命令行操作，對運維人員的技能水平提出較高要求。

綜上所述，向家壩水電站基于國產安全操作系統的保信系統符合電力監控系統安全防護規定，實際應用狀況良好。國產安全操作系統曾經受產業生態環境影響，發展緩慢，存在一定的不足，但是，隨著社會對安全防護認知的提升，以及電力行業對國產安全操作系統的應用普及，國產安全操作系統將迎來新的發展機遇，其安全技術水平將會取得新的進步。