安全可信平臺在巨型水電站監控系統中的設計及應用

陳超群，王芳平，張 煦

（1.三峽水力發電廠，湖北 宜昌 443000；2.北京中水科水電科技開發有限公司，北京 100038）

0 引言

當前，我國電力系統的基礎性、全局性、全員性作用日益增強，水電站調度及監控系統安全已作為電力自動化安全深入推進的重要保障，由于其在生產建設和社會生活中的重要作用，必須做好直面來自各種網絡攻擊的準備。然而網絡攻擊方式多樣、手法隱藏、在時間和空間上都不受邊界制約，面對新形勢下的網絡安全威脅，傳統的被動防御手段已不能良好的免疫多種多樣的網絡攻擊手段，某巨型水電站監控系統通過采用基于可信3.0技術的安全可信平臺，構建可信計算環境、可信邊界、可信網絡通信三重防護框架的可信安全管理中心，保證該巨型水電站監控系統在安全可信的環境中運行。

1 可信計算平臺概述

某巨型水電站采用的可信計算平臺，是由國家電網全球互聯網能源研究院開發，基于可信計算技術研發的一款安全產品，主要實現電力業務系統對惡意代碼的免疫和業務應用的版本管理，保障系統穩定和可靠的運行，最終達到攻擊者無法進入、非授權者無法獲取重要信息、竊取的保密信息無法解密、攻擊行為均有日志記錄的安全防護效果。

可信計算平臺的核心組件包括可信密碼模塊硬件和可信軟件基，其中可信密碼模塊硬件為PCI-E硬件密碼板卡的形態，以可信密碼模塊為信任根，信任鏈建立從系統引導程序開始，在操作系統引導器中嵌入度量代碼形成引導度量器，實現對操作系統引導器代碼自身的度量，確保引導環境的初態安全[1]。可信軟件基提供可信度量機制，提供系統及應用程序的惡意代碼免疫。

可信計算平臺由可信策略管理端和可信計算安全模塊客戶端組成，如圖1所示。客戶端在管理端注冊后，管理端能夠對已注冊的客戶端提供安全策略定制、集中運維管理、系統資源監控、審計信息統一收集等功能。其中，集中運維管理功能可大大提高運維人員的工作效率、提高客戶端的集中監控能力，保障整體業務系統環境的安全可信。

圖1 可信計算平臺組成架構

2 安全可信平臺總體設計

2.1 安全可信平臺的適用性

安全可信平臺采用可信3.0技術[2]，通過“計算+保護”的雙體系結構，有效彌補了計算平臺本體的安全漏洞，從而保障監控系統各服務器的操作系統、基礎軟件及上層業務程序的完整性，使其免受惡意代碼和操作的破壞，達到安全免疫系統的功效。

安全可信平臺是基于國產服務器、國產操作系統、國產安全商用數據庫，整合國產成熟電力中間件產品的技術成果，并進行深度合作、跟蹤國際先進的標準和技術進行自主創新而形成的全方位安全監控平臺。通常情況下，安全可信平臺對于操作系統版本要求相對嚴格，不僅對操作系統類型有要求，而且對內核版本甚至小版本都有要求，版本號不對應的系統極易出現不兼容問題。經測試，該平臺在國產設備曙光和浪潮、國產操作系統凝思6.0.4和銀河麒麟2.6.32版本上部署后均運行正常、功能完整、性能優越，兼容性良好。

2.2 水電站監控系統基于安全可信平臺的總體設計

水電站監控系統按照電力二次安全防護的分區原則，可分為生產控制大區和管理信息大區。生產控制大區又可以分為控制區（又稱安全區Ⅰ）和非控制區（又稱安全區Ⅱ）。安全Ⅰ區是電力生產的重要環節，直接負責對電力一次系統的實時監控，是水電站監控系統安全防護的重點與核心。

為確保電站計算機監控系統的網絡安全，該巨型水電站監控系統廠站層均采用國產化設備，主要服務器、工作站采用國產曙光設備，運行國產凝思安全操作系統，所有網絡及安全防護設備均采用國產化設備。同時在該巨型水電站監控系統安全Ⅰ區部署安全可信平臺，即安全Ⅰ區所有服務器和主機均配置可信計算安全模塊硬件和可信軟件基，并在一臺指定的服務器上配置可信策略管理端，為其他主機提供安全策略的定制，保障安全Ⅰ區處于安全可信環境，取代以“封堵查殺”為主的傳統信息安全防護體系，由被動防御轉為主動防御，安全可控，安全免疫，如圖2所示。

圖2 某巨型水電站監控系統可信計算平臺部署設計

在安全Ⅰ區服務器和主機均配置可信密碼模塊硬件和可信軟件基。通過在機身處插入可信密碼模塊硬件，為操作系統提供可信引導機制，從硬件上電啟動、BIOS自檢、系統引導、系統內核模塊加載至軟件運行全過程進行主動的度量和監控，使主機系統可以按照預期行為合法、合理的運行。通過安裝可信軟件基，提供可信度量機制，實現系統及應用程序的惡意代碼免疫；提供策略安全管理機制，實現策略的安全管理；并提供可信策略的保護機制。同時可信軟件基針對終端操作系統，采用可信計算技術來構建系統安全內核，對軟件的來源及運行進行管理和控制，保證軟件的可信、可識別和可控。

在安全Ⅰ區工程師站安裝可信安全管理中心（即可信管理端），對安全Ⅰ區其他服務器和主機上運行的可信軟件基進行統一管理，提供安全策略的定制和集中的運維管理。同時對整個系統資源及性能進行監控，對分布在系統各個組成部分的安全審計機制及信息進行集中管理和統一收集，實現安全Ⅰ區可信一體化的安全管理，如圖3所示。

圖3 某巨型水電站監控系統可信計算平臺部署

3 安全可信平臺實現及應用

該巨型水電站監控系統采用國產曙光服務器、國產凝思6.0.4.80版本的操作系統，與安全可信平臺具有良好的兼容性。根據設計思路，在監控系統安全Ⅰ區部署安全可信平臺，經過測試，系統運行正常、數據采集及傳輸安全、性能穩定。

通過在監控系統安全Ⅰ區部署安全可信平臺，達到以下預期效果，如圖4所示。

圖4 安全可信平臺在巨型水電站監控系統中應用的預期效果

（1）對操作系統進行保護，避免系統遭受攻擊和破壞；

（2）對系統中的重要軟件和數據進行保護，防止非法篡改和運行；

（3）對應用軟件和系統可以進行配置管理，且必須使用合法的u-key，具有身份認證校驗；

（4）對原有業務功能運行透明安全支撐。

4 結語

水電站監控系統是電站運行管理的中樞系統，是實現水電站自動化程度和經濟效益的重要保障，因此監控系統網絡安全已成為水電站安全防御體系中密不可分的重要一環。該巨型水電站監控系統采用全國產化設備并部署安全可信平臺，在國內實屬首次。

基于雙體系結構思想，可信計算安全模塊為計算節點建立了主動免疫框架，在操作系統層主動攔截、度量和控制，實現系統計算的同時進行安全防護，達到主動免疫未知惡意代碼的攻擊、保障上層其他安全措施不被旁路的效果，同時可以為身份識別、數據保護等安全機制提供技術支撐，提高系統整體安全性。該安全可信平臺在巨型水電站監控系統中的設計應用為以后其他水電站監控系統安全防護提供了有益的借鑒。