基于可信計算的水電站工控系統一體化平臺設計與應用

楊之圣，謝秋華，白劍飛，李亦凡，王 翔，薛 飛

（1.中國長江電力股份有限公司，湖北 宜昌 443000；2.中國水利水電科學研究院，北京 100038）

0 引言

隨著信息技術的發展，水電站信息平臺呈“運管控一體化智慧平臺”構建趨勢。信息終端的日益增多、信息終端之間信息交流和數據共享的日益頻繁，如何構建具有可靠安全防護體系的工控系統一體化平臺成為水電站智慧化發展需要研究的重要問題。

隨著電力系統信息化的發展，針對電力系統的惡意代碼威脅層出不窮，現有的安全防護體系越來越力不從心，需要有能應對高級別惡意攻擊的安全防護機制[1]。

本文提出采用可信技術構建基于可信安全防護的水電站工控系統一體化平臺并搭建一體化平臺進行了實際測試。

1 平臺設計

水電站工控系統一體化安全防護平臺采用雙體系結構設計思想，水電站工控系統一體化平臺作為宿主系統與可信計算安全模塊共生運行組成工控一體化安全保護平臺?？尚庞嬎惆踩K構建并行于宿主系統的安全監控機制，以電力可信計算密碼模塊為信任根，建立信任鏈機制，構建可實現主動免疫安全防護的水電站信息平臺。

1.1 宿主系統功能架構

水電站工控一體化安全防護平臺宿主系統是基于“智慧電廠”建設思想[7]進行架構、服務于水電站的運管控一體化平臺。系統采用分層設計技術，按基于面向服務的軟件體系架構,從層級結構可細分為硬件層、操作系統層、數據層、傳輸層、服務層、基礎應用層、水電站應用層。

硬件層支持Intel，SPARC，Itanium，Power 等各類硬件。考慮到電力安全生產的需要，硬件層支持自主可控服務器及工作站。

操作系統層支持各種LINUX 系統和Windows系統。

數據層完成元數據的匯聚，負責水電廠數據模型的實現和維護。

傳輸層構造實時分布式運行環境，實現異構環境下的消息傳遞、事件回調、進程控制、文件訪問、內存管理等。傳輸層由消息總線和服務總線構成。

服務層是畫面訪問、數據訪問、日志、報警、工作流等基本服務的實現層。并提供服務的查找、定位和代理功能。

基礎應用層包括數據采集、模型維護、人機界面、斷面管理、權限管理等。

水電站應用層包括水電站實時監控、經濟調度等應用軟件。

圖1 水電站工控系統一體化層級結構圖

1.2 可信安全防護

可信計算軟件是基于可信計算技術研發的一款安全產品，主要實現電力業務系統對惡意代碼的免疫和業務應用的版本管理?？尚庞嬎闫脚_由可信策略管理端和可信計算安全模塊客戶端組成[2-4]。

水電站工控系統一體化安全防護平臺采用可信計算安全模塊與宿主系統共生于業務服務器運行的雙體系結構方式。

可信安全模塊可實現對一體化平臺從硬件上電啟動至軟件運行全過程的主動度量和監控。可信計算軟件通過白名單管理機制，僅允許經可信計算安全模塊驗證審核通過的程序運行?？尚庞嬎惆踩K依托信任根，依據預設的可信策略構建信任鏈來實現對惡意代碼的主動防御，一體化平臺的基礎軟件和應用程序在可信軟件基的主動度量監控下按預設運行，達到主動免疫效果[5]。

水電站安全防護平臺雙體系結構功能架構如圖2 所示。

圖2 水電站安全防護平臺雙體系結構功能架構圖

2 平臺特點

水電站工控一體化安全防護平臺宿主系統采用具有良好開放性的面向服務的軟件體系架構，運用分布式的服務組件模式，滿足水電站管控一體化平臺建設中多業務集成和應用不斷發展的需要。

一體化安全防護平臺提供安全Ⅰ區統一的系統管理、數據分析、圖形、報表等功能支撐接口，完成各個應用的數據采集、數據同步、數據交換、通信、模型管理、文件管理。

一體化安全防護平臺不僅對各業務提供應用環境，而且提供集成開發環境，用戶可以在平臺上構建自己的應用和接口。

平臺的主要特點包含以下方面。

2.1 面向服務的模塊化結構

水電站工控一體化安全防護平臺采用面向服務的模塊化設計思想，采用粗粒度的SOA 軟件框架，優化應用間的耦合程度，提高系統的配置靈活性和可維護性。

平臺采用分層設計技術，整個系統按SOA 框架部署。基礎平臺、應用平臺均采用模塊化的構件技術?；A平臺基于實時系統的開放分布式應用中間件，對底層操作系統和硬件平臺進行封裝，對外提供與具體應用系統無關的開發、運行接口。應用平臺提供圖形管理、界面管理、數據采集、SCADA 應用、Web 應用、報表和打印等功能。平臺通過服務總線，為應用開發和集成提供通用的基礎服務。系統的升級可局限在某個應用功能或模塊，從而提高系統的開放性、可擴性和升級能力。

基于服務的架構，可以在統一的人機界面上進行畫面組態，實現水電站運管控業務一體化集成。

2.2 業務一體化

基礎平臺提供安全Ⅰ區內統一的系統管理、數據分析、圖形、報表等功能支撐接口，完成各個應用的數據采集、數據同步、數據交換、對外通信、模型管理、文件管理。平臺提供跨安全Ⅰ、Ⅱ區間的信息自動同步機制，支持在滿足安全規范下的不同分區之間數據與信息的平臺級透明傳輸，簡化了不同系統和應用的跨區交互實現。

一體化橫向涉及多個安全分區，為滿足日益嚴格的控制系統安全防護要求對重要的服務器進程進行一級守護，對數據庫訪問提供了不同級別的權限管理，系統內部的服務調用和消息通信均提供加密和認證機制。

2.3 對象化數據模型

水電站工控一體化安全防護平臺采用徹底的面向對象思維進行設計，數據、畫面、報警、配置、系統內部信息均采用面向對象的組織形式。對現場設備可定義不同層級的對象，如I/O 信號級、設備級、電站級、流域級等，設備級本身亦可大可小，如斷路器、調速器、機組或電站等。

平臺支持靈活的對象化建模原則，不局限于單一原則，任何符合對象化思維的數據組織形式都可以支持。

2.4 全冗余全分布系統架構

水電站工控一體化安全保護平臺采用全冗余全分布的系統結構，系統各計算機節點配備完整的實時數據庫，安裝完整并相同的系統功能軟件包。系統取消主機主備狀態切換機制，采用服務隊列調度與切換機制，任一功能均采用服務管理機制進行服務調度和故障切換，每個服務均定義獨立的主機隊列，不同的服務相互獨立，互不影響。任一主機節點設備故障時，均可按預設切換策略進行故障切換處理。因此，任一臺硬件設備的故障都不會影響其他設備及系統的正常運行。

2.5 智能監視與診斷

管控一體化平臺具備智能監視與診斷功能。

智能監視可根據報警策略進行智能分級報警，根據運行經驗定制智能監視策略。智能監視平臺涵蓋所有的監視對象，以滿足對電站設備的全監全控要求。

智能診斷功能為所有的硬件、軟件建立診斷模型，診斷數據作為系統基礎數據采集，由智能診斷軟件進行診斷和分析。

2.6 高實時性

水電站工控一體化安全保護平臺充分考慮水電站的實時性要求，在基礎平臺提供分布式應用觸發機制?；诜植际綉糜|發機制建立的數據采集、實時數據庫處理、發電廠監控、人機界面等功能可以分布到網絡的各個節點，實現各種應用之間的事件觸發和功能調用，從而保證系統的各種實時性指標。

2.7 分布式總線

水電站工控一體化安全保護平臺的分布式總線包括消息總線與服務總線，雙總線是應用系統和底層硬件及操作系統之間高效穩健的中間件，有效隔離應用系統和底層系統。消息總線和服務總線是水電站工控一體化安全保護平臺重要組成部分，提供可靠通用的信息交互機制。消息總線主要用于實時數據的高效傳輸。服務總線為面向服務的系統運行提供技術支撐，為應用平臺提供廣泛的信息交互支持。

2.8 可視化人機聯系

水電站工控一體化安全防護平臺，采用面向對象的信息組織和展示方式，實現所關聯對象的主要狀態顯示和報警顯示。

平臺支持最新的可視化技術，可利用三維技術表達水電站運行數據，使水電站的運行監視和計算結果分析更加形象、直觀。

2.9 安全防護

水電站工控一體化安全防護平臺，采用在安全I 區與安全II 之間加裝正向隔離裝置，安全I 區內使用可信計算等信息安全防護手段，確保平臺滿足《電力監控系統安全防護總體方案》要求。同時，可信計算安全模塊在安全I 區的共生運行，為安全I區建立了主動防御機制，從源頭上排除了沒有經過安全策略認證的代碼或設備的侵襲。

3 測試平臺搭建

為測試和驗證水電站工控一體化安全防護平臺的安全防護性能和宿主系統功能。按某巨型水電站信息平臺架構搭建小型測試平臺進行性能和功能的測試。

水電站工控一體化安全防護測試平臺采用雙星型網絡結構，服務器和工作站冗余配置，廠站層設備采用曙光和浪潮服務器，現地層配置一套施耐德PLC 和一套南大傲拓PLC 進行數據采集和現地控制服務。測試平臺網絡結構簡圖如圖3。

圖3 水電站工控一體化安全防護測試平臺網絡結構簡圖

水電站工控一體化安全防護平臺的宿主系統是自主可控的iP9000 水電站運管控一體化平臺[6]，可信安全模塊采用PCI-E 硬件密碼板卡形態的可信密碼模塊。平臺選用凝思操作系統，歷史數據庫選用達夢數據庫。

測試平臺廠站層的硬件環境、操作系統和歷史數據庫均選用自主可控品牌，主要目的一方面是測試基于可信安全防護的雙體系結構水電站一體化安全防護平臺的防護安全性，對可信計算進行功能測試，測試基于可信計算技術的安全防護性能和效果；另一方面是在自主可控軟硬件環境下對水電站一體化平臺進行功能和性能測試，為水電站管控平臺的自主可控改造進行技術層面的摸底和測試，為自主可控化改造的順利進行鋪路。

4 結語

在水電站信息平臺“運管控一體化、智慧化”發展趨勢下，不同安全分區信息交互日益頻繁。

采用可信技術按照雙體系結構構建水電站一體化安全防護平臺，通過在水電站一體化平臺植入可信安全密碼模塊和可信軟件基，使平臺從硬件上電啟動開始即進行主動度量和監控，達到一體化平臺主動免疫未知惡意代碼的攻擊、保障其他安全措施不被旁路的效果。

目前，采用iP9000 水電站工控系統一體化平臺和可信安全模塊雙體系結構構建的水電站一體化安全防護測試平臺已完成搭載水電站計算機監控系統的測試，該測試中現地LCU 采用兩款PLC，其中一款為國產自主可控品牌，測試效果良好，已實現跨安全Ⅰ、Ⅱ區的主動安全防御。

測試平臺的測試結果將為某巨型水電站的監控系統自主可控化改造提供建議和指導。