三峽電源電站主動免疫的可信及加密通信的應用

董金丹，譚佳文，張文韜，黃鵬輝，夏國強，李文馨，吳 桐

（1.北京中水科水電科技開發有限公司，北京 100038；2.三峽水力發電廠，湖北 宜昌 443133）

三峽電源電站是三峽電站廠用電骨干主力電源，也是三峽電站唯一的黑啟動電源，對電力系統安全穩定運行至關重要。作為國家重要電力基礎設施，其為境外恐怖組織和敵對勢力的主要入侵目標，在保證水電站的基礎電力生產和防洪度汛功能基礎上，增強計算機監控系統數據信息傳輸的安全性和可靠性，防止信息泄露和數據篡改成為三峽電站建設世界一流信息安全型電站的重要訴求[1]。

隨著國內信息技術的發展，可信計算和基于國密的標識認證加密算法作為新一代網絡安防技術，越來越多的應用于重要行業工控系統[2，3]。三峽電站在三峽集團流域梯級電站中率先實現了這兩種技術的示范應用，于電源電站計算機監控系統中完成了應用適配研究與系統集成，構建了強信息安全型、主動免疫型網絡安防體系，極大降低系統數據泄露、信息擾亂及惡意篡改的風險。

1 電源電站計算機監控系統

電源電站計算機監控系統的網絡主要分為兩層：電站主控層和現地控制層，電站主控層主要包含服務器、網絡設備和外圍設備，現地控制層包括兩套機組現地控制單元和一套公用現地單元。電源電站共有采集服務器2 臺、工程師站1 臺、移動式工作站1 臺、加密服務器1 臺以及可信服務器1 臺，通過信息網交換機和控制網交換機組成了冗余星型網絡。其中，可信和加密服務器分別部署了各自系統的管理平臺，實現可信和加密的設備注冊、策略管理、日志審計等功能。

該計算機監控系統實現了主要核心軟硬件的自主可控，硬件采用了中科可控服務器（海光CPU）、瑞斯康達交換機、S.CTG 系列大型PLC、國立智能同期裝置等國產自主可控設備，軟件采用了凝思操作系統、中水科技IP9000 系統、達夢數據庫及各種國產組態軟件。在保證計算機監控系統的可用性、可靠性和穩定性的基礎上，實現了最大程度的自主可控。

2 可信防御系統

電源電站計算機監控系統用戶交互頻繁、設備眾多，為保障控制系統穩定運行，提高應對外來惡意入侵的防御能力，采用了由北京可信華泰信息技術有限公司（下稱華泰信息）研發的可信防御系統，在極大的程度上解決應用軟件防護薄弱、終端設備缺乏管控和系統安全無法保證的問題[4]。

2.1 可信計算

可信計算是在計算和通信過程中使用硬件安全模塊保障系統安全性的一種技術。目前可信計算已經發展到了3.0 版本，能夠實現主動免疫和主動防御。可信計算包括可信硬件卡、可信軟件基和管理平臺三大部分，可信硬件卡是可信根，操作系統的啟動引導需要經過可信硬件卡的驗證，而軟件應用需要經過可信軟件基和操作系統的認證，這種逐級驗證的機制，保證了系統的安全。

2.2 可信登錄安全

可信管理中心采用了用戶三權分立的方案來實現安全等級的提升。把單一集權的用戶分為了系統管理員、安全管理員、審計管理員三個用戶進行系統管理，每個用戶都有自己的負責內容，不同用戶登錄管理平臺，平臺展示的操作界面和展示功能也不相同，實現真正的分權管理。同時，各個用戶還都有各自的Ukey，即使出現密碼意外泄露情況，沒有專用Ukey 也無法登錄用戶進行信息查看和修改，一定程度的提高了安全性。

2.3 維護系統安全穩定運行

可信系統分為靜態度量、動態度量、文件完整性保護和進程保護四個方向進行進程和文件保護，極大程度上保障操作系統的進程、文件和路徑的安全性和穩定性。

靜態度量：服務器必要路徑加白名單后，開啟可信系統靜態度量功能，加白路徑下新增的可執行文件和模塊無法執行成功，且該路徑下的執行文件等加白內容也無法隨意刪除，較大程度上實現路徑和文件保護。白名單路徑繼續新增可執行文件，通過管理平臺或本機客戶端進行白名單策略庫更新，并把新增程序添加進白名單進行實現。靜態度量的度量對象包含配置文件、可執行文件、庫函數等，最大程度完成加白路徑下各類文件的管控。

動態度量：動態度量主要監控的內容為內存中的實時度量、監控系統狀態以及進程狀態等實時狀態信息，具有較高的實時性。動態度量主要監控方式為通過條件觸發和周期方式對系統進程、執行代碼等重要信息進行監視，保障系統進程、代碼正常穩定運行。可信日志系統能夠記錄上報系統受到外來攻擊的詳細信息，較大的提高系統安全性。

文件完整性保護：開啟文件完整性保護功能，設置文件的保護類型到配置中，可實現不同命令對同文件的讀寫權限管理。設置為只讀權限的命令進行文件訪問時，顯示權限不夠，不允許修改文件。

進程保護：在進程保護配置中加入需要保護的進程和其路徑，進行進程保護。進程保護功能生效時，受到保護的進程無法被kill，防止了人為的誤停操作和外來入侵的惡意操作，一定程度上維護了系統進程穩定運行。

2.4 日志管控和文件備份

登錄審計管理員用戶，可查看啟動度量日志、白名單日志、動態度量日志、文件訪問控制日志、告警日志、登錄日志和操作日志，日志都會記錄詳細的時間和操作以及操作主體。為了方便日常問題日志查找，不同日志都可進行度量對象、結果、主客體為查詢對象的特定日志內容查詢。除了日志管控來方便問題查找處理外，還設計了文件備份功能，以防文件被篡改或意外刪除無備份問題，若出現相關情況，可通過執行文件還原功能去快速恢復文件，保證系統穩定運行。

2.5 可信性能功能測試總結

可信系統于2022年10月進行了基礎性能測試，并在2023 年5 月完成電源電站現場投運，在此期間多次進行了功能和性能測試，數據相對穩定，取其中一次性能測試結果作為參考得出以下總結：

（1）可信加固對程序執行時間影響較小：對未進行可信加固和完成可信加固的傲拓CPU 分別進行可信對程序執行時間測試，使用time 命令測試md5sum 和sort 執行10 000 次時間，結果表明加固前與加固后所耗費時間幾乎一致，說明可信在維護系統穩定的同時并不會影響程序執行時間。

（2）可信加固對系統基準性能影響小：對兩個只有是否安裝可信區分的傲拓CPU 進行單線程和2 線程測試，未安裝可信的CPU 單線程測試結果平均為230，2 線程的為311.87，而安裝了可信的CPU 單線程測試結果為227.47，2 線程為307.73。由此可看出線程數數據無明顯差值，波動在2%左右，說明可信在使用過程中對系統基準性能影響較小。

（3）可信加固不會減慢磁盤讀寫速度：使用iozone 針對不同record 大小（1 k～8 k）對文件系統進行讀寫速度測試。采用1、128、1 024、8 192 不同字節進行有無進行可信加固讀寫速度測試時，得出具體平均數據為：12 816、25 643、25 957、25 960 和12 652、25 680、25 574、24 937。由此可看出磁盤讀寫速度在個別點偶有下降，但整體穩定波動不大，說明可信并不會使磁盤讀寫速度大幅度減慢。

3 國密高速IBC 標識認證加密系統

3.1 平臺功能應用

國密高速IBC 標識認證加密系統可分為標識密碼管理平臺和終端SDK 兩個部分，其主要功能如下：

（1）標識密碼管理平臺

1）標識密鑰申請與導入、數字簽名；

2）密鑰生成中心封裝、標識注冊中心封裝；

3）設備標識管理，包括設備標識的導入、查詢、歸檔、注銷；

4）服務發布、設備認證、設備標識導入、密鑰矩陣分發、密鑰申請、密鑰恢復、密鑰更新、密鑰注銷。

（2）終端SDK

1）隨機數生成、非對稱密鑰對生成、對稱密鑰生成、SM2 加密、解密、簽名、驗簽、SM4 加密、解密、SM3、標識密鑰計算；

2）密碼服務定位、入網認證、下載公鑰矩陣、申請密鑰對、更新密鑰對、密鑰恢復；

3）身份認證申請、身份認證；

4）數據加密、數據解密；

5）數據簽名、簽名驗簽；

6）抗抵賴加密、抗抵賴解密；

7）client 連接、Server 接收。

3.2 平臺特色

（1）國產自主可控。國密高速IBC 標識認證加密系統完全符合自主可控的要求，從硬件加密卡到軟件管理平臺等都為漁翁信息自主研發的國產產品。在電源電站現場實際環境中，其適配性良好，兼容各種國產服務器、操作系統和PLC，符合現場實際需求。

（2）去中心化。與傳統的PKL 體系相比，國密高速IBC 標識認證加密系統實現了去中心化。無需CA 證書頒發中心，只需在管理中心進行一次注冊，即可實現設備之間的標識身份鑒別。

（3）界面簡潔。管理中心操作界面簡潔，注冊流程簡單，便于后期維護。通過高度封裝的接口和服務平臺的開發較大程度上降低了認證加密算法的復雜性。

（4）安全可靠。采用國密高速IBC 標識認證加密系統使用硬件密碼設備保存系統密鑰數據，該系統不會單獨對用戶的密鑰等重要數據進行儲存，一定程度的減少了敏感信息泄露的可能性。同時，若出現數據丟失等意外情況時，系統支持數據備份和密鑰備份的恢復，減少了突發情況導致數據缺失的可能。

4 結語

三峽電源電站計算機監控系統通過部署可信防御系統和國密高速IBC 標識認證加密系統，建立了強而有效的信息安全保護屏障，實現了防誤操作、防入侵、防篡改的“三防”策略，極大程度地提高了電站數據傳輸安全性和系統運行穩定性，解決了內部系統防御薄弱、設備終端間數據傳輸安全程度低、終端缺少管控的問題，構建了新一代水電站計算機監控系統網絡安防體系的案例模板。