可信PLC 和標識認證加密在水電站監控系統的應用研究

2024-01-04 10:53:28張文韜黃家志孫監湖陳超群夏國強艾遠高

水電站機電技術 2023年12期

張文韜，黃家志，孫監湖，陳超群，張鵬，夏國強，艾遠高

（中國長江電力股份有限公司，湖北宜昌 443000）

隨著計算機及網絡技術的發展，特別是信息化與工業化深度融合以及物聯網的快速發展，工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件，以各種方式與互聯網等公共網絡連接，病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出[1]。水電站特別是巨型水電站作為國家關鍵基礎設施，其計算機監控系統作為核心的工業控制系統，是境外敵對勢力、黑客組織的主要攻擊目標。基于“安全分區、網絡專用、橫向隔離、縱向認證”十六字方針的安全防護方案面對日益嚴峻的網絡安全形勢已暴露出其內部環境防護薄弱、信息安全缺乏深度保障的問題，為實現電力專網內部環境安全可信，亟待將新一代可信計算技術與標識認證加密技術實現綜合應用，形成全方位、全覆蓋的基于主動免疫的計算機監控系統。

1 電力專網網絡安全防護體系

傳統的電力專網控制系統安全體系核心思路是對系統進行安全分區后強化邊界層面的防護，主要體現為生產控制大區與管理信息大區的物理隔離、信息內網與信息外網的強邏輯隔離、調度側對生產側工業控制系統進行控制指令下發或數據傳輸采用加密認證[2]，如圖1 所示。

圖1 電力專網網絡安全防護拓撲圖

雖然邊界防護體系已較為成熟，其安防設備如橫向隔離裝置甚至具備近似物理隔離效果，能有效防止外部入侵，但是該體系在應對有組織的、高技術能力、大規模的攻擊時明顯不足，而且邊界一旦被入侵，內部系統較為脆弱，如應用軟件層面防護薄弱、終端接入設備缺乏管控等，導致內部計算環境無法實現可信，系統安全保障從根源上不可控[3]。

為應對邊界防護體系內部環境脆弱的問題，國家能源局于2015 年2 月下發36 號文關于印發《電力監控系統安全防護總體方案》等安全防護方案和評估規范，其中提出的安全防護的總體原則增加了“綜合防護”措施。“綜合防護”是對監控系統主機、網絡設備、惡意代碼防范、應用安全控制、審計、備用及容災等多個層面進行安全防范的過程。常見的“綜合防護”措施包含：

（1）加裝入侵檢測裝置：通過實時報文及訪問行為監測，鑒別入侵行為；

（2）加裝內網監視裝置：通過采集監控系統涉網部分主機設備、網絡設備、通用及專用安防設備的告警信息，實時監測電廠內部涉網主機的外設接入、網絡設備接入、人員登錄等安全事件；

（3）部署可信計算：通過對監控系統上位機安裝可信硬件卡、可信軟件基，實現從可信硬件卡到操作系統、操作系統到應用程序的信任鏈建立，達到服務器主動免疫的效果。

“綜合防護”在一定程度上強化了電力專網安全防護能力，已在大量電力生產工控系統實現了應用，但大多局限于監控系統上位機的應用，對PLC進行“綜合防護”仍是業界有待探索與研究的方向。

2 PLC 安全防護分析

2.1 PLC 安全防護缺陷分析

PLC 是電站工控系統中的核心組成部分，水電站兼具電力生產與防洪抗旱雙重職責，其PLC 主要承擔數據采集與處理、設備監視與控制、執行流程、與其他子系統通信、報警與事件生成的功能。PLC為保證高實時性的邏輯控制、數據處理功能，一般缺乏安全防護措施，導致自身存在較大的潛在網絡安全風險，本文總結該風險來源于3 種情況：

（1）外部入侵：一旦電力專網邊界防護被突破，攻擊者可以竊取用戶登錄信息，遠程破壞PLC 存儲內容，篡改PLC 內存數據、控制參數等。

（2）非法連接：由于PLC 為嵌入式設備，在缺乏人為管控的情況下，非法連接可使得程序、數據點表被篡改，嚴重情況下甚至對其操作系統植入病毒。

（3）信息泄露：PLC 為保證與上位機通信的實時性，數據傳輸無加密手段，數據包被截獲后較易被讀取使用，造成關鍵生產信息的泄露。

2.2 PLC 可信計算應用分析

可信計算是在計算和通信過程中使用硬件安全模塊保障系統安全性的一種技術。當前可信計算已經發展到了3.0 版本，能夠實現主動免疫和主動防御[4]。可信計算較為普遍的應用方式為：為監控系統上位機服務器加裝PCI-e 接口的可信硬件板卡并安裝可信軟件基，于某一服務器部署可信管理端，實現對可信策略、白名單、證書的統一管理及可信設備的注冊等功能。可信計算可實現的功能包含：

（1）系統可信引導：在系統啟動中，通過可信逐級校驗每個啟動階段的完整性；

（2）靜態度量：對系統可執行程序、共享庫、函數庫、配置文件等進行校驗；

（3）動態度量：系統運行時，對內存中的關鍵信息實時主動度量；

（4）文件完整性保護：對文件進行寫保護，只有指定的進程可以讀寫文件；

（5）重要配置文件保護：對重要配置進行完整性監控，阻止篡改；

（6）進程保護：防止特定進程被非法終止。

可信計算技術如能實現在PLC 上的應用，能有效阻止外部入侵和非法連接造成的威脅，但是目前實現可信PLC 應用存在兩個方面的難點：①主流可信硬件卡為PCI-e 接口，且體積較大，PLC 機箱空間較為狹小，且缺乏相應接口；②PLC 所用CPU 相較服務器級CPU 性能較弱，部署可信會在一定程度上占用CPU 資源，PLC 邏輯控制、數據處理的實時性無法保證。因此，要想實現可信計算技術于PLC的應用，需要對PLC 設備進行定制化開發，縮小可信硬件體積，輕量化可信功能。

2.3 上下位機加密通信應用分析

由于傳統工控系統網絡協議在設計之初未考慮認證、加密需求，面對當前嚴峻的網絡安防形勢，監控系統終端明文數據傳輸已不可取。當前，PKI 為主流的加密認證體系，通過CA（證書認證中心）和KM（密鑰管理系統）對用戶進行證書簽發和密鑰管理，保障網絡終端數據傳輸的安全性。但是隨著適用范圍和規模的不斷擴大和電站網絡智能設備的大量應用，PKI 體系的證書和密鑰的分發管理愈加復雜，且其數據安全傳輸的方式較為單一。針對傳統PKI 體系的問題，近年來興起了IBC 認證體系，IBC 認證體系省去了數字證書部分，每一終端可以基于自己的標識申請私鑰，而以自身標識為公鑰，簡化了加密認證流程，降低了使用者的學習和使用成本，解決了規模化認證的問題，較為適用于工業控制網絡[5]。

將IBC 標識認證加密技術應用于PLC，無可避免會出現CPU 資源占用問題，并且加密、解密過程耗時會影響PLC 與上位機通信的實時性，對于數據的吞吐量也可能造成一定限制。另外，兼容性問題也是加密認證技術應用于計算機監控系統的一大難點：隨著我國關鍵領域工控系統自主可控進程的加速，國產CPU 及操作系統將全面普及，加密認證算法須適配不同架構的國產CPU 及操作系統，其部署和運維必然存在一定的復雜性。

3 基于可信PLC 和標識認證加密的水電站監控系統

3.1 測試環境

基于上文分析，為驗證可信計算技術和標識認證加密技術于水電站監控系統應用的可行性，本文在對國產主流的PLC、可信、加密產品進行充分調研后，選型并搭建了一套離線測試平臺。選型硬件及軟件信息如表1、表2 所示。

表1 上位機及PLC 設備選型

表2 可信和加密系統選型

設備選型中采用最小化計算機監控系統架構，并且盡可能多元化服務器CPU 架構、操作系統，以便于在后續對主流國產設備進行兼容性測試。其中PLC 選用的是國產自主可控的S.CTG EdgeBrain-L2大型PLC，其采用龍芯2K1000 處理器，主頻較高，性能在國產自主可控PLC 中處于第一梯隊。在可信系統及加密認證系統選型上，對于上文可信計算技術及IBC 標識認證技術應用于PLC 的難點進行了針對性選型：

（1）可信系統采用某主動免疫防御系統（防病毒）[6]，通過在PLC 主板集成TPCM 主動度量控制芯片并于系統燒寫可信軟件基實現PLC 可信功能部署。該主動度量芯片采用國芯CCM3310 系列芯片，能夠實現主流的國密SM1、SM2、SM3、SM4 算法和可信啟動度量、可信驗證，較為適用于嵌入式設備部署。通過在一臺浪潮服務器安裝可信管理中心，完成配置可信注冊、策略管理、白名單管理等功能。

（2）加密認證系統選用了某國密高速IBC 標識認證加密系統，該系統由高性能標識密鑰管理服務和終端SDK 兩個模塊組成。高性能標識密鑰管理服務采用了基于組合密鑰的密碼技術，提供了用戶標識密鑰全生命周期的管理，實現用戶標識密鑰的分發、更新、恢復、掛失、注銷等功能。終端SDK 依托于高性能標識密鑰管理服務，為前端設備提供多種安全數據傳輸方式，確保終端間數據傳輸的安全性，且具有較強的終端兼容性。通過在一臺中科曙光服務器安裝加密管理中心，并在其它設備安裝終端SDK（除B 套PLC 外），完成國密高速IBC 標識認證加密系統部署。

基于此，本文構建的離線測試平臺拓撲如圖2所示。

圖2 離線測試平臺拓撲圖

3.2 功能測試

在集成可信和加密認證系統于測試環境后，對其進行功能性測試，測試項目見表3。

表3 可信和加密系統測試項目

經測試，上位機及PLC 可信功能表現良好，測試用例均通過；國密IBC 標識認證系統于PLC 適配出現少量接口錯誤，例如PLC 設備標識碼以0 開頭出現協商失敗現象，通過操作人員人為約束進行解決，由于其無重要功能錯誤，認為其功能性測試通過。因此，在測試環境中集成應用上述系統能滿足安全防護功能需求，提升系統整體安全性。

3.3 性能測試

由于可信和加密認證系統會在一定程度上占用上位機服務器及PLC 計算資源，須對其進行性能測試，本文對測試環境中數據采集服務器、歷史數據服務器及兩套PLC 進行了unixBench 系統基準性能測試，認為性能損失小于5%則滿足生產實際需求，測試結果見表4～表6。

表4 PLC 基準性能測試

表5 數據采集服務器基準性能測試

表6 歷史數據服務器基準性能測試

由上述試驗結果可知，在部署可信與加密認證系統后，上下位機設備終端基準性能有所下降。大量的重復對比試驗基本排除了隨機誤差影響，可認為測試終端性能損失均低于5%，滿足水電站計算機監控系統應用要求，具有一定的實施可行性。

3.4 示范應用

為進一步驗證可信PLC 及國密高速IBC 標識認證加密技術于水電站計算機監控系統應用的安全性和可靠性，于2023 年5 月某電站計算機監控系統改造項目中進行實裝，經過長期實際生產檢驗，其安全性表現較為突出，可靠性達較高水準。該計算機監控系統在傳統的邊界防護體系上增加了PLC 可信功能、上下位機加密通信功能，補齊PLC 安全防護短板，對于水利水電行業工控系統安防體系建設具有一定積極指導作用。

4 結語

本文對電力專網網絡安全防護體系及PLC 安全防護缺陷進行了介紹分析，搭建離線測試環境，對PLC 可信計算應用和監控系統國密IBC 標識認證加密應用進行了測試分析，驗證了技術的可行性，為水電行業工控系統安防體系補齊PLC 防護短板提供了切實可行的方案。