陳瑞華

（中鋁寧夏能源集團(tuán)有限公司馬蓮臺(tái)發(fā)電廠，寧夏靈武750411）

馬蓮臺(tái)電廠電力二次系統(tǒng)主機(jī)加固應(yīng)用研究

陳瑞華

（中鋁寧夏能源集團(tuán)有限公司馬蓮臺(tái)發(fā)電廠，寧夏靈武750411）

針對(duì)馬蓮臺(tái)發(fā)電廠兩臺(tái)330MV機(jī)組電力二次系統(tǒng)安全防護(hù)的問題，采取主機(jī)加固措施。通過(guò)介紹電力二次系統(tǒng)的安全現(xiàn)狀和二次安全防護(hù)措施，詳細(xì)描述了電廠二次系統(tǒng)主機(jī)加固的必要性、原理、內(nèi)容以及主機(jī)加固后的效果。

電力二次系統(tǒng)；安全防護(hù)；主機(jī)加固

0　引言

隨著互聯(lián)網(wǎng)的快速發(fā)展和普及，黑客、病毒、惡意代碼等惡意破壞和攻擊日益頻繁，馬蓮臺(tái)電廠的電力二次系統(tǒng)面臨被惡意攻擊和控制的風(fēng)險(xiǎn)。由于生產(chǎn)控制大區(qū)的二次系統(tǒng)主機(jī)操作系統(tǒng)的脆弱性和局部安全事件頻頻發(fā)生造成系統(tǒng)暫時(shí)中斷或癱瘓，嚴(yán)重影響了電廠核心業(yè)務(wù)運(yùn)行。在這種形勢(shì)下，國(guó)家能源局文件國(guó)能安全［2015］36號(hào)、電監(jiān)會(huì)12號(hào)文以及國(guó)家信息安全等級(jí)保護(hù)規(guī)定，要求對(duì)關(guān)鍵應(yīng)用系統(tǒng)的主機(jī)使用安全加固的操作系統(tǒng)。

本文主要從電廠二次系統(tǒng)主機(jī)加固實(shí)際應(yīng)用出發(fā)，結(jié)合電監(jiān)會(huì)對(duì)電力系統(tǒng)二次安全防護(hù)要求，從操作系統(tǒng)方面提出適合馬蓮臺(tái)發(fā)電廠的二次系統(tǒng)主機(jī)加固方案。通過(guò)主機(jī)加固可以降低或消除二次系統(tǒng)安全風(fēng)險(xiǎn)，提高整個(gè)系統(tǒng)的安全性和抗攻擊能力。

1　二次系統(tǒng)主機(jī)加固原因分析

馬蓮臺(tái)電廠二次系統(tǒng)主要包括分散控制系統(tǒng)（#1 DCS、#2DCS、脫硫DCS）；電氣控制；相量測(cè)量裝置PMU；輔網(wǎng)PLC控制；電能量計(jì)量系統(tǒng)、故障信息子站信息系統(tǒng)、SIS系統(tǒng)及遠(yuǎn)動(dòng)系統(tǒng)等。根據(jù)二次系統(tǒng)的特點(diǎn)及各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)據(jù)流程，將馬蓮臺(tái)電廠二次系統(tǒng)分為三個(gè)安全區(qū)：Ⅰ.實(shí)時(shí)生產(chǎn)控制大區(qū)；Ⅱ.非實(shí)時(shí)生產(chǎn)控制大區(qū)；Ⅲ.管理信息區(qū)。如圖1所示，其中安全區(qū)Ⅰ的安全等級(jí)最高，安全區(qū)Ⅱ次之，其余依次類推。

二次系統(tǒng)安全防護(hù)措施采用“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”，強(qiáng)化二次系統(tǒng)的邊界防護(hù)，在生產(chǎn)控制大區(qū)和管理信息大區(qū)之間安裝正反向物理隔離裝置，在調(diào)度數(shù)據(jù)網(wǎng)縱向連接處加縱向認(rèn)證加密裝置，加強(qiáng)內(nèi)部安全措施，增加防火墻、入侵檢測(cè)系統(tǒng)、防病毒等安全產(chǎn)品抵御黑客、惡意代碼等對(duì)二次系統(tǒng)發(fā)起惡意破壞和攻擊。

電廠對(duì)生產(chǎn)控制大區(qū)的二次系統(tǒng)并沒有采取專用主機(jī)操作系統(tǒng)加固措施，部分主機(jī)也僅依靠安全配置、安全補(bǔ)丁等方式進(jìn)行加固，無(wú)法滿足信息安全等級(jí)要求。由于人為非法操作或主機(jī)自身的漏洞及未封閉的端口等風(fēng)險(xiǎn)因素影響，只有通過(guò)主機(jī)操作系統(tǒng)內(nèi)核加固，實(shí)現(xiàn)真正強(qiáng)壯的操作系統(tǒng)，才能有效保護(hù)二次系統(tǒng)不受病毒、惡意代碼破壞和黑客攻擊，建立從邊界到核心的多層次立體的、完整的二次安全防護(hù)體系。

2　基于電力二次系統(tǒng)安全防護(hù)下的主機(jī)加固方案

目前電廠二次系統(tǒng)投用較早，服務(wù)器操作系統(tǒng)的版本較低，易感染病毒和木馬，核心業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)因素在不斷增加。很多核心系統(tǒng)，如DCS（分散控制系統(tǒng)），由于系統(tǒng)自身原因，不能安裝操作系統(tǒng)補(bǔ)丁，造成黑客利用漏洞攻擊系統(tǒng)的風(fēng)險(xiǎn)增加。網(wǎng)絡(luò)級(jí)（防火墻、入侵檢測(cè)）或應(yīng)用級(jí)（殺毒、網(wǎng)管）安全產(chǎn)品只能實(shí)現(xiàn)網(wǎng)絡(luò)邊界處或應(yīng)用層的保護(hù)，不能保護(hù)核心系統(tǒng)。本文主要是通過(guò)在操作系統(tǒng)上建立安全保護(hù)層，實(shí)現(xiàn)對(duì)主機(jī)安全加固。

2.1主機(jī)加固使用關(guān)鍵技術(shù)及實(shí)施方案

目前馬蓮臺(tái)發(fā)電廠電力二次系統(tǒng)主機(jī)操作系統(tǒng)一般為Windows系統(tǒng)，包括Windows XP、Windows 2000，Windows 2003、W indows 2008，這些操作系統(tǒng)的安全等級(jí)一般為C2級(jí)，采用自主存取控制機(jī)制。C2級(jí)別系統(tǒng)本身就有很多的漏洞，入侵者很容易通過(guò)這些系統(tǒng)漏洞侵入主機(jī)。只有在C2級(jí)安全系統(tǒng)的基礎(chǔ)上進(jìn)行加固，提升到安全性更高的B1級(jí)或B2級(jí)，才能真正對(duì)電力二次系統(tǒng)有效防護(hù)。

本次主機(jī)加固方案采用了S-NUMEN技術(shù)，實(shí)現(xiàn)從核心到邊界的多層次保護(hù)，是一套完整的防護(hù)體系。

2.1.1S-NUMEN主機(jī)加固技術(shù)

S-NUMEN是國(guó)內(nèi)第一家自主知識(shí)產(chǎn)權(quán)支持跨平臺(tái)的安全操作系統(tǒng)產(chǎn)品，它在操作系統(tǒng)的安全功能之上提供了一個(gè)安全保護(hù)層，通過(guò)從內(nèi)核層截取文件訪問控制的方式，加強(qiáng)操作系統(tǒng)的安全性。

根據(jù)美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)TCSEC（Ttusted Computet System Eva1uation Ctitetia），計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)、7個(gè)級(jí)別。如圖2所示。

2.1.2操作系統(tǒng)加固實(shí)施方案

本方案具體從數(shù)字簽名認(rèn)證機(jī)制、賬號(hào)管理、口令質(zhì)量控制、文件的訪問控制、防止程序非法終止、程序自動(dòng)權(quán)限設(shè)置、網(wǎng)絡(luò)控制、登錄服務(wù)控制、入侵響應(yīng)、行為審計(jì)十個(gè)方面討論操作系統(tǒng)加固應(yīng)用。

（1）數(shù)字簽名認(rèn)證機(jī)制。對(duì)電力二次系統(tǒng)所有主機(jī)，采用了數(shù)字簽名證書為基礎(chǔ)并結(jié)合訪問控制的技術(shù)。對(duì)系統(tǒng)管理員或用戶頒發(fā)數(shù)字簽名證書，通過(guò)基于操作系統(tǒng)內(nèi)核級(jí)的認(rèn)證機(jī)制完成用戶登錄過(guò)程。當(dāng)安全內(nèi)核安裝后，沒有通過(guò)數(shù)字簽名證書認(rèn)證的用戶，即使獲得了管理員權(quán)限，也不能訪問被安全內(nèi)核保護(hù)的資源。

圖2　TCSEC操作系統(tǒng)等級(jí)劃分

（2）賬號(hào)管理。提供遠(yuǎn)程站點(diǎn)的用戶賬號(hào)及管理功能。在內(nèi)核層基于證書進(jìn)行認(rèn)證，提高安全強(qiáng)度。

（3）口令質(zhì)量控制。通過(guò)S-NUMEN技術(shù)與系統(tǒng)結(jié)合，提供了對(duì)用戶登錄口令的管理，將口令質(zhì)量控制分為兩部分：密碼更改期限、密碼登錄限制和密碼格式。

（4）文件的訪問控制?？刂莆唇?jīng)過(guò)電子簽名認(rèn)證過(guò)程的用戶（程序）訪問已設(shè)置了訪問權(quán)限的文件。由S-NUMEN控制的文件，即使超級(jí)用戶也不能對(duì)其進(jìn)行訪問。實(shí)現(xiàn)更強(qiáng)大的安全策略。

（5）防止程序非法終止。被保護(hù)的進(jìn)程，除通過(guò)電子簽名認(rèn)證過(guò)程并取得認(rèn)證的安全管理員之外，任何人都無(wú)法停止相應(yīng)程序的運(yùn)行。

（6）程序自動(dòng)權(quán)限設(shè)置。通過(guò)“程序自動(dòng)權(quán)限設(shè)置”，設(shè)置為賦予相應(yīng)程序以適當(dāng)?shù)臋?quán)限，可保障在運(yùn)行相應(yīng)程序時(shí)，自動(dòng)分配相應(yīng)權(quán)限，程序即可正常運(yùn)行。安全管理員可以通過(guò)配置，限制特權(quán)程序的使用，進(jìn)一步加強(qiáng)系統(tǒng)的安全性。

（7）網(wǎng)絡(luò)控制服務(wù)。遠(yuǎn)程控制對(duì)服務(wù)器IP或服務(wù)的訪問。通過(guò)功能強(qiáng)大的網(wǎng)絡(luò)服務(wù)及IP地址控制，可以很好的限制用戶訪問系統(tǒng)資源。

（8）登錄服務(wù)控制。提供對(duì)登錄服務(wù)的限制，可以限制用戶使用Te1net、FTP、RLogin、DTLogin、SSH等多種登錄系統(tǒng)的方式。

（9）入侵響應(yīng)。當(dāng)系統(tǒng)發(fā)現(xiàn)入侵行為或者違反安全策略的操作時(shí)，在網(wǎng)絡(luò)層和系統(tǒng)內(nèi)部對(duì)用戶（程序）進(jìn)行阻斷，并且有系統(tǒng)向管理員進(jìn)行報(bào)警。

（10）行為審計(jì)。包含文件日志、數(shù)據(jù)庫(kù)日志、數(shù)據(jù)庫(kù)屬性、數(shù)據(jù)庫(kù)同步，通過(guò)檢索記錄發(fā)生的時(shí)間、服務(wù)器IP地址、名稱、用戶、消息類型及內(nèi)容等。

3　主機(jī)安全加固后效果

使用此方案對(duì)馬蓮臺(tái)電廠二次系統(tǒng)主機(jī)進(jìn)行加固，在加固中，不修改操作系統(tǒng)的內(nèi)核，系統(tǒng)無(wú)需重啟，避免了服務(wù)器重啟產(chǎn)生的不必要的損失。加固后的主機(jī)操作系統(tǒng)禁止使用來(lái)賓用戶，刪除多余賬戶，設(shè)置訪問用戶權(quán)限管理，使服務(wù)器安全性提高了，同時(shí)限制從網(wǎng)絡(luò)訪問此計(jì)算機(jī)，啟用源路由欺騙保護(hù)，關(guān)閉不必要啟動(dòng)項(xiàng)，防止病毒程序開機(jī)啟動(dòng)，檢測(cè)是否開啟不必要的端口、DDOS攻擊保護(hù)設(shè)置，使整個(gè)網(wǎng)絡(luò)的安全性更加健壯，核心系統(tǒng)運(yùn)行穩(wěn)定性增加。系統(tǒng)管理員可通過(guò)圖形界面對(duì)系統(tǒng)LOG日志文件進(jìn)行查看，讓入侵者進(jìn)不來(lái)、出不去、賴不掉，工作效率得到很大的提高，真正從內(nèi)部有效保障二次系統(tǒng)的安全性。

4　結(jié)語(yǔ)

馬蓮臺(tái)電廠二次系統(tǒng)的主機(jī)通過(guò)采取操作系統(tǒng)加固方案，可以將二次系統(tǒng)主機(jī)操作系統(tǒng)的安全等級(jí)從C1、C2級(jí)提高到B1、B2等級(jí)。顯著提升了系統(tǒng)主機(jī)安全水平，滿足國(guó)家相關(guān)規(guī)程規(guī)制有關(guān)主機(jī)加固的功能要求，達(dá)到國(guó)家電力行業(yè)在核心系統(tǒng)安全等級(jí)的最高要求，對(duì)火電廠二次系統(tǒng)的安全防護(hù)具有重要意義。

主要參考文獻(xiàn)

［1］章政海.電廠二次系統(tǒng)安全防護(hù)總體設(shè)計(jì)研究［J］.電力信息化，2013，11（1）：107-110.

［2］馮昀，黎潔文.計(jì)算機(jī)操作系統(tǒng)的安全加固探討［J］.廣西通信技術(shù)，2013（4）：44-50.

［3］從正海，孫皓.調(diào)度自動(dòng)化系統(tǒng)主機(jī)安全加固研究［J］.電力信息與通信技術(shù)，2010（6）：27-30.

10.3969/j.issn.1673-0194.2016.13.054

TM621.9；TP393.08

A

1673-0194（2016）13-0100-03

2016-04-19