楊之圣，謝秋華，白劍飛，李亦凡，王 翔，薛 飛

（1.中國長江電力股份有限公司，湖北 宜昌 443000；2.中國水利水電科學研究院，北京 100038）

0 引言

隨著信息技術(shù)的發(fā)展，水電站信息平臺呈“運管控一體化智慧平臺”構(gòu)建趨勢。信息終端的日益增多、信息終端之間信息交流和數(shù)據(jù)共享的日益頻繁，如何構(gòu)建具有可靠安全防護體系的工控系統(tǒng)一體化平臺成為水電站智慧化發(fā)展需要研究的重要問題。

隨著電力系統(tǒng)信息化的發(fā)展，針對電力系統(tǒng)的惡意代碼威脅層出不窮，現(xiàn)有的安全防護體系越來越力不從心，需要有能應對高級別惡意攻擊的安全防護機制[1]。

本文提出采用可信技術(shù)構(gòu)建基于可信安全防護的水電站工控系統(tǒng)一體化平臺并搭建一體化平臺進行了實際測試。

1 平臺設計

水電站工控系統(tǒng)一體化安全防護平臺采用雙體系結(jié)構(gòu)設計思想，水電站工控系統(tǒng)一體化平臺作為宿主系統(tǒng)與可信計算安全模塊共生運行組成工控一體化安全保護平臺?？尚庞嬎惆踩K構(gòu)建并行于宿主系統(tǒng)的安全監(jiān)控機制，以電力可信計算密碼模塊為信任根，建立信任鏈機制，構(gòu)建可實現(xiàn)主動免疫安全防護的水電站信息平臺。

1.1 宿主系統(tǒng)功能架構(gòu)

水電站工控一體化安全防護平臺宿主系統(tǒng)是基于“智慧電廠”建設思想[7]進行架構(gòu)、服務于水電站的運管控一體化平臺。系統(tǒng)采用分層設計技術(shù)，按基于面向服務的軟件體系架構(gòu),從層級結(jié)構(gòu)可細分為硬件層、操作系統(tǒng)層、數(shù)據(jù)層、傳輸層、服務層、基礎應用層、水電站應用層。

硬件層支持Intel，SPARC，Itanium，Power 等各類硬件?？紤]到電力安全生產(chǎn)的需要，硬件層支持自主可控服務器及工作站。

操作系統(tǒng)層支持各種LINUX 系統(tǒng)和Windows系統(tǒng)。

數(shù)據(jù)層完成元數(shù)據(jù)的匯聚，負責水電廠數(shù)據(jù)模型的實現(xiàn)和維護。

傳輸層構(gòu)造實時分布式運行環(huán)境，實現(xiàn)異構(gòu)環(huán)境下的消息傳遞、事件回調(diào)、進程控制、文件訪問、內(nèi)存管理等。傳輸層由消息總線和服務總線構(gòu)成。

服務層是畫面訪問、數(shù)據(jù)訪問、日志、報警、工作流等基本服務的實現(xiàn)層。并提供服務的查找、定位和代理功能。

基礎應用層包括數(shù)據(jù)采集、模型維護、人機界面、斷面管理、權(quán)限管理等。

水電站應用層包括水電站實時監(jiān)控、經(jīng)濟調(diào)度等應用軟件。

圖1 水電站工控系統(tǒng)一體化層級結(jié)構(gòu)圖

1.2 可信安全防護

可信計算軟件是基于可信計算技術(shù)研發(fā)的一款安全產(chǎn)品，主要實現(xiàn)電力業(yè)務系統(tǒng)對惡意代碼的免疫和業(yè)務應用的版本管理?？尚庞嬎闫脚_由可信策略管理端和可信計算安全模塊客戶端組成[2-4]。

水電站工控系統(tǒng)一體化安全防護平臺采用可信計算安全模塊與宿主系統(tǒng)共生于業(yè)務服務器運行的雙體系結(jié)構(gòu)方式。

可信安全模塊可實現(xiàn)對一體化平臺從硬件上電啟動至軟件運行全過程的主動度量和監(jiān)控?？尚庞嬎丬浖ㄟ^白名單管理機制，僅允許經(jīng)可信計算安全模塊驗證審核通過的程序運行?？尚庞嬎惆踩K依托信任根，依據(jù)預設的可信策略構(gòu)建信任鏈來實現(xiàn)對惡意代碼的主動防御，一體化平臺的基礎軟件和應用程序在可信軟件基的主動度量監(jiān)控下按預設運行，達到主動免疫效果[5]。

水電站安全防護平臺雙體系結(jié)構(gòu)功能架構(gòu)如圖2 所示。

圖2 水電站安全防護平臺雙體系結(jié)構(gòu)功能架構(gòu)圖

2 平臺特點

水電站工控一體化安全防護平臺宿主系統(tǒng)采用具有良好開放性的面向服務的軟件體系架構(gòu)，運用分布式的服務組件模式，滿足水電站管控一體化平臺建設中多業(yè)務集成和應用不斷發(fā)展的需要。

一體化安全防護平臺提供安全Ⅰ區(qū)統(tǒng)一的系統(tǒng)管理、數(shù)據(jù)分析、圖形、報表等功能支撐接口，完成各個應用的數(shù)據(jù)采集、數(shù)據(jù)同步、數(shù)據(jù)交換、通信、模型管理、文件管理。

一體化安全防護平臺不僅對各業(yè)務提供應用環(huán)境，而且提供集成開發(fā)環(huán)境，用戶可以在平臺上構(gòu)建自己的應用和接口。

平臺的主要特點包含以下方面。

2.1 面向服務的模塊化結(jié)構(gòu)

水電站工控一體化安全防護平臺采用面向服務的模塊化設計思想，采用粗粒度的SOA 軟件框架，優(yōu)化應用間的耦合程度，提高系統(tǒng)的配置靈活性和可維護性。

平臺采用分層設計技術(shù)，整個系統(tǒng)按SOA 框架部署?；A平臺、應用平臺均采用模塊化的構(gòu)件技術(shù)?；A平臺基于實時系統(tǒng)的開放分布式應用中間件，對底層操作系統(tǒng)和硬件平臺進行封裝，對外提供與具體應用系統(tǒng)無關(guān)的開發(fā)、運行接口。應用平臺提供圖形管理、界面管理、數(shù)據(jù)采集、SCADA 應用、Web 應用、報表和打印等功能。平臺通過服務總線，為應用開發(fā)和集成提供通用的基礎服務。系統(tǒng)的升級可局限在某個應用功能或模塊，從而提高系統(tǒng)的開放性、可擴性和升級能力。

基于服務的架構(gòu)，可以在統(tǒng)一的人機界面上進行畫面組態(tài)，實現(xiàn)水電站運管控業(yè)務一體化集成。

2.2 業(yè)務一體化

基礎平臺提供安全Ⅰ區(qū)內(nèi)統(tǒng)一的系統(tǒng)管理、數(shù)據(jù)分析、圖形、報表等功能支撐接口，完成各個應用的數(shù)據(jù)采集、數(shù)據(jù)同步、數(shù)據(jù)交換、對外通信、模型管理、文件管理。平臺提供跨安全Ⅰ、Ⅱ區(qū)間的信息自動同步機制，支持在滿足安全規(guī)范下的不同分區(qū)之間數(shù)據(jù)與信息的平臺級透明傳輸，簡化了不同系統(tǒng)和應用的跨區(qū)交互實現(xiàn)。

一體化橫向涉及多個安全分區(qū)，為滿足日益嚴格的控制系統(tǒng)安全防護要求對重要的服務器進程進行一級守護，對數(shù)據(jù)庫訪問提供了不同級別的權(quán)限管理，系統(tǒng)內(nèi)部的服務調(diào)用和消息通信均提供加密和認證機制。

2.3 對象化數(shù)據(jù)模型

水電站工控一體化安全防護平臺采用徹底的面向?qū)ο笏季S進行設計，數(shù)據(jù)、畫面、報警、配置、系統(tǒng)內(nèi)部信息均采用面向?qū)ο蟮慕M織形式。對現(xiàn)場設備可定義不同層級的對象，如I/O 信號級、設備級、電站級、流域級等，設備級本身亦可大可小，如斷路器、調(diào)速器、機組或電站等。

平臺支持靈活的對象化建模原則，不局限于單一原則，任何符合對象化思維的數(shù)據(jù)組織形式都可以支持。

2.4 全冗余全分布系統(tǒng)架構(gòu)

水電站工控一體化安全保護平臺采用全冗余全分布的系統(tǒng)結(jié)構(gòu)，系統(tǒng)各計算機節(jié)點配備完整的實時數(shù)據(jù)庫，安裝完整并相同的系統(tǒng)功能軟件包。系統(tǒng)取消主機主備狀態(tài)切換機制，采用服務隊列調(diào)度與切換機制，任一功能均采用服務管理機制進行服務調(diào)度和故障切換，每個服務均定義獨立的主機隊列，不同的服務相互獨立，互不影響。任一主機節(jié)點設備故障時，均可按預設切換策略進行故障切換處理。因此，任一臺硬件設備的故障都不會影響其他設備及系統(tǒng)的正常運行。

2.5 智能監(jiān)視與診斷

管控一體化平臺具備智能監(jiān)視與診斷功能。

智能監(jiān)視可根據(jù)報警策略進行智能分級報警，根據(jù)運行經(jīng)驗定制智能監(jiān)視策略。智能監(jiān)視平臺涵蓋所有的監(jiān)視對象，以滿足對電站設備的全監(jiān)全控要求。

智能診斷功能為所有的硬件、軟件建立診斷模型，診斷數(shù)據(jù)作為系統(tǒng)基礎數(shù)據(jù)采集，由智能診斷軟件進行診斷和分析。

2.6 高實時性

水電站工控一體化安全保護平臺充分考慮水電站的實時性要求，在基礎平臺提供分布式應用觸發(fā)機制?；诜植际綉糜|發(fā)機制建立的數(shù)據(jù)采集、實時數(shù)據(jù)庫處理、發(fā)電廠監(jiān)控、人機界面等功能可以分布到網(wǎng)絡的各個節(jié)點，實現(xiàn)各種應用之間的事件觸發(fā)和功能調(diào)用，從而保證系統(tǒng)的各種實時性指標。

2.7 分布式總線

水電站工控一體化安全保護平臺的分布式總線包括消息總線與服務總線，雙總線是應用系統(tǒng)和底層硬件及操作系統(tǒng)之間高效穩(wěn)健的中間件，有效隔離應用系統(tǒng)和底層系統(tǒng)。消息總線和服務總線是水電站工控一體化安全保護平臺重要組成部分，提供可靠通用的信息交互機制。消息總線主要用于實時數(shù)據(jù)的高效傳輸。服務總線為面向服務的系統(tǒng)運行提供技術(shù)支撐，為應用平臺提供廣泛的信息交互支持。

2.8 可視化人機聯(lián)系

水電站工控一體化安全防護平臺，采用面向?qū)ο蟮男畔⒔M織和展示方式，實現(xiàn)所關(guān)聯(lián)對象的主要狀態(tài)顯示和報警顯示。

平臺支持最新的可視化技術(shù)，可利用三維技術(shù)表達水電站運行數(shù)據(jù)，使水電站的運行監(jiān)視和計算結(jié)果分析更加形象、直觀。

2.9 安全防護

水電站工控一體化安全防護平臺，采用在安全I 區(qū)與安全II 之間加裝正向隔離裝置，安全I 區(qū)內(nèi)使用可信計算等信息安全防護手段，確保平臺滿足《電力監(jiān)控系統(tǒng)安全防護總體方案》要求。同時，可信計算安全模塊在安全I 區(qū)的共生運行，為安全I區(qū)建立了主動防御機制，從源頭上排除了沒有經(jīng)過安全策略認證的代碼或設備的侵襲。

3 測試平臺搭建

為測試和驗證水電站工控一體化安全防護平臺的安全防護性能和宿主系統(tǒng)功能。按某巨型水電站信息平臺架構(gòu)搭建小型測試平臺進行性能和功能的測試。

水電站工控一體化安全防護測試平臺采用雙星型網(wǎng)絡結(jié)構(gòu)，服務器和工作站冗余配置，廠站層設備采用曙光和浪潮服務器，現(xiàn)地層配置一套施耐德PLC 和一套南大傲拓PLC 進行數(shù)據(jù)采集和現(xiàn)地控制服務。測試平臺網(wǎng)絡結(jié)構(gòu)簡圖如圖3。

圖3 水電站工控一體化安全防護測試平臺網(wǎng)絡結(jié)構(gòu)簡圖

水電站工控一體化安全防護平臺的宿主系統(tǒng)是自主可控的iP9000 水電站運管控一體化平臺[6]，可信安全模塊采用PCI-E 硬件密碼板卡形態(tài)的可信密碼模塊。平臺選用凝思操作系統(tǒng)，歷史數(shù)據(jù)庫選用達夢數(shù)據(jù)庫。

測試平臺廠站層的硬件環(huán)境、操作系統(tǒng)和歷史數(shù)據(jù)庫均選用自主可控品牌，主要目的一方面是測試基于可信安全防護的雙體系結(jié)構(gòu)水電站一體化安全防護平臺的防護安全性，對可信計算進行功能測試，測試基于可信計算技術(shù)的安全防護性能和效果；另一方面是在自主可控軟硬件環(huán)境下對水電站一體化平臺進行功能和性能測試，為水電站管控平臺的自主可控改造進行技術(shù)層面的摸底和測試，為自主可控化改造的順利進行鋪路。

4 結(jié)語

在水電站信息平臺“運管控一體化、智慧化”發(fā)展趨勢下，不同安全分區(qū)信息交互日益頻繁。

采用可信技術(shù)按照雙體系結(jié)構(gòu)構(gòu)建水電站一體化安全防護平臺，通過在水電站一體化平臺植入可信安全密碼模塊和可信軟件基，使平臺從硬件上電啟動開始即進行主動度量和監(jiān)控，達到一體化平臺主動免疫未知惡意代碼的攻擊、保障其他安全措施不被旁路的效果。

目前，采用iP9000 水電站工控系統(tǒng)一體化平臺和可信安全模塊雙體系結(jié)構(gòu)構(gòu)建的水電站一體化安全防護測試平臺已完成搭載水電站計算機監(jiān)控系統(tǒng)的測試，該測試中現(xiàn)地LCU 采用兩款PLC，其中一款為國產(chǎn)自主可控品牌，測試效果良好，已實現(xiàn)跨安全Ⅰ、Ⅱ區(qū)的主動安全防御。

測試平臺的測試結(jié)果將為某巨型水電站的監(jiān)控系統(tǒng)自主可控化改造提供建議和指導。