董金丹，譚佳文，張文韜，黃鵬輝，夏國強，李文馨，吳 桐

（1.北京中水科水電科技開發(fā)有限公司，北京 100038；2.三峽水力發(fā)電廠，湖北 宜昌 443133）

三峽電源電站是三峽電站廠用電骨干主力電源，也是三峽電站唯一的黑啟動電源，對電力系統(tǒng)安全穩(wěn)定運行至關(guān)重要。作為國家重要電力基礎(chǔ)設(shè)施，其為境外恐怖組織和敵對勢力的主要入侵目標，在保證水電站的基礎(chǔ)電力生產(chǎn)和防洪度汛功能基礎(chǔ)上，增強計算機監(jiān)控系統(tǒng)數(shù)據(jù)信息傳輸?shù)陌踩院涂煽啃裕乐剐畔⑿孤逗蛿?shù)據(jù)篡改成為三峽電站建設(shè)世界一流信息安全型電站的重要訴求[1]。

隨著國內(nèi)信息技術(shù)的發(fā)展，可信計算和基于國密的標識認證加密算法作為新一代網(wǎng)絡(luò)安防技術(shù)，越來越多的應(yīng)用于重要行業(yè)工控系統(tǒng)[2，3]。三峽電站在三峽集團流域梯級電站中率先實現(xiàn)了這兩種技術(shù)的示范應(yīng)用，于電源電站計算機監(jiān)控系統(tǒng)中完成了應(yīng)用適配研究與系統(tǒng)集成，構(gòu)建了強信息安全型、主動免疫型網(wǎng)絡(luò)安防體系，極大降低系統(tǒng)數(shù)據(jù)泄露、信息擾亂及惡意篡改的風險。

1 電源電站計算機監(jiān)控系統(tǒng)

電源電站計算機監(jiān)控系統(tǒng)的網(wǎng)絡(luò)主要分為兩層：電站主控層和現(xiàn)地控制層，電站主控層主要包含服務(wù)器、網(wǎng)絡(luò)設(shè)備和外圍設(shè)備，現(xiàn)地控制層包括兩套機組現(xiàn)地控制單元和一套公用現(xiàn)地單元。電源電站共有采集服務(wù)器2 臺、工程師站1 臺、移動式工作站1 臺、加密服務(wù)器1 臺以及可信服務(wù)器1 臺，通過信息網(wǎng)交換機和控制網(wǎng)交換機組成了冗余星型網(wǎng)絡(luò)。其中，可信和加密服務(wù)器分別部署了各自系統(tǒng)的管理平臺，實現(xiàn)可信和加密的設(shè)備注冊、策略管理、日志審計等功能。

該計算機監(jiān)控系統(tǒng)實現(xiàn)了主要核心軟硬件的自主可控，硬件采用了中科可控服務(wù)器（海光CPU）、瑞斯康達交換機、S.CTG 系列大型PLC、國立智能同期裝置等國產(chǎn)自主可控設(shè)備，軟件采用了凝思操作系統(tǒng)、中水科技IP9000 系統(tǒng)、達夢數(shù)據(jù)庫及各種國產(chǎn)組態(tài)軟件。在保證計算機監(jiān)控系統(tǒng)的可用性、可靠性和穩(wěn)定性的基礎(chǔ)上，實現(xiàn)了最大程度的自主可控。

2 可信防御系統(tǒng)

電源電站計算機監(jiān)控系統(tǒng)用戶交互頻繁、設(shè)備眾多，為保障控制系統(tǒng)穩(wěn)定運行，提高應(yīng)對外來惡意入侵的防御能力，采用了由北京可信華泰信息技術(shù)有限公司（下稱華泰信息）研發(fā)的可信防御系統(tǒng)，在極大的程度上解決應(yīng)用軟件防護薄弱、終端設(shè)備缺乏管控和系統(tǒng)安全無法保證的問題[4]。

2.1 可信計算

可信計算是在計算和通信過程中使用硬件安全模塊保障系統(tǒng)安全性的一種技術(shù)。目前可信計算已經(jīng)發(fā)展到了3.0 版本，能夠?qū)崿F(xiàn)主動免疫和主動防御?？尚庞嬎惆尚庞布ā⒖尚跑浖凸芾砥脚_三大部分，可信硬件卡是可信根，操作系統(tǒng)的啟動引導需要經(jīng)過可信硬件卡的驗證，而軟件應(yīng)用需要經(jīng)過可信軟件基和操作系統(tǒng)的認證，這種逐級驗證的機制，保證了系統(tǒng)的安全。

2.2 可信登錄安全

可信管理中心采用了用戶三權(quán)分立的方案來實現(xiàn)安全等級的提升。把單一集權(quán)的用戶分為了系統(tǒng)管理員、安全管理員、審計管理員三個用戶進行系統(tǒng)管理，每個用戶都有自己的負責內(nèi)容，不同用戶登錄管理平臺，平臺展示的操作界面和展示功能也不相同，實現(xiàn)真正的分權(quán)管理。同時，各個用戶還都有各自的Ukey，即使出現(xiàn)密碼意外泄露情況，沒有專用Ukey 也無法登錄用戶進行信息查看和修改，一定程度的提高了安全性。

2.3 維護系統(tǒng)安全穩(wěn)定運行

可信系統(tǒng)分為靜態(tài)度量、動態(tài)度量、文件完整性保護和進程保護四個方向進行進程和文件保護，極大程度上保障操作系統(tǒng)的進程、文件和路徑的安全性和穩(wěn)定性。

靜態(tài)度量：服務(wù)器必要路徑加白名單后，開啟可信系統(tǒng)靜態(tài)度量功能，加白路徑下新增的可執(zhí)行文件和模塊無法執(zhí)行成功，且該路徑下的執(zhí)行文件等加白內(nèi)容也無法隨意刪除，較大程度上實現(xiàn)路徑和文件保護。白名單路徑繼續(xù)新增可執(zhí)行文件，通過管理平臺或本機客戶端進行白名單策略庫更新，并把新增程序添加進白名單進行實現(xiàn)。靜態(tài)度量的度量對象包含配置文件、可執(zhí)行文件、庫函數(shù)等，最大程度完成加白路徑下各類文件的管控。

動態(tài)度量：動態(tài)度量主要監(jiān)控的內(nèi)容為內(nèi)存中的實時度量、監(jiān)控系統(tǒng)狀態(tài)以及進程狀態(tài)等實時狀態(tài)信息，具有較高的實時性。動態(tài)度量主要監(jiān)控方式為通過條件觸發(fā)和周期方式對系統(tǒng)進程、執(zhí)行代碼等重要信息進行監(jiān)視，保障系統(tǒng)進程、代碼正常穩(wěn)定運行。可信日志系統(tǒng)能夠記錄上報系統(tǒng)受到外來攻擊的詳細信息，較大的提高系統(tǒng)安全性。

文件完整性保護：開啟文件完整性保護功能，設(shè)置文件的保護類型到配置中，可實現(xiàn)不同命令對同文件的讀寫權(quán)限管理。設(shè)置為只讀權(quán)限的命令進行文件訪問時，顯示權(quán)限不夠，不允許修改文件。

進程保護：在進程保護配置中加入需要保護的進程和其路徑，進行進程保護。進程保護功能生效時，受到保護的進程無法被kill，防止了人為的誤停操作和外來入侵的惡意操作，一定程度上維護了系統(tǒng)進程穩(wěn)定運行。

2.4 日志管控和文件備份

登錄審計管理員用戶，可查看啟動度量日志、白名單日志、動態(tài)度量日志、文件訪問控制日志、告警日志、登錄日志和操作日志，日志都會記錄詳細的時間和操作以及操作主體。為了方便日常問題日志查找，不同日志都可進行度量對象、結(jié)果、主客體為查詢對象的特定日志內(nèi)容查詢。除了日志管控來方便問題查找處理外，還設(shè)計了文件備份功能，以防文件被篡改或意外刪除無備份問題，若出現(xiàn)相關(guān)情況，可通過執(zhí)行文件還原功能去快速恢復文件，保證系統(tǒng)穩(wěn)定運行。

2.5 可信性能功能測試總結(jié)

可信系統(tǒng)于2022年10月進行了基礎(chǔ)性能測試，并在2023 年5 月完成電源電站現(xiàn)場投運，在此期間多次進行了功能和性能測試，數(shù)據(jù)相對穩(wěn)定，取其中一次性能測試結(jié)果作為參考得出以下總結(jié)：

（1）可信加固對程序執(zhí)行時間影響較?。簩ξ催M行可信加固和完成可信加固的傲拓CPU 分別進行可信對程序執(zhí)行時間測試，使用time 命令測試md5sum 和sort 執(zhí)行10 000 次時間，結(jié)果表明加固前與加固后所耗費時間幾乎一致，說明可信在維護系統(tǒng)穩(wěn)定的同時并不會影響程序執(zhí)行時間。

（2）可信加固對系統(tǒng)基準性能影響?。簩蓚€只有是否安裝可信區(qū)分的傲拓CPU 進行單線程和2 線程測試，未安裝可信的CPU 單線程測試結(jié)果平均為230，2 線程的為311.87，而安裝了可信的CPU 單線程測試結(jié)果為227.47，2 線程為307.73。由此可看出線程數(shù)數(shù)據(jù)無明顯差值，波動在2%左右，說明可信在使用過程中對系統(tǒng)基準性能影響較小。

（3）可信加固不會減慢磁盤讀寫速度：使用iozone 針對不同record 大小（1 k～8 k）對文件系統(tǒng)進行讀寫速度測試。采用1、128、1 024、8 192 不同字節(jié)進行有無進行可信加固讀寫速度測試時，得出具體平均數(shù)據(jù)為：12 816、25 643、25 957、25 960 和12 652、25 680、25 574、24 937。由此可看出磁盤讀寫速度在個別點偶有下降，但整體穩(wěn)定波動不大，說明可信并不會使磁盤讀寫速度大幅度減慢。

3 國密高速IBC 標識認證加密系統(tǒng)

3.1 平臺功能應(yīng)用

國密高速IBC 標識認證加密系統(tǒng)可分為標識密碼管理平臺和終端SDK 兩個部分，其主要功能如下：

（1）標識密碼管理平臺

1）標識密鑰申請與導入、數(shù)字簽名；

2）密鑰生成中心封裝、標識注冊中心封裝；

3）設(shè)備標識管理，包括設(shè)備標識的導入、查詢、歸檔、注銷；

4）服務(wù)發(fā)布、設(shè)備認證、設(shè)備標識導入、密鑰矩陣分發(fā)、密鑰申請、密鑰恢復、密鑰更新、密鑰注銷。

（2）終端SDK

1）隨機數(shù)生成、非對稱密鑰對生成、對稱密鑰生成、SM2 加密、解密、簽名、驗簽、SM4 加密、解密、SM3、標識密鑰計算；

2）密碼服務(wù)定位、入網(wǎng)認證、下載公鑰矩陣、申請密鑰對、更新密鑰對、密鑰恢復；

3）身份認證申請、身份認證；

4）數(shù)據(jù)加密、數(shù)據(jù)解密；

5）數(shù)據(jù)簽名、簽名驗簽；

6）抗抵賴加密、抗抵賴解密；

7）client 連接、Server 接收。

3.2 平臺特色

（1）國產(chǎn)自主可控。國密高速IBC 標識認證加密系統(tǒng)完全符合自主可控的要求，從硬件加密卡到軟件管理平臺等都為漁翁信息自主研發(fā)的國產(chǎn)產(chǎn)品。在電源電站現(xiàn)場實際環(huán)境中，其適配性良好，兼容各種國產(chǎn)服務(wù)器、操作系統(tǒng)和PLC，符合現(xiàn)場實際需求。

（2）去中心化。與傳統(tǒng)的PKL 體系相比，國密高速IBC 標識認證加密系統(tǒng)實現(xiàn)了去中心化。無需CA 證書頒發(fā)中心，只需在管理中心進行一次注冊，即可實現(xiàn)設(shè)備之間的標識身份鑒別。

（3）界面簡潔。管理中心操作界面簡潔，注冊流程簡單，便于后期維護。通過高度封裝的接口和服務(wù)平臺的開發(fā)較大程度上降低了認證加密算法的復雜性。

（4）安全可靠。采用國密高速IBC 標識認證加密系統(tǒng)使用硬件密碼設(shè)備保存系統(tǒng)密鑰數(shù)據(jù)，該系統(tǒng)不會單獨對用戶的密鑰等重要數(shù)據(jù)進行儲存，一定程度的減少了敏感信息泄露的可能性。同時，若出現(xiàn)數(shù)據(jù)丟失等意外情況時，系統(tǒng)支持數(shù)據(jù)備份和密鑰備份的恢復，減少了突發(fā)情況導致數(shù)據(jù)缺失的可能。

4 結(jié)語

三峽電源電站計算機監(jiān)控系統(tǒng)通過部署可信防御系統(tǒng)和國密高速IBC 標識認證加密系統(tǒng)，建立了強而有效的信息安全保護屏障，實現(xiàn)了防誤操作、防入侵、防篡改的“三防”策略，極大程度地提高了電站數(shù)據(jù)傳輸安全性和系統(tǒng)運行穩(wěn)定性，解決了內(nèi)部系統(tǒng)防御薄弱、設(shè)備終端間數(shù)據(jù)傳輸安全程度低、終端缺少管控的問題，構(gòu)建了新一代水電站計算機監(jiān)控系統(tǒng)網(wǎng)絡(luò)安防體系的案例模板。