易亞文，王 鋒，陳 偉，張林枝

（向家壩水力發(fā)電廠，四川省宜賓市 644612）

0 引言

傳統(tǒng)繼電保護信息管理系統(tǒng)（以下簡稱保信系統(tǒng)）的工程師站主要采用Windows操作系統(tǒng)。該系統(tǒng)作為不開源系統(tǒng)，暴露出的后門以及NSA等事件，充分說明該系統(tǒng)存在不可控的信息安全隱患。2014年4月8日起，美國微軟公司宣布停止對Windows XP SP3操作系統(tǒng)提供服務支持，引起了社會的廣泛關注，加深了人們對信息安全的擔憂。同年8月1日，國家發(fā)展改革委頒布《電力監(jiān)控系統(tǒng)安全防護規(guī)定》[1]，對電力監(jiān)控系統(tǒng)的設備選型及配置提出嚴格要求，禁止選用經(jīng)國家相關管理部門檢測認定并經(jīng)國家能源局通報存在漏洞和風險的系統(tǒng)及設備，并對已投入運行的系統(tǒng)及設備提出整改要求。與此同時，基于Linux的安全操作系統(tǒng)快速發(fā)展，并逐步實現(xiàn)了國產(chǎn)化，其安全性也得到了較大地提升。2017年，向家壩水電站開始推進國產(chǎn)安全操作系統(tǒng)在保信系統(tǒng)中的應用，完成以操作系統(tǒng)替換為主要內(nèi)容的安全防護整改工作。本文分析原繼電保護信息系統(tǒng)的安全防護狀況，介紹技術改進方案，結(jié)合安全操作系統(tǒng)的特點和運維經(jīng)驗，提出基于安全操作系統(tǒng)的主機加固方法，并分析改進后保信系統(tǒng)的優(yōu)缺點。

1 保信系統(tǒng)結(jié)構安全防護優(yōu)化

向家壩水電站保信系統(tǒng)由南瑞繼保生產(chǎn)制造。該系統(tǒng)獨立于電站監(jiān)控系統(tǒng)網(wǎng)絡，由繼電保護裝置、PCS-9798A保護信息管理裝置、現(xiàn)地工程師站、調(diào)度主站等組網(wǎng)構成，系統(tǒng)結(jié)構如圖1所示。電站相關的發(fā)電機保護、變壓器保護等串口保護裝置經(jīng)RCS-9784A規(guī)約轉(zhuǎn)換器接入繼電保護信息系統(tǒng)通信網(wǎng)絡（以下簡稱保信子網(wǎng)）。500kV開關站相關的母線保護、線路保護、斷路器保護等網(wǎng)口保護裝置直接接入保信子網(wǎng)。 PCS-9798A保護信息管理裝置處于站控層，是保信系統(tǒng)的通信及數(shù)據(jù)存貯裝置，對上以IEC104規(guī)約與調(diào)度主站、現(xiàn)地工程師站通信，對下以IEC103規(guī)約與繼電保護裝置通信，實現(xiàn)全站繼電保護裝置與調(diào)度主站、現(xiàn)地工程師站之間的通信轉(zhuǎn)接及規(guī)約轉(zhuǎn)換。

圖1 原保信系統(tǒng)結(jié)構示意圖Fig.1 Schematic diagram of the original Relay protection information management system

1.1 保信系統(tǒng)結(jié)構安全分析

按照國家信息安全等級保護的要求，電力監(jiān)控系統(tǒng)應堅持“安全分區(qū)，網(wǎng)絡專用，橫向隔離，縱向認證”的原則。

安全分區(qū)是電力系統(tǒng)監(jiān)控系統(tǒng)安全防護體系的結(jié)構基礎。向家壩電站保信系統(tǒng)被劃分至生產(chǎn)控制大區(qū)，其中，間隔層的繼電保護裝置被劃分至控制區(qū)（安全區(qū)Ⅰ），站控層設備如保護信息管理裝置、現(xiàn)地工程師站等被劃分至非控制區(qū)（安全區(qū)Ⅱ）。生產(chǎn)控制大區(qū)與管理信息大區(qū)沒有縱向交叉聯(lián)接，滿足安全防護要求。

網(wǎng)絡專用是指電力調(diào)度數(shù)據(jù)網(wǎng)應當在專用通道上使用獨立的網(wǎng)絡設備組網(wǎng)。向家壩電站保信系統(tǒng)的相關設備通過專用的保信子網(wǎng)聯(lián)接，在物理層面上與梯級調(diào)度監(jiān)控系統(tǒng)、電能量計量系統(tǒng)等的數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)完全隔離，滿足安全防護要求。

橫向隔離是電力二次安全防護體系的橫向防線，應采用不同強度的安全設備隔離各安全區(qū)。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應采用具有訪問控制功能的網(wǎng)絡設備、防火墻或者相當功能的設施，實現(xiàn)邏輯隔離。向家壩電站保信系統(tǒng)的間隔層設備與站控層設備分屬于生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)Ⅰ和安全區(qū)Ⅱ，但是沒有設計、安裝橫向隔離設備，不滿足安全防護要求。

縱向認證是電力二次安全防護體系的縱向防線，采用認證、加密、訪問控制等技術措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護。向家壩水電站保信系統(tǒng)沒有與廣域網(wǎng)縱向連接，不需為此設計、安裝縱向加密認證裝置。

1.2 保信系統(tǒng)結(jié)構優(yōu)化

從安全防護的角度看，向家壩水電站保信系統(tǒng)結(jié)構的主要問題是缺少橫向隔離裝置。從運行實踐來看，該系統(tǒng)還存在以下不足：

（1）PCS-9798A裝置沒有冗余配置，正常運行方式下，該裝置不具備停運檢修的條件，一旦該裝置發(fā)生故障，將導致系統(tǒng)停運。

（2）PCS-9798A裝置對上向現(xiàn)地工程師站和調(diào)度主站傳輸數(shù)據(jù)，對下召喚全站130多套繼電保護裝置的數(shù)據(jù)，數(shù)據(jù)傳輸量大，頻繁出現(xiàn)數(shù)據(jù)傳輸失敗等現(xiàn)象，影響保信系統(tǒng)功能的發(fā)揮。

（3）故障錄波信息管理系統(tǒng)與保護信息管理系統(tǒng)完全獨立，故障錄波器的錄波信息不能通過保護信息管理系統(tǒng)查閱，用戶體驗不佳。

圖2 改進后保信系統(tǒng)結(jié)構示意圖Fig.2 Schematic diagram of the improved Relay protection information management system

為解決上述問題，向家壩保護信息系統(tǒng)進行了結(jié)構優(yōu)化設計，并完成現(xiàn)場設備改造。如圖2所示，改進后的保護信息管理系統(tǒng)新增一套PCS-9798A保護信息管理裝置和兩套防火墻裝置。原PCS-9798A保護信息裝置為裝置1，新增PCS-9798A保護信息裝置為裝置2。裝置1對上接入主站系統(tǒng)，對下經(jīng)防火墻1接入保信子網(wǎng)，實現(xiàn)主站系統(tǒng)與保護裝置之間的數(shù)據(jù)通信。裝置2對上接入繼電保護工程師站，對下分別經(jīng)防火墻1接入保信子網(wǎng)，經(jīng)防火墻2接入故障錄波信息管理系統(tǒng)網(wǎng)絡（簡稱故錄子網(wǎng)），實現(xiàn)繼電保護工程師站與保護裝置、故障錄波裝置之間的數(shù)據(jù)通信。

新增的保護信息管理裝置實現(xiàn)了該系統(tǒng)核心設備的冗余配置，且解決了數(shù)據(jù)傳輸失敗的問題。新增的兩個防火墻實現(xiàn)了安全區(qū)I和安全區(qū)II設備的橫向隔離，同時也將故錄子網(wǎng)與保信子網(wǎng)進行了有效隔離。

2 操作系統(tǒng)替換及安全加固

向家壩水電站保信系統(tǒng)的現(xiàn)地工程師站采用Window操作系統(tǒng)，運維時，多采取安裝殺毒軟件、定期更新病毒庫、定期安全加固等通用安全防護措施，未發(fā)生信息安全事件。但是，作為系統(tǒng)軟件中最基礎部分的操作系統(tǒng)，其安全問題的解決是關鍵中之關鍵[2]。Windows操作系統(tǒng)的源碼不公開，無法對其進行分析，不能排除其中存在著人為“陷阱”。而且，已經(jīng)發(fā)現(xiàn)Windows操作系統(tǒng)存在追蹤用戶ID的“后門”，盡管微軟公司已經(jīng)發(fā)布“后門”補丁，但仍難消除安全顧慮。事實表明，某些廠站保信系統(tǒng)的Windows操作系統(tǒng)主機被發(fā)現(xiàn)感染病毒，導致調(diào)度主站難以正常采集現(xiàn)場信息，降低了故障排查和恢復送電效率，給電網(wǎng)的安全穩(wěn)定運行造成了較大影響。

Linux操作系統(tǒng)是20世紀90年代在UNIX操作系統(tǒng)的基礎上形成的。依據(jù)美國可信計算機系統(tǒng)評價標準[3]，Linux的安全性大致處于C2級[4]。但是，基于其開放源碼的背景，在對信息安全的迫切需求下，Linux的安全性取得了較快的改進。我國也發(fā)展了具有自主版權的安全操作系統(tǒng)，如凝思操作系統(tǒng)、中標麒麟操作系統(tǒng)等，這些安全操作系統(tǒng)的安全性已經(jīng)達到相關標準的要求。依據(jù)《電力監(jiān)控系統(tǒng)安全防護規(guī)定》對電力監(jiān)控系統(tǒng)的設備選型及配置的要求，向家壩水電站在保信系統(tǒng)安全防護結(jié)構優(yōu)化的基礎上，于2018年5月將現(xiàn)地工程師站所采用的Windows操作系統(tǒng)替換為國產(chǎn)凝思安全操作系統(tǒng)，解決了安全問題的關鍵。

2.1 凝思安全操作系統(tǒng)的特點

向家壩水電站改進后的保信系統(tǒng)采用凝思安全操作系統(tǒng)。該系統(tǒng)是北京凝思自主研發(fā)、擁有完全自主知識產(chǎn)權的操作系統(tǒng)。對照GA/T 388—2002《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求》[5]，該系統(tǒng)的身份鑒別、自主訪問控制、標記、強制訪問控制、客體重用、審計、數(shù)據(jù)完整性、隱蔽通道分析、可信路徑等安全功能達到第四級結(jié)構化保護級的要求。

凝思安全操作系統(tǒng)的核心實現(xiàn)是通過安全模塊來完成的，系統(tǒng)中所有的資源請求都受到安全模塊的監(jiān)控和限制。該系統(tǒng)提供了多種強制性安全保護機制，包括強制訪問控制、強制行為控制、強制能力控制。強制訪問控制主要利用BIBA完整性模型和BLP機密性保護模型保護敏感數(shù)據(jù)的訪問。強制行為控制主要利用程序的路徑特征限制程序?qū)ξ募脑L問。強制能力控制主要將特權細分成不同的能力，從而避免因挾持特權進程而產(chǎn)生的安全威脅。

凝思安全操作系統(tǒng)設置系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員、審計管理員等4個分權管理員，以實現(xiàn)等保四級中的最小特權原則。系統(tǒng)管理員主要完成系統(tǒng)設備的管理，網(wǎng)絡管理員主要完成網(wǎng)絡的管理，安全管理員主要完成系統(tǒng)用戶的管理，審計管理員用于管理審計信息。各個管理員都不能控制整個系統(tǒng)，他們之間相互牽制，相互制約，能夠防止管理員因疏忽而削弱整個系統(tǒng)的安全性。

2.2 操作系統(tǒng)安全加固

基于凝思安全操作系統(tǒng)的保信系統(tǒng)在投入實際運行時，應當對操作系統(tǒng)進行安全加固，主要內(nèi)容如下：

（1）身份鑒別。系統(tǒng)是否對登錄系統(tǒng)的用戶進行身份鑒別，且密碼是否加密存儲；密碼的有效期是否小于90天，密碼長度是否大于8位，且為字母、數(shù)字或特殊字符的混合組合；用戶名和口令是否相同，密碼策略是否啟用；是否啟用登錄失敗處理功能，即嘗試錯誤密碼多少次后鎖定賬戶多長時間；是否為不同用戶分配不同的用戶名以確保用戶名具有唯一性；應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。

（2）訪問控制。系統(tǒng)是否根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限；檢查umask值是否為027；是否存在多余的不必要用戶；對重要信息資源設置敏感標記，使系統(tǒng)整體支持強制訪問控制機制。

（3）安全審計。系統(tǒng)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶；審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)重要安全相關事件；審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；保護審計記錄，避免受到未預期的刪除、修改或覆蓋；能夠通過操作系統(tǒng)自身功能或第三方工具根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；保護審計進程，避免受到未預期的中斷。

（4）入侵防范。系統(tǒng)應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時報警；應能夠?qū)χ匾绦虻耐暾赃M行檢測，并具有完整性恢復的能力。

（5）資源控制。系統(tǒng)應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄；應根據(jù)安全策略設置登錄終端的操作超時鎖定；應根據(jù)需要限制單個用戶對系統(tǒng)資源的最大或最小使用限度；應關閉或拆除主機的軟盤驅(qū)動、光盤驅(qū)動、USB接口、串行口等，確需保留的應嚴格管理。

（6）網(wǎng)絡服務。系統(tǒng)應禁止不必要的用戶登錄FTP服務；應關閉SNMP或修改SNMP默認community。

3 結(jié)束語

向家壩水電站保信系統(tǒng)完成系統(tǒng)結(jié)構優(yōu)化和工程師站主機操作系統(tǒng)技術改造后，運行工況良好，表現(xiàn)出如下優(yōu)點：

（1）用國產(chǎn)凝思安全操作系統(tǒng)替代Windows操作系統(tǒng)，解決了系統(tǒng)的關鍵安全問題，對常見病毒具有天然的免疫能力，安全性能得到極大地提升，而且占用主機資源較少，運行穩(wěn)定性高；運維人員也省去更新病毒庫、打補丁、定期查殺毒等的工作。

（2）增加防火墻，實現(xiàn)間隔層（安全區(qū)Ⅰ）和站控層（安全區(qū)Ⅱ）的橫向隔離，增強了網(wǎng)絡邊界防護能力。

（3）系統(tǒng)的核心設備保護信息管理裝置實現(xiàn)雙冗余，確保裝置故障處理和停電檢修不影響整個系統(tǒng)的運行。且兩套保護信息管理裝置分別接入現(xiàn)地工程師站和調(diào)度主站，提高了數(shù)據(jù)傳輸?shù)牧鲿承?，解決了數(shù)據(jù)傳輸失敗的問題。

（4）故障錄波器通過獨立的故錄子網(wǎng)經(jīng)防火墻接入保信系統(tǒng)，既滿足橫向隔離要求，又為保護動作分析提供便利。

技術改造后的保信系統(tǒng)的主要不足體現(xiàn)在操作系統(tǒng)方面：

（1）國產(chǎn)安全操作系統(tǒng)占據(jù)的市場份額較小，生態(tài)環(huán)境有限，基于該系統(tǒng)的硬件驅(qū)動軟件和應用軟件較少，限制了系統(tǒng)的可擴展性和應用便利性。

（2）國產(chǎn)安全操作系統(tǒng)基于開源代碼開發(fā)形成，如果說Windows操作系統(tǒng)是一個黑匣子，那么國產(chǎn)安全系統(tǒng)就如同一個透明的玻璃瓶，其安全性存在天然的不足，需要不斷健全其安全機制，提升安全性能。

（3）基于國產(chǎn)安全操作系統(tǒng)的防病毒軟件仍沒有成熟的應用，該系統(tǒng)在沒有安裝防病毒軟件的情況下運行，防病毒入侵的能力依然堪憂。

（4）由于操作系統(tǒng)本身的原因，主機斷電重啟后可能導致系統(tǒng)無法開啟，因此對主機的供電可靠性提出很高要求。而且，系統(tǒng)重啟后，需要檢查系統(tǒng)的umask值是否為027，因為 umask 027命令只能臨時修改，重啟可能失效，影響訪問控制。

（5）國產(chǎn)安全操作系統(tǒng)在辦公和日常生活中應用較少，且部分操作為命令行操作，對運維人員的技能水平提出較高要求。

綜上所述，向家壩水電站基于國產(chǎn)安全操作系統(tǒng)的保信系統(tǒng)符合電力監(jiān)控系統(tǒng)安全防護規(guī)定，實際應用狀況良好。國產(chǎn)安全操作系統(tǒng)曾經(jīng)受產(chǎn)業(yè)生態(tài)環(huán)境影響，發(fā)展緩慢，存在一定的不足，但是，隨著社會對安全防護認知的提升，以及電力行業(yè)對國產(chǎn)安全操作系統(tǒng)的應用普及，國產(chǎn)安全操作系統(tǒng)將迎來新的發(fā)展機遇，其安全技術水平將會取得新的進步。