董金丹，譚佳文，張文韜，黃鵬輝，夏國(guó)強(qiáng)，李文馨，吳 桐

（1.北京中水科水電科技開(kāi)發(fā)有限公司，北京 100038；2.三峽水力發(fā)電廠，湖北 宜昌 443133）

三峽電源電站是三峽電站廠用電骨干主力電源，也是三峽電站唯一的黑啟動(dòng)電源，對(duì)電力系統(tǒng)安全穩(wěn)定運(yùn)行至關(guān)重要。作為國(guó)家重要電力基礎(chǔ)設(shè)施，其為境外恐怖組織和敵對(duì)勢(shì)力的主要入侵目標(biāo)，在保證水電站的基礎(chǔ)電力生產(chǎn)和防洪度汛功能基礎(chǔ)上，增強(qiáng)計(jì)算機(jī)監(jiān)控系統(tǒng)數(shù)據(jù)信息傳輸?shù)陌踩院涂煽啃?，防止信息泄露和?shù)據(jù)篡改成為三峽電站建設(shè)世界一流信息安全型電站的重要訴求[1]。

隨著國(guó)內(nèi)信息技術(shù)的發(fā)展，可信計(jì)算和基于國(guó)密的標(biāo)識(shí)認(rèn)證加密算法作為新一代網(wǎng)絡(luò)安防技術(shù)，越來(lái)越多的應(yīng)用于重要行業(yè)工控系統(tǒng)[2，3]。三峽電站在三峽集團(tuán)流域梯級(jí)電站中率先實(shí)現(xiàn)了這兩種技術(shù)的示范應(yīng)用，于電源電站計(jì)算機(jī)監(jiān)控系統(tǒng)中完成了應(yīng)用適配研究與系統(tǒng)集成，構(gòu)建了強(qiáng)信息安全型、主動(dòng)免疫型網(wǎng)絡(luò)安防體系，極大降低系統(tǒng)數(shù)據(jù)泄露、信息擾亂及惡意篡改的風(fēng)險(xiǎn)。

1 電源電站計(jì)算機(jī)監(jiān)控系統(tǒng)

電源電站計(jì)算機(jī)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)主要分為兩層：電站主控層和現(xiàn)地控制層，電站主控層主要包含服務(wù)器、網(wǎng)絡(luò)設(shè)備和外圍設(shè)備，現(xiàn)地控制層包括兩套機(jī)組現(xiàn)地控制單元和一套公用現(xiàn)地單元。電源電站共有采集服務(wù)器2 臺(tái)、工程師站1 臺(tái)、移動(dòng)式工作站1 臺(tái)、加密服務(wù)器1 臺(tái)以及可信服務(wù)器1 臺(tái)，通過(guò)信息網(wǎng)交換機(jī)和控制網(wǎng)交換機(jī)組成了冗余星型網(wǎng)絡(luò)。其中，可信和加密服務(wù)器分別部署了各自系統(tǒng)的管理平臺(tái)，實(shí)現(xiàn)可信和加密的設(shè)備注冊(cè)、策略管理、日志審計(jì)等功能。

該計(jì)算機(jī)監(jiān)控系統(tǒng)實(shí)現(xiàn)了主要核心軟硬件的自主可控，硬件采用了中科可控服務(wù)器（海光CPU）、瑞斯康達(dá)交換機(jī)、S.CTG 系列大型PLC、國(guó)立智能同期裝置等國(guó)產(chǎn)自主可控設(shè)備，軟件采用了凝思操作系統(tǒng)、中水科技IP9000 系統(tǒng)、達(dá)夢(mèng)數(shù)據(jù)庫(kù)及各種國(guó)產(chǎn)組態(tài)軟件。在保證計(jì)算機(jī)監(jiān)控系統(tǒng)的可用性、可靠性和穩(wěn)定性的基礎(chǔ)上，實(shí)現(xiàn)了最大程度的自主可控。

2 可信防御系統(tǒng)

電源電站計(jì)算機(jī)監(jiān)控系統(tǒng)用戶交互頻繁、設(shè)備眾多，為保障控制系統(tǒng)穩(wěn)定運(yùn)行，提高應(yīng)對(duì)外來(lái)惡意入侵的防御能力，采用了由北京可信華泰信息技術(shù)有限公司（下稱華泰信息）研發(fā)的可信防御系統(tǒng)，在極大的程度上解決應(yīng)用軟件防護(hù)薄弱、終端設(shè)備缺乏管控和系統(tǒng)安全無(wú)法保證的問(wèn)題[4]。

2.1 可信計(jì)算

可信計(jì)算是在計(jì)算和通信過(guò)程中使用硬件安全模塊保障系統(tǒng)安全性的一種技術(shù)。目前可信計(jì)算已經(jīng)發(fā)展到了3.0 版本，能夠?qū)崿F(xiàn)主動(dòng)免疫和主動(dòng)防御?？尚庞?jì)算包括可信硬件卡、可信軟件基和管理平臺(tái)三大部分，可信硬件卡是可信根，操作系統(tǒng)的啟動(dòng)引導(dǎo)需要經(jīng)過(guò)可信硬件卡的驗(yàn)證，而軟件應(yīng)用需要經(jīng)過(guò)可信軟件基和操作系統(tǒng)的認(rèn)證，這種逐級(jí)驗(yàn)證的機(jī)制，保證了系統(tǒng)的安全。

2.2 可信登錄安全

可信管理中心采用了用戶三權(quán)分立的方案來(lái)實(shí)現(xiàn)安全等級(jí)的提升。把單一集權(quán)的用戶分為了系統(tǒng)管理員、安全管理員、審計(jì)管理員三個(gè)用戶進(jìn)行系統(tǒng)管理，每個(gè)用戶都有自己的負(fù)責(zé)內(nèi)容，不同用戶登錄管理平臺(tái)，平臺(tái)展示的操作界面和展示功能也不相同，實(shí)現(xiàn)真正的分權(quán)管理。同時(shí)，各個(gè)用戶還都有各自的Ukey，即使出現(xiàn)密碼意外泄露情況，沒(méi)有專用Ukey 也無(wú)法登錄用戶進(jìn)行信息查看和修改，一定程度的提高了安全性。

2.3 維護(hù)系統(tǒng)安全穩(wěn)定運(yùn)行

可信系統(tǒng)分為靜態(tài)度量、動(dòng)態(tài)度量、文件完整性保護(hù)和進(jìn)程保護(hù)四個(gè)方向進(jìn)行進(jìn)程和文件保護(hù)，極大程度上保障操作系統(tǒng)的進(jìn)程、文件和路徑的安全性和穩(wěn)定性。

靜態(tài)度量：服務(wù)器必要路徑加白名單后，開(kāi)啟可信系統(tǒng)靜態(tài)度量功能，加白路徑下新增的可執(zhí)行文件和模塊無(wú)法執(zhí)行成功，且該路徑下的執(zhí)行文件等加白內(nèi)容也無(wú)法隨意刪除，較大程度上實(shí)現(xiàn)路徑和文件保護(hù)。白名單路徑繼續(xù)新增可執(zhí)行文件，通過(guò)管理平臺(tái)或本機(jī)客戶端進(jìn)行白名單策略庫(kù)更新，并把新增程序添加進(jìn)白名單進(jìn)行實(shí)現(xiàn)。靜態(tài)度量的度量對(duì)象包含配置文件、可執(zhí)行文件、庫(kù)函數(shù)等，最大程度完成加白路徑下各類文件的管控。

動(dòng)態(tài)度量：動(dòng)態(tài)度量主要監(jiān)控的內(nèi)容為內(nèi)存中的實(shí)時(shí)度量、監(jiān)控系統(tǒng)狀態(tài)以及進(jìn)程狀態(tài)等實(shí)時(shí)狀態(tài)信息，具有較高的實(shí)時(shí)性。動(dòng)態(tài)度量主要監(jiān)控方式為通過(guò)條件觸發(fā)和周期方式對(duì)系統(tǒng)進(jìn)程、執(zhí)行代碼等重要信息進(jìn)行監(jiān)視，保障系統(tǒng)進(jìn)程、代碼正常穩(wěn)定運(yùn)行?？尚湃罩鞠到y(tǒng)能夠記錄上報(bào)系統(tǒng)受到外來(lái)攻擊的詳細(xì)信息，較大的提高系統(tǒng)安全性。

文件完整性保護(hù)：開(kāi)啟文件完整性保護(hù)功能，設(shè)置文件的保護(hù)類型到配置中，可實(shí)現(xiàn)不同命令對(duì)同文件的讀寫(xiě)權(quán)限管理。設(shè)置為只讀權(quán)限的命令進(jìn)行文件訪問(wèn)時(shí)，顯示權(quán)限不夠，不允許修改文件。

進(jìn)程保護(hù)：在進(jìn)程保護(hù)配置中加入需要保護(hù)的進(jìn)程和其路徑，進(jìn)行進(jìn)程保護(hù)。進(jìn)程保護(hù)功能生效時(shí)，受到保護(hù)的進(jìn)程無(wú)法被kill，防止了人為的誤停操作和外來(lái)入侵的惡意操作，一定程度上維護(hù)了系統(tǒng)進(jìn)程穩(wěn)定運(yùn)行。

2.4 日志管控和文件備份

登錄審計(jì)管理員用戶，可查看啟動(dòng)度量日志、白名單日志、動(dòng)態(tài)度量日志、文件訪問(wèn)控制日志、告警日志、登錄日志和操作日志，日志都會(huì)記錄詳細(xì)的時(shí)間和操作以及操作主體。為了方便日常問(wèn)題日志查找，不同日志都可進(jìn)行度量對(duì)象、結(jié)果、主客體為查詢對(duì)象的特定日志內(nèi)容查詢。除了日志管控來(lái)方便問(wèn)題查找處理外，還設(shè)計(jì)了文件備份功能，以防文件被篡改或意外刪除無(wú)備份問(wèn)題，若出現(xiàn)相關(guān)情況，可通過(guò)執(zhí)行文件還原功能去快速恢復(fù)文件，保證系統(tǒng)穩(wěn)定運(yùn)行。

2.5 可信性能功能測(cè)試總結(jié)

可信系統(tǒng)于2022年10月進(jìn)行了基礎(chǔ)性能測(cè)試，并在2023 年5 月完成電源電站現(xiàn)場(chǎng)投運(yùn)，在此期間多次進(jìn)行了功能和性能測(cè)試，數(shù)據(jù)相對(duì)穩(wěn)定，取其中一次性能測(cè)試結(jié)果作為參考得出以下總結(jié)：

（1）可信加固對(duì)程序執(zhí)行時(shí)間影響較小：對(duì)未進(jìn)行可信加固和完成可信加固的傲拓CPU 分別進(jìn)行可信對(duì)程序執(zhí)行時(shí)間測(cè)試，使用time 命令測(cè)試md5sum 和sort 執(zhí)行10 000 次時(shí)間，結(jié)果表明加固前與加固后所耗費(fèi)時(shí)間幾乎一致，說(shuō)明可信在維護(hù)系統(tǒng)穩(wěn)定的同時(shí)并不會(huì)影響程序執(zhí)行時(shí)間。

（2）可信加固對(duì)系統(tǒng)基準(zhǔn)性能影響小：對(duì)兩個(gè)只有是否安裝可信區(qū)分的傲拓CPU 進(jìn)行單線程和2 線程測(cè)試，未安裝可信的CPU 單線程測(cè)試結(jié)果平均為230，2 線程的為311.87，而安裝了可信的CPU 單線程測(cè)試結(jié)果為227.47，2 線程為307.73。由此可看出線程數(shù)數(shù)據(jù)無(wú)明顯差值，波動(dòng)在2%左右，說(shuō)明可信在使用過(guò)程中對(duì)系統(tǒng)基準(zhǔn)性能影響較小。

（3）可信加固不會(huì)減慢磁盤讀寫(xiě)速度：使用iozone 針對(duì)不同record 大小（1 k～8 k）對(duì)文件系統(tǒng)進(jìn)行讀寫(xiě)速度測(cè)試。采用1、128、1 024、8 192 不同字節(jié)進(jìn)行有無(wú)進(jìn)行可信加固讀寫(xiě)速度測(cè)試時(shí)，得出具體平均數(shù)據(jù)為：12 816、25 643、25 957、25 960 和12 652、25 680、25 574、24 937。由此可看出磁盤讀寫(xiě)速度在個(gè)別點(diǎn)偶有下降，但整體穩(wěn)定波動(dòng)不大，說(shuō)明可信并不會(huì)使磁盤讀寫(xiě)速度大幅度減慢。

3 國(guó)密高速IBC 標(biāo)識(shí)認(rèn)證加密系統(tǒng)

3.1 平臺(tái)功能應(yīng)用

國(guó)密高速IBC 標(biāo)識(shí)認(rèn)證加密系統(tǒng)可分為標(biāo)識(shí)密碼管理平臺(tái)和終端SDK 兩個(gè)部分，其主要功能如下：

（1）標(biāo)識(shí)密碼管理平臺(tái)

1）標(biāo)識(shí)密鑰申請(qǐng)與導(dǎo)入、數(shù)字簽名；

2）密鑰生成中心封裝、標(biāo)識(shí)注冊(cè)中心封裝；

3）設(shè)備標(biāo)識(shí)管理，包括設(shè)備標(biāo)識(shí)的導(dǎo)入、查詢、歸檔、注銷；

4）服務(wù)發(fā)布、設(shè)備認(rèn)證、設(shè)備標(biāo)識(shí)導(dǎo)入、密鑰矩陣分發(fā)、密鑰申請(qǐng)、密鑰恢復(fù)、密鑰更新、密鑰注銷。

（2）終端SDK

1）隨機(jī)數(shù)生成、非對(duì)稱密鑰對(duì)生成、對(duì)稱密鑰生成、SM2 加密、解密、簽名、驗(yàn)簽、SM4 加密、解密、SM3、標(biāo)識(shí)密鑰計(jì)算；

2）密碼服務(wù)定位、入網(wǎng)認(rèn)證、下載公鑰矩陣、申請(qǐng)密鑰對(duì)、更新密鑰對(duì)、密鑰恢復(fù)；

3）身份認(rèn)證申請(qǐng)、身份認(rèn)證；

4）數(shù)據(jù)加密、數(shù)據(jù)解密；

5）數(shù)據(jù)簽名、簽名驗(yàn)簽；

6）抗抵賴加密、抗抵賴解密；

7）client 連接、Server 接收。

3.2 平臺(tái)特色

（1）國(guó)產(chǎn)自主可控。國(guó)密高速IBC 標(biāo)識(shí)認(rèn)證加密系統(tǒng)完全符合自主可控的要求，從硬件加密卡到軟件管理平臺(tái)等都為漁翁信息自主研發(fā)的國(guó)產(chǎn)產(chǎn)品。在電源電站現(xiàn)場(chǎng)實(shí)際環(huán)境中，其適配性良好，兼容各種國(guó)產(chǎn)服務(wù)器、操作系統(tǒng)和PLC，符合現(xiàn)場(chǎng)實(shí)際需求。

（2）去中心化。與傳統(tǒng)的PKL 體系相比，國(guó)密高速IBC 標(biāo)識(shí)認(rèn)證加密系統(tǒng)實(shí)現(xiàn)了去中心化。無(wú)需CA 證書(shū)頒發(fā)中心，只需在管理中心進(jìn)行一次注冊(cè)，即可實(shí)現(xiàn)設(shè)備之間的標(biāo)識(shí)身份鑒別。

（3）界面簡(jiǎn)潔。管理中心操作界面簡(jiǎn)潔，注冊(cè)流程簡(jiǎn)單，便于后期維護(hù)。通過(guò)高度封裝的接口和服務(wù)平臺(tái)的開(kāi)發(fā)較大程度上降低了認(rèn)證加密算法的復(fù)雜性。

（4）安全可靠。采用國(guó)密高速IBC 標(biāo)識(shí)認(rèn)證加密系統(tǒng)使用硬件密碼設(shè)備保存系統(tǒng)密鑰數(shù)據(jù)，該系統(tǒng)不會(huì)單獨(dú)對(duì)用戶的密鑰等重要數(shù)據(jù)進(jìn)行儲(chǔ)存，一定程度的減少了敏感信息泄露的可能性。同時(shí)，若出現(xiàn)數(shù)據(jù)丟失等意外情況時(shí)，系統(tǒng)支持?jǐn)?shù)據(jù)備份和密鑰備份的恢復(fù)，減少了突發(fā)情況導(dǎo)致數(shù)據(jù)缺失的可能。

4 結(jié)語(yǔ)

三峽電源電站計(jì)算機(jī)監(jiān)控系統(tǒng)通過(guò)部署可信防御系統(tǒng)和國(guó)密高速IBC 標(biāo)識(shí)認(rèn)證加密系統(tǒng)，建立了強(qiáng)而有效的信息安全保護(hù)屏障，實(shí)現(xiàn)了防誤操作、防入侵、防篡改的“三防”策略，極大程度地提高了電站數(shù)據(jù)傳輸安全性和系統(tǒng)運(yùn)行穩(wěn)定性，解決了內(nèi)部系統(tǒng)防御薄弱、設(shè)備終端間數(shù)據(jù)傳輸安全程度低、終端缺少管控的問(wèn)題，構(gòu)建了新一代水電站計(jì)算機(jī)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安防體系的案例模板。