張文韜，黃家志，孫監(jiān)湖，陳超群，張 鵬，夏國(guó)強(qiáng)，艾遠(yuǎn)高

（中國(guó)長(zhǎng)江電力股份有限公司，湖北 宜昌 443000）

隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問(wèn)題日益突出[1]。水電站特別是巨型水電站作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，其計(jì)算機(jī)監(jiān)控系統(tǒng)作為核心的工業(yè)控制系統(tǒng)，是境外敵對(duì)勢(shì)力、黑客組織的主要攻擊目標(biāo)?；凇鞍踩謪^(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”十六字方針的安全防護(hù)方案面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)已暴露出其內(nèi)部環(huán)境防護(hù)薄弱、信息安全缺乏深度保障的問(wèn)題，為實(shí)現(xiàn)電力專網(wǎng)內(nèi)部環(huán)境安全可信，亟待將新一代可信計(jì)算技術(shù)與標(biāo)識(shí)認(rèn)證加密技術(shù)實(shí)現(xiàn)綜合應(yīng)用，形成全方位、全覆蓋的基于主動(dòng)免疫的計(jì)算機(jī)監(jiān)控系統(tǒng)。

1 電力專網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系

傳統(tǒng)的電力專網(wǎng)控制系統(tǒng)安全體系核心思路是對(duì)系統(tǒng)進(jìn)行安全分區(qū)后強(qiáng)化邊界層面的防護(hù)，主要體現(xiàn)為生產(chǎn)控制大區(qū)與管理信息大區(qū)的物理隔離、信息內(nèi)網(wǎng)與信息外網(wǎng)的強(qiáng)邏輯隔離、調(diào)度側(cè)對(duì)生產(chǎn)側(cè)工業(yè)控制系統(tǒng)進(jìn)行控制指令下發(fā)或數(shù)據(jù)傳輸采用加密認(rèn)證[2]，如圖1 所示。

圖1 電力專網(wǎng)網(wǎng)絡(luò)安全防護(hù)拓?fù)鋱D

雖然邊界防護(hù)體系已較為成熟，其安防設(shè)備如橫向隔離裝置甚至具備近似物理隔離效果，能有效防止外部入侵，但是該體系在應(yīng)對(duì)有組織的、高技術(shù)能力、大規(guī)模的攻擊時(shí)明顯不足，而且邊界一旦被入侵，內(nèi)部系統(tǒng)較為脆弱，如應(yīng)用軟件層面防護(hù)薄弱、終端接入設(shè)備缺乏管控等，導(dǎo)致內(nèi)部計(jì)算環(huán)境無(wú)法實(shí)現(xiàn)可信，系統(tǒng)安全保障從根源上不可控[3]。

為應(yīng)對(duì)邊界防護(hù)體系內(nèi)部環(huán)境脆弱的問(wèn)題，國(guó)家能源局于2015 年2 月下發(fā)36 號(hào)文關(guān)于印發(fā)《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等安全防護(hù)方案和評(píng)估規(guī)范，其中提出的安全防護(hù)的總體原則增加了“綜合防護(hù)”措施?！熬C合防護(hù)”是對(duì)監(jiān)控系統(tǒng)主機(jī)、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用安全控制、審計(jì)、備用及容災(zāi)等多個(gè)層面進(jìn)行安全防范的過(guò)程。常見(jiàn)的“綜合防護(hù)”措施包含：

（1）加裝入侵檢測(cè)裝置：通過(guò)實(shí)時(shí)報(bào)文及訪問(wèn)行為監(jiān)測(cè)，鑒別入侵行為；

（2）加裝內(nèi)網(wǎng)監(jiān)視裝置：通過(guò)采集監(jiān)控系統(tǒng)涉網(wǎng)部分主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、通用及專用安防設(shè)備的告警信息，實(shí)時(shí)監(jiān)測(cè)電廠內(nèi)部涉網(wǎng)主機(jī)的外設(shè)接入、網(wǎng)絡(luò)設(shè)備接入、人員登錄等安全事件；

（3）部署可信計(jì)算：通過(guò)對(duì)監(jiān)控系統(tǒng)上位機(jī)安裝可信硬件卡、可信軟件基，實(shí)現(xiàn)從可信硬件卡到操作系統(tǒng)、操作系統(tǒng)到應(yīng)用程序的信任鏈建立，達(dá)到服務(wù)器主動(dòng)免疫的效果。

“綜合防護(hù)”在一定程度上強(qiáng)化了電力專網(wǎng)安全防護(hù)能力，已在大量電力生產(chǎn)工控系統(tǒng)實(shí)現(xiàn)了應(yīng)用，但大多局限于監(jiān)控系統(tǒng)上位機(jī)的應(yīng)用，對(duì)PLC進(jìn)行“綜合防護(hù)”仍是業(yè)界有待探索與研究的方向。

2 PLC 安全防護(hù)分析

2.1 PLC 安全防護(hù)缺陷分析

PLC 是電站工控系統(tǒng)中的核心組成部分，水電站兼具電力生產(chǎn)與防洪抗旱雙重職責(zé)，其PLC 主要承擔(dān)數(shù)據(jù)采集與處理、設(shè)備監(jiān)視與控制、執(zhí)行流程、與其他子系統(tǒng)通信、報(bào)警與事件生成的功能。PLC為保證高實(shí)時(shí)性的邏輯控制、數(shù)據(jù)處理功能，一般缺乏安全防護(hù)措施，導(dǎo)致自身存在較大的潛在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，本文總結(jié)該風(fēng)險(xiǎn)來(lái)源于3 種情況：

（1）外部入侵：一旦電力專網(wǎng)邊界防護(hù)被突破，攻擊者可以竊取用戶登錄信息，遠(yuǎn)程破壞PLC 存儲(chǔ)內(nèi)容，篡改PLC 內(nèi)存數(shù)據(jù)、控制參數(shù)等。

（2）非法連接：由于PLC 為嵌入式設(shè)備，在缺乏人為管控的情況下，非法連接可使得程序、數(shù)據(jù)點(diǎn)表被篡改，嚴(yán)重情況下甚至對(duì)其操作系統(tǒng)植入病毒。

（3）信息泄露：PLC 為保證與上位機(jī)通信的實(shí)時(shí)性，數(shù)據(jù)傳輸無(wú)加密手段，數(shù)據(jù)包被截獲后較易被讀取使用，造成關(guān)鍵生產(chǎn)信息的泄露。

2.2 PLC 可信計(jì)算應(yīng)用分析

可信計(jì)算是在計(jì)算和通信過(guò)程中使用硬件安全模塊保障系統(tǒng)安全性的一種技術(shù)。當(dāng)前可信計(jì)算已經(jīng)發(fā)展到了3.0 版本，能夠?qū)崿F(xiàn)主動(dòng)免疫和主動(dòng)防御[4]?？尚庞?jì)算較為普遍的應(yīng)用方式為：為監(jiān)控系統(tǒng)上位機(jī)服務(wù)器加裝PCI-e 接口的可信硬件板卡并安裝可信軟件基，于某一服務(wù)器部署可信管理端，實(shí)現(xiàn)對(duì)可信策略、白名單、證書(shū)的統(tǒng)一管理及可信設(shè)備的注冊(cè)等功能?？尚庞?jì)算可實(shí)現(xiàn)的功能包含：

（1）系統(tǒng)可信引導(dǎo)：在系統(tǒng)啟動(dòng)中，通過(guò)可信逐級(jí)校驗(yàn)每個(gè)啟動(dòng)階段的完整性；

（2）靜態(tài)度量：對(duì)系統(tǒng)可執(zhí)行程序、共享庫(kù)、函數(shù)庫(kù)、配置文件等進(jìn)行校驗(yàn)；

（3）動(dòng)態(tài)度量：系統(tǒng)運(yùn)行時(shí)，對(duì)內(nèi)存中的關(guān)鍵信息實(shí)時(shí)主動(dòng)度量；

（4）文件完整性保護(hù)：對(duì)文件進(jìn)行寫(xiě)保護(hù)，只有指定的進(jìn)程可以讀寫(xiě)文件；

（5）重要配置文件保護(hù)：對(duì)重要配置進(jìn)行完整性監(jiān)控，阻止篡改；

（6）進(jìn)程保護(hù)：防止特定進(jìn)程被非法終止。

可信計(jì)算技術(shù)如能實(shí)現(xiàn)在PLC 上的應(yīng)用，能有效阻止外部入侵和非法連接造成的威脅，但是目前實(shí)現(xiàn)可信PLC 應(yīng)用存在兩個(gè)方面的難點(diǎn)：①主流可信硬件卡為PCI-e 接口，且體積較大，PLC 機(jī)箱空間較為狹小，且缺乏相應(yīng)接口；②PLC 所用CPU 相較服務(wù)器級(jí)CPU 性能較弱，部署可信會(huì)在一定程度上占用CPU 資源，PLC 邏輯控制、數(shù)據(jù)處理的實(shí)時(shí)性無(wú)法保證。因此，要想實(shí)現(xiàn)可信計(jì)算技術(shù)于PLC的應(yīng)用，需要對(duì)PLC 設(shè)備進(jìn)行定制化開(kāi)發(fā)，縮小可信硬件體積，輕量化可信功能。

2.3 上下位機(jī)加密通信應(yīng)用分析

由于傳統(tǒng)工控系統(tǒng)網(wǎng)絡(luò)協(xié)議在設(shè)計(jì)之初未考慮認(rèn)證、加密需求，面對(duì)當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安防形勢(shì)，監(jiān)控系統(tǒng)終端明文數(shù)據(jù)傳輸已不可取。當(dāng)前，PKI 為主流的加密認(rèn)證體系，通過(guò)CA（證書(shū)認(rèn)證中心）和KM（密鑰管理系統(tǒng)）對(duì)用戶進(jìn)行證書(shū)簽發(fā)和密鑰管理，保障網(wǎng)絡(luò)終端數(shù)據(jù)傳輸?shù)陌踩?。但是隨著適用范圍和規(guī)模的不斷擴(kuò)大和電站網(wǎng)絡(luò)智能設(shè)備的大量應(yīng)用，PKI 體系的證書(shū)和密鑰的分發(fā)管理愈加復(fù)雜，且其數(shù)據(jù)安全傳輸?shù)姆绞捷^為單一。針對(duì)傳統(tǒng)PKI 體系的問(wèn)題，近年來(lái)興起了IBC 認(rèn)證體系，IBC 認(rèn)證體系省去了數(shù)字證書(shū)部分，每一終端可以基于自己的標(biāo)識(shí)申請(qǐng)私鑰，而以自身標(biāo)識(shí)為公鑰，簡(jiǎn)化了加密認(rèn)證流程，降低了使用者的學(xué)習(xí)和使用成本，解決了規(guī)模化認(rèn)證的問(wèn)題，較為適用于工業(yè)控制網(wǎng)絡(luò)[5]。

將IBC 標(biāo)識(shí)認(rèn)證加密技術(shù)應(yīng)用于PLC，無(wú)可避免會(huì)出現(xiàn)CPU 資源占用問(wèn)題，并且加密、解密過(guò)程耗時(shí)會(huì)影響PLC 與上位機(jī)通信的實(shí)時(shí)性，對(duì)于數(shù)據(jù)的吞吐量也可能造成一定限制。另外，兼容性問(wèn)題也是加密認(rèn)證技術(shù)應(yīng)用于計(jì)算機(jī)監(jiān)控系統(tǒng)的一大難點(diǎn)：隨著我國(guó)關(guān)鍵領(lǐng)域工控系統(tǒng)自主可控進(jìn)程的加速，國(guó)產(chǎn)CPU 及操作系統(tǒng)將全面普及，加密認(rèn)證算法須適配不同架構(gòu)的國(guó)產(chǎn)CPU 及操作系統(tǒng)，其部署和運(yùn)維必然存在一定的復(fù)雜性。

3 基于可信PLC 和標(biāo)識(shí)認(rèn)證加密的水電站監(jiān)控系統(tǒng)

3.1 測(cè)試環(huán)境

基于上文分析，為驗(yàn)證可信計(jì)算技術(shù)和標(biāo)識(shí)認(rèn)證加密技術(shù)于水電站監(jiān)控系統(tǒng)應(yīng)用的可行性，本文在對(duì)國(guó)產(chǎn)主流的PLC、可信、加密產(chǎn)品進(jìn)行充分調(diào)研后，選型并搭建了一套離線測(cè)試平臺(tái)。選型硬件及軟件信息如表1、表2 所示。

表1 上位機(jī)及PLC 設(shè)備選型

表2 可信和加密系統(tǒng)選型

設(shè)備選型中采用最小化計(jì)算機(jī)監(jiān)控系統(tǒng)架構(gòu)，并且盡可能多元化服務(wù)器CPU 架構(gòu)、操作系統(tǒng)，以便于在后續(xù)對(duì)主流國(guó)產(chǎn)設(shè)備進(jìn)行兼容性測(cè)試。其中PLC 選用的是國(guó)產(chǎn)自主可控的S.CTG EdgeBrain-L2大型PLC，其采用龍芯2K1000 處理器，主頻較高，性能在國(guó)產(chǎn)自主可控PLC 中處于第一梯隊(duì)。在可信系統(tǒng)及加密認(rèn)證系統(tǒng)選型上，對(duì)于上文可信計(jì)算技術(shù)及IBC 標(biāo)識(shí)認(rèn)證技術(shù)應(yīng)用于PLC 的難點(diǎn)進(jìn)行了針對(duì)性選型：

（1）可信系統(tǒng)采用某主動(dòng)免疫防御系統(tǒng)（防病毒）[6]，通過(guò)在PLC 主板集成TPCM 主動(dòng)度量控制芯片并于系統(tǒng)燒寫(xiě)可信軟件基實(shí)現(xiàn)PLC 可信功能部署。該主動(dòng)度量芯片采用國(guó)芯CCM3310 系列芯片，能夠?qū)崿F(xiàn)主流的國(guó)密SM1、SM2、SM3、SM4 算法和可信啟動(dòng)度量、可信驗(yàn)證，較為適用于嵌入式設(shè)備部署。通過(guò)在一臺(tái)浪潮服務(wù)器安裝可信管理中心，完成配置可信注冊(cè)、策略管理、白名單管理等功能。

（2）加密認(rèn)證系統(tǒng)選用了某國(guó)密高速IBC 標(biāo)識(shí)認(rèn)證加密系統(tǒng)，該系統(tǒng)由高性能標(biāo)識(shí)密鑰管理服務(wù)和終端SDK 兩個(gè)模塊組成。高性能標(biāo)識(shí)密鑰管理服務(wù)采用了基于組合密鑰的密碼技術(shù)，提供了用戶標(biāo)識(shí)密鑰全生命周期的管理，實(shí)現(xiàn)用戶標(biāo)識(shí)密鑰的分發(fā)、更新、恢復(fù)、掛失、注銷等功能。終端SDK 依托于高性能標(biāo)識(shí)密鑰管理服務(wù)，為前端設(shè)備提供多種安全數(shù)據(jù)傳輸方式，確保終端間數(shù)據(jù)傳輸?shù)陌踩?，且具有較強(qiáng)的終端兼容性。通過(guò)在一臺(tái)中科曙光服務(wù)器安裝加密管理中心，并在其它設(shè)備安裝終端SDK（除B 套PLC 外），完成國(guó)密高速IBC 標(biāo)識(shí)認(rèn)證加密系統(tǒng)部署。

基于此，本文構(gòu)建的離線測(cè)試平臺(tái)拓?fù)淙鐖D2所示。

圖2 離線測(cè)試平臺(tái)拓?fù)鋱D

3.2 功能測(cè)試

在集成可信和加密認(rèn)證系統(tǒng)于測(cè)試環(huán)境后，對(duì)其進(jìn)行功能性測(cè)試，測(cè)試項(xiàng)目見(jiàn)表3。

表3 可信和加密系統(tǒng)測(cè)試項(xiàng)目

經(jīng)測(cè)試，上位機(jī)及PLC 可信功能表現(xiàn)良好，測(cè)試用例均通過(guò)；國(guó)密IBC 標(biāo)識(shí)認(rèn)證系統(tǒng)于PLC 適配出現(xiàn)少量接口錯(cuò)誤，例如PLC 設(shè)備標(biāo)識(shí)碼以0 開(kāi)頭出現(xiàn)協(xié)商失敗現(xiàn)象，通過(guò)操作人員人為約束進(jìn)行解決，由于其無(wú)重要功能錯(cuò)誤，認(rèn)為其功能性測(cè)試通過(guò)。因此，在測(cè)試環(huán)境中集成應(yīng)用上述系統(tǒng)能滿足安全防護(hù)功能需求，提升系統(tǒng)整體安全性。

3.3 性能測(cè)試

由于可信和加密認(rèn)證系統(tǒng)會(huì)在一定程度上占用上位機(jī)服務(wù)器及PLC 計(jì)算資源，須對(duì)其進(jìn)行性能測(cè)試，本文對(duì)測(cè)試環(huán)境中數(shù)據(jù)采集服務(wù)器、歷史數(shù)據(jù)服務(wù)器及兩套PLC 進(jìn)行了unixBench 系統(tǒng)基準(zhǔn)性能測(cè)試，認(rèn)為性能損失小于5%則滿足生產(chǎn)實(shí)際需求，測(cè)試結(jié)果見(jiàn)表4～表6。

表4 PLC 基準(zhǔn)性能測(cè)試

表5 數(shù)據(jù)采集服務(wù)器基準(zhǔn)性能測(cè)試

表6 歷史數(shù)據(jù)服務(wù)器基準(zhǔn)性能測(cè)試

由上述試驗(yàn)結(jié)果可知，在部署可信與加密認(rèn)證系統(tǒng)后，上下位機(jī)設(shè)備終端基準(zhǔn)性能有所下降。大量的重復(fù)對(duì)比試驗(yàn)基本排除了隨機(jī)誤差影響，可認(rèn)為測(cè)試終端性能損失均低于5%，滿足水電站計(jì)算機(jī)監(jiān)控系統(tǒng)應(yīng)用要求，具有一定的實(shí)施可行性。

3.4 示范應(yīng)用

為進(jìn)一步驗(yàn)證可信PLC 及國(guó)密高速IBC 標(biāo)識(shí)認(rèn)證加密技術(shù)于水電站計(jì)算機(jī)監(jiān)控系統(tǒng)應(yīng)用的安全性和可靠性，于2023 年5 月某電站計(jì)算機(jī)監(jiān)控系統(tǒng)改造項(xiàng)目中進(jìn)行實(shí)裝，經(jīng)過(guò)長(zhǎng)期實(shí)際生產(chǎn)檢驗(yàn)，其安全性表現(xiàn)較為突出，可靠性達(dá)較高水準(zhǔn)。該計(jì)算機(jī)監(jiān)控系統(tǒng)在傳統(tǒng)的邊界防護(hù)體系上增加了PLC 可信功能、上下位機(jī)加密通信功能，補(bǔ)齊PLC 安全防護(hù)短板，對(duì)于水利水電行業(yè)工控系統(tǒng)安防體系建設(shè)具有一定積極指導(dǎo)作用。

4 結(jié)語(yǔ)

本文對(duì)電力專網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系及PLC 安全防護(hù)缺陷進(jìn)行了介紹分析，搭建離線測(cè)試環(huán)境，對(duì)PLC 可信計(jì)算應(yīng)用和監(jiān)控系統(tǒng)國(guó)密IBC 標(biāo)識(shí)認(rèn)證加密應(yīng)用進(jìn)行了測(cè)試分析，驗(yàn)證了技術(shù)的可行性，為水電行業(yè)工控系統(tǒng)安防體系補(bǔ)齊PLC 防護(hù)短板提供了切實(shí)可行的方案。