易亚文，王 锋，陈 伟，张林枝

（向家坝水力发电厂，四川省宜宾市 644612）

0 引言

传统继电保护信息管理系统（以下简称保信系统）的工程师站主要采用Windows操作系统。该系统作为不开源系统，暴露出的后门以及NSA等事件，充分说明该系统存在不可控的信息安全隐患。2014年4月8日起，美国微软公司宣布停止对Windows XP SP3操作系统提供服务支持，引起了社会的广泛关注，加深了人们对信息安全的担忧。同年8月1日，国家发展改革委颁布《电力监控系统安全防护规定》[1]，对电力监控系统的设备选型及配置提出严格要求，禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备，并对已投入运行的系统及设备提出整改要求。与此同时，基于Linux的安全操作系统快速发展，并逐步实现了国产化，其安全性也得到了较大地提升。2017年，向家坝水电站开始推进国产安全操作系统在保信系统中的应用，完成以操作系统替换为主要内容的安全防护整改工作。本文分析原继电保护信息系统的安全防护状况，介绍技术改进方案，结合安全操作系统的特点和运维经验，提出基于安全操作系统的主机加固方法，并分析改进后保信系统的优缺点。

1 保信系统结构安全防护优化

向家坝水电站保信系统由南瑞继保生产制造。该系统独立于电站监控系统网络，由继电保护装置、PCS-9798A保护信息管理装置、现地工程师站、调度主站等组网构成，系统结构如图1所示。电站相关的发电机保护、变压器保护等串口保护装置经RCS-9784A规约转换器接入继电保护信息系统通信网络（以下简称保信子网）。500kV开关站相关的母线保护、线路保护、断路器保护等网口保护装置直接接入保信子网。 PCS-9798A保护信息管理装置处于站控层，是保信系统的通信及数据存贮装置，对上以IEC104规约与调度主站、现地工程师站通信，对下以IEC103规约与继电保护装置通信，实现全站继电保护装置与调度主站、现地工程师站之间的通信转接及规约转换。

图1 原保信系统结构示意图Fig.1 Schematic diagram of the original Relay protection information management system

1.1 保信系统结构安全分析

按照国家信息安全等级保护的要求，电力监控系统应坚持“安全分区，网络专用，横向隔离，纵向认证”的原则。

安全分区是电力系统监控系统安全防护体系的结构基础。向家坝电站保信系统被划分至生产控制大区，其中，间隔层的继电保护装置被划分至控制区（安全区Ⅰ），站控层设备如保护信息管理装置、现地工程师站等被划分至非控制区（安全区Ⅱ）。生产控制大区与管理信息大区没有纵向交叉联接，满足安全防护要求。

网络专用是指电力调度数据网应当在专用通道上使用独立的网络设备组网。向家坝电站保信系统的相关设备通过专用的保信子网联接，在物理层面上与梯级调度监控系统、电能量计量系统等的数据网及外部公共信息网完全隔离，满足安全防护要求。

横向隔离是电力二次安全防护体系的横向防线，应采用不同强度的安全设备隔离各安全区。生产控制大区内部的安全区之间应采用具有访问控制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离。向家坝电站保信系统的间隔层设备与站控层设备分属于生产控制大区内部的安全区Ⅰ和安全区Ⅱ，但是没有设计、安装横向隔离设备，不满足安全防护要求。

纵向认证是电力二次安全防护体系的纵向防线，采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。向家坝水电站保信系统没有与广域网纵向连接，不需为此设计、安装纵向加密认证装置。

1.2 保信系统结构优化

从安全防护的角度看，向家坝水电站保信系统结构的主要问题是缺少横向隔离装置。从运行实践来看，该系统还存在以下不足：

（1）PCS-9798A装置没有冗余配置，正常运行方式下，该装置不具备停运检修的条件，一旦该装置发生故障，将导致系统停运。

（2）PCS-9798A装置对上向现地工程师站和调度主站传输数据，对下召唤全站130多套继电保护装置的数据，数据传输量大，频繁出现数据传输失败等现象，影响保信系统功能的发挥。

（3）故障录波信息管理系统与保护信息管理系统完全独立，故障录波器的录波信息不能通过保护信息管理系统查阅，用户体验不佳。

图2 改进后保信系统结构示意图Fig.2 Schematic diagram of the improved Relay protection information management system

为解决上述问题，向家坝保护信息系统进行了结构优化设计，并完成现场设备改造。如图2所示，改进后的保护信息管理系统新增一套PCS-9798A保护信息管理装置和两套防火墙装置。原PCS-9798A保护信息装置为装置1，新增PCS-9798A保护信息装置为装置2。装置1对上接入主站系统，对下经防火墙1接入保信子网，实现主站系统与保护装置之间的数据通信。装置2对上接入继电保护工程师站，对下分别经防火墙1接入保信子网，经防火墙2接入故障录波信息管理系统网络（简称故录子网），实现继电保护工程师站与保护装置、故障录波装置之间的数据通信。

新增的保护信息管理装置实现了该系统核心设备的冗余配置，且解决了数据传输失败的问题。新增的两个防火墙实现了安全区I和安全区II设备的横向隔离，同时也将故录子网与保信子网进行了有效隔离。

2 操作系统替换及安全加固

向家坝水电站保信系统的现地工程师站采用Window操作系统，运维时，多采取安装杀毒软件、定期更新病毒库、定期安全加固等通用安全防护措施，未发生信息安全事件。但是，作为系统软件中最基础部分的操作系统，其安全问题的解决是关键中之关键[2]。Windows操作系统的源码不公开，无法对其进行分析，不能排除其中存在着人为“陷阱”。而且，已经发现Windows操作系统存在追踪用户ID的“后门”，尽管微软公司已经发布“后门”补丁，但仍难消除安全顾虑。事实表明，某些厂站保信系统的Windows操作系统主机被发现感染病毒，导致调度主站难以正常采集现场信息，降低了故障排查和恢复送电效率，给电网的安全稳定运行造成了较大影响。

Linux操作系统是20世纪90年代在UNIX操作系统的基础上形成的。依据美国可信计算机系统评价标准[3]，Linux的安全性大致处于C2级[4]。但是，基于其开放源码的背景，在对信息安全的迫切需求下，Linux的安全性取得了较快的改进。我国也发展了具有自主版权的安全操作系统，如凝思操作系统、中标麒麟操作系统等，这些安全操作系统的安全性已经达到相关标准的要求。依据《电力监控系统安全防护规定》对电力监控系统的设备选型及配置的要求，向家坝水电站在保信系统安全防护结构优化的基础上，于2018年5月将现地工程师站所采用的Windows操作系统替换为国产凝思安全操作系统，解决了安全问题的关键。

2.1 凝思安全操作系统的特点

向家坝水电站改进后的保信系统采用凝思安全操作系统。该系统是北京凝思自主研发、拥有完全自主知识产权的操作系统。对照GA/T 388—2002《计算机信息系统安全等级保护操作系统技术要求》[5]，该系统的身份鉴别、自主访问控制、标记、强制访问控制、客体重用、审计、数据完整性、隐蔽通道分析、可信路径等安全功能达到第四级结构化保护级的要求。

凝思安全操作系统的核心实现是通过安全模块来完成的，系统中所有的资源请求都受到安全模块的监控和限制。该系统提供了多种强制性安全保护机制，包括强制访问控制、强制行为控制、强制能力控制。强制访问控制主要利用BIBA完整性模型和BLP机密性保护模型保护敏感数据的访问。强制行为控制主要利用程序的路径特征限制程序对文件的访问。强制能力控制主要将特权细分成不同的能力，从而避免因挟持特权进程而产生的安全威胁。

凝思安全操作系统设置系统管理员、网络管理员、安全管理员、审计管理员等4个分权管理员，以实现等保四级中的最小特权原则。系统管理员主要完成系统设备的管理，网络管理员主要完成网络的管理，安全管理员主要完成系统用户的管理，审计管理员用于管理审计信息。各个管理员都不能控制整个系统，他们之间相互牵制，相互制约，能够防止管理员因疏忽而削弱整个系统的安全性。

2.2 操作系统安全加固

基于凝思安全操作系统的保信系统在投入实际运行时，应当对操作系统进行安全加固，主要内容如下：

（1）身份鉴别。系统是否对登录系统的用户进行身份鉴别，且密码是否加密存储；密码的有效期是否小于90天，密码长度是否大于8位，且为字母、数字或特殊字符的混合组合；用户名和口令是否相同，密码策略是否启用；是否启用登录失败处理功能，即尝试错误密码多少次后锁定账户多长时间；是否为不同用户分配不同的用户名以确保用户名具有唯一性；应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

（2）访问控制。系统是否根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；检查umask值是否为027；是否存在多余的不必要用户；对重要信息资源设置敏感标记，使系统整体支持强制访问控制机制。

（3）安全审计。系统审计范围应覆盖到服务器和重要客户端上的每个操作系统用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统重要安全相关事件；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；保护审计记录，避免受到未预期的删除、修改或覆盖；能够通过操作系统自身功能或第三方工具根据记录数据进行分析，并生成审计报表；保护审计进程，避免受到未预期的中断。

（4）入侵防范。系统应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时报警；应能够对重要程序的完整性进行检测，并具有完整性恢复的能力。

（5）资源控制。系统应通过设定终端接入方式、网络地址范围等条件限制终端登录；应根据安全策略设置登录终端的操作超时锁定；应根据需要限制单个用户对系统资源的最大或最小使用限度；应关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行口等，确需保留的应严格管理。

（6）网络服务。系统应禁止不必要的用户登录FTP服务；应关闭SNMP或修改SNMP默认community。

3 结束语

向家坝水电站保信系统完成系统结构优化和工程师站主机操作系统技术改造后，运行工况良好，表现出如下优点：

（1）用国产凝思安全操作系统替代Windows操作系统，解决了系统的关键安全问题，对常见病毒具有天然的免疫能力，安全性能得到极大地提升，而且占用主机资源较少，运行稳定性高；运维人员也省去更新病毒库、打补丁、定期查杀毒等的工作。

（2）增加防火墙，实现间隔层（安全区Ⅰ）和站控层（安全区Ⅱ）的横向隔离，增强了网络边界防护能力。

（3）系统的核心设备保护信息管理装置实现双冗余，确保装置故障处理和停电检修不影响整个系统的运行。且两套保护信息管理装置分别接入现地工程师站和调度主站，提高了数据传输的流畅性，解决了数据传输失败的问题。

（4）故障录波器通过独立的故录子网经防火墙接入保信系统，既满足横向隔离要求，又为保护动作分析提供便利。

技术改造后的保信系统的主要不足体现在操作系统方面：

（1）国产安全操作系统占据的市场份额较小，生态环境有限，基于该系统的硬件驱动软件和应用软件较少，限制了系统的可扩展性和应用便利性。

（2）国产安全操作系统基于开源代码开发形成，如果说Windows操作系统是一个黑匣子，那么国产安全系统就如同一个透明的玻璃瓶，其安全性存在天然的不足，需要不断健全其安全机制，提升安全性能。

（3）基于国产安全操作系统的防病毒软件仍没有成熟的应用，该系统在没有安装防病毒软件的情况下运行，防病毒入侵的能力依然堪忧。

（4）由于操作系统本身的原因，主机断电重启后可能导致系统无法开启，因此对主机的供电可靠性提出很高要求。而且，系统重启后，需要检查系统的umask值是否为027，因为 umask 027命令只能临时修改，重启可能失效，影响访问控制。

（5）国产安全操作系统在办公和日常生活中应用较少，且部分操作为命令行操作，对运维人员的技能水平提出较高要求。

综上所述，向家坝水电站基于国产安全操作系统的保信系统符合电力监控系统安全防护规定，实际应用状况良好。国产安全操作系统曾经受产业生态环境影响，发展缓慢，存在一定的不足，但是，随着社会对安全防护认知的提升，以及电力行业对国产安全操作系统的应用普及，国产安全操作系统将迎来新的发展机遇，其安全技术水平将会取得新的进步。