陈超群，王芳平，张 煦

（1.三峡水力发电厂，湖北 宜昌 443000；2.北京中水科水电科技开发有限公司，北京 100038）

0 引言

当前，我国电力系统的基础性、全局性、全员性作用日益增强，水电站调度及监控系统安全已作为电力自动化安全深入推进的重要保障，由于其在生产建设和社会生活中的重要作用，必须做好直面来自各种网络攻击的准备。然而网络攻击方式多样、手法隐藏、在时间和空间上都不受边界制约，面对新形势下的网络安全威胁，传统的被动防御手段已不能良好的免疫多种多样的网络攻击手段，某巨型水电站监控系统通过采用基于可信3.0技术的安全可信平台，构建可信计算环境、可信边界、可信网络通信三重防护框架的可信安全管理中心，保证该巨型水电站监控系统在安全可信的环境中运行。

1 可信计算平台概述

某巨型水电站采用的可信计算平台，是由国家电网全球互联网能源研究院开发，基于可信计算技术研发的一款安全产品，主要实现电力业务系统对恶意代码的免疫和业务应用的版本管理，保障系统稳定和可靠的运行，最终达到攻击者无法进入、非授权者无法获取重要信息、窃取的保密信息无法解密、攻击行为均有日志记录的安全防护效果。

可信计算平台的核心组件包括可信密码模块硬件和可信软件基，其中可信密码模块硬件为PCI-E硬件密码板卡的形态，以可信密码模块为信任根，信任链建立从系统引导程序开始，在操作系统引导器中嵌入度量代码形成引导度量器，实现对操作系统引导器代码自身的度量，确保引导环境的初态安全[1]。可信软件基提供可信度量机制，提供系统及应用程序的恶意代码免疫。

可信计算平台由可信策略管理端和可信计算安全模块客户端组成，如图1所示。客户端在管理端注册后，管理端能够对已注册的客户端提供安全策略定制、集中运维管理、系统资源监控、审计信息统一收集等功能。其中，集中运维管理功能可大大提高运维人员的工作效率、提高客户端的集中监控能力，保障整体业务系统环境的安全可信。

图1 可信计算平台组成架构

2 安全可信平台总体设计

2.1 安全可信平台的适用性

安全可信平台采用可信3.0技术[2]，通过“计算+保护”的双体系结构，有效弥补了计算平台本体的安全漏洞，从而保障监控系统各服务器的操作系统、基础软件及上层业务程序的完整性，使其免受恶意代码和操作的破坏，达到安全免疫系统的功效。

安全可信平台是基于国产服务器、国产操作系统、国产安全商用数据库，整合国产成熟电力中间件产品的技术成果，并进行深度合作、跟踪国际先进的标准和技术进行自主创新而形成的全方位安全监控平台。通常情况下，安全可信平台对于操作系统版本要求相对严格，不仅对操作系统类型有要求，而且对内核版本甚至小版本都有要求，版本号不对应的系统极易出现不兼容问题。经测试，该平台在国产设备曙光和浪潮、国产操作系统凝思6.0.4和银河麒麟2.6.32版本上部署后均运行正常、功能完整、性能优越，兼容性良好。

2.2 水电站监控系统基于安全可信平台的总体设计

水电站监控系统按照电力二次安全防护的分区原则，可分为生产控制大区和管理信息大区。生产控制大区又可以分为控制区（又称安全区Ⅰ）和非控制区（又称安全区Ⅱ）。安全Ⅰ区是电力生产的重要环节，直接负责对电力一次系统的实时监控，是水电站监控系统安全防护的重点与核心。

为确保电站计算机监控系统的网络安全，该巨型水电站监控系统厂站层均采用国产化设备，主要服务器、工作站采用国产曙光设备，运行国产凝思安全操作系统，所有网络及安全防护设备均采用国产化设备。同时在该巨型水电站监控系统安全Ⅰ区部署安全可信平台，即安全Ⅰ区所有服务器和主机均配置可信计算安全模块硬件和可信软件基，并在一台指定的服务器上配置可信策略管理端，为其他主机提供安全策略的定制，保障安全Ⅰ区处于安全可信环境，取代以“封堵查杀”为主的传统信息安全防护体系，由被动防御转为主动防御，安全可控，安全免疫，如图2所示。

图2 某巨型水电站监控系统可信计算平台部署设计

在安全Ⅰ区服务器和主机均配置可信密码模块硬件和可信软件基。通过在机身处插入可信密码模块硬件，为操作系统提供可信引导机制，从硬件上电启动、BIOS自检、系统引导、系统内核模块加载至软件运行全过程进行主动的度量和监控，使主机系统可以按照预期行为合法、合理的运行。通过安装可信软件基，提供可信度量机制，实现系统及应用程序的恶意代码免疫；提供策略安全管理机制，实现策略的安全管理；并提供可信策略的保护机制。同时可信软件基针对终端操作系统，采用可信计算技术来构建系统安全内核，对软件的来源及运行进行管理和控制，保证软件的可信、可识别和可控。

在安全Ⅰ区工程师站安装可信安全管理中心（即可信管理端），对安全Ⅰ区其他服务器和主机上运行的可信软件基进行统一管理，提供安全策略的定制和集中的运维管理。同时对整个系统资源及性能进行监控，对分布在系统各个组成部分的安全审计机制及信息进行集中管理和统一收集，实现安全Ⅰ区可信一体化的安全管理，如图3所示。

图3 某巨型水电站监控系统可信计算平台部署

3 安全可信平台实现及应用

该巨型水电站监控系统采用国产曙光服务器、国产凝思6.0.4.80版本的操作系统，与安全可信平台具有良好的兼容性。根据设计思路，在监控系统安全Ⅰ区部署安全可信平台，经过测试，系统运行正常、数据采集及传输安全、性能稳定。

通过在监控系统安全Ⅰ区部署安全可信平台，达到以下预期效果，如图4所示。

图4 安全可信平台在巨型水电站监控系统中应用的预期效果

（1）对操作系统进行保护，避免系统遭受攻击和破坏；

（2）对系统中的重要软件和数据进行保护，防止非法篡改和运行；

（3）对应用软件和系统可以进行配置管理，且必须使用合法的u-key，具有身份认证校验；

（4）对原有业务功能运行透明安全支撑。

4 结语

水电站监控系统是电站运行管理的中枢系统，是实现水电站自动化程度和经济效益的重要保障，因此监控系统网络安全已成为水电站安全防御体系中密不可分的重要一环。该巨型水电站监控系统采用全国产化设备并部署安全可信平台，在国内实属首次。

基于双体系结构思想，可信计算安全模块为计算节点建立了主动免疫框架，在操作系统层主动拦截、度量和控制，实现系统计算的同时进行安全防护，达到主动免疫未知恶意代码的攻击、保障上层其他安全措施不被旁路的效果，同时可以为身份识别、数据保护等安全机制提供技术支撑，提高系统整体安全性。该安全可信平台在巨型水电站监控系统中的设计应用为以后其他水电站监控系统安全防护提供了有益的借鉴。