引言

中國電網發展進入“電力流、信息流、業務流”高度融合的智能電網階段,電網調度控制系統及通信網絡是智能電網的“大腦”及“神經中樞”,管理控制電網的可靠運行。網絡空間的信息安全風險可以通過對電網調度控制系統及通信網絡的破壞,進而對智能電網實體形成致命威脅。

當前,網絡安全已經成為國家安全的重要組成部分。中央成立了網絡安全與信息化領導小組,提出“沒有網絡安全就沒有國家安全”。網絡安全概念從傳統的信息系統安全防護發展到網絡空間對抗。

事實上,網絡已成為陸地、海洋、天空和太空之后的第五作戰空間。國際上已經圍繞“制網權”展開了國家級別的博弈甚至局部網絡戰爭。

1 中國電力監控系統安全防護體系發展歷程

中國是世界上最早開始重視電力監控系統信息安全問題并建立防護體系的國家之一。其里程碑是2000年國家電力調度數據\\(骨干\\)網組網技術體制的確立。

1.1 電力調度數據專網專用的防護策略

調度數據網從基于X.25分組交換網向寬帶IP數據網升級換代,有多個組網技術體制選擇,主要包括基于異步傳輸模式\\(ATM\\)的IP專網、基于同步數字體系\\(SDH\\)物理電路的IP專網,以及IP虛擬專用網絡\\(VPN\\)。綜合考慮各路線的技術成熟性、先進性、經濟性,重點比較了不同技術體制下調度數據網及其承載的調度控制業務的信息安全風險,確定了基于SDH物理電路構建電力調度數據IP專網的技術路線。在此基礎上,進一步形成了中國電力系統第1個強制執行的信息安全法規,即中華人民共和國國家經濟貿易委員會第30號令《電網和電廠計算 機 監 控 系 統 及 調 度 數 據 網 安 全 防 護 規 定》\\(2002年5月8日發布\\)[1]。該法令以“防范對電網和電廠計算機監控系統及調度數據網絡的攻擊侵害及由此引起的電力系統事故,保障電力系統的安全穩定運行”為目標,規定了電力調度數據網絡實現物理層面上與公用信息網絡的安全隔離,并只允許傳輸與電力調度生產直接相關的數據業務,奠定了國內電力監控系統“結構性安全”的重要技術基礎,成為中國電力監控系統信息安全防護體系建設啟動的標志。

1.2 基于邊界安全的縱深防護體系

隨著電力監控系統自動化水平的提高、功能的豐富及調度數據網覆蓋范圍的延伸、用戶的增加,電力監控系統信息安全威脅來源愈發多元化,不僅來自外部,也源于內部,不僅來自本地,也源于上下級調度單元;威脅形式多樣化,既有惡意代碼,也有人為操作;破壞效果多重化,包括通信中斷、數據丟失、信號錯誤、系統癱瘓、功能失效、甚至惡意操控。

為了應對新的信息安全風險,2002年國家科技部啟動了國家高技術研究發展計劃\\(863計劃\\)“國家電網調度中心安全防護體系研究及示范”,提出了中國電力監控系統第一個全面的安全防護總體策略,即“安全分區、網絡專用、橫向隔離、縱向認證”。

其中,“安全分區”將各項電力業務功能分別置于生產控制大區與管理信息大區中;“網絡專用”利用網絡產品組建電力調度數據網,為調度控制業務提供專用網絡支持;“橫向隔離”通過自主研發的電力專用單向隔離裝置實現生產控制大區與管理信息大區的安全隔離;“縱向認證”通過自主研發的電力專用縱向加密認證裝置為縱向傳輸的業務數據提供加密和認證保護,保證數據傳輸和遠方控制的安全。形成了以邊界防護為要點、多道防線構成的縱深防護體系,結構如圖1所示?！?】

2004年12月,該體系以國家電力監管委員會5號令《電力二次系統安全防護規定》[2]等相關配套技術文件形式發布,成為中國電力監控系統第1階段安全防護體系全面形成的標志。標志體系的具體實施內容包括安全區的劃分、調度數據專網組網要求、橫向邊界隔離要求、縱向認證要求、調度數字證書系統、基礎設施軟硬件安全配置、通用安全防護產品部署、遠程接入的防護,以及電力二次系統安全防護評估等。體系的實施范圍為各級電力調度中心、各類變電站和發電廠、用電負荷管理等。

1.3 基于等級保護的業務安全防護體系

信息系統安全等級保護是中國信息安全領域中的一項基本制度,制度要求各信息系統依據系統業務使命的重要程度及系統遭到破壞后對國家安全、社會秩序、公共利益及公民、法人和其他組織合法權益的 危 害 程 度,從 低 到 高 依 次 劃 分 為 自 主 保 護\\(1級\\)、系統審計保護\\(2級\\)、安全標記保護\\(3級\\)、結構化保護\\(4級\\)、訪問驗證保護\\(5級\\)這5個安全保護等級。不同等級系統根據不同強度要求進行防護,對系統中使用的信息安全產品按等級進行管理,對系統中發生的信息安全事件分等級響應和處置。

2007年國家電力監管委員會印發了《關于開展電力行業信息系統安全 等級 保 護 定 級 工 作 的 通知》[3]等系列文件,啟動電力行業信息安全等級保護定級工作。

2012年印發了《電力行業信息系統安全等級保護基本要求》[4],全面推進行業等級保護建設工作。

電力生產控制系統中,省級及以上調度中心的調度控制系統安全保護等級為4級,220kV及以上的變電站自動化系統、單機容量300MW及以上的火電機組控制系統\\(DCS\\)、總裝機1 000 MW及以上的水電廠監控系統、總裝機2 000 MW及以上的梯級調度監控系統、電力負荷管理系統安全保護等級為3級,其余為2級。

在上一階段縱深防護體系基礎上,依據《電力行業信息系統安全等級保護基本要求》,構建形成電力監控系統層次化的等級保護體系,由物理安全、網絡安全、主機安全、應用安全和數據安全防護這5個層面組成,每個層面包括若干安全控制點。結構如圖2所示?！?】

對于保護等級為4級的省級及以上調度中心的電網調度監控系統,需要實現結構化保護,即具有明確定義的形式化安全策略模型;將第3級系統中的自主和強制訪問控制\\(MAC\\)擴展到所有主體與客體,加強鑒別機制;進行隱蔽通道分析。對于4級操作系統及數據庫,需要對所有主體和客體實現安全標記,并基于安全標記進行MAC。

為全面達到以上4級保護要求,自主開發了監控應用軟件,并綜合運用調度數字證書和安全標簽技術實現了操作系統與業務應用的強制執行控制\\(MEC\\)、MAC等安全防護策略,保障了主體與客體間的全過程安全保護,全面實現了等級保護4級的技術要求。

依托智能電網調度控制系統,建成了國家電網備用調度體系,實現了“國調網調異地互備、省級調度異地共備,地縣調分布采集、上為下備”的分布式備用調度核心技術,建成了省級以上協調的分布式備調系統,實現了實時數據采集、調度控制裝備、實時調度業務3個層面的容災備用,提高了電網調度抵御重大自然災害、重大事故和外部攻擊破壞的能力。

2 基于可信計算技術的新一代電網調度控制系統主動防御體系

經過以上2個階段防護體系建設,形成了智能電網調度控制系統安全防護3道防線、層次化的保護體系,以及業務級的災備體系,整體防護能力領先于國際電力行業。同時,國際信息安全形勢的發展、網絡戰爭形態及能力的演進,大量新型攻擊方式快速涌現?！罢鹁W”病毒被認為是第1個對工業實體設施形成破壞能力的網絡戰武器,2010年9月它突破了控制網絡的物理隔離的“封堵”,成功攻擊了伊朗核電站。安全威脅特征代碼庫規模的迅速增長,使得以“查殺”為核心的被動安全措施對于實時控制系統安全防護失去效率。為應對網絡戰環境下復雜的信息安全威脅,同時減小防護機制對電網調度控制系統實時性能的影響,亟需建立更為高效的主動防御體系。

2.1 基于可信計算技術的主動防御體系

可信計算改變了傳統的“封堵查殺”等“被動應對”的防護模式。其核心思想是在計算的同時進行安全防護,使計算結果總是與預期一樣,計算全程可測可控,不被干擾,是一種運算和防護并存、主動免疫的新型計算模式。

2014年8月國家發改委印發了〔2014〕第14號令[5]《電力監控系統安全防護規定》及《電力監控系統安全防護總體方案》等配套技術文件?？傮w方案要求生產控制大區具備控制功能的系統,應用可信計算技術實現計算環境和網絡環境安全可信,建立對惡意代碼的免疫能力,應對高級別的復雜網絡攻擊。這標志著中國智能電網調度控制系統信息安全主動防御體系的正式確立。

綜合上述分析,中國智能電網調度控制系統安全防護體系的整體發展歷程可以劃分為3個階段,如圖3所示?！?】

隨著安全防護體系的演進,智能電網調度控制系統安全防護策略同步發展完善。在主動防御階段,形成安全防護總體策略,如圖4所示?！?】

2.2 可信計算技術原理

可信計算技術的基本原理是在硬件上建立計算資源節點和可信保護節點并行結構。首先,構建一個硬件信任根,在平臺加電開始,從信任根到硬件平臺、操作系統、應用程序,構建完整的信任鏈,一級認證一級,一級信任一級,把這種信任擴展到整個計算機系統,從而從源頭上確保整個計算機系統可信,并且能夠通過可信報告功能將這種信任關系通過網絡連接延伸到整個信息系統。未獲認證的程序不能執行,從而及時識別“自己”和“非己”成分,破壞與排斥進入機體的有害物質,實現系統自身免疫,構建高安全等級的防護系統?；驹砣鐖D5所示?！?】

2.3 電網調度控制系統可信計算平臺

應用可信計算技術,建立調度控制系統主動免疫機制,提升對未知惡意代碼攻擊的免疫能力,實現計算機環境和網絡環境的全程可測可控和安全可信。電力可信計算密碼平臺是實現智能電網調度控制系統安全免疫的核心,由可信密碼硬件模塊與可信軟件基組成,其核心功能包括可信引導、完整性量度、MAC、MEC和可信網絡連接。平臺體系結構如圖6所示?！?】

1\\)可信引導。在智能電網調度控制系統中的核心服務器上,實現可信密碼模塊\\(可信根\\)對操作系統的可信引導,將信任鏈從可信密碼模塊傳遞到操作系統,保證系統的啟動安全過渡到系統運行狀態。

通過對系統引導數據的驗證,防止惡意程序對系統引導階段的攻擊及對系統引導行為的破壞。

2\\)完整性量度。包括靜態完整性量度與動態完整性量度。靜態完整性量度是指計算被測量對象\\(包括可執行程序、動態庫、內核模塊\\)的雜湊值,檢查其完整性是否遭受破壞,保證系統運行對象初始狀態可信。動態完整性量度是計算被測量對象\\(包括操作系統內核的代碼段、只讀數據段、關鍵跳轉表和應用層的進程代碼段\\)的雜湊值,檢查其運行狀況,確保系統運行狀態的可信,為訪問控制機制和可信證明機制提供支撐。

3\\)MAC和MEC。MAC用于將系統中的信息分級和類進行管理,以保證每個用戶只能訪問到那些被標明可以由其他訪問的信息的一種訪問約束機制;MEC的目標是對特定代碼的執行進行限制,阻止其被惡意侵入的進程或誤操作啟動。要求指定程序/動態庫不能在指定方式以外的情況下執行/加載。

4\\)可信網絡連接。實現網絡通信節點之間的可信認證及安全通信。

2.4 基于可信計算的主動防御體系效果驗證

電網調度控制系統對實時性能要求很高。由于可信計算技術在操作系統、可執行程序的加載、啟動執行環節引入了完整性量度等控制機制,不可避免地對系統的實時性及相關性能產生影響。為了定量評估這些影響以及主動防護效果,本文建立了電網調度控制系統主動防御仿真環境,仿真環境中部署了一個完整的智能電網調度控制系統,在系統的前置機、數據采集與監控\\(SCADA\\)服務器、數據庫服務器、人機工作站上安裝電力可信計算密碼平臺\\(包含可信密碼模塊和可信軟件基\\)。測試環境采用當前主流的服務器,其上分別安裝XX,YY,ZZ這3款安全操作系統。

依托仿真環境,對可信計算密碼平臺給控制系統引入的性能影響進行測試,包括:①可信計算密碼平臺占用資源測試;②進程加載時間影響測試;③訪問響應時間影響測試。

可信計算密碼平臺對CPU及內存的影響如表1所示?？尚庞嬎忝艽a平臺對進程加載時間的影響如表2所示?？尚庞嬎忝艽a平臺對訪問響應時間的影響如表3所示?！?】

性能測試結果表明可信計算密碼平臺對系統性能的影響較小,對進程加載時間和訪問響應時間的影響處于毫秒級別。

電網調度控制系統所面臨的惡意程序主要包括惡意可執行程序、惡意腳本、惡意動態庫以及惡意內核模塊。為了驗證基于可信計算的主動防御體系對電網調度控制系統的防護效果,本文在測試環境中模擬上述4類惡意程序,從惡意程序的傳播、執行、感染和破壞4個階段分別對系統進行100次攻擊。

測試結果表明,主動防御體系對于4類惡意程序在4個階段的防御成功率均為100%。這說明可信計算密碼平臺可以防御惡意代碼從各種途徑入侵,防止惡意代碼感染系統中的可執行程序,同時也可以防止惡意代碼對系統實施破壞?？尚庞嬎忝艽a平臺從根本上解決了惡意代碼問題,基于可信計算技術的主動防御體系可以為電網調度控制系統構建一個安全自主可控的執行環境。

2.5 工程實施和實現中需要解決的技術問題

基于可信計算的主動防御體系可以建立有效的惡意代碼免疫能力,但在應用實現中尚需考慮可信計算技術與現有安全機制的有效結合,使各安全機制發揮最大效用。在工程實施中,應考慮如何區分業務應用的安全要求和軟硬件條件,以分別采用不同形態的電力可信計算密碼平臺。

3 結語

中國電網調度控制系統安全防護體系發展經歷了基于邊界安全的縱深防護體系、基于等級保護的業務安全防護體系,以及基于可信計算的主動防御體系三大階段。為應對日新月異的新型威脅及國家級網絡空間對抗新形勢,采用可信計算技術,實現計算環境可信、應用行為可信、網絡通信可信,構建以安全免疫為特征、以安全可控為目標的新一代主動防御體系。根據應用場景,電力可信計算密碼平臺將以不同的形態,部署在調度中心、發電站、變電站的計算機系統中,或嵌入遠程終端設備/饋線終端裝置等各類智能測控單元中,在“十三五”期間推廣應用,全面建成智能電網調度控制系統安全主動防御體系。

參 考 文 獻

[1]國家經濟貿易委員會.經貿委30號令電網和電廠計算機監控系統及調度數據網安全防護規定[S].2002.
[2]國家電力監管委員會.電監會5號令電力二次系統安全防護規定[S].2004.
[3]國家電力監管委員會.電監信息44號關于開展電力行業信息系統安全等級保護定級工作的通知[R].2007.
[4]國家電力監管委員會.電監信息62號電力行業信息系統安全等級保護基本要求[S].2012.
[5]國家發展改革委員會.發改委14號令電力監控系統安全防護規定[S].2014.