三峡电源电站主动免疫的可信及加密通信的应用

董金丹，谭佳文，张文韬，黄鹏辉，夏国强，李文馨，吴 桐

（1.北京中水科水电科技开发有限公司，北京 100038；2.三峡水力发电厂，湖北 宜昌 443133）

三峡电源电站是三峡电站厂用电骨干主力电源，也是三峡电站唯一的黑启动电源，对电力系统安全稳定运行至关重要。作为国家重要电力基础设施，其为境外恐怖组织和敌对势力的主要入侵目标，在保证水电站的基础电力生产和防洪度汛功能基础上，增强计算机监控系统数据信息传输的安全性和可靠性，防止信息泄露和数据篡改成为三峡电站建设世界一流信息安全型电站的重要诉求[1]。

随着国内信息技术的发展，可信计算和基于国密的标识认证加密算法作为新一代网络安防技术，越来越多的应用于重要行业工控系统[2，3]。三峡电站在三峡集团流域梯级电站中率先实现了这两种技术的示范应用，于电源电站计算机监控系统中完成了应用适配研究与系统集成，构建了强信息安全型、主动免疫型网络安防体系，极大降低系统数据泄露、信息扰乱及恶意篡改的风险。

1 电源电站计算机监控系统

电源电站计算机监控系统的网络主要分为两层：电站主控层和现地控制层，电站主控层主要包含服务器、网络设备和外围设备，现地控制层包括两套机组现地控制单元和一套公用现地单元。电源电站共有采集服务器2 台、工程师站1 台、移动式工作站1 台、加密服务器1 台以及可信服务器1 台，通过信息网交换机和控制网交换机组成了冗余星型网络。其中，可信和加密服务器分别部署了各自系统的管理平台，实现可信和加密的设备注册、策略管理、日志审计等功能。

该计算机监控系统实现了主要核心软硬件的自主可控，硬件采用了中科可控服务器（海光CPU）、瑞斯康达交换机、S.CTG 系列大型PLC、国立智能同期装置等国产自主可控设备，软件采用了凝思操作系统、中水科技IP9000 系统、达梦数据库及各种国产组态软件。在保证计算机监控系统的可用性、可靠性和稳定性的基础上，实现了最大程度的自主可控。

2 可信防御系统

电源电站计算机监控系统用户交互频繁、设备众多，为保障控制系统稳定运行，提高应对外来恶意入侵的防御能力，采用了由北京可信华泰信息技术有限公司（下称华泰信息）研发的可信防御系统，在极大的程度上解决应用软件防护薄弱、终端设备缺乏管控和系统安全无法保证的问题[4]。

2.1 可信计算

可信计算是在计算和通信过程中使用硬件安全模块保障系统安全性的一种技术。目前可信计算已经发展到了3.0 版本，能够实现主动免疫和主动防御。可信计算包括可信硬件卡、可信软件基和管理平台三大部分，可信硬件卡是可信根，操作系统的启动引导需要经过可信硬件卡的验证，而软件应用需要经过可信软件基和操作系统的认证，这种逐级验证的机制，保证了系统的安全。

2.2 可信登录安全

可信管理中心采用了用户三权分立的方案来实现安全等级的提升。把单一集权的用户分为了系统管理员、安全管理员、审计管理员三个用户进行系统管理，每个用户都有自己的负责内容，不同用户登录管理平台，平台展示的操作界面和展示功能也不相同，实现真正的分权管理。同时，各个用户还都有各自的Ukey，即使出现密码意外泄露情况，没有专用Ukey 也无法登录用户进行信息查看和修改，一定程度的提高了安全性。

2.3 维护系统安全稳定运行

可信系统分为静态度量、动态度量、文件完整性保护和进程保护四个方向进行进程和文件保护，极大程度上保障操作系统的进程、文件和路径的安全性和稳定性。

静态度量：服务器必要路径加白名单后，开启可信系统静态度量功能，加白路径下新增的可执行文件和模块无法执行成功，且该路径下的执行文件等加白内容也无法随意删除，较大程度上实现路径和文件保护。白名单路径继续新增可执行文件，通过管理平台或本机客户端进行白名单策略库更新，并把新增程序添加进白名单进行实现。静态度量的度量对象包含配置文件、可执行文件、库函数等，最大程度完成加白路径下各类文件的管控。

动态度量：动态度量主要监控的内容为内存中的实时度量、监控系统状态以及进程状态等实时状态信息，具有较高的实时性。动态度量主要监控方式为通过条件触发和周期方式对系统进程、执行代码等重要信息进行监视，保障系统进程、代码正常稳定运行。可信日志系统能够记录上报系统受到外来攻击的详细信息，较大的提高系统安全性。

文件完整性保护：开启文件完整性保护功能，设置文件的保护类型到配置中，可实现不同命令对同文件的读写权限管理。设置为只读权限的命令进行文件访问时，显示权限不够，不允许修改文件。

进程保护：在进程保护配置中加入需要保护的进程和其路径，进行进程保护。进程保护功能生效时，受到保护的进程无法被kill，防止了人为的误停操作和外来入侵的恶意操作，一定程度上维护了系统进程稳定运行。

2.4 日志管控和文件备份

登录审计管理员用户，可查看启动度量日志、白名单日志、动态度量日志、文件访问控制日志、告警日志、登录日志和操作日志，日志都会记录详细的时间和操作以及操作主体。为了方便日常问题日志查找，不同日志都可进行度量对象、结果、主客体为查询对象的特定日志内容查询。除了日志管控来方便问题查找处理外，还设计了文件备份功能，以防文件被篡改或意外删除无备份问题，若出现相关情况，可通过执行文件还原功能去快速恢复文件，保证系统稳定运行。

2.5 可信性能功能测试总结

可信系统于2022年10月进行了基础性能测试，并在2023 年5 月完成电源电站现场投运，在此期间多次进行了功能和性能测试，数据相对稳定，取其中一次性能测试结果作为参考得出以下总结：

（1）可信加固对程序执行时间影响较小：对未进行可信加固和完成可信加固的傲拓CPU 分别进行可信对程序执行时间测试，使用time 命令测试md5sum 和sort 执行10 000 次时间，结果表明加固前与加固后所耗费时间几乎一致，说明可信在维护系统稳定的同时并不会影响程序执行时间。

（2）可信加固对系统基准性能影响小：对两个只有是否安装可信区分的傲拓CPU 进行单线程和2 线程测试，未安装可信的CPU 单线程测试结果平均为230，2 线程的为311.87，而安装了可信的CPU 单线程测试结果为227.47，2 线程为307.73。由此可看出线程数数据无明显差值，波动在2%左右，说明可信在使用过程中对系统基准性能影响较小。

（3）可信加固不会减慢磁盘读写速度：使用iozone 针对不同record 大小（1 k～8 k）对文件系统进行读写速度测试。采用1、128、1 024、8 192 不同字节进行有无进行可信加固读写速度测试时，得出具体平均数据为：12 816、25 643、25 957、25 960 和12 652、25 680、25 574、24 937。由此可看出磁盘读写速度在个别点偶有下降，但整体稳定波动不大，说明可信并不会使磁盘读写速度大幅度减慢。

3 国密高速IBC 标识认证加密系统

3.1 平台功能应用

国密高速IBC 标识认证加密系统可分为标识密码管理平台和终端SDK 两个部分，其主要功能如下：

（1）标识密码管理平台

1）标识密钥申请与导入、数字签名；

2）密钥生成中心封装、标识注册中心封装；

3）设备标识管理，包括设备标识的导入、查询、归档、注销；

4）服务发布、设备认证、设备标识导入、密钥矩阵分发、密钥申请、密钥恢复、密钥更新、密钥注销。

（2）终端SDK

1）随机数生成、非对称密钥对生成、对称密钥生成、SM2 加密、解密、签名、验签、SM4 加密、解密、SM3、标识密钥计算；

2）密码服务定位、入网认证、下载公钥矩阵、申请密钥对、更新密钥对、密钥恢复；

3）身份认证申请、身份认证；

4）数据加密、数据解密；

5）数据签名、签名验签；

6）抗抵赖加密、抗抵赖解密；

7）client 连接、Server 接收。

3.2 平台特色

（1）国产自主可控。国密高速IBC 标识认证加密系统完全符合自主可控的要求，从硬件加密卡到软件管理平台等都为渔翁信息自主研发的国产产品。在电源电站现场实际环境中，其适配性良好，兼容各种国产服务器、操作系统和PLC，符合现场实际需求。

（2）去中心化。与传统的PKL 体系相比，国密高速IBC 标识认证加密系统实现了去中心化。无需CA 证书颁发中心，只需在管理中心进行一次注册，即可实现设备之间的标识身份鉴别。

（3）界面简洁。管理中心操作界面简洁，注册流程简单，便于后期维护。通过高度封装的接口和服务平台的开发较大程度上降低了认证加密算法的复杂性。

（4）安全可靠。采用国密高速IBC 标识认证加密系统使用硬件密码设备保存系统密钥数据，该系统不会单独对用户的密钥等重要数据进行储存，一定程度的减少了敏感信息泄露的可能性。同时，若出现数据丢失等意外情况时，系统支持数据备份和密钥备份的恢复，减少了突发情况导致数据缺失的可能。

4 结语

三峡电源电站计算机监控系统通过部署可信防御系统和国密高速IBC 标识认证加密系统，建立了强而有效的信息安全保护屏障，实现了防误操作、防入侵、防篡改的“三防”策略，极大程度地提高了电站数据传输安全性和系统运行稳定性，解决了内部系统防御薄弱、设备终端间数据传输安全程度低、终端缺少管控的问题，构建了新一代水电站计算机监控系统网络安防体系的案例模板。