一、背景分析

随着工业化与信息化进程的不断交叉深入，“大云物移智链边”等新兴技术快速发展和基础设施的日渐完备，为电力工控系统的建设提供了技术保障和实践基础。但是，伴随着新兴技术的快速发展，电力信息网络的安全问题也日益突出，早期在操作系统和应用软件方面的埋下的安全隐患使电力工控系统漏洞百出，病毒变种迅速、新型攻击手段不断涌现，导致传统基于已知特征匹配的被动防护思路防不胜防，电力工控系统的安全形势不容乐观。

为解决当前电力工控系统安全防护能力不足的问题，本文通过分析现有电力工控系统面临的安全威胁和安全建设现状，总结导致安全风险的实质，针对现有电力工控系统安全防护存在的问题，提出面向电力工控系统的主动免疫纵深防护体系，研究可信计算3.0技术在电力工控系统环境中的应用，在满足高实时、高可靠性要求的前提下，量身打造一系列主动免疫的可信计算软硬件产品，有效抵御有组织的、目标明确的定向攻击，并为电力控制系统的国产化替代保驾护航。

1 电力工控系统的安全形势

电力系统作为国家关键基础设施，其信息网络的稳定、安全与人民生活水平及各行各业的发展直接相关。而电力工控系统网络环境复杂，在应对传统安全威胁的同时，也面临着越来越多的内外部攻击。2010年8月，震网病毒入侵伊朗核电站的工业控制软件，导致大量核电设备发生故障；2015年12月，黑客利用恶意软件入侵乌克兰电力公司主控电脑，造成了大范围的停电；2020年6月，巴西电力公司遭Sodinokibi勒索软件攻击，赎金高达1400万美元……由此可见，电力行业已经成为网络攻击的重灾区，针对电力工控系统的攻击在直接危害国家基础设施的同时，也导致了巨大的经济损失，影响了企业、社会和国家的正常运行。

国际上，面对工控系统的信息安全问题，美国和欧盟都制定了一系列的国家法规战略来推进关键基础设施的安保工作。在我国，近年来对于电力行业等关键基础设施建设的网络安全问题也格外重视。国家发展与改革委员会2014年8月1日发布14号令《电力监控系统安全防护规定》，规定中第二条要求电力监控系统安全防护工作应当“落实国家信息安全等级保护制度”，坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，保障电力监控系统的安全。国家能源局2015年2月4日发布36号文《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》，该通知确定了电力监控系统安全防护体系的总体框架，提出了电力监控系统防护方案及电力监控系统安全防护评估规范。2017年6月1日正式实施的《中华人民共和国网络安全法》第十六条规定“国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务。”如何确保电力系统从生产运行到管理过程中各环节的安全，最终实现主动防御，保障电力系统的安全运行，已经成为电力系统建设工作中刻不容缓的重点任务。

2 电力工控系统面临的安全风险分析

工控系统面临的安全风险，从科学原理上看，其实质是人们对IT认知逻辑的局限性，由于不能穷尽所有逻辑组合，只能局限于完成计算任务去设计IT系统，必定存在逻辑不全的缺陷，从而形成了难以应对人为利用缺陷进行攻击的网络安全命题。因此，为了防御对方攻击，必须从逻辑正确验证理论、计算体系结构和计算工程应用模式等方面进行科学技术创新，以解决逻辑缺陷不被攻击者利用的问题，形成攻防矛盾的统一体，确保为完成计算任务的逻辑组合不被篡改和破坏，实现正确计算，这就是主动免疫防御的相对安全目标。

当前大部分网络安全系统主要是由防火墙、入侵监测和病毒查杀等组成的“老三样”，对于工控系统的应用效果比较受限。首先，“老三样”根据已发生过的特征库内容进行比对查杀，面对层出不穷的新漏洞与攻击方法，这种消极被动应对是防不胜防；其次，老三样属于超级用户，权限越规，违背了基本的安全原则；第三，“老三样”可以被攻击者控制，成为网络攻击的平台。因此，只有重建主动免疫可信体系才能有效抵御已知和未知的各种攻击。

3 电力工控系统的风险现状

电力工控系统包括三个区域：控制区I区，非控制区II区，管理大区III区。控制I区主要包括厂级离散控制系统，开关站监控系统等；非控制II区主要包括厂级监控信息系统；管理大区III区主要包括内部门户，环境检测系统，实物保护系统等。

1) 管理大区存在的安全风险：

网络：1.来自互联网的外部攻击；2.来自相邻的内部网络（有线网络或以太网）的攻击；3.来自本地网络中被入侵设备的攻击；4.来自Wi-Fi网络的攻击；5. 隧道分离（通过VPN访问网络）等；

主机：用户电脑中木马（用户上网、木马邮件、U盘、键盘鼠标输入等）；

应用数据：商密或敏感文件外泄（外邮，上网，打印，复印，传真，拍照，摄像等）。

2) 控制I区、非控制II区安全风险：

网络：网络服务端口、工业协议使用的端口，Modbus协议502端口，SSH协议22端口，远程桌面3389端口等；

主机：文件输入或插入，用户输入，数据输入等；

工控系统及设备：控制器，芯片或硬件的篡改，应用程序或固件代码的篡改等。

二、电力工控系统安全防护解决方案技术路线及整体架构

电力控制系统安全建设基于可信计算3.0技术，实现PLC、工作站服务器、办公终端、安全边界设备等基础设施的可信构建，一方面对已有产品设备进行可信改造，另一方面在我国自主可控的电力工控系统中深度植入免疫机制，逐步采用国产自研的系统设备进行替代。同时根据“一个中心”管理下的“三重防护”体系框架，形成适用电力工控系统的纵深防御体系。在分区分域的基础上，按照信息系统业务处理过程将电力控制系统分为如下四部分：安全计算环境、安全区域边界、安全通信网络和安全管理中心。以节点安全为基础对计算环境、区域边界、通信网络实施保护，构成由安全管理中心支撑下的可信计算环境、可信区域边界、可信通信网络所组成的三重防护体系结构。

图1 电力工控系统三重防护技术框架

电力工业控制系统总体上分为控制大区和管理大区，控制大区为每个电站控制系统（包含控制I区和非控制II区），管理大区为电厂中的管理大区和总部共享系统。依据建设思路，针对电力工业控制系统定级系统的业务情况，进行分区分域和多级互联设计，将一个区域内的定级系统进行合并管理，建设统一边界和管理中心。

对于DCS 4级定级系统拥有独立的可信边界。在每个电厂中设立一个跨区域可信安全管理中心，主要负责控制I区、控制II区、管理大区之间的系统访问策略，制定区域边界的安全规则。各区域内建立可信安全管理中心负责区域内的各系统安全可信管理，负责区域内计算环境、区域边界、各系统之间边界、区域通信网络的安全规则。在各电厂的控制I区、控制II区、管理大区各部署一个管理中心，在集团总部部署一个管理中心，负责共享系统、DMZ区域内的定级系统的安全管理。

图2 整体安全框架

1 可信节点构建

可信计算环境是信息产生、存储、处理和传输的可信载体。可信计算环境主要由计算节点构成，对计算节点的可信改造是构成可信计算环境的关键。DCS系统主要由两类关键节点构成，一类是PLC工控专有设备计算节点；另一类是通用计算节点，例如服务器、工作站等。通过为两类计算节点植入可信架构，可以为计算节点的监控提供可信支撑；可信架构则主要通过可信TPCM芯片和可信软件基两个方面进行设计和构建。

1) 可信TPCM芯片

可以通过插卡、板载和CPU内建的方式将TPCM植入可信节点中。可采用基于PCI-E的TPCM卡对现有各类服务器、工作站、前置机进行可信改造；可采用基于主板板载的具有可信TPCM功能的服务器、工作站等整机设备构建工控系统；或采购国产CPU中带有TPCM功能的整机平台构建工控系统。对于条件成熟的国产工业控制系统，需要考虑在PLC上构建TPCM芯片或采用具有TPCM功能的CPU构建工业控制系统和设备。

2) 可信软件基

可信软件基一般部署于工控系统中可信节点内TPCM提供的硬件资源中，或部署于主机的操作系统中；对于不便部署TPCM硬件的节点，应部署TSB软件增强节点的可信性和安全性。对于条件成熟的国产工业控制系统需要考虑在PLC等嵌入式设备中部署可信软件基。

2 可信节点部署

以DCS4级系统为例阐述可信计算环境的设计。

图3 可信产品部署示意图

如图3所示，将DCS系统划分成可信计算环境、可信区域边界、可信通信网络和可信管理中心四个区域。可信计算环境是由操作员工作站、工程师工作站、TXS工程师工作站、DS工作站、SU服务器、PU服务器、XU服务器和PLC组成；可信区域边界值DCS系统与其他系统的关口必经之地，例如XU通讯服务器；可信通信网络是与其他系统进行数据交互的网络；可信管理中心是安全产品管理服务器的集中区域，主要存放可信管理中心的服务器。其中可信计算环境中主要由工作站、服务器和工控PLC三类设备组成。

3 功能介绍

身份鉴别

针对用户身份，应支持用户标识和用户鉴别，应保证用户标识具有唯一性，用户鉴别信息具有一定的复杂度并定期更换；每次用户登录系统时，应采用用户名和用户标识符进行用户身份鉴别；针对工控身份，现场控制层设备及过程监控层设备应实施唯一性的标志、鉴别与认证，保证鉴别认证与功能完整性状态随时能得到实时验证与确认。

访问控制

在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定的命令或操作界面进行安全标记，并对这些操作进行审计；应按安全标记和强制访问控制规则对安全策略进行配置，对主体进行授权，对确定主体访问客体的操作进行控制。

数据保护

应采用校验技术或密码技术检验存储和处理的用户数据的完整性，在其受到破坏时能提供必要的恢复措施；应采用密码技术或物理保护机制保证现场控制层设备和现场设备层设备之间通信会话完整性。

可信验证

应基于可信根对计算节点的BIOS、引导程序、操作系统内核、应用程序等进行可信验证，并在应用程序的关键执行环节对系统调用的主体、客体、操作可信验证，并对中断、关键内存区域等执行资源进行可信验证，在检测到其可信性受到破坏时采取措施恢复，并将验证结果形成审计记录，送至管理中心。

本文根据电力工控系统的信息安全特点以及现有防御手段的不足，提出了基于可信计算3.0的电力工控系统安全免疫防护解决方案。可信计算目前正处于高速发展阶段，其技术与标准也在日益完善，相信随着可信计算理论和互联网技术的不断发展，可信计算3.0作为一种主动免疫的安全防护手段也会更加适应工控系统的信息安全问题。同时，工控系统作为关乎国计民生的基础设施，除了建立完善的外部安全防护机制 ，还要通过研究具有自主知识产权的软硬件设施来发展内生安全防护能力，从而有效应对当前及未来复杂的工控安全威胁，从根本上保证工控系统的信息安全。