可信PLC 和标识认证加密在水电站监控系统的应用研究

2024-01-04 10:53张文韬黄家志孙监湖陈超群夏国强艾远高

水电站机电技术 2023年12期

张文韬，黄家志，孙监湖，陈超群，张鹏，夏国强，艾远高

（中国长江电力股份有限公司，湖北宜昌 443000）

随着计算机及网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出[1]。水电站特别是巨型水电站作为国家关键基础设施，其计算机监控系统作为核心的工业控制系统，是境外敌对势力、黑客组织的主要攻击目标。基于“安全分区、网络专用、横向隔离、纵向认证”十六字方针的安全防护方案面对日益严峻的网络安全形势已暴露出其内部环境防护薄弱、信息安全缺乏深度保障的问题，为实现电力专网内部环境安全可信，亟待将新一代可信计算技术与标识认证加密技术实现综合应用，形成全方位、全覆盖的基于主动免疫的计算机监控系统。

1 电力专网网络安全防护体系

传统的电力专网控制系统安全体系核心思路是对系统进行安全分区后强化边界层面的防护，主要体现为生产控制大区与管理信息大区的物理隔离、信息内网与信息外网的强逻辑隔离、调度侧对生产侧工业控制系统进行控制指令下发或数据传输采用加密认证[2]，如图1 所示。

图1 电力专网网络安全防护拓扑图

虽然边界防护体系已较为成熟，其安防设备如横向隔离装置甚至具备近似物理隔离效果，能有效防止外部入侵，但是该体系在应对有组织的、高技术能力、大规模的攻击时明显不足，而且边界一旦被入侵，内部系统较为脆弱，如应用软件层面防护薄弱、终端接入设备缺乏管控等，导致内部计算环境无法实现可信，系统安全保障从根源上不可控[3]。

为应对边界防护体系内部环境脆弱的问题，国家能源局于2015 年2 月下发36 号文关于印发《电力监控系统安全防护总体方案》等安全防护方案和评估规范，其中提出的安全防护的总体原则增加了“综合防护”措施。“综合防护”是对监控系统主机、网络设备、恶意代码防范、应用安全控制、审计、备用及容灾等多个层面进行安全防范的过程。常见的“综合防护”措施包含：

（1）加装入侵检测装置：通过实时报文及访问行为监测，鉴别入侵行为；

（2）加装内网监视装置：通过采集监控系统涉网部分主机设备、网络设备、通用及专用安防设备的告警信息，实时监测电厂内部涉网主机的外设接入、网络设备接入、人员登录等安全事件；

（3）部署可信计算：通过对监控系统上位机安装可信硬件卡、可信软件基，实现从可信硬件卡到操作系统、操作系统到应用程序的信任链建立，达到服务器主动免疫的效果。

“综合防护”在一定程度上强化了电力专网安全防护能力，已在大量电力生产工控系统实现了应用，但大多局限于监控系统上位机的应用，对PLC进行“综合防护”仍是业界有待探索与研究的方向。

2 PLC 安全防护分析

2.1 PLC 安全防护缺陷分析

PLC 是电站工控系统中的核心组成部分，水电站兼具电力生产与防洪抗旱双重职责，其PLC 主要承担数据采集与处理、设备监视与控制、执行流程、与其他子系统通信、报警与事件生成的功能。PLC为保证高实时性的逻辑控制、数据处理功能，一般缺乏安全防护措施，导致自身存在较大的潜在网络安全风险，本文总结该风险来源于3 种情况：

（1）外部入侵：一旦电力专网边界防护被突破，攻击者可以窃取用户登录信息，远程破坏PLC 存储内容，篡改PLC 内存数据、控制参数等。

（2）非法连接：由于PLC 为嵌入式设备，在缺乏人为管控的情况下，非法连接可使得程序、数据点表被篡改，严重情况下甚至对其操作系统植入病毒。

（3）信息泄露：PLC 为保证与上位机通信的实时性，数据传输无加密手段，数据包被截获后较易被读取使用，造成关键生产信息的泄露。

2.2 PLC 可信计算应用分析

可信计算是在计算和通信过程中使用硬件安全模块保障系统安全性的一种技术。当前可信计算已经发展到了3.0 版本，能够实现主动免疫和主动防御[4]。可信计算较为普遍的应用方式为：为监控系统上位机服务器加装PCI-e 接口的可信硬件板卡并安装可信软件基，于某一服务器部署可信管理端，实现对可信策略、白名单、证书的统一管理及可信设备的注册等功能。可信计算可实现的功能包含：

（1）系统可信引导：在系统启动中，通过可信逐级校验每个启动阶段的完整性；

（2）静态度量：对系统可执行程序、共享库、函数库、配置文件等进行校验；

（3）动态度量：系统运行时，对内存中的关键信息实时主动度量；

（4）文件完整性保护：对文件进行写保护，只有指定的进程可以读写文件；

（5）重要配置文件保护：对重要配置进行完整性监控，阻止篡改；

（6）进程保护：防止特定进程被非法终止。

可信计算技术如能实现在PLC 上的应用，能有效阻止外部入侵和非法连接造成的威胁，但是目前实现可信PLC 应用存在两个方面的难点：①主流可信硬件卡为PCI-e 接口，且体积较大，PLC 机箱空间较为狭小，且缺乏相应接口；②PLC 所用CPU 相较服务器级CPU 性能较弱，部署可信会在一定程度上占用CPU 资源，PLC 逻辑控制、数据处理的实时性无法保证。因此，要想实现可信计算技术于PLC的应用，需要对PLC 设备进行定制化开发，缩小可信硬件体积，轻量化可信功能。

2.3 上下位机加密通信应用分析

由于传统工控系统网络协议在设计之初未考虑认证、加密需求，面对当前严峻的网络安防形势，监控系统终端明文数据传输已不可取。当前，PKI 为主流的加密认证体系，通过CA（证书认证中心）和KM（密钥管理系统）对用户进行证书签发和密钥管理，保障网络终端数据传输的安全性。但是随着适用范围和规模的不断扩大和电站网络智能设备的大量应用，PKI 体系的证书和密钥的分发管理愈加复杂，且其数据安全传输的方式较为单一。针对传统PKI 体系的问题，近年来兴起了IBC 认证体系，IBC 认证体系省去了数字证书部分，每一终端可以基于自己的标识申请私钥，而以自身标识为公钥，简化了加密认证流程，降低了使用者的学习和使用成本，解决了规模化认证的问题，较为适用于工业控制网络[5]。

将IBC 标识认证加密技术应用于PLC，无可避免会出现CPU 资源占用问题，并且加密、解密过程耗时会影响PLC 与上位机通信的实时性，对于数据的吞吐量也可能造成一定限制。另外，兼容性问题也是加密认证技术应用于计算机监控系统的一大难点：随着我国关键领域工控系统自主可控进程的加速，国产CPU 及操作系统将全面普及，加密认证算法须适配不同架构的国产CPU 及操作系统，其部署和运维必然存在一定的复杂性。

3 基于可信PLC 和标识认证加密的水电站监控系统

3.1 测试环境

基于上文分析，为验证可信计算技术和标识认证加密技术于水电站监控系统应用的可行性，本文在对国产主流的PLC、可信、加密产品进行充分调研后，选型并搭建了一套离线测试平台。选型硬件及软件信息如表1、表2 所示。

表1 上位机及PLC 设备选型

表2 可信和加密系统选型

设备选型中采用最小化计算机监控系统架构，并且尽可能多元化服务器CPU 架构、操作系统，以便于在后续对主流国产设备进行兼容性测试。其中PLC 选用的是国产自主可控的S.CTG EdgeBrain-L2大型PLC，其采用龙芯2K1000 处理器，主频较高，性能在国产自主可控PLC 中处于第一梯队。在可信系统及加密认证系统选型上，对于上文可信计算技术及IBC 标识认证技术应用于PLC 的难点进行了针对性选型：

（1）可信系统采用某主动免疫防御系统（防病毒）[6]，通过在PLC 主板集成TPCM 主动度量控制芯片并于系统烧写可信软件基实现PLC 可信功能部署。该主动度量芯片采用国芯CCM3310 系列芯片，能够实现主流的国密SM1、SM2、SM3、SM4 算法和可信启动度量、可信验证，较为适用于嵌入式设备部署。通过在一台浪潮服务器安装可信管理中心，完成配置可信注册、策略管理、白名单管理等功能。

（2）加密认证系统选用了某国密高速IBC 标识认证加密系统，该系统由高性能标识密钥管理服务和终端SDK 两个模块组成。高性能标识密钥管理服务采用了基于组合密钥的密码技术，提供了用户标识密钥全生命周期的管理，实现用户标识密钥的分发、更新、恢复、挂失、注销等功能。终端SDK 依托于高性能标识密钥管理服务，为前端设备提供多种安全数据传输方式，确保终端间数据传输的安全性，且具有较强的终端兼容性。通过在一台中科曙光服务器安装加密管理中心，并在其它设备安装终端SDK（除B 套PLC 外），完成国密高速IBC 标识认证加密系统部署。

基于此，本文构建的离线测试平台拓扑如图2所示。

图2 离线测试平台拓扑图

3.2 功能测试

在集成可信和加密认证系统于测试环境后，对其进行功能性测试，测试项目见表3。

表3 可信和加密系统测试项目

经测试，上位机及PLC 可信功能表现良好，测试用例均通过；国密IBC 标识认证系统于PLC 适配出现少量接口错误，例如PLC 设备标识码以0 开头出现协商失败现象，通过操作人员人为约束进行解决，由于其无重要功能错误，认为其功能性测试通过。因此，在测试环境中集成应用上述系统能满足安全防护功能需求，提升系统整体安全性。

3.3 性能测试

由于可信和加密认证系统会在一定程度上占用上位机服务器及PLC 计算资源，须对其进行性能测试，本文对测试环境中数据采集服务器、历史数据服务器及两套PLC 进行了unixBench 系统基准性能测试，认为性能损失小于5%则满足生产实际需求，测试结果见表4～表6。

表4 PLC 基准性能测试

表5 数据采集服务器基准性能测试

表6 历史数据服务器基准性能测试

由上述试验结果可知，在部署可信与加密认证系统后，上下位机设备终端基准性能有所下降。大量的重复对比试验基本排除了随机误差影响，可认为测试终端性能损失均低于5%，满足水电站计算机监控系统应用要求，具有一定的实施可行性。

3.4 示范应用

为进一步验证可信PLC 及国密高速IBC 标识认证加密技术于水电站计算机监控系统应用的安全性和可靠性，于2023 年5 月某电站计算机监控系统改造项目中进行实装，经过长期实际生产检验，其安全性表现较为突出，可靠性达较高水准。该计算机监控系统在传统的边界防护体系上增加了PLC 可信功能、上下位机加密通信功能，补齐PLC 安全防护短板，对于水利水电行业工控系统安防体系建设具有一定积极指导作用。

4 结语

本文对电力专网网络安全防护体系及PLC 安全防护缺陷进行了介绍分析，搭建离线测试环境，对PLC 可信计算应用和监控系统国密IBC 标识认证加密应用进行了测试分析，验证了技术的可行性，为水电行业工控系统安防体系补齐PLC 防护短板提供了切实可行的方案。