基于可信計算的水電站工控系統(tǒng)一體化平臺設(shè)計與應(yīng)用

楊之圣，謝秋華，白劍飛，李亦凡，王 翔，薛 飛

（1.中國長江電力股份有限公司，湖北 宜昌 443000；2.中國水利水電科學(xué)研究院，北京 100038）

0 引言

隨著信息技術(shù)的發(fā)展，水電站信息平臺呈“運(yùn)管控一體化智慧平臺”構(gòu)建趨勢。信息終端的日益增多、信息終端之間信息交流和數(shù)據(jù)共享的日益頻繁，如何構(gòu)建具有可靠安全防護(hù)體系的工控系統(tǒng)一體化平臺成為水電站智慧化發(fā)展需要研究的重要問題。

隨著電力系統(tǒng)信息化的發(fā)展，針對電力系統(tǒng)的惡意代碼威脅層出不窮，現(xiàn)有的安全防護(hù)體系越來越力不從心，需要有能應(yīng)對高級別惡意攻擊的安全防護(hù)機(jī)制[1]。

本文提出采用可信技術(shù)構(gòu)建基于可信安全防護(hù)的水電站工控系統(tǒng)一體化平臺并搭建一體化平臺進(jìn)行了實(shí)際測試。

1 平臺設(shè)計

水電站工控系統(tǒng)一體化安全防護(hù)平臺采用雙體系結(jié)構(gòu)設(shè)計思想，水電站工控系統(tǒng)一體化平臺作為宿主系統(tǒng)與可信計算安全模塊共生運(yùn)行組成工控一體化安全保護(hù)平臺?？尚庞嬎惆踩K構(gòu)建并行于宿主系統(tǒng)的安全監(jiān)控機(jī)制，以電力可信計算密碼模塊為信任根，建立信任鏈機(jī)制，構(gòu)建可實(shí)現(xiàn)主動免疫安全防護(hù)的水電站信息平臺。

1.1 宿主系統(tǒng)功能架構(gòu)

水電站工控一體化安全防護(hù)平臺宿主系統(tǒng)是基于“智慧電廠”建設(shè)思想[7]進(jìn)行架構(gòu)、服務(wù)于水電站的運(yùn)管控一體化平臺。系統(tǒng)采用分層設(shè)計技術(shù)，按基于面向服務(wù)的軟件體系架構(gòu),從層級結(jié)構(gòu)可細(xì)分為硬件層、操作系統(tǒng)層、數(shù)據(jù)層、傳輸層、服務(wù)層、基礎(chǔ)應(yīng)用層、水電站應(yīng)用層。

硬件層支持Intel，SPARC，Itanium，Power 等各類硬件。考慮到電力安全生產(chǎn)的需要，硬件層支持自主可控服務(wù)器及工作站。

操作系統(tǒng)層支持各種LINUX 系統(tǒng)和Windows系統(tǒng)。

數(shù)據(jù)層完成元數(shù)據(jù)的匯聚，負(fù)責(zé)水電廠數(shù)據(jù)模型的實(shí)現(xiàn)和維護(hù)。

傳輸層構(gòu)造實(shí)時分布式運(yùn)行環(huán)境，實(shí)現(xiàn)異構(gòu)環(huán)境下的消息傳遞、事件回調(diào)、進(jìn)程控制、文件訪問、內(nèi)存管理等。傳輸層由消息總線和服務(wù)總線構(gòu)成。

服務(wù)層是畫面訪問、數(shù)據(jù)訪問、日志、報警、工作流等基本服務(wù)的實(shí)現(xiàn)層。并提供服務(wù)的查找、定位和代理功能。

基礎(chǔ)應(yīng)用層包括數(shù)據(jù)采集、模型維護(hù)、人機(jī)界面、斷面管理、權(quán)限管理等。

水電站應(yīng)用層包括水電站實(shí)時監(jiān)控、經(jīng)濟(jì)調(diào)度等應(yīng)用軟件。

圖1 水電站工控系統(tǒng)一體化層級結(jié)構(gòu)圖

1.2 可信安全防護(hù)

可信計算軟件是基于可信計算技術(shù)研發(fā)的一款安全產(chǎn)品，主要實(shí)現(xiàn)電力業(yè)務(wù)系統(tǒng)對惡意代碼的免疫和業(yè)務(wù)應(yīng)用的版本管理。可信計算平臺由可信策略管理端和可信計算安全模塊客戶端組成[2-4]。

水電站工控系統(tǒng)一體化安全防護(hù)平臺采用可信計算安全模塊與宿主系統(tǒng)共生于業(yè)務(wù)服務(wù)器運(yùn)行的雙體系結(jié)構(gòu)方式。

可信安全模塊可實(shí)現(xiàn)對一體化平臺從硬件上電啟動至軟件運(yùn)行全過程的主動度量和監(jiān)控?？尚庞嬎丬浖ㄟ^白名單管理機(jī)制，僅允許經(jīng)可信計算安全模塊驗(yàn)證審核通過的程序運(yùn)行?？尚庞嬎惆踩K依托信任根，依據(jù)預(yù)設(shè)的可信策略構(gòu)建信任鏈來實(shí)現(xiàn)對惡意代碼的主動防御，一體化平臺的基礎(chǔ)軟件和應(yīng)用程序在可信軟件基的主動度量監(jiān)控下按預(yù)設(shè)運(yùn)行，達(dá)到主動免疫效果[5]。

水電站安全防護(hù)平臺雙體系結(jié)構(gòu)功能架構(gòu)如圖2 所示。

圖2 水電站安全防護(hù)平臺雙體系結(jié)構(gòu)功能架構(gòu)圖

2 平臺特點(diǎn)

水電站工控一體化安全防護(hù)平臺宿主系統(tǒng)采用具有良好開放性的面向服務(wù)的軟件體系架構(gòu)，運(yùn)用分布式的服務(wù)組件模式，滿足水電站管控一體化平臺建設(shè)中多業(yè)務(wù)集成和應(yīng)用不斷發(fā)展的需要。

一體化安全防護(hù)平臺提供安全Ⅰ區(qū)統(tǒng)一的系統(tǒng)管理、數(shù)據(jù)分析、圖形、報表等功能支撐接口，完成各個應(yīng)用的數(shù)據(jù)采集、數(shù)據(jù)同步、數(shù)據(jù)交換、通信、模型管理、文件管理。

一體化安全防護(hù)平臺不僅對各業(yè)務(wù)提供應(yīng)用環(huán)境，而且提供集成開發(fā)環(huán)境，用戶可以在平臺上構(gòu)建自己的應(yīng)用和接口。

平臺的主要特點(diǎn)包含以下方面。

2.1 面向服務(wù)的模塊化結(jié)構(gòu)

水電站工控一體化安全防護(hù)平臺采用面向服務(wù)的模塊化設(shè)計思想，采用粗粒度的SOA 軟件框架，優(yōu)化應(yīng)用間的耦合程度，提高系統(tǒng)的配置靈活性和可維護(hù)性。

平臺采用分層設(shè)計技術(shù)，整個系統(tǒng)按SOA 框架部署?；A(chǔ)平臺、應(yīng)用平臺均采用模塊化的構(gòu)件技術(shù)?；A(chǔ)平臺基于實(shí)時系統(tǒng)的開放分布式應(yīng)用中間件，對底層操作系統(tǒng)和硬件平臺進(jìn)行封裝，對外提供與具體應(yīng)用系統(tǒng)無關(guān)的開發(fā)、運(yùn)行接口。應(yīng)用平臺提供圖形管理、界面管理、數(shù)據(jù)采集、SCADA 應(yīng)用、Web 應(yīng)用、報表和打印等功能。平臺通過服務(wù)總線，為應(yīng)用開發(fā)和集成提供通用的基礎(chǔ)服務(wù)。系統(tǒng)的升級可局限在某個應(yīng)用功能或模塊，從而提高系統(tǒng)的開放性、可擴(kuò)性和升級能力。

基于服務(wù)的架構(gòu)，可以在統(tǒng)一的人機(jī)界面上進(jìn)行畫面組態(tài)，實(shí)現(xiàn)水電站運(yùn)管控業(yè)務(wù)一體化集成。

2.2 業(yè)務(wù)一體化

基礎(chǔ)平臺提供安全Ⅰ區(qū)內(nèi)統(tǒng)一的系統(tǒng)管理、數(shù)據(jù)分析、圖形、報表等功能支撐接口，完成各個應(yīng)用的數(shù)據(jù)采集、數(shù)據(jù)同步、數(shù)據(jù)交換、對外通信、模型管理、文件管理。平臺提供跨安全Ⅰ、Ⅱ區(qū)間的信息自動同步機(jī)制，支持在滿足安全規(guī)范下的不同分區(qū)之間數(shù)據(jù)與信息的平臺級透明傳輸，簡化了不同系統(tǒng)和應(yīng)用的跨區(qū)交互實(shí)現(xiàn)。

一體化橫向涉及多個安全分區(qū)，為滿足日益嚴(yán)格的控制系統(tǒng)安全防護(hù)要求對重要的服務(wù)器進(jìn)程進(jìn)行一級守護(hù)，對數(shù)據(jù)庫訪問提供了不同級別的權(quán)限管理，系統(tǒng)內(nèi)部的服務(wù)調(diào)用和消息通信均提供加密和認(rèn)證機(jī)制。

2.3 對象化數(shù)據(jù)模型

水電站工控一體化安全防護(hù)平臺采用徹底的面向?qū)ο笏季S進(jìn)行設(shè)計，數(shù)據(jù)、畫面、報警、配置、系統(tǒng)內(nèi)部信息均采用面向?qū)ο蟮慕M織形式。對現(xiàn)場設(shè)備可定義不同層級的對象，如I/O 信號級、設(shè)備級、電站級、流域級等，設(shè)備級本身亦可大可小，如斷路器、調(diào)速器、機(jī)組或電站等。

平臺支持靈活的對象化建模原則，不局限于單一原則，任何符合對象化思維的數(shù)據(jù)組織形式都可以支持。

2.4 全冗余全分布系統(tǒng)架構(gòu)

水電站工控一體化安全保護(hù)平臺采用全冗余全分布的系統(tǒng)結(jié)構(gòu)，系統(tǒng)各計算機(jī)節(jié)點(diǎn)配備完整的實(shí)時數(shù)據(jù)庫，安裝完整并相同的系統(tǒng)功能軟件包。系統(tǒng)取消主機(jī)主備狀態(tài)切換機(jī)制，采用服務(wù)隊(duì)列調(diào)度與切換機(jī)制，任一功能均采用服務(wù)管理機(jī)制進(jìn)行服務(wù)調(diào)度和故障切換，每個服務(wù)均定義獨(dú)立的主機(jī)隊(duì)列，不同的服務(wù)相互獨(dú)立，互不影響。任一主機(jī)節(jié)點(diǎn)設(shè)備故障時，均可按預(yù)設(shè)切換策略進(jìn)行故障切換處理。因此，任一臺硬件設(shè)備的故障都不會影響其他設(shè)備及系統(tǒng)的正常運(yùn)行。

2.5 智能監(jiān)視與診斷

管控一體化平臺具備智能監(jiān)視與診斷功能。

智能監(jiān)視可根據(jù)報警策略進(jìn)行智能分級報警，根據(jù)運(yùn)行經(jīng)驗(yàn)定制智能監(jiān)視策略。智能監(jiān)視平臺涵蓋所有的監(jiān)視對象，以滿足對電站設(shè)備的全監(jiān)全控要求。

智能診斷功能為所有的硬件、軟件建立診斷模型，診斷數(shù)據(jù)作為系統(tǒng)基礎(chǔ)數(shù)據(jù)采集，由智能診斷軟件進(jìn)行診斷和分析。

2.6 高實(shí)時性

水電站工控一體化安全保護(hù)平臺充分考慮水電站的實(shí)時性要求，在基礎(chǔ)平臺提供分布式應(yīng)用觸發(fā)機(jī)制?；诜植际綉?yīng)用觸發(fā)機(jī)制建立的數(shù)據(jù)采集、實(shí)時數(shù)據(jù)庫處理、發(fā)電廠監(jiān)控、人機(jī)界面等功能可以分布到網(wǎng)絡(luò)的各個節(jié)點(diǎn)，實(shí)現(xiàn)各種應(yīng)用之間的事件觸發(fā)和功能調(diào)用，從而保證系統(tǒng)的各種實(shí)時性指標(biāo)。

2.7 分布式總線

水電站工控一體化安全保護(hù)平臺的分布式總線包括消息總線與服務(wù)總線，雙總線是應(yīng)用系統(tǒng)和底層硬件及操作系統(tǒng)之間高效穩(wěn)健的中間件，有效隔離應(yīng)用系統(tǒng)和底層系統(tǒng)。消息總線和服務(wù)總線是水電站工控一體化安全保護(hù)平臺重要組成部分，提供可靠通用的信息交互機(jī)制。消息總線主要用于實(shí)時數(shù)據(jù)的高效傳輸。服務(wù)總線為面向服務(wù)的系統(tǒng)運(yùn)行提供技術(shù)支撐，為應(yīng)用平臺提供廣泛的信息交互支持。

2.8 可視化人機(jī)聯(lián)系

水電站工控一體化安全防護(hù)平臺，采用面向?qū)ο蟮男畔⒔M織和展示方式，實(shí)現(xiàn)所關(guān)聯(lián)對象的主要狀態(tài)顯示和報警顯示。

平臺支持最新的可視化技術(shù)，可利用三維技術(shù)表達(dá)水電站運(yùn)行數(shù)據(jù)，使水電站的運(yùn)行監(jiān)視和計算結(jié)果分析更加形象、直觀。

2.9 安全防護(hù)

水電站工控一體化安全防護(hù)平臺，采用在安全I(xiàn) 區(qū)與安全I(xiàn)I 之間加裝正向隔離裝置，安全I(xiàn) 區(qū)內(nèi)使用可信計算等信息安全防護(hù)手段，確保平臺滿足《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》要求。同時，可信計算安全模塊在安全I(xiàn) 區(qū)的共生運(yùn)行，為安全I(xiàn)區(qū)建立了主動防御機(jī)制，從源頭上排除了沒有經(jīng)過安全策略認(rèn)證的代碼或設(shè)備的侵襲。

3 測試平臺搭建

為測試和驗(yàn)證水電站工控一體化安全防護(hù)平臺的安全防護(hù)性能和宿主系統(tǒng)功能。按某巨型水電站信息平臺架構(gòu)搭建小型測試平臺進(jìn)行性能和功能的測試。

水電站工控一體化安全防護(hù)測試平臺采用雙星型網(wǎng)絡(luò)結(jié)構(gòu)，服務(wù)器和工作站冗余配置，廠站層設(shè)備采用曙光和浪潮服務(wù)器，現(xiàn)地層配置一套施耐德PLC 和一套南大傲拓PLC 進(jìn)行數(shù)據(jù)采集和現(xiàn)地控制服務(wù)。測試平臺網(wǎng)絡(luò)結(jié)構(gòu)簡圖如圖3。

圖3 水電站工控一體化安全防護(hù)測試平臺網(wǎng)絡(luò)結(jié)構(gòu)簡圖

水電站工控一體化安全防護(hù)平臺的宿主系統(tǒng)是自主可控的iP9000 水電站運(yùn)管控一體化平臺[6]，可信安全模塊采用PCI-E 硬件密碼板卡形態(tài)的可信密碼模塊。平臺選用凝思操作系統(tǒng)，歷史數(shù)據(jù)庫選用達(dá)夢數(shù)據(jù)庫。

測試平臺廠站層的硬件環(huán)境、操作系統(tǒng)和歷史數(shù)據(jù)庫均選用自主可控品牌，主要目的一方面是測試基于可信安全防護(hù)的雙體系結(jié)構(gòu)水電站一體化安全防護(hù)平臺的防護(hù)安全性，對可信計算進(jìn)行功能測試，測試基于可信計算技術(shù)的安全防護(hù)性能和效果；另一方面是在自主可控軟硬件環(huán)境下對水電站一體化平臺進(jìn)行功能和性能測試，為水電站管控平臺的自主可控改造進(jìn)行技術(shù)層面的摸底和測試，為自主可控化改造的順利進(jìn)行鋪路。

4 結(jié)語

在水電站信息平臺“運(yùn)管控一體化、智慧化”發(fā)展趨勢下，不同安全分區(qū)信息交互日益頻繁。

采用可信技術(shù)按照雙體系結(jié)構(gòu)構(gòu)建水電站一體化安全防護(hù)平臺，通過在水電站一體化平臺植入可信安全密碼模塊和可信軟件基，使平臺從硬件上電啟動開始即進(jìn)行主動度量和監(jiān)控，達(dá)到一體化平臺主動免疫未知惡意代碼的攻擊、保障其他安全措施不被旁路的效果。

目前，采用iP9000 水電站工控系統(tǒng)一體化平臺和可信安全模塊雙體系結(jié)構(gòu)構(gòu)建的水電站一體化安全防護(hù)測試平臺已完成搭載水電站計算機(jī)監(jiān)控系統(tǒng)的測試，該測試中現(xiàn)地LCU 采用兩款PLC，其中一款為國產(chǎn)自主可控品牌，測試效果良好，已實(shí)現(xiàn)跨安全Ⅰ、Ⅱ區(qū)的主動安全防御。

測試平臺的測試結(jié)果將為某巨型水電站的監(jiān)控系統(tǒng)自主可控化改造提供建議和指導(dǎo)。