基于可信計(jì)算的水電站工控系統(tǒng)一體化平臺(tái)設(shè)計(jì)與應(yīng)用

楊之圣，謝秋華，白劍飛，李亦凡，王 翔，薛 飛

（1.中國長江電力股份有限公司，湖北 宜昌 443000；2.中國水利水電科學(xué)研究院，北京 100038）

0 引言

隨著信息技術(shù)的發(fā)展，水電站信息平臺(tái)呈“運(yùn)管控一體化智慧平臺(tái)”構(gòu)建趨勢(shì)。信息終端的日益增多、信息終端之間信息交流和數(shù)據(jù)共享的日益頻繁，如何構(gòu)建具有可靠安全防護(hù)體系的工控系統(tǒng)一體化平臺(tái)成為水電站智慧化發(fā)展需要研究的重要問題。

隨著電力系統(tǒng)信息化的發(fā)展，針對(duì)電力系統(tǒng)的惡意代碼威脅層出不窮，現(xiàn)有的安全防護(hù)體系越來越力不從心，需要有能應(yīng)對(duì)高級(jí)別惡意攻擊的安全防護(hù)機(jī)制[1]。

本文提出采用可信技術(shù)構(gòu)建基于可信安全防護(hù)的水電站工控系統(tǒng)一體化平臺(tái)并搭建一體化平臺(tái)進(jìn)行了實(shí)際測(cè)試。

1 平臺(tái)設(shè)計(jì)

水電站工控系統(tǒng)一體化安全防護(hù)平臺(tái)采用雙體系結(jié)構(gòu)設(shè)計(jì)思想，水電站工控系統(tǒng)一體化平臺(tái)作為宿主系統(tǒng)與可信計(jì)算安全模塊共生運(yùn)行組成工控一體化安全保護(hù)平臺(tái)。可信計(jì)算安全模塊構(gòu)建并行于宿主系統(tǒng)的安全監(jiān)控機(jī)制，以電力可信計(jì)算密碼模塊為信任根，建立信任鏈機(jī)制，構(gòu)建可實(shí)現(xiàn)主動(dòng)免疫安全防護(hù)的水電站信息平臺(tái)。

1.1 宿主系統(tǒng)功能架構(gòu)

水電站工控一體化安全防護(hù)平臺(tái)宿主系統(tǒng)是基于“智慧電廠”建設(shè)思想[7]進(jìn)行架構(gòu)、服務(wù)于水電站的運(yùn)管控一體化平臺(tái)。系統(tǒng)采用分層設(shè)計(jì)技術(shù)，按基于面向服務(wù)的軟件體系架構(gòu),從層級(jí)結(jié)構(gòu)可細(xì)分為硬件層、操作系統(tǒng)層、數(shù)據(jù)層、傳輸層、服務(wù)層、基礎(chǔ)應(yīng)用層、水電站應(yīng)用層。

硬件層支持Intel，SPARC，Itanium，Power 等各類硬件。考慮到電力安全生產(chǎn)的需要，硬件層支持自主可控服務(wù)器及工作站。

操作系統(tǒng)層支持各種LINUX 系統(tǒng)和Windows系統(tǒng)。

數(shù)據(jù)層完成元數(shù)據(jù)的匯聚，負(fù)責(zé)水電廠數(shù)據(jù)模型的實(shí)現(xiàn)和維護(hù)。

傳輸層構(gòu)造實(shí)時(shí)分布式運(yùn)行環(huán)境，實(shí)現(xiàn)異構(gòu)環(huán)境下的消息傳遞、事件回調(diào)、進(jìn)程控制、文件訪問、內(nèi)存管理等。傳輸層由消息總線和服務(wù)總線構(gòu)成。

服務(wù)層是畫面訪問、數(shù)據(jù)訪問、日志、報(bào)警、工作流等基本服務(wù)的實(shí)現(xiàn)層。并提供服務(wù)的查找、定位和代理功能。

基礎(chǔ)應(yīng)用層包括數(shù)據(jù)采集、模型維護(hù)、人機(jī)界面、斷面管理、權(quán)限管理等。

水電站應(yīng)用層包括水電站實(shí)時(shí)監(jiān)控、經(jīng)濟(jì)調(diào)度等應(yīng)用軟件。

圖1 水電站工控系統(tǒng)一體化層級(jí)結(jié)構(gòu)圖

1.2 可信安全防護(hù)

可信計(jì)算軟件是基于可信計(jì)算技術(shù)研發(fā)的一款安全產(chǎn)品，主要實(shí)現(xiàn)電力業(yè)務(wù)系統(tǒng)對(duì)惡意代碼的免疫和業(yè)務(wù)應(yīng)用的版本管理。可信計(jì)算平臺(tái)由可信策略管理端和可信計(jì)算安全模塊客戶端組成[2-4]。

水電站工控系統(tǒng)一體化安全防護(hù)平臺(tái)采用可信計(jì)算安全模塊與宿主系統(tǒng)共生于業(yè)務(wù)服務(wù)器運(yùn)行的雙體系結(jié)構(gòu)方式。

可信安全模塊可實(shí)現(xiàn)對(duì)一體化平臺(tái)從硬件上電啟動(dòng)至軟件運(yùn)行全過程的主動(dòng)度量和監(jiān)控。可信計(jì)算軟件通過白名單管理機(jī)制，僅允許經(jīng)可信計(jì)算安全模塊驗(yàn)證審核通過的程序運(yùn)行。可信計(jì)算安全模塊依托信任根，依據(jù)預(yù)設(shè)的可信策略構(gòu)建信任鏈來實(shí)現(xiàn)對(duì)惡意代碼的主動(dòng)防御，一體化平臺(tái)的基礎(chǔ)軟件和應(yīng)用程序在可信軟件基的主動(dòng)度量監(jiān)控下按預(yù)設(shè)運(yùn)行，達(dá)到主動(dòng)免疫效果[5]。

水電站安全防護(hù)平臺(tái)雙體系結(jié)構(gòu)功能架構(gòu)如圖2 所示。

圖2 水電站安全防護(hù)平臺(tái)雙體系結(jié)構(gòu)功能架構(gòu)圖

2 平臺(tái)特點(diǎn)

水電站工控一體化安全防護(hù)平臺(tái)宿主系統(tǒng)采用具有良好開放性的面向服務(wù)的軟件體系架構(gòu)，運(yùn)用分布式的服務(wù)組件模式，滿足水電站管控一體化平臺(tái)建設(shè)中多業(yè)務(wù)集成和應(yīng)用不斷發(fā)展的需要。

一體化安全防護(hù)平臺(tái)提供安全Ⅰ區(qū)統(tǒng)一的系統(tǒng)管理、數(shù)據(jù)分析、圖形、報(bào)表等功能支撐接口，完成各個(gè)應(yīng)用的數(shù)據(jù)采集、數(shù)據(jù)同步、數(shù)據(jù)交換、通信、模型管理、文件管理。

一體化安全防護(hù)平臺(tái)不僅對(duì)各業(yè)務(wù)提供應(yīng)用環(huán)境，而且提供集成開發(fā)環(huán)境，用戶可以在平臺(tái)上構(gòu)建自己的應(yīng)用和接口。

平臺(tái)的主要特點(diǎn)包含以下方面。

2.1 面向服務(wù)的模塊化結(jié)構(gòu)

水電站工控一體化安全防護(hù)平臺(tái)采用面向服務(wù)的模塊化設(shè)計(jì)思想，采用粗粒度的SOA 軟件框架，優(yōu)化應(yīng)用間的耦合程度，提高系統(tǒng)的配置靈活性和可維護(hù)性。

平臺(tái)采用分層設(shè)計(jì)技術(shù)，整個(gè)系統(tǒng)按SOA 框架部署。基礎(chǔ)平臺(tái)、應(yīng)用平臺(tái)均采用模塊化的構(gòu)件技術(shù)。基礎(chǔ)平臺(tái)基于實(shí)時(shí)系統(tǒng)的開放分布式應(yīng)用中間件，對(duì)底層操作系統(tǒng)和硬件平臺(tái)進(jìn)行封裝，對(duì)外提供與具體應(yīng)用系統(tǒng)無關(guān)的開發(fā)、運(yùn)行接口。應(yīng)用平臺(tái)提供圖形管理、界面管理、數(shù)據(jù)采集、SCADA 應(yīng)用、Web 應(yīng)用、報(bào)表和打印等功能。平臺(tái)通過服務(wù)總線，為應(yīng)用開發(fā)和集成提供通用的基礎(chǔ)服務(wù)。系統(tǒng)的升級(jí)可局限在某個(gè)應(yīng)用功能或模塊，從而提高系統(tǒng)的開放性、可擴(kuò)性和升級(jí)能力。

基于服務(wù)的架構(gòu)，可以在統(tǒng)一的人機(jī)界面上進(jìn)行畫面組態(tài)，實(shí)現(xiàn)水電站運(yùn)管控業(yè)務(wù)一體化集成。

2.2 業(yè)務(wù)一體化

基礎(chǔ)平臺(tái)提供安全Ⅰ區(qū)內(nèi)統(tǒng)一的系統(tǒng)管理、數(shù)據(jù)分析、圖形、報(bào)表等功能支撐接口，完成各個(gè)應(yīng)用的數(shù)據(jù)采集、數(shù)據(jù)同步、數(shù)據(jù)交換、對(duì)外通信、模型管理、文件管理。平臺(tái)提供跨安全Ⅰ、Ⅱ區(qū)間的信息自動(dòng)同步機(jī)制，支持在滿足安全規(guī)范下的不同分區(qū)之間數(shù)據(jù)與信息的平臺(tái)級(jí)透明傳輸，簡化了不同系統(tǒng)和應(yīng)用的跨區(qū)交互實(shí)現(xiàn)。

一體化橫向涉及多個(gè)安全分區(qū)，為滿足日益嚴(yán)格的控制系統(tǒng)安全防護(hù)要求對(duì)重要的服務(wù)器進(jìn)程進(jìn)行一級(jí)守護(hù)，對(duì)數(shù)據(jù)庫訪問提供了不同級(jí)別的權(quán)限管理，系統(tǒng)內(nèi)部的服務(wù)調(diào)用和消息通信均提供加密和認(rèn)證機(jī)制。

2.3 對(duì)象化數(shù)據(jù)模型

水電站工控一體化安全防護(hù)平臺(tái)采用徹底的面向?qū)ο笏季S進(jìn)行設(shè)計(jì)，數(shù)據(jù)、畫面、報(bào)警、配置、系統(tǒng)內(nèi)部信息均采用面向?qū)ο蟮慕M織形式。對(duì)現(xiàn)場(chǎng)設(shè)備可定義不同層級(jí)的對(duì)象，如I/O 信號(hào)級(jí)、設(shè)備級(jí)、電站級(jí)、流域級(jí)等，設(shè)備級(jí)本身亦可大可小，如斷路器、調(diào)速器、機(jī)組或電站等。

平臺(tái)支持靈活的對(duì)象化建模原則，不局限于單一原則，任何符合對(duì)象化思維的數(shù)據(jù)組織形式都可以支持。

2.4 全冗余全分布系統(tǒng)架構(gòu)

水電站工控一體化安全保護(hù)平臺(tái)采用全冗余全分布的系統(tǒng)結(jié)構(gòu)，系統(tǒng)各計(jì)算機(jī)節(jié)點(diǎn)配備完整的實(shí)時(shí)數(shù)據(jù)庫，安裝完整并相同的系統(tǒng)功能軟件包。系統(tǒng)取消主機(jī)主備狀態(tài)切換機(jī)制，采用服務(wù)隊(duì)列調(diào)度與切換機(jī)制，任一功能均采用服務(wù)管理機(jī)制進(jìn)行服務(wù)調(diào)度和故障切換，每個(gè)服務(wù)均定義獨(dú)立的主機(jī)隊(duì)列，不同的服務(wù)相互獨(dú)立，互不影響。任一主機(jī)節(jié)點(diǎn)設(shè)備故障時(shí)，均可按預(yù)設(shè)切換策略進(jìn)行故障切換處理。因此，任一臺(tái)硬件設(shè)備的故障都不會(huì)影響其他設(shè)備及系統(tǒng)的正常運(yùn)行。

2.5 智能監(jiān)視與診斷

管控一體化平臺(tái)具備智能監(jiān)視與診斷功能。

智能監(jiān)視可根據(jù)報(bào)警策略進(jìn)行智能分級(jí)報(bào)警，根據(jù)運(yùn)行經(jīng)驗(yàn)定制智能監(jiān)視策略。智能監(jiān)視平臺(tái)涵蓋所有的監(jiān)視對(duì)象，以滿足對(duì)電站設(shè)備的全監(jiān)全控要求。

智能診斷功能為所有的硬件、軟件建立診斷模型，診斷數(shù)據(jù)作為系統(tǒng)基礎(chǔ)數(shù)據(jù)采集，由智能診斷軟件進(jìn)行診斷和分析。

2.6 高實(shí)時(shí)性

水電站工控一體化安全保護(hù)平臺(tái)充分考慮水電站的實(shí)時(shí)性要求，在基礎(chǔ)平臺(tái)提供分布式應(yīng)用觸發(fā)機(jī)制。基于分布式應(yīng)用觸發(fā)機(jī)制建立的數(shù)據(jù)采集、實(shí)時(shí)數(shù)據(jù)庫處理、發(fā)電廠監(jiān)控、人機(jī)界面等功能可以分布到網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)，實(shí)現(xiàn)各種應(yīng)用之間的事件觸發(fā)和功能調(diào)用，從而保證系統(tǒng)的各種實(shí)時(shí)性指標(biāo)。

2.7 分布式總線

水電站工控一體化安全保護(hù)平臺(tái)的分布式總線包括消息總線與服務(wù)總線，雙總線是應(yīng)用系統(tǒng)和底層硬件及操作系統(tǒng)之間高效穩(wěn)健的中間件，有效隔離應(yīng)用系統(tǒng)和底層系統(tǒng)。消息總線和服務(wù)總線是水電站工控一體化安全保護(hù)平臺(tái)重要組成部分，提供可靠通用的信息交互機(jī)制。消息總線主要用于實(shí)時(shí)數(shù)據(jù)的高效傳輸。服務(wù)總線為面向服務(wù)的系統(tǒng)運(yùn)行提供技術(shù)支撐，為應(yīng)用平臺(tái)提供廣泛的信息交互支持。

2.8 可視化人機(jī)聯(lián)系

水電站工控一體化安全防護(hù)平臺(tái)，采用面向?qū)ο蟮男畔⒔M織和展示方式，實(shí)現(xiàn)所關(guān)聯(lián)對(duì)象的主要狀態(tài)顯示和報(bào)警顯示。

平臺(tái)支持最新的可視化技術(shù)，可利用三維技術(shù)表達(dá)水電站運(yùn)行數(shù)據(jù)，使水電站的運(yùn)行監(jiān)視和計(jì)算結(jié)果分析更加形象、直觀。

2.9 安全防護(hù)

水電站工控一體化安全防護(hù)平臺(tái)，采用在安全I(xiàn) 區(qū)與安全I(xiàn)I 之間加裝正向隔離裝置，安全I(xiàn) 區(qū)內(nèi)使用可信計(jì)算等信息安全防護(hù)手段，確保平臺(tái)滿足《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》要求。同時(shí)，可信計(jì)算安全模塊在安全I(xiàn) 區(qū)的共生運(yùn)行，為安全I(xiàn)區(qū)建立了主動(dòng)防御機(jī)制，從源頭上排除了沒有經(jīng)過安全策略認(rèn)證的代碼或設(shè)備的侵襲。

3 測(cè)試平臺(tái)搭建

為測(cè)試和驗(yàn)證水電站工控一體化安全防護(hù)平臺(tái)的安全防護(hù)性能和宿主系統(tǒng)功能。按某巨型水電站信息平臺(tái)架構(gòu)搭建小型測(cè)試平臺(tái)進(jìn)行性能和功能的測(cè)試。

水電站工控一體化安全防護(hù)測(cè)試平臺(tái)采用雙星型網(wǎng)絡(luò)結(jié)構(gòu)，服務(wù)器和工作站冗余配置，廠站層設(shè)備采用曙光和浪潮服務(wù)器，現(xiàn)地層配置一套施耐德PLC 和一套南大傲拓PLC 進(jìn)行數(shù)據(jù)采集和現(xiàn)地控制服務(wù)。測(cè)試平臺(tái)網(wǎng)絡(luò)結(jié)構(gòu)簡圖如圖3。

圖3 水電站工控一體化安全防護(hù)測(cè)試平臺(tái)網(wǎng)絡(luò)結(jié)構(gòu)簡圖

水電站工控一體化安全防護(hù)平臺(tái)的宿主系統(tǒng)是自主可控的iP9000 水電站運(yùn)管控一體化平臺(tái)[6]，可信安全模塊采用PCI-E 硬件密碼板卡形態(tài)的可信密碼模塊。平臺(tái)選用凝思操作系統(tǒng)，歷史數(shù)據(jù)庫選用達(dá)夢(mèng)數(shù)據(jù)庫。

測(cè)試平臺(tái)廠站層的硬件環(huán)境、操作系統(tǒng)和歷史數(shù)據(jù)庫均選用自主可控品牌，主要目的一方面是測(cè)試基于可信安全防護(hù)的雙體系結(jié)構(gòu)水電站一體化安全防護(hù)平臺(tái)的防護(hù)安全性，對(duì)可信計(jì)算進(jìn)行功能測(cè)試，測(cè)試基于可信計(jì)算技術(shù)的安全防護(hù)性能和效果；另一方面是在自主可控軟硬件環(huán)境下對(duì)水電站一體化平臺(tái)進(jìn)行功能和性能測(cè)試，為水電站管控平臺(tái)的自主可控改造進(jìn)行技術(shù)層面的摸底和測(cè)試，為自主可控化改造的順利進(jìn)行鋪路。

4 結(jié)語

在水電站信息平臺(tái)“運(yùn)管控一體化、智慧化”發(fā)展趨勢(shì)下，不同安全分區(qū)信息交互日益頻繁。

采用可信技術(shù)按照雙體系結(jié)構(gòu)構(gòu)建水電站一體化安全防護(hù)平臺(tái)，通過在水電站一體化平臺(tái)植入可信安全密碼模塊和可信軟件基，使平臺(tái)從硬件上電啟動(dòng)開始即進(jìn)行主動(dòng)度量和監(jiān)控，達(dá)到一體化平臺(tái)主動(dòng)免疫未知惡意代碼的攻擊、保障其他安全措施不被旁路的效果。

目前，采用iP9000 水電站工控系統(tǒng)一體化平臺(tái)和可信安全模塊雙體系結(jié)構(gòu)構(gòu)建的水電站一體化安全防護(hù)測(cè)試平臺(tái)已完成搭載水電站計(jì)算機(jī)監(jiān)控系統(tǒng)的測(cè)試，該測(cè)試中現(xiàn)地LCU 采用兩款PLC，其中一款為國產(chǎn)自主可控品牌，測(cè)試效果良好，已實(shí)現(xiàn)跨安全Ⅰ、Ⅱ區(qū)的主動(dòng)安全防御。

測(cè)試平臺(tái)的測(cè)試結(jié)果將為某巨型水電站的監(jiān)控系統(tǒng)自主可控化改造提供建議和指導(dǎo)。