我國電網(wǎng)發(fā)展進入“電力流、信息流、業(yè)務流”高度融合的智能電網(wǎng)階段，電網(wǎng)調(diào)度控制系統(tǒng)及通信網(wǎng)絡是智能電網(wǎng)“大腦”及“神經(jīng)中樞”，管理控制著電網(wǎng)的可靠運行。我國是世界上最早重視電網(wǎng)監(jiān)控系統(tǒng)信息安全問題，并且大規(guī)模開展系統(tǒng)性安全防護的國家之一。通過對電網(wǎng)調(diào)度控制系統(tǒng)及通信網(wǎng)絡的破壞，將對智能電網(wǎng)實體形成致命威脅。當前，網(wǎng)絡空間已成為陸地、海洋、天空和太空之后的第五作戰(zhàn)空間，國際上已經(jīng)圍繞“制網(wǎng)權(quán)”展開了國家級別的博弈甚至局部網(wǎng)絡戰(zhàn)爭，作為國家關鍵基礎設施的電網(wǎng)無疑是網(wǎng)絡攻擊的重要目標。

高昆侖

國家電網(wǎng)公司信息安全實驗室主任

1 電力調(diào)度數(shù)據(jù)專網(wǎng)專用的防護策略

90年代初我國電力系統(tǒng)建設了X.25分組交換網(wǎng)，主要用于遠程傳輸調(diào)度數(shù)據(jù)業(yè)務，及少量辦公及管理信息業(yè)務。進入21世紀，該網(wǎng)絡面臨向基于IP的數(shù)據(jù)網(wǎng)升級換代，當時有多個組網(wǎng)技術(shù)體制可供選擇，主要包括：基于ATM虛電路的IP專網(wǎng)、基于SDH電路的IP專網(wǎng)、以及綜合IP數(shù)據(jù)網(wǎng)的虛擬專網(wǎng)VPN。通過重點分析比較了不同技術(shù)體制下調(diào)度數(shù)據(jù)網(wǎng)及其承載的調(diào)度控制業(yè)務的信息安全風險，確定了基于SDH電路構(gòu)建電力調(diào)度數(shù)據(jù)IP專網(wǎng)的技術(shù)路線。

在此基礎上，進一步形成了我國電力系統(tǒng)第一個強制執(zhí)行的信息安全法規(guī)：中華人民共和國國家經(jīng)濟貿(mào)易委員會第30號令《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)安全防護規(guī)定》(2002年5月8日發(fā)布)。該規(guī)定以“防范對電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的攻擊侵害及由此引起的電力系統(tǒng)事故，保障電力系統(tǒng)的安全穩(wěn)定運行”為目標，規(guī)定了電力調(diào)度數(shù)據(jù)網(wǎng)絡只允許傳輸與電力調(diào)度生產(chǎn)直接相關的數(shù)據(jù)業(yè)務，奠定了我國電力監(jiān)控系統(tǒng)“結(jié)構(gòu)性安全”的重要技術(shù)基礎。

2 基于邊界安全的縱深防護體系

為了應對新的信息安全風險，2002年啟動了國家 “863”項目“國家電網(wǎng)調(diào)度中心安全防護體系研究及示范”，經(jīng)過3年的研究論證，首次提出了我國電力系統(tǒng)信息安全防護總體策略：“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”。

“安全分區(qū)”：將各項電力各類信息系統(tǒng)按照其業(yè)務功能與調(diào)度控制的相關性，分為生產(chǎn)控制類業(yè)務及管理信息類業(yè)務，分別置于生產(chǎn)控制大區(qū)與管理信息大區(qū)中;

“網(wǎng)絡專用”：利用網(wǎng)絡產(chǎn)品組建電力調(diào)度數(shù)據(jù)網(wǎng)，為調(diào)度控制業(yè)務提供專用網(wǎng)絡支持;

“橫向隔離”：通過自主研發(fā)的電力專用單向隔離裝置實現(xiàn)生產(chǎn)控制大區(qū)與管理信息大區(qū)的安全隔離;

“縱向認證”：通過自主研發(fā)的電力專用縱向加密認證裝置為上下級之間的調(diào)度業(yè)務數(shù)據(jù)提供加密和認證保護，保證數(shù)據(jù)傳輸和遠方控制的安全。

3 基于等級保護的業(yè)務安全防護體系

2007年國家電力監(jiān)管委員會印發(fā)了《關于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知》等系列文件，啟動電力行業(yè)信息安全等級保護定級工作。2012年印發(fā)了《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》，全面推進電力行業(yè)等級保護建設工作。

依據(jù)《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》，在上階段縱深防護基礎上完善形成了電網(wǎng)監(jiān)控系統(tǒng)的等級保護體系，由以下五個層面組成：物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全防護，共包括220個安全要求項，其中168項強于或高于對應級別的國家等級保護基本要求。

對于保護等級為四級的電網(wǎng)調(diào)度監(jiān)控系統(tǒng)，綜合運用調(diào)度數(shù)字證書和安全標簽技術(shù)實現(xiàn)了操作系統(tǒng)與業(yè)務應用的強制執(zhí)行控制(MEC)、強制訪問控制(MAC)等安全防護策略，保障了主體與客體間的全過程安全保護，全面實現(xiàn)了等級保護四級的技術(shù)要求。

4 基于可信計算技術(shù)的新一代電網(wǎng)調(diào)度控制系統(tǒng)主動防御體系

隨著國際網(wǎng)絡空間安全形勢的發(fā)展、網(wǎng)絡戰(zhàn)爭形態(tài)及能力的演進，大量新型攻擊方式快速涌現(xiàn)?！罢鹁W(wǎng)”等一批新型網(wǎng)絡攻擊武器成功突破了傳統(tǒng)的物理隔離的“封堵”。安全威脅特征代碼庫規(guī)模的迅速增長，使得以“查殺”為核心的被動安全措施對于實時控制系統(tǒng)安全防護失去效率。

為應對網(wǎng)絡戰(zhàn)環(huán)境下復雜的信息安全威脅，同時減小防護機制對電網(wǎng)調(diào)度控制系統(tǒng)實時性能的影響，亟需建立更為高效的主動防御體系。其核心思想是計算運算的同時進行安全防護，使計算結(jié)果總是與預期一樣，計算全程可測可控，不被干擾，是一種運算和防護并存、主動免疫的新計算模式。首先構(gòu)建一個硬件信任根，在平臺加電開始，從信任根到硬件平臺、操作系統(tǒng)、應用程序，構(gòu)建完整的信任鏈，一級認證一級，一級信任一級，把這種信任擴展到整個計算機系統(tǒng)，從而從源頭上確保整個計算機系統(tǒng)可信，并且能夠通過可信報告功能將這種信任關系通過網(wǎng)絡連接延伸到整個信息系統(tǒng)。未獲認證的程序不能執(zhí)行，從而及時識別“自己”和“非己”成份，破壞與排斥進入機體的有害物質(zhì)，從而實現(xiàn)系統(tǒng)自身免疫。

電力可信計算密碼平臺是實現(xiàn)智能電網(wǎng)調(diào)度控制系統(tǒng)安全免疫的核心，由電力可信密碼硬件模塊與電力可信軟件基組成，其核心功能包括：可信引導、完整性度量、強制訪問及執(zhí)行控制、可信網(wǎng)絡連接。2014年8月國家發(fā)改委印發(fā)了〔2014〕第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》，并且同步修訂了《電力監(jiān)控系統(tǒng)安全防護總體方案》等配套技術(shù)文件。新版本的總體方案要求生產(chǎn)控制大區(qū)具備控制功能的系統(tǒng)應用可信計算技術(shù)實現(xiàn)計算環(huán)境和網(wǎng)絡環(huán)境安全可信，建立對惡意代碼的免疫能力，應對高級別的復雜網(wǎng)絡攻擊。標志著我國智能電網(wǎng)調(diào)度控制系統(tǒng)信息安全主動防御體系的正式確立。

我國電網(wǎng)調(diào)度控制系統(tǒng)安全防護體系的發(fā)展歷程可以劃分為三個階段，如圖所示。

圖 電網(wǎng)調(diào)度控制系統(tǒng)安全防護體系發(fā)展歷程