马莲台电厂电力二次系统主机加固应用研究

[摘 要] 针对马莲台发电厂两台330MV机组电力二次系统安全防护的问题，采取主机加固措施。通过介绍电力二次系统的安全现状和二次安全防护措施，详细描述了电厂二次系统主机加固的必要性、原理、内容以及主机加固后的效果。

[关键词] 电力二次系统；安全防护；主机加固

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 13. 054

[中图分类号] TM621.9；TP393.08 [文献标识码] A [文章编号] 1673 - 0194（2016）13- 0100- 03

0 引 言

随着互联网的快速发展和普及，黑客、病毒、恶意代码等恶意破坏和攻击日益频繁，马莲台电厂的电力二次系统面临被恶意攻击和控制的风险。由于生产控制大区的二次系统主机操作系统的脆弱性和局部安全事件频频发生造成系统暂时中断或瘫痪，严重影响了电厂核心业务运行。在这种形势下，国家能源局文件国能安全[2015] 36号、电监会12号文以及国家信息安全等级保护规定，要求对关键应用系统的主机使用安全加固的操作系统。

本文主要从电厂二次系统主机加固实际应用出发，结合电监会对电力系统二次安全防护要求，从操作系统方面提出适合马莲台发电厂的二次系统主机加固方案。通过主机加固可以降低或消除二次系统安全风险，提高整个系统的安全性和抗攻击能力。

1 二次系统主机加固原因分析

马莲台电厂二次系统主要包括分散控制系统（#1 DCS、#2DCS、脱硫DCS）；电气控制；相量测量装置PMU；辅网PLC控制；电能量计量系统、故障信息子站信息系统、SIS系统及远动系统等。根据二次系统的特点及各相关业务系统的重要程度和数据流程，将马莲台电厂二次系统分为三个安全区：Ⅰ.实时生产控制大区；Ⅱ.非实时生产控制大区；Ⅲ.管理信息区。如图1所示，其中安全区Ⅰ的安全等级最高，安全区Ⅱ次之，其余依次类推。

二次系统安全防护措施采用“安全分区、网络专用、横向隔离、纵向认证”，强化二次系统的边界防护，在生产控制大区和管理信息大区之间安装正反向物理隔离装置，在调度数据网纵向连接处加纵向认证加密装置，加强内部安全措施，增加防火墙、入侵检测系统、防病毒等安全产品抵御黑客、恶意代码等对二次系统发起恶意破坏和攻击。

电厂对生产控制大区的二次系统并没有采取专用主机操作系统加固措施，部分主机也仅依靠安全配置、安全补丁等方式进行加固，无法满足信息安全等级要求。由于人为非法操作或主机自身的漏洞及未封闭的端口等风险因素影响，只有通过主机操作系统内核加固，实现真正强壮的操作系统，才能有效保护二次系统不受病毒、恶意代码破坏和黑客攻击，建立从边界到核心的多层次立体的、完整的二次安全防护体系。

2 基于电力二次系统安全防护下的主机加固方案

目前电厂二次系统投用较早，服务器操作系统的版本较低，易感染病毒和木马，核心业务系统的风险因素在不断增加。很多核心系统，如DCS（分散控制系统），由于系统自身原因，不能安装操作系统补丁，造成黑客利用漏洞攻击系统的风险增加。网络级（防火墙、入侵检测）或应用级（杀毒、网管）安全产品只能实现网络边界处或应用层的保护，不能保护核心系统。本文主要是通过在操作系统上建立安全保护层，实现对主机安全加固。

2.1 主机加固使用关键技术及实施方案

目前马莲台发电厂电力二次系统主机操作系统一般为Windows系统，包括Windows XP、Windows 2000，Windows 2003、Windows 2008，这些操作系统的安全等级一般为C2级，采用自主存取控制机制。C2级别系统本身就有很多的漏洞，入侵者很容易通过这些系统漏洞侵入主机。只有在C2级安全系统的基础上进行加固，提升到安全性更高的B1级或B2级，才能真正对电力二次系统有效防护。

本次主机加固方案采用了S-NUMEN技术，实现从核心到边界的多层次保护，是一套完整的防护体系。

2.1.1 S-NUMEN主机加固技术

S-NUMEN是国内第一家自主知识产权支持跨平台的安全操作系统产品，它在操作系统的安全功能之上提供了一个安全保护层，通过从内核层截取文件访问控制的方式，加强操作系统的安全性。

根据美国可信计算机系统评价标准TCSEC（Trusted Computer System Evaluation Criteria ），计算机系统的安全划分为4个等级、7个级别。如图2所示。

2.1.2 操作系统加固实施方案

本方案具体从数字签名认证机制、账号管理、口令质量控制、文件的访问控制、防止程序非法终止、程序自动权限设置、网络控制、登录服务控制、入侵响应、行为审计十个方面讨论操作系统加固应用。

（1）数字签名认证机制。对电力二次系统所有主机，采用了数字签名证书为基础并结合访问控制的技术。对系统管理员或用户颁发数字签名证书，通过基于操作系统内核级的认证机制完成用户登录过程。当安全内核安装后，没有通过数字签名证书认证的用户，即使获得了管理员权限，也不能访问被安全内核保护的资源。

（2）账号管理。提供远程站点的用户账号及管理功能。在内核层基于证书进行认证，提高安全强度。

（3）口令质量控制。通过S-NUMEN技术与系统结合，提供了对用户登录口令的管理，将口令质量控制分为两部分：密码更改期限、密码登录限制和密码格式。

（4）文件的访问控制。控制未经过电子签名认证过程的用户（程序）访问已设置了访问权限的文件。由S-NUMEN 控制的文件，即使超级用户也不能对其进行访问。实现更强大的安全策略。

（5）防止程序非法终止。被保护的进程，除通过电子签名认证过程并取得认证的安全管理员之外，任何人都无法停止相应程序的运行。

（6）程序自动权限设置。通过“程序自动权限设置”，设置为赋予相应程序以适当的权限，可保障在运行相应程序时，自动分配相应权限，程序即可正常运行。安全管理员可以通过配置，限制特权程序的使用，进一步加强系统的安全性。

（7）网络控制服务。远程控制对服务器IP或服务的访问。通过功能强大的网络服务及IP地址控制，可以很好的限制用户访问系统资源。

（8）登录服务控制。提供对登录服务的限制，可以限制用户使用Telnet、FTP、RLogin、DTLogin、SSH等多种登录系统的方式。

（9）入侵响应。当系统发现入侵行为或者违反安全策略的操作时，在网络层和系统内部对用户（程序）进行阻断，并且有系统向管理员进行报警。

（10）行为审计。包含文件日志、数据库日志、数据库属性、数据库同步，通过检索记录发生的时间、服务器IP地址、名称、用户、消息类型及内容等。

3 主机安全加固后效果

使用此方案对马莲台电厂二次系统主机进行加固，在加固中，不修改操作系统的内核，系统无需重启，避免了服务器重启产生的不必要的损失。加固后的主机操作系统禁止使用来宾用户，删除多余账户，设置访问用户权限管理，使服务器安全性提高了，同时限制从网络访问此计算机，启用源路由欺骗保护，关闭不必要启动项，防止病毒程序开机启动，检测是否开启不必要的端口、DDOS 攻击保护设置，使整个网络的安全性更加健壮，核心系统运行稳定性增加。系统管理员可通过图形界面对系统LOG日志文件进行查看，让入侵者进不来、出不去、赖不掉，工作效率得到很大的提高，真正从内部有效保障二次系统的安全性。

4 结 语

马莲台电厂二次系统的主机通过采取操作系统加固方案，可以将二次系统主机操作系统的安全等级从C1、C2级提高到B1、B2等级。显著提升了系统主机安全水平，满足国家相关规程规制有关主机加固的功能要求，达到国家电力行业在核心系统安全等级的最高要求，对火电厂二次系统的安全防护具有重要意义。

主要参考文献

[1]章政海.电厂二次系统安全防护总体设计研究[J]. 电力信息化，2013，11（1）：107-110.

[2]冯昀，黎洁文.计算机操作系统的安全加固探讨[J]. 广西通信技术，2013（4）：44-50.

[3]从正海，孙皓.调度自动化系统主机安全加固研究[J]. 电力信息与通信技术，2010（6）：27-30.