一.背景概述

可信计算技术是提升系统主动防御能力的重要措施，网络安全等级保护2.0等国家有关规定明确要在各安全等级系统采用可信计算技术实施保护，相关工作已纳入电力行业十四五规划，行业内已开展推广部署。电网公司下发电力监控系统通用主机可信计算应用工作方案，部署全网可信计算应用有关要求，要求各单位有序开展电力监控系统可信计算应用推广工作，提升电力监控系统主动防御和安全免疫水平。

二.电力监控系统面临的安全风险

大部分的电力监控系统攻击事件，都是以主机为突破口，攻击整个电力监控系统。在电力监控系统里，最脆弱、最不可控和最容易受到攻击的就是主机。

电力监控系统主机存在以下几个方面安全风险：

（1）外设无管控、移动介质随意使用风险：外部移动介质在无管控状态下随意接入，甚至运维主机的接入，存在较大病毒感染风险。

（2）控制系统关键文件防护：主机系统文件、关键配置文件可能因为病毒感染、人员误操作等问题受到破坏，无法对主机系统关键控制软件文件安全进行保护。

（3）恶意软件及代码运行风险：依赖已知特征库完成识别处理，所谓的“识别未知病毒”并不准确，对于新的安全问题难以做到提前主动预防，应对大规模恶意代码攻击事件的及时性也往往不能得到良好保证。

三.建设目标

本方案在电力监控系统的部署可信主动安全防御系统：

• 通过“计算+保护”的双计算体系，建立可信的计算环境；
• 形成自动识别“自我”和“非我”程序的安全免疫机制，实现对未知病毒木马的安全免疫。
• 实现对电力监控系统进行安全加固，从系统底层为出发点，打造系统本身的免疫系统。

四.建设方案

可信主动安全防御系统概述

融安网络可信主动安全防御系统主要包含可信安全管理平台、可信终端安全模块、双因子接入模块、移动介质管控模块四部分组成。可信安全管理平台实现对可信终端安全模块、双因子接入模块、移动介质管控模块的统一管理，双因子接入模块可以对非法登录行为进行鉴别，移动介质管控模块可以对外部接入设备如U盘进行接入控制，以及访问控制、基线核查等其他安全防护功能。通过上述多种机制提升主机的安全防护水平。

通过在电网调度中心或者变电站部署可信安全管理平台实现对可信终端安全模块的认证注册、状态监控、安全策略、安全审计等的集中管理。

可信终端安全模块由可信根及可信软件基组成。可信根有硬件和软件两种形态，可根据主机安全等级和实际需求采用硬件或软件形式。可信软件基可基于可信根实现对操作系统引导程序、系统程序、应用程序、重要配置参数的可信验证。可信终端安全模块对操作系统、业务系统来说应是透明的，在正常情况下应不对操作系统和业务系统的功能产生影响。

计算环境的可信验证，包括基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，在应用程序的关键执行环节进行动态可信验证，在检测到可信性收到破坏后进行报警，并且可信验证的结果应发送至可信安全管理平台。

• 对系统引导程序可信度量在系统引导阶段，对系统启动程序目录下的关键文件（如内核文件、初始盘文件、程序文件、配置文件等）进行静态度量并校验，如果校验通过，系统引导程序可正常加载启动；如果校验失败，主动阻断系统的启动，形成审计记录。
  
• 对系统程序可信度量在受保护系统程序（系统内核层程序、系统文件等）加载时，可信验证模块应检查其绝对路径、文件名、文件内容的正确性，对其进行静态度量并校验。如果校验通过，系统程序可正常加载启动；如果校验失败，主动阻断系统程序的启动，形成审计记录并告警。
  
• 对应用程序可信度量在受保护应用程序（动态库、可执行程序等）加载时，可信验证模块应检查应用程序的绝对路径、文件名、文件内容的正确性，对其进行静态度量并校验。如果校验通过，应用程序可正常加载启动；如果校验失败，主动阻断应用程序的启动，形成审计记录并告警。
  
• 对重要配置参数可信度量对重要配置参数文件（如配置文件、文本文件、配置脚本等）被访问、执行时需要进行可信验证，验证内容包括但不限于文件的绝对路径、文件名、文件内容等。

系统提供基于UKEY认证（内置证书）或动态口令的双因子身份认证检查。通过软硬件（UKEY）相结合的方式，对登录设备的用户进行准确身份验证，只有通过双重身份认证的用户才允许登录系统。UKEY认证主要支持国际和国密非对称加解密算法。对于动态口令方式，是通过设备自动生成动态口令，然后结合系统密码进行登陆。

通过为主机配置移动介质管控模块对U盘的认证、权限设置以及行为记录，从而实现对内网U盘的行为管理。通过认证机制，区分内部安全U盘与外部U盘，使内网U盘的使用行为更规范；支持对内部U盘的权限设置，只允许高级权限的U盘复制主机数据，禁止内网数据的随意传递，防止了核心数据的泄露。

• 支持文件过滤技术，可根据用户系统特点及相应配置，过滤可疑文件，切断病毒传播途径；
  
• 支持对U盘文件进行病毒扫描，隔离携带病毒文件拒绝主机访问感染病毒的文件；
  
• 对接入主机的U盘进行访问控制实现只读、只写和读写模式访问；
  
• 对接入主机U盘里的文件进行控制，实现黑白名单/黑名单里的文件主机不能正常打开杜绝U盘里的机密文件通过U盘传输。

五.可信主动安全防御系统部署

融安网络可信主动安全防御系统平台的网络部署方式采用C/S架构，可信管理平台部署在调度（中调、地调）、工作站的可信终端安全模块部署在各局变电站，并通过网络连接通信，实现主动安全防护系统功能。

网络部署：在每台工作站上安装部署可信终端安全模块，并通过网络连接可信管理平台，接受可信安全管理平台的统一管理。

可信主动安全防御系统平台网络部署的直接管理模式是指，各可信计算节点上的可信终端安全模块与可信安全管理中心直接通信，并接受可信安全管理中心的统一管理。

其典型部署架构如下图所示。

主动安全防护系统平台网络部署的间接管理模式是指，可信安全管理中心通过态势感知的网络对变电站侧各可信计算节点的可信终端安全模块进行通信和统一安全管理，态势感知采集装置将通信数据通过调度数据网传到态势感知平台，态势感知平台将通信数据转发至可信安全管理中心。

其典型部署架构如下图所示。

六.实现价值

• 在满足电力监控系统目前基本的、必须的安全需求的基础上，要求随着应用和网络安全技术的发展，不断调整安全策略，应对不断变化的网络安全环境。
  
• 遵循可信计算规范，具备可鉴别、完整性、私密性三大属性，支持用户的身份认证，平台软硬件配置的正确性，应用程序的完整性和合法性，平台之间的可验证性。
  
• 为公司建设电力监控系统可信主动防御系统，进一步加强电力监控系统的安全性水平，使电力监控系统的安全稳定运行得到更好的保障，为公司生产和管理工作的正常有序开展打下坚实的基础。