電力系統(tǒng)是經(jīng)濟(jì)發(fā)展和人類(lèi)生活依賴(lài)的基礎(chǔ)能量供給系統(tǒng)，在國(guó)家基礎(chǔ)設(shè)施建設(shè)中具有十分重要的地位。隨著云計(jì)算、大數(shù)據(jù)等新興技術(shù)的不斷發(fā)展，電力系統(tǒng)的數(shù)字化、信息化、智能化程度越來(lái)越高。而新技術(shù)在推動(dòng)電網(wǎng)企業(yè)不斷發(fā)展的同時(shí)，也帶來(lái)了一系列安全問(wèn)題，數(shù)據(jù)泄露、系統(tǒng)控制、恐怖性報(bào)復(fù)這些黑客手法對(duì)電網(wǎng)構(gòu)成了較大的威脅與挑戰(zhàn)。

　　電網(wǎng)屢遭黑客入侵 國(guó)家政策頻頻出臺(tái)

　　電力行業(yè)作為關(guān)系國(guó)計(jì)民生的重要基礎(chǔ)行業(yè)，同時(shí)也是技術(shù)、資金密集型行業(yè)，在注重信息化建設(shè)的同時(shí)，對(duì)于網(wǎng)絡(luò)安全工作也高度重視。尤其是在近幾年，隨著國(guó)際網(wǎng)絡(luò)空間安全形勢(shì)的發(fā)展、網(wǎng)絡(luò)戰(zhàn)爭(zhēng)形態(tài)及能力的演進(jìn)，大量新型攻擊方式快速涌現(xiàn)?！罢鹁W(wǎng)”、“能源之熊”、“火焰”等一批新型網(wǎng)絡(luò)攻擊武器成功突破了傳統(tǒng)的物理隔離的“封堵”。安全威脅規(guī)模的不斷擴(kuò)大以及技術(shù)的而不斷精進(jìn)，使得以“查殺”為核心的被動(dòng)安全措施，對(duì)于電力行業(yè)實(shí)時(shí)控制系統(tǒng)的安全防護(hù)失去效率。為應(yīng)對(duì)更復(fù)雜的信息安全威脅，同時(shí)減小防護(hù)機(jī)制對(duì)電網(wǎng)調(diào)度控制系統(tǒng)實(shí)時(shí)性能的影響，亟需建立更為高效的主動(dòng)防御體系。

　　對(duì)于上述情況，電力行業(yè)高度重視，組織國(guó)內(nèi)大批專(zhuān)家對(duì)電力監(jiān)控系統(tǒng)安全防護(hù)進(jìn)行了深入系統(tǒng)地研究論證，并由原電監(jiān)會(huì)于2004年發(fā)布了第5號(hào)令 《電力二次系統(tǒng)安全防護(hù)規(guī)定》，并隨后陸續(xù)下發(fā)了相關(guān)配套文件。隨后，相關(guān)網(wǎng)絡(luò)和主機(jī)安全管理政策陸續(xù)出臺(tái)，并在2012年印發(fā)了《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，全面各單位全面推進(jìn)電力行業(yè)等級(jí)保護(hù)建設(shè)工作。2014年8月，國(guó)家發(fā)改委印發(fā)了〔2014〕第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》，并且同步修訂了《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等配套技術(shù)文件。

　　新版本的總體方案要求生產(chǎn)控制大區(qū)具備控制功能的系統(tǒng)應(yīng)用可信計(jì)算技術(shù)實(shí)現(xiàn)計(jì)算環(huán)境和網(wǎng)絡(luò)環(huán)境安全可信，建立對(duì)惡意代碼的免疫能力，以應(yīng)對(duì)高級(jí)別的復(fù)雜網(wǎng)絡(luò)攻擊。這標(biāo)志著我國(guó)基于可信計(jì)算技術(shù)的智能電網(wǎng)調(diào)度控制系統(tǒng)主動(dòng)防御體系的正式確立，并決定以可信計(jì)算架構(gòu)實(shí)現(xiàn)等級(jí)保護(hù)四級(jí)。目前41個(gè)省級(jí)以上智能電網(wǎng)調(diào)度控制系統(tǒng)皆被定為四級(jí)，占全國(guó)四級(jí)系統(tǒng)總數(shù)近半。“十三五”計(jì)劃把原外插卡式可信服務(wù)器升級(jí)到可信芯片內(nèi)嵌到主板上。

　　可信計(jì)算應(yīng)用體系成熟 浪潮打造主機(jī)安全信任鏈

　　從1972年J. P. Anderson提出建立可信系統(tǒng) (Trusted System)之后，可信計(jì)算技術(shù)在40多年的時(shí)間里得到了長(zhǎng)足發(fā)展，內(nèi)容不斷擴(kuò)充、產(chǎn)業(yè)鏈也更趨于完善?？尚庞?jì)算的本意是確保計(jì)算過(guò)程不再受入侵威脅、計(jì)算結(jié)果安全可信，而這就需要對(duì)操作主體的“真”、“假”進(jìn)行判斷，以確定這些信息是否可信，從而確認(rèn)每個(gè)主體行為的可信，但由于受到當(dāng)時(shí)的技術(shù)水平限制，單一技術(shù)無(wú)法在上層應(yīng)用實(shí)現(xiàn)可信保護(hù)，再加上操作極其繁瑣，可信計(jì)算并沒(méi)有廣泛使用。但如今，可信計(jì)算技術(shù)不再“孤立無(wú)援”。

　　作為中國(guó)領(lǐng)先的云計(jì)算產(chǎn)品和方案提供商、信息安全技術(shù)的領(lǐng)頭羊，浪潮在2014年正式對(duì)外發(fā)布了國(guó)內(nèi)首個(gè)云主機(jī)安全產(chǎn)品解決方案，融合可信計(jì)算、操作系統(tǒng)加固、虛擬計(jì)算安全等技術(shù)，以可信芯片為根，構(gòu)建鏈接固件、VMM、Guest OS和上層應(yīng)用的軟硬一體化信任鏈。由其構(gòu)建的新一代電網(wǎng)調(diào)度控制系統(tǒng)主動(dòng)防御體系，恰似“萬(wàn)里長(zhǎng)城”，可助電力行業(yè)用戶從容應(yīng)對(duì)外敵。

　　其中，由浪潮自主研發(fā)的國(guó)內(nèi)首款可信服務(wù)器采用可信安全模塊、安全主板、安全BIOS和安全軟件等技術(shù)，實(shí)現(xiàn)從關(guān)鍵部件的固件程序、操作系統(tǒng)到基礎(chǔ)軟件系統(tǒng)的完整性度量和保護(hù)，有效防止了病毒、后門(mén)和木馬對(duì)系統(tǒng)運(yùn)行環(huán)境的篡改攻擊。另外，在可信服務(wù)器與應(yīng)用程序之間，浪潮SSR主機(jī)安全增強(qiáng)系統(tǒng)將起到承上啟下的作用，通過(guò)有線啟動(dòng)并運(yùn)行在內(nèi)核中，SSR保護(hù)的程序有一個(gè)可靠的根基，不會(huì)被攻擊或者篡改。

　　浪潮全力打造的主機(jī)安全信任鏈具有以下四個(gè)技術(shù)特點(diǎn)：

　　特點(diǎn)一：全自主研發(fā)，搭載國(guó)產(chǎn)密碼算法

　　浪潮可信服務(wù)器采用浪潮自主研發(fā)的新一代雙路服務(wù)器平臺(tái)，搭載了國(guó)產(chǎn)密碼算法的可信計(jì)算模塊，以及自主研發(fā)的安全固件和安全軟件，可全面幫助客戶實(shí)現(xiàn)安全可控目標(biāo)。

　　特點(diǎn)二：構(gòu)建軟硬件信任鏈，有效應(yīng)對(duì)APT攻擊

　　浪潮可信服務(wù)器以可信計(jì)算模塊為可信根，幫助用戶構(gòu)建從服務(wù)器BIOS、Option ROM、MBR、OS Loader、OS Kernel、應(yīng)用程序等完整的軟硬件信任鏈，可及時(shí)發(fā)現(xiàn)固件及系統(tǒng)底層的高級(jí)惡意代碼的入侵，防止服務(wù)器被惡意監(jiān)控。

　　特點(diǎn)三：兼容性強(qiáng)大，支持國(guó)產(chǎn)操作系統(tǒng)

　　浪潮可信服務(wù)器全面支持國(guó)產(chǎn)Linux與Windows Server 2012，可根據(jù)業(yè)務(wù)需要靈活選擇。通過(guò)浪潮和第三方提供的管理工具，可方便對(duì)可信服務(wù)器進(jìn)行管理，以及調(diào)用底層平臺(tái)提供的強(qiáng)大安全功能。

　　特點(diǎn)四：內(nèi)置可信芯片，建設(shè)高安全業(yè)務(wù)運(yùn)行環(huán)境

　　針對(duì)電力行業(yè)“十三五”計(jì)劃中可信芯片“從外插到內(nèi)嵌”的升級(jí)需求，浪潮可信服務(wù)器采用可信計(jì)算安全芯片，并嵌入到浪潮自主研發(fā)的主板上面。在應(yīng)用層面，可信服務(wù)器能夠幫助電力行業(yè)用戶有效檢測(cè)硬件和基礎(chǔ)軟件層的APT攻擊，防止因固件和軟件漏洞導(dǎo)致的高級(jí)惡意代碼植入。通過(guò)安裝在電力核心服務(wù)器之上的浪潮SSR，可實(shí)現(xiàn)對(duì)電力調(diào)度實(shí)時(shí)數(shù)據(jù)、生產(chǎn)管理數(shù)據(jù)、通信監(jiān)測(cè)數(shù)據(jù)等實(shí)時(shí)、準(zhǔn)實(shí)時(shí)控制業(yè)務(wù)及管理信息等業(yè)務(wù)服務(wù)器底層OS(AIX、Solaris、Windows)保護(hù)。

　　以上技術(shù)特點(diǎn)的融合，把可信的特性從底層硬件一步一步傳遞到上層的軟件，實(shí)現(xiàn)從固件、操作系統(tǒng)到應(yīng)用系統(tǒng)的完整性度量和保護(hù)，確保信任鏈的建立。而電網(wǎng)是關(guān)系國(guó)計(jì)民生的國(guó)家基礎(chǔ)設(shè)施，其信息安全防護(hù)是國(guó)家網(wǎng)絡(luò)安全工作的重要組成部分。浪潮將在基于可信計(jì)算技術(shù)的新一代電網(wǎng)調(diào)度控制系統(tǒng)主動(dòng)防御體系建設(shè)中發(fā)揮重要作用，發(fā)現(xiàn)和掃清未知網(wǎng)絡(luò)威脅，造就更安全、更可控和更有效的可信網(wǎng)絡(luò)。