《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 電網(wǎng)的安全防護“長城”——可信計算技術(shù)

電網(wǎng)的安全防護“長城”——可信計算技術(shù)

2015-05-12

  電力系統(tǒng)是經(jīng)濟發(fā)展和人類生活依賴的基礎(chǔ)能量供給系統(tǒng),在國家基礎(chǔ)設(shè)施建設(shè)中具有十分重要的地位。隨著云計算、大數(shù)據(jù)等新興技術(shù)的不斷發(fā)展,電力系統(tǒng)的數(shù)字化、信息化、智能化程度越來越高。而新技術(shù)在推動電網(wǎng)企業(yè)不斷發(fā)展的同時,也帶來了一系列安全問題,數(shù)據(jù)泄露、系統(tǒng)控制、恐怖性報復(fù)這些黑客手法對電網(wǎng)構(gòu)成了較大的威脅與挑戰(zhàn)。

  電網(wǎng)屢遭黑客入侵 國家政策頻頻出臺

  電力行業(yè)作為關(guān)系國計民生的重要基礎(chǔ)行業(yè),同時也是技術(shù)、資金密集型行業(yè),在注重信息化建設(shè)的同時,對于網(wǎng)絡(luò)安全工作也高度重視。尤其是在近幾年,隨著國際網(wǎng)絡(luò)空間安全形勢的發(fā)展、網(wǎng)絡(luò)戰(zhàn)爭形態(tài)及能力的演進,大量新型攻擊方式快速涌現(xiàn)?!罢鹁W(wǎng)”、“能源之熊”、“火焰”等一批新型網(wǎng)絡(luò)攻擊武器成功突破了傳統(tǒng)的物理隔離的“封堵”。安全威脅規(guī)模的不斷擴大以及技術(shù)的而不斷精進,使得以“查殺”為核心的被動安全措施,對于電力行業(yè)實時控制系統(tǒng)的安全防護失去效率。為應(yīng)對更復(fù)雜的信息安全威脅,同時減小防護機制對電網(wǎng)調(diào)度控制系統(tǒng)實時性能的影響,亟需建立更為高效的主動防御體系。

  對于上述情況,電力行業(yè)高度重視,組織國內(nèi)大批專家對電力監(jiān)控系統(tǒng)安全防護進行了深入系統(tǒng)地研究論證,并由原電監(jiān)會于2004年發(fā)布了第5號令 《電力二次系統(tǒng)安全防護規(guī)定》,并隨后陸續(xù)下發(fā)了相關(guān)配套文件。隨后,相關(guān)網(wǎng)絡(luò)和主機安全管理政策陸續(xù)出臺,并在2012年印發(fā)了《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》,全面各單位全面推進電力行業(yè)等級保護建設(shè)工作。2014年8月,國家發(fā)改委印發(fā)了〔2014〕第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》,并且同步修訂了《電力監(jiān)控系統(tǒng)安全防護總體方案》等配套技術(shù)文件。

  新版本的總體方案要求生產(chǎn)控制大區(qū)具備控制功能的系統(tǒng)應(yīng)用可信計算技術(shù)實現(xiàn)計算環(huán)境和網(wǎng)絡(luò)環(huán)境安全可信,建立對惡意代碼的免疫能力,以應(yīng)對高級別的復(fù)雜網(wǎng)絡(luò)攻擊。這標志著我國基于可信計算技術(shù)的智能電網(wǎng)調(diào)度控制系統(tǒng)主動防御體系的正式確立,并決定以可信計算架構(gòu)實現(xiàn)等級保護四級。目前41個省級以上智能電網(wǎng)調(diào)度控制系統(tǒng)皆被定為四級,占全國四級系統(tǒng)總數(shù)近半?!笆濉庇媱澃言獠蹇ㄊ娇尚欧?wù)器升級到可信芯片內(nèi)嵌到主板上。

  可信計算應(yīng)用體系成熟 浪潮打造主機安全信任鏈

  從1972年J. P. Anderson提出建立可信系統(tǒng) (Trusted System)之后,可信計算技術(shù)在40多年的時間里得到了長足發(fā)展,內(nèi)容不斷擴充、產(chǎn)業(yè)鏈也更趨于完善。可信計算的本意是確保計算過程不再受入侵威脅、計算結(jié)果安全可信,而這就需要對操作主體的“真”、“假”進行判斷,以確定這些信息是否可信,從而確認每個主體行為的可信,但由于受到當時的技術(shù)水平限制,單一技術(shù)無法在上層應(yīng)用實現(xiàn)可信保護,再加上操作極其繁瑣,可信計算并沒有廣泛使用。但如今,可信計算技術(shù)不再“孤立無援”。

  作為中國領(lǐng)先的云計算產(chǎn)品和方案提供商、信息安全技術(shù)的領(lǐng)頭羊,浪潮在2014年正式對外發(fā)布了國內(nèi)首個云主機安全產(chǎn)品解決方案,融合可信計算、操作系統(tǒng)加固、虛擬計算安全等技術(shù),以可信芯片為根,構(gòu)建鏈接固件、VMM、Guest OS和上層應(yīng)用的軟硬一體化信任鏈。由其構(gòu)建的新一代電網(wǎng)調(diào)度控制系統(tǒng)主動防御體系,恰似“萬里長城”,可助電力行業(yè)用戶從容應(yīng)對外敵。

  其中,由浪潮自主研發(fā)的國內(nèi)首款可信服務(wù)器采用可信安全模塊、安全主板、安全BIOS和安全軟件等技術(shù),實現(xiàn)從關(guān)鍵部件的固件程序、操作系統(tǒng)到基礎(chǔ)軟件系統(tǒng)的完整性度量和保護,有效防止了病毒、后門和木馬對系統(tǒng)運行環(huán)境的篡改攻擊。另外,在可信服務(wù)器與應(yīng)用程序之間,浪潮SSR主機安全增強系統(tǒng)將起到承上啟下的作用,通過有線啟動并運行在內(nèi)核中,SSR保護的程序有一個可靠的根基,不會被攻擊或者篡改。

  浪潮全力打造的主機安全信任鏈具有以下四個技術(shù)特點:

  特點一:全自主研發(fā),搭載國產(chǎn)密碼算法

  浪潮可信服務(wù)器采用浪潮自主研發(fā)的新一代雙路服務(wù)器平臺,搭載了國產(chǎn)密碼算法的可信計算模塊,以及自主研發(fā)的安全固件和安全軟件,可全面幫助客戶實現(xiàn)安全可控目標。

  特點二:構(gòu)建軟硬件信任鏈,有效應(yīng)對APT攻擊

  浪潮可信服務(wù)器以可信計算模塊為可信根,幫助用戶構(gòu)建從服務(wù)器BIOS、Option ROM、MBR、OS Loader、OS Kernel、應(yīng)用程序等完整的軟硬件信任鏈,可及時發(fā)現(xiàn)固件及系統(tǒng)底層的高級惡意代碼的入侵,防止服務(wù)器被惡意監(jiān)控。

  特點三:兼容性強大,支持國產(chǎn)操作系統(tǒng)

  浪潮可信服務(wù)器全面支持國產(chǎn)Linux與Windows Server 2012,可根據(jù)業(yè)務(wù)需要靈活選擇。通過浪潮和第三方提供的管理工具,可方便對可信服務(wù)器進行管理,以及調(diào)用底層平臺提供的強大安全功能。

  特點四:內(nèi)置可信芯片,建設(shè)高安全業(yè)務(wù)運行環(huán)境

  針對電力行業(yè)“十三五”計劃中可信芯片“從外插到內(nèi)嵌”的升級需求,浪潮可信服務(wù)器采用可信計算安全芯片,并嵌入到浪潮自主研發(fā)的主板上面。在應(yīng)用層面,可信服務(wù)器能夠幫助電力行業(yè)用戶有效檢測硬件和基礎(chǔ)軟件層的APT攻擊,防止因固件和軟件漏洞導(dǎo)致的高級惡意代碼植入。通過安裝在電力核心服務(wù)器之上的浪潮SSR,可實現(xiàn)對電力調(diào)度實時數(shù)據(jù)、生產(chǎn)管理數(shù)據(jù)、通信監(jiān)測數(shù)據(jù)等實時、準實時控制業(yè)務(wù)及管理信息等業(yè)務(wù)服務(wù)器底層OS(AIX、Solaris、Windows)保護。

  以上技術(shù)特點的融合,把可信的特性從底層硬件一步一步傳遞到上層的軟件,實現(xiàn)從固件、操作系統(tǒng)到應(yīng)用系統(tǒng)的完整性度量和保護,確保信任鏈的建立。而電網(wǎng)是關(guān)系國計民生的國家基礎(chǔ)設(shè)施,其信息安全防護是國家網(wǎng)絡(luò)安全工作的重要組成部分。浪潮將在基于可信計算技術(shù)的新一代電網(wǎng)調(diào)度控制系統(tǒng)主動防御體系建設(shè)中發(fā)揮重要作用,發(fā)現(xiàn)和掃清未知網(wǎng)絡(luò)威脅,造就更安全、更可控和更有效的可信網(wǎng)絡(luò)。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。