基于可信计算技术构建电力监测控制系统网络安全免疫系统
本文选题:可信计算 + 安全免疫 ; 参考:《工程科学与技术》2017年02期
【摘要】:电力系统是国家重要基础设施,电网调度控制系统是现代大电网安全稳定运行的重要手段,也是国家级网络对抗中的重点攻击目标。中国电网已经全面建成了以网络隔离及边界防护为主的网络安全纵深防护体系,但面对以快速演进的恶意代码为主要技术手段的APT攻击,存在防护技术滞后于攻击手段、安全功能制约于业务功能、防护措施影响控制业务实时性等问题。可信计算是一种运算与保护并行结构的计算模式,通过保持计算环境及计算逻辑的完整性,为计算平台提供了对恶意代码、非法操作的自主免疫能力。基于可信计算技术,建立电力监测控制系统网络安全免疫系统,由控制主站系统电力可信计算平台、可信网络通信及可信现场测控终端构成,覆盖电力控制业务从现场监测、通信、计算分析、控制指令下达与执行全部环节,为电力控制系统提供了一种行之有效的主动防御机制。主站系统电力可信计算平台包括作为信任根的可信密码模块硬件和嵌入到操作系统内核的可信软件基两个核心组件,实现计算机的可信引导,对操作系统及应用程序的完整性度量、强制访问控制和强制执行控。电力可信计算平台在标准的信任链构建方法基础上,在操作系统引导器中植入度量代码,通过CPU实模式驱动下的可信密码硬件对系统引导程序代码完整性进行回溯度量。与当前通用的可信计算技术实现方式相比,电力可信计算平台将度量的起点从操作系统前推到操作系统引导器,从而使得系统安全性大幅度提升。结合电网调度控制系统中的安全标签机制,电力可信计算平台对应用进程实现了融合操作系统层和应用层的双重强制访问控制。结合调度数字证书系统,实现了应用程序预期值安全管理,确保预期值的真实性与权威性。电力可信计算平台使用了计算组件中的原生安全功能,无需对业务程序、逻辑和系统资源进行改动,避免了对在运业务系统进行大规模改造,在工程上切实可行。全面的测试及广泛的工程实践表明,电力可信计算平台消耗系统资源少,运行效率完全满足控制业务实时性要求,对业务功能没有任何干扰。基于可信计算技术构建的网络安全免疫系统,为电力监测控制系统提供了一套高效率、高强度防护机制,对恶意代码、非法操作具有主动防御能力,同时也适用于其他业务逻辑固定、系统更新不频繁、安全等级要求高的工业控制系统。
[Abstract]:Power system is an important infrastructure of our country. Power dispatching control system is an important means of safe and stable operation of modern large power grid, and it is also a key attack target in national network confrontation. China Power Grid has built a network security and depth protection system based on network isolation and boundary protection, but in the face of the APT attack with rapidly evolving malicious code as the main technical means, the protection technology lags behind the attack means. The safety function is restricted by the business function, and the protection measures affect the real-time performance of the control business. Trusted computing is a computing model with parallel structure of computation and protection. By maintaining the integrity of computing environment and computing logic, trusted computing provides the computing platform with autonomous immunity to malicious code and illegal operations. Based on trusted computing technology, the network security and immune system of electric power monitoring and control system is established, which is composed of power trusted computing platform of control main station system, trusted network communication and trusted field measurement and control terminal. Communication, calculation and analysis, and all the steps of issuing and executing the control instructions provide an effective active defense mechanism for the electric power control system. The power trusted computing platform of the master station system includes two core components: the trusted cryptographic module as the root of trust and the trusted software embedded into the kernel of the operating system to realize the trusted booting of the computer. Measures the integrity of operating systems and applications, mandatory access control and enforcement controls. Based on the standard method of constructing trust chain, the power trusted computing platform inserts the metric code into the operating system guide, and measures the integrity of the system booster code by the trusted cryptographic hardware driven by CPU real mode. Compared with the current implementation of trusted computing technology, the power trusted computing platform pushes the starting point of measurement from the operating system forward to the operating system guide, thus greatly improving the security of the system. Combined with the security label mechanism in the power grid dispatching control system, the power trusted computing platform realizes the dual mandatory access control of the application process by combining the operating system layer with the application layer. Combined with the dispatching digital certificate system, the security management of the expected value of the application program is realized, and the authenticity and authority of the expected value are ensured. The power trusted computing platform uses the native security function of the computing component, and does not need to modify the business program, logic and system resources, thus avoiding the large-scale transformation of the in-transit business system, which is feasible in engineering. The comprehensive test and extensive engineering practice show that the power trusted computing platform consumes less system resources, and the operation efficiency fully meets the real-time requirements of the control service, and there is no interference to the service function. The network security immune system based on trusted computing technology provides a set of high efficiency and high strength protective mechanism for electric power monitoring and control system, and has active defense ability against malicious code and illegal operation. It is also suitable for other industrial control systems with fixed business logic, infrequent system updates and high security level.
【作者单位】: 全球能源互联网研究院;国家电网先进计算及大数据技术实验室;
【基金】:国家发展与改革委员会信息安全专项资助项目 国家电网公司科技项目资助
【分类号】:TP393.08;TM73
【参考文献】
相关期刊论文 前7条
1 高昆仑;赵保华;王志皓;李云鹏;安宁钰;;全球能源互联网环境下可信计算技术研究与应用探讨[J];智能电网;2015年12期
2 ;中央电视台实施可信制播环境建设[J];信息安全与通信保密;2015年12期
3 沈昌祥;;用可信计算构筑网络安全[J];求是;2015年20期
4 高昆仑;辛耀中;李钊;孙炜;南贵林;陶洪铸;赵保华;;智能电网调度控制系统安全防护技术及发展[J];电力系统自动化;2015年01期
5 沈昌祥;陈兴蜀;;基于可信计算构建纵深防御的信息安全保障体系[J];四川大学学报(工程科学版);2014年01期
6 冯登国;秦宇;汪丹;初晓博;;可信计算技术研究[J];计算机研究与发展;2011年08期
7 沈昌祥;张焕国;王怀民;王戟;赵波;严飞;余发江;张立强;徐明迪;;可信计算的研究与发展[J];中国科学:信息科学;2010年02期
【共引文献】
相关期刊论文 前10条
1 王志力;陈松;武建国;;大柴胡汤加味联合穴位按摩促进化脓性阑尾炎术后胃肠功能恢复的研究[J];现代中西医结合杂志;2017年10期
2 杨大兵;;急性化脓性阑尾炎术后并发早期炎性肠梗阻诊治体会[J];现代诊断与治疗;2017年04期
3 吕广彪;;急性化脓性阑尾炎术后并发早期炎性肠梗阻诊治体会[J];基层医学论坛;2017年05期
4 牛熊;;探讨腹腔镜阑尾切除术的手术价值[J];临床医药文献电子杂志;2016年55期
5 李建龙;;小切口手术治疗急性化脓性阑尾炎并腹膜炎的效果[J];世界最新医学信息文摘;2016年72期
6 吴峻国;;中西医结合治疗普外科腹部手术后早期炎性肠梗阻的临床疗效[J];国际医药卫生导报;2016年17期
7 高殿武;;腹腔镜阑尾切除术与开腹阑尾切除术的临床比较[J];中国继续医学教育;2016年23期
8 程云;吴宝强;;腹腔镜治疗重症阑尾炎88例效果观察[J];交通医学;2016年04期
9 蒲晏均;青廉;徐成飞;叶华平;邓杰文;;腹腔镜与开腹阑尾切除术治疗穿孔性阑尾炎术后感染情况比较[J];结直肠肛门外科;2016年S1期
10 艾小江;陶江涛;帅建;;腹腔镜阑尾切除术治疗急性和慢性阑尾炎的临床效果比较[J];中国实用医刊;2016年13期
【二级参考文献】
相关期刊论文 前10条
1 张东霞;苗新;刘丽平;张焰;刘科研;;智能电网大数据技术发展研究[J];中国电机工程学报;2015年01期
2 董朝阳;赵俊华;文福拴;薛禹胜;;从智能电网到能源互联网:基本概念与研究框架[J];电力系统自动化;2014年15期
3 程戈;李聪;;可信计算环境构建机制研究进展[J];计算机工程与应用;2013年13期
4 章志华;汪欢文;李健俊;胡雅军;李瑜;毛军捷;;基于可信计算的工业控制系统安全互联模型[J];计算机应用;2013年S1期
5 宋亚奇;周国亮;朱永利;;智能电网大数据处理技术现状与挑战[J];电网技术;2013年04期
6 苏璞睿;冯登国;;面向国家战略需求 构建信息安全体系[J];高科技与产业化;2013年02期
7 赵波;向,
本文编号:1865744
本文链接:https://www.wllwen.com/kejilunwen/dianlidianqilunwen/1865744.html
