行业垂直门户网站

设为首页 | 加入收藏

您当前的位置:北极星智能电网在线 > 正文

应用国产安全操作系统 提升电网的安全可靠性

北极星智能电网在线  来源:湖南麒麟信安    2020/6/30 11:21:12  我要投稿  

北极星智能电网在线讯:编者按:近年来国际上发生了多次电网安全事故,如何防范人为攻击对电网安全造成威胁?开发、使用国产操作系统对解决该问题具有积极的作用。

1、 技术背景

近年来国际电网重大安全运行事故频发,给当地国家带来了一系列恶劣影响。例如:2010年伊朗核电站受到震网病毒攻击造成伊朗核计划受阻、2015年乌克兰电网被BlackEnergy恶意代码攻击造成乌克兰大面积停电、2019年3月委内瑞拉遭受黑客网络攻击造成全国停电超过24小时等。对这些电网遭受网络攻击事件分析,根本原因是电力设备国产化程度低,网络防护能力弱。黑客利用商业操作系统的漏洞来进行切入,并且不断深入和横向感染,最终渗透到电网的控制系统进行大规模破坏。

中国电网所使用的操作系统多为国外商业化操作系统,随着我国发电装机量逐年提高,中国电网已发展成全球规模最大、结构最复杂的电网。严重依赖国外商业操作系统的模式,导致电网存在非常大的安全风险和不可控因素。因此,电力行业采用国产安全操作系统势在必行。

1、 方案构成

2008年以国家电网先行,国调华中分中心在智能电网调度控制系统项目中使用麒麟安全操作系统进行国产安全操作系统替代试点,在国调中心的统一指挥下,联合中国电力科学研究院、国网电力研究院、南瑞集团、北京科东公司等多方力量,湖南麒麟公司组建重点研发团队针对电网调控领域运行需求攻克技术难点,在电网领域应用中逐步达到可替代国外商业操作系统的成熟度。10余年至今,在电网需求引领下,麒麟安全操作系统软件已经成为电网、电力等工业互联网领域的安全操作系统。

企业微信截图_15934869714242.png

图1:麒麟操作系统开始菜单

企业微信截图_15934869845228.png

图2:麒麟操作系统安全架构

企业微信截图_1593486987325.png

图3:基于国产安全操作系统的电网某典型应用系统结构

麒麟安全操作系统在电网调度领域应用在关键服务器和图形工作站,向下兼容国产主流品牌服务器和图形工作站,完成硬件的驱动和管理,给上层应用软件提供稳定的软件栈。调度领域要求国产安全操作系统具备高可靠、高可用、强实时、高安全等技术特性。

2、 技术亮点

(一)以等保四级安全标准为基线,实现三权分立。遵循最小特权原则,实现无root超级账号的三权分立架构,运维管理员、安全管理员、审计管理员三个管理角色权限边界划分清晰,真正实现独立、协作、监督、制衡于一体的安全管理架构。

(二)最小化裁减能提升工业互联网健壮性。工业互联网应用场景,侧重系统的稳定性和安全性,要求所有提供的软件栈和工具是满足应用的最小集合。调控领域服务器的操作系统在满足电网应用的前提下,系统被最小化裁减到了500MB,内核只有30MB。面对电网物联网设备,安全操作系统被最小化裁减到了100MB,内核只有5MB。

(三)增强的双因子身份鉴别安全框架。电网工业互联网安全操作系统的身份鉴别安全框架是全新定制开发。基于电网独有的安全密码算法,实现强密码复杂度身份鉴别。基于强密码身份鉴别基础上,扩展了指纹鉴别、人脸鉴别、指静脉鉴别等。并且可以实现多种鉴别组合,满足电网双因子身份鉴别安全要求。

(四)细粒度的应用白名单管控机制,实现固化的专机专用。基于主体、客体、角色、安全标记、强制访问控制规则的安全管控组件。该组件定义的是每个用户所能运行的应用程序列表,不在白名单列表的应用程序会被阻截,无法运行。安全管理员可以很简单地给每台机器定义一套白名单列表,真正实现专机专用。

(五)危险操作黑名单管控机制,避免系统遭受恶意破坏。安全管理员可以定义危险操作黑名单列表,一旦执行危险操作都会被系统拦截,从而避免应用、数据和系统的损坏。

(六)主机安全监视模块,便于内网安全监视平台管理。完成了主机系统行为监控子系统的设计和监控接口标准化定义,实现了对主机硬件资源监控、用户行为监控、程序运行状态监控、网络连接行为监控、关键数据访问监控等功能。设计了网络连接跳转行为监控全链路源地址可回溯方案。

(七)增加可信度量安全模块,符合等保2.0标准。实现的可信度量功能包括:操作系统启动时对操作系统内核进行完整性度量;可执行程序启动时进行完整性度量;对完整性度量基准值进行可信存储,防止其被篡改;并且支持硬件可信芯片作为信任根。

(八)独有的掉电保护可靠性设计,彻底解决掉电导致硬盘数据损坏的问题,更好地保障电网可靠性。

(九)全系列地支持国产CPU,为国产芯片打造生态平台。支持主流国产品牌芯片,包括:华为鲲鹏、龙芯、飞腾、海光、兆芯、众志等,同时支持国际主流架构CPU,包括:X86、ARM、MIPS、PPC等。

(十)产品形态丰富多样,满足电网众多细分领域需求。包括:服务器运行版、桌面运行版、服务器开发版、桌面开发版、风电版、态势感知版、I型装置嵌入式版、II型装置嵌入式版、通用工控版等。

3、 应用案例

国家电网、南方电网分别于2008年、2012年开始在电网调控领域基于国产安全操作系统进行项目建设,国家电网累计上线等保四级安全操作系统达10余万套,南方电网累计上线等保四级安全操作系统达1万余套,支撑我国电网调控系统7x24安全稳定运行。

过去10年来以电网调控生产系统为先锋,率先完成国产安全操作系统的大规模使用,并且实现7x24的安全稳定运行,给工业互联网更大规模地使用国产安全操作系统奠定了扎实、可靠的验证基础。接下来,从电网的主站调控领域,要进一步延伸到场站端,从主网延伸到配网,进而延伸到变电、用电、发电、充电桩,以及万物互联的物联网领域,都可以大规模的使用国产安全操作系统。

4、 方案提供

湖南麒麟公司是国家发改委批复的高可信操作系统国家地方联合工程研究中心的依托实体,致力于国产麒麟操作系统及相关产品产业化发展。

湖南麒麟拥有操作系统、信息安全和云计算三条产品线,已在党政军、能源、金融、教育等重要领域得到了广泛应用。公司与主流硬件厂商、基础软件厂商和应用软件厂商建立了良好的战略合作关系,打造自主创新信息系统生态环境。

凭借着雄厚的科研能力和对技术创新的不懈追求,湖南麒麟具有完善的资质,拥有公安部、国家保密局、国家密码管理局、解放军测评认证中心等国家主管部门颁发的产品认证和测评证书20余个;并承担了核高基国家科技重大专项、国家信息安全专项等多个国家及省市重大项目,获得军队科技进步一等奖、湖南省科技进步一等奖等多个国家或省部级奖项。

湖南麒麟总部坐落于湖南长沙,在北京、西安、南京、广州、东北、新疆、内蒙、贵阳等地设立了30多个分支机构,可以为用户提供本地化服务和支持。

麒麟安全操作系统是国内首家通过解放军某测评认证中心军B+级安全认证的操作系统,国内首家通过公安部信息安全等级保护评估中心结构化保护级(四级)认证,也是国内首批通过信息处理产品标准符合性检测中心GB18030-2000 A+级检测的操作系统,并且先后7次通过中国电力科学研究院入网产品检验检测。

湖南麒麟秉承做好产品、做好服务,为用户创造价值的企业精神,本着开放诚信、合作友好共赢的企业理念,为打造国产信息化建设安全平台,推进国产化安全应用不懈努力。


分享到:
北极星投稿热线:陈女士 13693626116 邮箱:chenchen#bjxmail.com(请将#换成@)

特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。

凡来源注明北极星*网的内容为北极星原创,转载需获授权。

热点关注
国网826号文解读

国网826号文解读

昨天国网公司下发了《关于进一步严格控制电网投资的通知》(国家电网办【2019】826号文)。文中提出了“三严禁、二不得、二不再”的投资建设思路。个人认为,这不仅仅是一个文件,而是国网公司整体发展战略转型的一个标志。作为世界上最大的电网企业,国网公司每年因投资建设所需的采购数额巨大,对电

--更多
最新新闻
新闻排行榜

今日

本周

本月

深度报道
相关专题

关闭

重播

关闭

重播