2023火力发电厂工控系统可信验证技术导则

火力发电厂工控系统可信验证技术导则目录TOC\o"1-2"\h\z\u目录 I前言 II1范围 12规范性引用文件 13术语、定义、缩略语 13.1术语和定义 13.2缩略语 24火力发电厂可信工控系统架构 35总体说明 36控制器可信技术要求 46.1一般要求 46.2功能要求 46.3性能要求 56.4兼容性要求 56.5断电自恢复 56.6冗余要求 57人-机接口可信技术要求 57.1一般要求 57.2功能要求 67.3性能要求 77.4兼容性要求 77.5重要信息安全传输 78可信管理平台技术要求 78.1一般要求 78.2功能要求 79通信网络 89.1一般要求 89.2性能要求 8

火力发电厂工控系统可信验证技术导则范围本文件规定了火力发电厂可信工控系统的架构、功能、性能和兼容性等方面的具体技术要求，适用于火力发电厂可信工控系统的设计、开发和验证等。本文件规定的可信验证技术适用于火力发电厂可信工控系统的现场控制层、过程监控层的计算节点，包括控制器、工程师站、操作员站、历史站和可信管理平台等。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语GB/T29828-2013信息安全技术可信计算规范可信连接架构GB/T29829-2 013信息安全技术可信计算密码支撑平台功能与接口规范GB/T30372-2013火力发电厂分散控制系统验收导则GB/T30731-2017火力发电厂分散控制运行维护与试验技术规程GB/T36293-2018火力发电厂分散控制系统技术条件GM/T0012-2020可信计算可信密码模块接口规范术语、定义、缩略语注意规范编写GB/T25069-2010、GB/T29827-2013、GB/T29828-2013、GB/T29829-2013和GB/T36293-2018界定的以及下列术语和定义适用于本文件。术语和定义火力发电厂可信工控系统trustedindustrialcontrolsystemforthermalpowerplants基于现有火力发电厂工业控制系统融合可信计算硬件平台、可信计算软件等形成的适用于火力发电厂的工业控制系统。分散控制系统distributedcontrolsystem采用计算机、通信和屏幕显示技术,实现对生产过程的数据采集、控制和保护等功能,利用通信技术实现数据共享的多计算机监控系统,其主要特点是功能分散,操作显示集中,数据共享。根据具体情况也可以是硬件布置上的分散。[GB/T26863—2011,定义8.13]人-机接口human-machineinterface人（即用户）与系统（即特定的机器、装置、计算机程序或其他复杂工具等）相互作用的手段的集合体。用户接口提供了以下手段：——输入：允许用户操作系统。——输出：允许系统指示用户操作的相应。[GB/T26863-2011,定义5.6]可信控制器trustedcontroller融合硬件可信根、国密算法、可信度量、可信审计等可信计算技术而形成的新型工业控制系统控制器。可信管理平台trustedmanagementplatform可信设备的集中管理平台，对可信设备的可信策略、完整性基准值等进行配置管理，收集和管理可信设备的状态、审计和告警日志等。完整性度量integritymeasurement使用密码杂凑算法对被度量对象计算杂凑值的过程。[GB/T29829-2013，定义3.1.3]完整性基准值predefinedintegrityvalue部件在可信状态下被度量得到的杂凑值。该值可作为完整性校验的基准。[GB/T29829-2013，定义3.1.12]静态度量staticmeasurement在系统启动过程中，对系统完整性进行测量和评估的可信度量方法。动态度量dynamicmeasurement在系统运行过程中，对系统完整性和行为安全性进行测量和评估的可信度量方法。可信网络连接trustednetworkconnection终端连接到受保护网络的过程，包括用户身份鉴别、平台身份鉴别和平台完整性评估三个步骤。[GB/T29828-2013，定义3.16]信任链trustchain在计算系统启动和运行过程中，使用完整性度量方法在部件之间所建立的信任传递关系。[GB/T29827-2013，定义3.19]实体entity访问密码支撑平台资源的应用程序和用户。[GB/T29829-2013，定义3.1.17]对象object可信计算密码支撑平台内可以被实体访问的各类资源，包括密钥数据、运行环境数据、敏感数据等。[GB/T29829-2013，定义3.1.18]缩略语DCS：分散控制系统(DistributedControlSystem)HMI：人机接口（Human-MachineInterface）SOE：事件顺序记录（Sequence

Of

Event）BSP：板级支持包（BoardSupportPackage）SIS：厂级监控信息系统（SupervisoryInformationSystemforplantlevel）MIS：管理信息系统（ManagementInformationSystem）火力发电厂可信工控系统架构要求火力发电厂可信工控系统架构应包括现场控制层的可信控制器、过程监控层人-机接口可信终端以及火力发电厂工控系统可信管理平台（简称“可信管理平台”）。所述现场控制层和过程监控层中的系列设备为可信增强的对象，涉及计算硬件可信增强、固件可信增强、软件可信增强及可信增强对象的统一管理。硬件可信增强指为计算节点构建物理可信根，固件可信增强指对计算节点中的系统引导程序（包括但不限于引导加载程序、基本输入和输出系统程序、自检程序和系统自启动程序等）进行可信验证，软件可信增强指对计算节点中的操作系统（包括但不限于嵌入式操作系统、桌面操作系统、服务器操作系统等）、中间件（包括但不限于数据库、图形库等）、控制系统应用软件进行可信验证。过程监控层人-机接口可信终端包含可信工程师站、可信操作员站、可信历史站和可信接口站等。可信管理平台对现场控制层和过程监控层中的可信设备（可信控制器、过程监控层可信人-机接口等）进行统一、直观、高效的可信管理，实现对可信设备的可信策略、完整性基准值等进行配置管理，收集和管理可信设备的状态、审计和告警日志等。可信管理平台与现场控制层和过程监控层的可信设备之间构建可信网络连接，沿用DCS网络架构和通信通道，传输数据类型增加可信数据类型。设备与平台建立连接前进行用户身份鉴别、平台身份鉴别和平台完整性评估，确保受保护网络的可信安全。可信控制器与可信人-机接口的可信终端之间构建安全的业务通信通道，保障重要业务数据的可用性、完整性和保密性。控制器可信技术要求一般要求可信控制器应保证硬件、固件、软件、数据、记录等的可信安全，满足数据可用性、完整性、保密性以及可追溯性的要求。功能要求可信根可信控制器应具备可信根且可信根为物理形态；可信根应提供密码运算、基准值存储、可信策略存储等基本服务能力；可信根应支持中国商用密码算法，可信根采用的芯片应具备国家密码管理局颁发的可信密码模块证书；可信控制器的物理可信根应能够满足GB/T36293-2018第5.2章节中规定的环境条件要求、抗干扰要求、可靠性要求以及质量认证要求。可信度量可信控制器应基于可信根对启动阶段的度量对象进行静态度量，构建完整的信任链。度量对象应包含系统引导程序和系统程序（操作系统内核、启动参数和板级支持包（BSP）等）；可信控制器应基于可信根对运行阶段静态的度量对象进行静态度量，度量对象应包含过程控制程序、时钟同步程序和面板诊断程序等应用程序文件，以及重要参数配置文件等；可信控制器应基于可信根对运行阶段动态的度量对象调用的进程、进程操作对象、中断表等关键内存区域进行动态度量，度量对象包含操作系统核心程序、过程控制程序、时钟同步程序和面板诊断程序等重要程序，度量时机需涵盖重要程序的关键执行环节。可信验证可信控制器应基于可信根对6.2.2中定义的度量对象进行可信验证，若验证未通过，应能够进行告警，并按预定义策略采取控制措施，包括操作阻断和状态恢复等；可信控制器应能够阻止对系统引导程序、操作系统程序、火电过程控制程序、时钟同步程序、面板诊断程序、应用组态文件、系统日志等重要文件的非法删除、篡改等行为，同时进行告警并形成审计记录。重要文件可信安全防护可信控制器应对火电应用程序运行参数、应用组态等重要文件进行可信安全防护，对重要文件的修改、删除等操作基于可信根进行权限控制，对重要文件的非法删除、篡改等行为进行告警并形成审计记录；可信控制器中重要文件包含火电应用程序运行参数、应用组态等。火电应用程序运行参数应包含网络地址信息、时钟同步参数和版本信息等。应用组态包含数据采集系统（DAS）、模拟量控制系统（MCS）、顺序控制系统（SCS）、脱硫控制系统（FGD）、电器控制系统（ECS）、炉膛安全监控系统（FSSS）、汽轮机电液控制系统（DEH）和给水泵汽轮机电液控制系统（MEH）等。可信审计可信控制器应能够对6.2.2中定义的度量对象的度量动作和结果生成可信审计记录，上报给可信管理平台；可信审计记录应包括时间、度量方式、度量对象、度量值、验证结果等，并能够对审计记录进行完整性保护；可信控制器断网期间的审计告警记录需要在接入网络后进行补报。可信报告可信控制器应能够生成可信报告，可信报告应包含静态度量和动态度量结果，并使用可信根中平台身份密钥对可信报告进行签名保护。可信管理功能可信控制器应与授权的可信管理平台构建可信网络连接,对其进行身份鉴别，验证通过后，向可信管理平台发送基准值，审计记录和可信报告；接收可信管理平台的策略（包括被度量对象、度量方式、度量触发方式、控制机制等）、基准值等信息；可信控制器应能够基于可信根完成与可信管理平台之间的可信数据的安全传输。密码算法要求可信控制器应使用国家密码管理主管部门认证核准的密码技术和产品进行可信度量和度量验证。性能要求a）可信控制器的性能应满足GB/T36293-2018中对控制器性能的相关要求；b）可信控制器启动阶段的可信静态度量功能应满足可信控制器对启动时间的实际要求；c）可信控制器运行阶段的可信动态度量功能应满足应满足GB/T36293-2018中对控制器实时性的要求。兼容性要求可信控制器与火力发电厂非可信工控系统共存时，应不影响整体系统的正常运行；可信功能与传统网络安全防护手段兼容，不产生功能和策略冲突。断电自恢复电源断电恢复后，可信控制器应能够自动恢复原有正常工作，无需维护人员干预。冗余要求可信控制器应支持冗余同步工作方式；可信控制器在冗余同步工作模式下，应具有可靠的冗余切换性能，数据同步和切换时间应满足工艺过程的实时性要求；可信控制器应支持无扰冗余切换，保证系统的控制和保护功能不因冗余切换丢失或延迟。人-机接口可信技术要求一般要求人-机接口可信终端应保证硬件、固件、软件、数据、记录等的可信安全，满足数据可用性、完整性、保密性以及可追溯性的要求。功能要求可信根人-机接口可信终端应具备可信根且可信根为物理形态；可信根应提供密码运算、基准值存储、可信策略存储等基本服务能力；可信根应支持中国商用密码算法，可信根采用的芯片应具备国家密码管理局颁发的可信密码模块证书；人-机接口可信终端的物理可信根应能够满足GB/T36293-2018第5.2章节中规定的环境条件要求、抗干扰要求、可靠性要求以及质量认证要求。可信度量人-机接口可信终端应基于可信根对启动阶段的度量对象进行静态度量，构建完整的信任链，度量对象应包含系统引导程序、系统程序等，度量对象应包含系统引导程序和系统程序（操作系统内核和启动参数等）；人-机接口可信终端应基于可信根对运行阶段静态的度量对象进行静态度量，度量对象包含火力发电厂工控系统的工艺流程图、趋势、报警显示和控制算法应用软件等应用程序文件，以及重要参数配置文件等；人-机接口可信终端应基于可信根对运行阶段动态的度量对象调用的进程、进程操作对象、中断表等关键内存区域进行动态度量，度量对象包含火力发电厂工控系统的工艺流程图、趋势、报警显示和控制算法应用软件等重要程序，度量时机需涵盖重要程序的关键执行环节。可信验证人-机接口可信终端应基于可信根对7.2.2中定义的度量对象进行可信验证，若验证未通过，应能够进行告警，并按预定义策略采取控制措施，包括操作阻断和状态恢复等；人-机接口可信终端应能够阻止对系统引导程序、操作系统程序、火力发电厂工控系统的工艺流程图、趋势、报警显示和控制算法等重要文件的非法删除、篡改等行为，同时进行告警并形成审计记录。重要文件可信安全防护人-机接口可信终端应对组态、SOE、操作记录、事件记录、历史数据库、事故追忆、报表和SIS接口站数据缓存等重要文件进行可信安全防护，对重要文件的修改、删除等操作基于可信根进行权限控制，对重要文件的非法删除、篡改等行为进行告警并形成审计记录。可信审计人-机接口可信终端应能够对7.2.2中定义的度量对象的度量动作和结果生成可信审计记录，上报给可信管理平台；可信审计记录应包括时间、度量方式、度量对象、度量值、验证结果等，并能够对审计记录进行完整性保护；人-机接口可信终端断网期间的审计告警记录需要在接入网络后进行补报。可信报告人-机接口可信终端应能够生成可信报告，可信报告应包含静态度量和动态度量结果，并使用可信根中平台身份密钥对可信报告进行签名保护。可信管理功能人-机接口可信终端应与授权的可信管理平台构建可信网络连接，对其进行身份鉴别，验证通过后，向可信管理平台发送基准值，审计记录和可信报告；接收可信管理平台的策略（包括被度量对象、度量方式、度量触发方式、控制机制等）、基准值等信息；人-机接口可信终端应能够基于可信根完成与可信管理平台之间的可信数据的安全传输。密码算法要求人-机接口可信终端应使用国家密码管理主管部门认证核准的密码技术和产品进行可信度量和度量验证。性能要求a）人-机接口可信终端性能标准需要满足GB/T36293-2018中人-机接口性能相关的所有标准；b）人-机接口可信终端启动阶段的可信静态度量功能应满足人-机接口可信终端对启动时间的实际要求；c）人-机接口可信终端运行阶段的可信动态度量功能应满足应满足GB/T36293-2018中对人-机接口实时性的要求。兼容性要求第三方通讯兼容性方面，人-机接口可信终端应兼容OPCDA和OPCUA等安全通信方式，如接口站与厂级监控信息系统（SIS）或管理信息系统（MIS）等通信，应兼容相应的传输协议和方式。重要信息安全传输人-机接口与其他人-机接口以及控制器传输重要信息（如操控指令）等，应满足传输数据的可用性、完整性和保密性要求。可信管理平台技术要求一般要求可信管理平台应对可信控制器、人-机接口可信终端等可信节点进行统一可信管理：针对接入火力发电厂工控系统的可信节点进行注册管理；与接入的可信节点构建可信网络连接，进行可信远程证明和双向认证，确保其可信性；监控、展示所有注册节点的可信状态；针对节点与可信管理平台之间的关键通信信息进行加密保护。功能要求可信安全角色可信相关管理功能应由系统管理员、安全管理员和审计管理员共同完成。系统管理员负责基准值采集等功能管理，安全管理员负责可信度量、度量验证策略等功能管理，审计管理员负责可信审计功能及审计策略等功能管理。可信策略管理可信管理平台应能够对可信策略进行配置，包括被度量对象、度量方式、