基于“白名單”技術(shù)的主機(jī)防病毒研究與設(shè)計(jì)

李 鶴，唐清弟，劉劍明

(華能瀾滄江水電股份有限公司景洪水電廠，云南 景洪 666100)

0 前 言

電力是關(guān)系國(guó)計(jì)民生的重要基礎(chǔ)產(chǎn)業(yè)，也是關(guān)系千家萬(wàn)戶(hù)的公用事業(yè)。電力的安全供應(yīng)事關(guān)社會(huì)經(jīng)濟(jì)和人民生活，保障電力系統(tǒng)安全是國(guó)家安全的重要組成部分。現(xiàn)代電力工業(yè)具有高度網(wǎng)絡(luò)化、系統(tǒng)化、自動(dòng)化的特征，以網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)及計(jì)算機(jī)自動(dòng)控制技術(shù)為代表的信息處理技術(shù)已成為支撐電力生產(chǎn)控制和經(jīng)營(yíng)管理不可或缺的基礎(chǔ)要素，保障電力網(wǎng)絡(luò)與信息系統(tǒng)安全已成為電力系統(tǒng)安全穩(wěn)定運(yùn)行的重要前提。

目前，中國(guó)電力企業(yè)電力監(jiān)控系統(tǒng)核心軟硬件設(shè)備無(wú)法完全做到自主可控，嚴(yán)重依賴(lài)國(guó)外廠商提供的軟硬件產(chǎn)品；同時(shí)，電力監(jiān)控系統(tǒng)信息安全防護(hù)薄弱，保障能力不足，核心系統(tǒng)依賴(lài)國(guó)外廠商運(yùn)維；一線電力監(jiān)控系統(tǒng)使用人員信息系統(tǒng)及信息安全方面的知識(shí)儲(chǔ)備不足，信息安全意識(shí)淡薄，無(wú)完善的突發(fā)信息安全事件應(yīng)急響應(yīng)措施。因此，中國(guó)電力企業(yè)電力監(jiān)控系統(tǒng)存在較多信息安全隱患，急需加大電力監(jiān)控系統(tǒng)信息安全的投入，全面提升電力監(jiān)控系統(tǒng)信息安全防護(hù)水平。

1 安全現(xiàn)狀

電力監(jiān)控系統(tǒng)的上位機(jī)(工程師站、操作員站、服務(wù)器等)多是基于Linux內(nèi)核的操作系統(tǒng)，是通過(guò)安裝工控公司的監(jiān)控組態(tài)軟件搭建的[1]。Linux內(nèi)核的操作系統(tǒng)具有較強(qiáng)的普遍性，也存在較多的系統(tǒng)漏洞。電力監(jiān)控系統(tǒng)通常不允許連接互聯(lián)網(wǎng)，在系統(tǒng)安裝完成后無(wú)法通過(guò)自動(dòng)下載補(bǔ)丁包的方式修補(bǔ)漏洞，所以電力監(jiān)控系統(tǒng)更容易受到病毒的威脅。

目前針對(duì)電力監(jiān)控系統(tǒng)的信息安全還缺少針對(duì)性的研究和實(shí)踐，頂層設(shè)計(jì)缺失，相關(guān)標(biāo)準(zhǔn)滯后。電力監(jiān)控系統(tǒng)上位機(jī)的安全防護(hù)普遍沿用IT系統(tǒng)安全防護(hù)的老辦法——安裝防病毒軟件。但是，電力監(jiān)控系統(tǒng)沿用傳統(tǒng)防病毒軟件，存在以下不足。

(1)防病毒軟件主要是基于一個(gè)持續(xù)積累的病毒庫(kù)對(duì)惡意代碼的識(shí)別，即基于“黑名單”思想。這導(dǎo)致防病毒軟件本質(zhì)上存在2個(gè)嚴(yán)重缺陷：一方面，對(duì)新病毒的防御總是被動(dòng)滯后的；另一方面，對(duì)于高級(jí)別的0day攻擊無(wú)能為力，例如著名的“震網(wǎng)”病毒就是利用了多個(gè)微軟的0day漏洞，成功地攻擊了伊朗的核工廠。

(2)防病毒軟件需要頻繁升級(jí)病毒庫(kù)，才能維持對(duì)主流病毒的防護(hù)能力，而電力監(jiān)控系統(tǒng)通常不允許連接互聯(lián)網(wǎng)，無(wú)法及時(shí)進(jìn)行升級(jí)。

(3)防病毒軟件無(wú)法做到100%的精準(zhǔn)，所以存在對(duì)合法程序誤殺的情況，而誤殺程序在電力監(jiān)控系統(tǒng)中是致命的。

基于“白名單”的電力監(jiān)控防病毒系統(tǒng)針對(duì)傳統(tǒng)防病毒軟件的不足，對(duì)電力監(jiān)控系統(tǒng)特點(diǎn)進(jìn)行有針對(duì)性地設(shè)計(jì)，用于取代傳統(tǒng)殺毒軟件，有效阻止病毒、木馬及非授權(quán)軟件的安裝與運(yùn)行。基于“白名單”的電力監(jiān)控防病毒系統(tǒng)有著以下幾點(diǎn)重要特點(diǎn)與優(yōu)勢(shì)：

(1)有效阻止病毒、木馬及非授權(quán)軟件的安裝與運(yùn)行；

(2)能有效抵御零日攻擊及高級(jí)持久性威脅(APT)；

(3)完全避免傳統(tǒng)殺毒軟件“誤殺”“誤報(bào)”；

(4)系統(tǒng)資源低開(kāi)銷(xiāo)，不影響正常工控軟件運(yùn)行；

(5)無(wú)需頻繁升級(jí)，適合工控環(huán)境，減少安全生產(chǎn)事故；

(6)保護(hù)無(wú)法更新和升級(jí)的系統(tǒng)。

2 研究設(shè)計(jì)

本研究設(shè)計(jì)的目的是研發(fā)適用于電力監(jiān)控系統(tǒng)的病毒防護(hù)軟件，主要包括適用于工業(yè)控制系列的計(jì)算機(jī)病毒主動(dòng)防御方案。這種方案不僅能夠防御利用0day漏洞進(jìn)行攻擊的未知病毒，還不需要頻繁升級(jí)病毒庫(kù)，就可保持對(duì)計(jì)算機(jī)病毒的防御能力，以適應(yīng)工業(yè)控制系列不能連接互聯(lián)網(wǎng)這一特點(diǎn)；并且，還能加大對(duì)合法程序零誤判的計(jì)算機(jī)病毒防御方案的研究，保證電力監(jiān)控系統(tǒng)的高可用性。

主機(jī)防護(hù)軟件主要由兩部分組件組成：①客戶(hù)端，可獨(dú)立安裝運(yùn)行在工作站上的客戶(hù)端軟件，能監(jiān)控分析應(yīng)用程序和人工操作的行為特征，生成“白名單”，阻止惡意程序和操作的執(zhí)行；②管理平臺(tái)，統(tǒng)一管理企業(yè)內(nèi)部所有防護(hù)軟件系統(tǒng)客戶(hù)端，進(jìn)行狀態(tài)監(jiān)控及策略配置和下發(fā)，并收集、匯總、更新、同步單獨(dú)客戶(hù)端的“白名單”數(shù)據(jù)信息，統(tǒng)一收集單獨(dú)客戶(hù)端的審計(jì)信息，并進(jìn)行大數(shù)據(jù)分析，統(tǒng)一管理企業(yè)消息推送。采用“白名單”技術(shù)，為工業(yè)控制網(wǎng)絡(luò)構(gòu)建可信任的工作站及終端安全防護(hù)“白環(huán)境”[2]。防護(hù)軟件系統(tǒng)架構(gòu)見(jiàn)圖1。

此次作業(yè)在三亞47 m水深海域進(jìn)行，總鉆探深度8195 m，共完成28個(gè)回次取樣，獲取微擾動(dòng)地質(zhì)樣品總長(zhǎng)6855 m，整體取心率高達(dá)8365%。其中4次取到3 m長(zhǎng)滿管樣品，8次取到4 m長(zhǎng)滿管樣品，樣品直徑均為84 mm。

圖1 管理平臺(tái)與客戶(hù)單架構(gòu)

防護(hù)軟件系統(tǒng)是基于應(yīng)用程序“白名單”機(jī)制進(jìn)行安全防護(hù)的。使用防護(hù)軟件系統(tǒng)進(jìn)行安全保護(hù)時(shí)，防護(hù)軟件系統(tǒng)會(huì)根據(jù)本地存儲(chǔ)的“白名單” 列表檢查每個(gè)試圖執(zhí)行的應(yīng)用程序，只有在“白名單”列表上的程序才允許運(yùn)行。所以防護(hù)軟件系統(tǒng)能夠控制僅運(yùn)行合法的軟件程序，而惡意軟件或其他未經(jīng)授權(quán)的程序則被阻止運(yùn)行，從而可以有效阻止各種惡意程序(包括病毒、木馬、間諜軟件等)。操作系統(tǒng)的分層結(jié)構(gòu)見(jiàn)圖2。

圖2 操作系統(tǒng)分層結(jié)構(gòu)

所有的應(yīng)用程序都是從用戶(hù)模式被調(diào)用裝載、啟動(dòng)，絕大部分應(yīng)用程序在用戶(hù)模式下運(yùn)行，一些惡意軟件則可能加載到內(nèi)核模式中。基于對(duì)各種操作系統(tǒng)(包括各個(gè)版本的 Windows、Linux和Unix)的深入理解，防護(hù)軟件系統(tǒng)在操作系統(tǒng)的內(nèi)核模式下運(yùn)行，可以在應(yīng)用程序加載過(guò)程中進(jìn)行“白名單”校驗(yàn)攔截，確保不在“白名單”列表的程序無(wú)法執(zhí)行，從底層徹底阻止非法程序的運(yùn)行。在安裝了防護(hù)軟件系統(tǒng)的操作系統(tǒng)中，應(yīng)用程序啟動(dòng)的流程見(jiàn)圖3。

圖3 “白名單”下的應(yīng)用程序啟動(dòng)流程

從圖3可以看出，“白名單校驗(yàn)”是防護(hù)軟件系統(tǒng)加載在操作系統(tǒng)內(nèi)核的一道門(mén)衛(wèi)關(guān)卡，任何惡意軟件只要不在“白名單”列表里面，就無(wú)法啟動(dòng)運(yùn)行，也就無(wú)法對(duì)系統(tǒng)造成惡意破壞和影響。

3 技術(shù)對(duì)比

3.1 “白名單”技術(shù)

“白名單”技術(shù)在電力監(jiān)控系統(tǒng)安全防護(hù)方案中獲得認(rèn)可的原因有以下幾點(diǎn)：

(1)更適應(yīng)工業(yè)企業(yè)生產(chǎn)業(yè)務(wù)。首先，從信息安全的三大屬性——可用性、完整性、機(jī)密性來(lái)說(shuō)，工業(yè)企業(yè)最關(guān)注的是可用性，因?yàn)閿?shù)據(jù)和系統(tǒng)可用是保證生產(chǎn)業(yè)務(wù)正常運(yùn)行的前提。“白名單”技術(shù)采用“白名單”機(jī)制，只允許自己信任的、正確的內(nèi)容通過(guò)，不會(huì)對(duì)數(shù)據(jù)的可用性造成破壞，并保證了進(jìn)入系統(tǒng)的數(shù)據(jù)是信任無(wú)害的，從而保障了工業(yè)生產(chǎn)網(wǎng)的可用性。再者，從實(shí)時(shí)性考慮，工業(yè)生產(chǎn)網(wǎng)對(duì)某些變量的數(shù)據(jù)往往要求準(zhǔn)確定時(shí)刷新，信號(hào)指令必須在確定時(shí)限內(nèi)完成，這就要求在進(jìn)行安全建設(shè)時(shí)，所設(shè)計(jì)軟件必須具備低延時(shí)特征，不能影響工業(yè)控制網(wǎng)絡(luò)的實(shí)時(shí)響應(yīng)速度。與“厚重”的“黑名單”機(jī)制相比，“白名單”技術(shù)采用輕量級(jí)“白名單”機(jī)制，能夠更好地滿足工業(yè)生產(chǎn)網(wǎng)絡(luò)的實(shí)時(shí)性要求。

(2)“白名單”機(jī)制不需要頻繁升級(jí)。由于“白名單”技術(shù)是將已知的、信任的內(nèi)容加入“白名單”，只要保證“白名單”的全面性和純凈性，即可發(fā)揮良好作用。與需要定期更新、頻繁把工控網(wǎng)絡(luò)環(huán)境從“穩(wěn)態(tài)”拖入“暫態(tài)”的“黑名單”技術(shù)相比，“白名單”技術(shù)擁有天生的優(yōu)勢(shì)。

(3)從工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)出發(fā)，只要工藝流程、業(yè)務(wù)數(shù)據(jù)固定下來(lái)，“白名單”就不會(huì)發(fā)生變化。即使有變化，只要把變化的內(nèi)容添加到“白名單”，“白名單”機(jī)制依然能夠很好地發(fā)揮其安全防護(hù)作用。這樣一個(gè)良好的循壞，保障了安全機(jī)制和業(yè)務(wù)生產(chǎn)長(zhǎng)期穩(wěn)定共存，最終實(shí)現(xiàn)基于業(yè)務(wù)內(nèi)生的安全。

3.2 傳統(tǒng)防病毒技術(shù)

在傳統(tǒng)IT安全領(lǐng)域，防病毒軟件得到廣泛應(yīng)用的原因在于傳統(tǒng)IT將安全放在首位，采用盡可能多的手段進(jìn)行安全防護(hù)，同時(shí)傳統(tǒng)IT主機(jī)大多可直接連接互聯(lián)網(wǎng)進(jìn)行病毒庫(kù)升級(jí)，加上目前“云”查殺技術(shù)的逐步推廣，新病毒發(fā)現(xiàn)和查殺的效率也大大提高。而在工業(yè)現(xiàn)場(chǎng)，目前仍有很多主機(jī)采用防病毒技術(shù)，但是由于電力監(jiān)控系統(tǒng)的特殊性，傳統(tǒng)防病毒技術(shù)已經(jīng)優(yōu)勢(shì)不再，反而在很多方面成為制約其推廣的瓶頸，主要表現(xiàn)在以下幾方面：

防病毒技術(shù)只能對(duì)已知病毒進(jìn)行檢測(cè)，對(duì)于未知威脅卻無(wú)能為力；

大量現(xiàn)存工業(yè)主機(jī)系統(tǒng)由于投入運(yùn)行時(shí)間較長(zhǎng)，系統(tǒng)性能普遍較低，防病毒軟件內(nèi)置大量特征庫(kù)，軟件運(yùn)行緩慢，在掃描過(guò)程中占用資源高，拖慢系統(tǒng)運(yùn)行速度，不能滿足電力監(jiān)控系統(tǒng)高實(shí)時(shí)性的要求；

防病毒技術(shù)基于特征庫(kù)匹配技術(shù)，不可避免會(huì)出現(xiàn)誤殺、誤報(bào)的可能，在對(duì)疑似病毒進(jìn)行處理的過(guò)程中，有可能對(duì)工業(yè)主機(jī)系統(tǒng)、控制軟件、組態(tài)軟件的穩(wěn)定運(yùn)行產(chǎn)生不利影響；

傳統(tǒng)防病毒軟件以查殺引擎和漏洞庫(kù)為核心，由于工業(yè)環(huán)境的相對(duì)封閉性無(wú)法保證殺毒軟件的及時(shí)更新，導(dǎo)致防病毒措施形同虛設(shè)。

工業(yè)環(huán)境中存在大量windows XP、windows 2000等老舊操作系統(tǒng)，傳統(tǒng)殺毒軟件由于追求新特性、新功能的需要，對(duì)老舊操作系統(tǒng)以及軟件存在部分兼容性問(wèn)題。

3.3 “白名單”和“黑名單”的區(qū)別

相比“白名單”而言，傳統(tǒng)的防病毒軟件(包括類(lèi)似的防木馬軟件、防間諜軟件等)，采用的是“黑名單”機(jī)制。這類(lèi)產(chǎn)品都會(huì)內(nèi)置一個(gè)病毒庫(kù)(或惡意軟件庫(kù))，也就是我們這里所說(shuō)的“黑名單”。防病毒軟件可以有效阻止已知惡意軟件的運(yùn)行，也是縱深防御可選的有效防護(hù)措施。但是這類(lèi)軟件的“黑名單”(即病毒庫(kù))一般比較龐大，需要包括歷史上所有的惡意軟件指紋，而且需要及時(shí)更新。如果新的病毒沒(méi)有被更新到病毒庫(kù)，那么這種“黑名單”軟件就無(wú)法有效阻止該病毒的運(yùn)行。

在絕大部分工控場(chǎng)景中，是不允許聯(lián)網(wǎng)的，也就無(wú)法保證服務(wù)器的病毒庫(kù)(即“黑名單”)及時(shí)更新，所以這類(lèi)軟件在工控安全防護(hù)場(chǎng)景里實(shí)際效果要大打折扣。另外，殺毒軟件可能的誤殺會(huì)嚴(yán)重影響工控業(yè)務(wù)，這也是工控安全場(chǎng)景不愿意使用殺毒軟件的一個(gè)重要原因。

4 結(jié) 論

綜上所述，在目前相對(duì)封閉的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)中，“白環(huán)境”理念更適合電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)環(huán)境。但在兩化融合的大趨勢(shì)下，未來(lái)工業(yè)控制網(wǎng)絡(luò)完全開(kāi)放，在與互聯(lián)網(wǎng)聯(lián)通的情況下，可以適時(shí)引入“黑名單”機(jī)制，通過(guò)以“白”為主，以“黑”為輔的防護(hù)方式來(lái)保障未來(lái)電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全。