亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于“白名單”技術(shù)的主機(jī)防病毒研究與設(shè)計(jì)

        2022-04-07 08:28:38唐清弟劉劍明
        水電站設(shè)計(jì) 2022年1期
        關(guān)鍵詞:防病毒白名單工控

        李 鶴,唐清弟,劉劍明

        (華能瀾滄江水電股份有限公司景洪水電廠,云南 景洪 666100)

        0 前 言

        電力是關(guān)系國計(jì)民生的重要基礎(chǔ)產(chǎn)業(yè),也是關(guān)系千家萬戶的公用事業(yè)。電力的安全供應(yīng)事關(guān)社會經(jīng)濟(jì)和人民生活,保障電力系統(tǒng)安全是國家安全的重要組成部分?,F(xiàn)代電力工業(yè)具有高度網(wǎng)絡(luò)化、系統(tǒng)化、自動化的特征,以網(wǎng)絡(luò)、數(shù)據(jù)庫及計(jì)算機(jī)自動控制技術(shù)為代表的信息處理技術(shù)已成為支撐電力生產(chǎn)控制和經(jīng)營管理不可或缺的基礎(chǔ)要素,保障電力網(wǎng)絡(luò)與信息系統(tǒng)安全已成為電力系統(tǒng)安全穩(wěn)定運(yùn)行的重要前提。

        目前,中國電力企業(yè)電力監(jiān)控系統(tǒng)核心軟硬件設(shè)備無法完全做到自主可控,嚴(yán)重依賴國外廠商提供的軟硬件產(chǎn)品;同時(shí),電力監(jiān)控系統(tǒng)信息安全防護(hù)薄弱,保障能力不足,核心系統(tǒng)依賴國外廠商運(yùn)維;一線電力監(jiān)控系統(tǒng)使用人員信息系統(tǒng)及信息安全方面的知識儲備不足,信息安全意識淡薄,無完善的突發(fā)信息安全事件應(yīng)急響應(yīng)措施。因此,中國電力企業(yè)電力監(jiān)控系統(tǒng)存在較多信息安全隱患,急需加大電力監(jiān)控系統(tǒng)信息安全的投入,全面提升電力監(jiān)控系統(tǒng)信息安全防護(hù)水平。

        1 安全現(xiàn)狀

        電力監(jiān)控系統(tǒng)的上位機(jī)(工程師站、操作員站、服務(wù)器等)多是基于Linux內(nèi)核的操作系統(tǒng),是通過安裝工控公司的監(jiān)控組態(tài)軟件搭建的[1]。Linux內(nèi)核的操作系統(tǒng)具有較強(qiáng)的普遍性,也存在較多的系統(tǒng)漏洞。電力監(jiān)控系統(tǒng)通常不允許連接互聯(lián)網(wǎng),在系統(tǒng)安裝完成后無法通過自動下載補(bǔ)丁包的方式修補(bǔ)漏洞,所以電力監(jiān)控系統(tǒng)更容易受到病毒的威脅。

        目前針對電力監(jiān)控系統(tǒng)的信息安全還缺少針對性的研究和實(shí)踐,頂層設(shè)計(jì)缺失,相關(guān)標(biāo)準(zhǔn)滯后。電力監(jiān)控系統(tǒng)上位機(jī)的安全防護(hù)普遍沿用IT系統(tǒng)安全防護(hù)的老辦法——安裝防病毒軟件。但是,電力監(jiān)控系統(tǒng)沿用傳統(tǒng)防病毒軟件,存在以下不足。

        (1)防病毒軟件主要是基于一個(gè)持續(xù)積累的病毒庫對惡意代碼的識別,即基于“黑名單”思想。這導(dǎo)致防病毒軟件本質(zhì)上存在2個(gè)嚴(yán)重缺陷:一方面,對新病毒的防御總是被動滯后的;另一方面,對于高級別的0day攻擊無能為力,例如著名的“震網(wǎng)”病毒就是利用了多個(gè)微軟的0day漏洞,成功地攻擊了伊朗的核工廠。

        (2)防病毒軟件需要頻繁升級病毒庫,才能維持對主流病毒的防護(hù)能力,而電力監(jiān)控系統(tǒng)通常不允許連接互聯(lián)網(wǎng),無法及時(shí)進(jìn)行升級。

        (3)防病毒軟件無法做到100%的精準(zhǔn),所以存在對合法程序誤殺的情況,而誤殺程序在電力監(jiān)控系統(tǒng)中是致命的。

        基于“白名單”的電力監(jiān)控防病毒系統(tǒng)針對傳統(tǒng)防病毒軟件的不足,對電力監(jiān)控系統(tǒng)特點(diǎn)進(jìn)行有針對性地設(shè)計(jì),用于取代傳統(tǒng)殺毒軟件,有效阻止病毒、木馬及非授權(quán)軟件的安裝與運(yùn)行?;凇鞍酌麊巍钡碾娏ΡO(jiān)控防病毒系統(tǒng)有著以下幾點(diǎn)重要特點(diǎn)與優(yōu)勢:

        (1)有效阻止病毒、木馬及非授權(quán)軟件的安裝與運(yùn)行;

        (2)能有效抵御零日攻擊及高級持久性威脅(APT);

        (3)完全避免傳統(tǒng)殺毒軟件“誤殺”“誤報(bào)”;

        (4)系統(tǒng)資源低開銷,不影響正常工控軟件運(yùn)行;

        (5)無需頻繁升級,適合工控環(huán)境,減少安全生產(chǎn)事故;

        (6)保護(hù)無法更新和升級的系統(tǒng)。

        2 研究設(shè)計(jì)

        本研究設(shè)計(jì)的目的是研發(fā)適用于電力監(jiān)控系統(tǒng)的病毒防護(hù)軟件,主要包括適用于工業(yè)控制系列的計(jì)算機(jī)病毒主動防御方案。這種方案不僅能夠防御利用0day漏洞進(jìn)行攻擊的未知病毒,還不需要頻繁升級病毒庫,就可保持對計(jì)算機(jī)病毒的防御能力,以適應(yīng)工業(yè)控制系列不能連接互聯(lián)網(wǎng)這一特點(diǎn);并且,還能加大對合法程序零誤判的計(jì)算機(jī)病毒防御方案的研究,保證電力監(jiān)控系統(tǒng)的高可用性。

        主機(jī)防護(hù)軟件主要由兩部分組件組成:①客戶端,可獨(dú)立安裝運(yùn)行在工作站上的客戶端軟件,能監(jiān)控分析應(yīng)用程序和人工操作的行為特征,生成“白名單”,阻止惡意程序和操作的執(zhí)行;②管理平臺,統(tǒng)一管理企業(yè)內(nèi)部所有防護(hù)軟件系統(tǒng)客戶端,進(jìn)行狀態(tài)監(jiān)控及策略配置和下發(fā),并收集、匯總、更新、同步單獨(dú)客戶端的“白名單”數(shù)據(jù)信息,統(tǒng)一收集單獨(dú)客戶端的審計(jì)信息,并進(jìn)行大數(shù)據(jù)分析,統(tǒng)一管理企業(yè)消息推送。采用“白名單”技術(shù),為工業(yè)控制網(wǎng)絡(luò)構(gòu)建可信任的工作站及終端安全防護(hù)“白環(huán)境”[2]。防護(hù)軟件系統(tǒng)架構(gòu)見圖1。

        此次作業(yè)在三亞47 m水深海域進(jìn)行,總鉆探深度8195 m,共完成28個(gè)回次取樣,獲取微擾動地質(zhì)樣品總長6855 m,整體取心率高達(dá)8365%。其中4次取到3 m長滿管樣品,8次取到4 m長滿管樣品,樣品直徑均為84 mm。

        圖1 管理平臺與客戶單架構(gòu)

        防護(hù)軟件系統(tǒng)是基于應(yīng)用程序“白名單”機(jī)制進(jìn)行安全防護(hù)的。使用防護(hù)軟件系統(tǒng)進(jìn)行安全保護(hù)時(shí),防護(hù)軟件系統(tǒng)會根據(jù)本地存儲的“白名單” 列表檢查每個(gè)試圖執(zhí)行的應(yīng)用程序,只有在“白名單”列表上的程序才允許運(yùn)行。所以防護(hù)軟件系統(tǒng)能夠控制僅運(yùn)行合法的軟件程序,而惡意軟件或其他未經(jīng)授權(quán)的程序則被阻止運(yùn)行,從而可以有效阻止各種惡意程序(包括病毒、木馬、間諜軟件等)。操作系統(tǒng)的分層結(jié)構(gòu)見圖2。

        圖2 操作系統(tǒng)分層結(jié)構(gòu)

        所有的應(yīng)用程序都是從用戶模式被調(diào)用裝載、啟動,絕大部分應(yīng)用程序在用戶模式下運(yùn)行,一些惡意軟件則可能加載到內(nèi)核模式中?;趯Ω鞣N操作系統(tǒng)(包括各個(gè)版本的 Windows、Linux和Unix)的深入理解,防護(hù)軟件系統(tǒng)在操作系統(tǒng)的內(nèi)核模式下運(yùn)行,可以在應(yīng)用程序加載過程中進(jìn)行“白名單”校驗(yàn)攔截,確保不在“白名單”列表的程序無法執(zhí)行,從底層徹底阻止非法程序的運(yùn)行。在安裝了防護(hù)軟件系統(tǒng)的操作系統(tǒng)中,應(yīng)用程序啟動的流程見圖3。

        圖3 “白名單”下的應(yīng)用程序啟動流程

        從圖3可以看出,“白名單校驗(yàn)”是防護(hù)軟件系統(tǒng)加載在操作系統(tǒng)內(nèi)核的一道門衛(wèi)關(guān)卡,任何惡意軟件只要不在“白名單”列表里面,就無法啟動運(yùn)行,也就無法對系統(tǒng)造成惡意破壞和影響。

        3 技術(shù)對比

        3.1 “白名單”技術(shù)

        “白名單”技術(shù)在電力監(jiān)控系統(tǒng)安全防護(hù)方案中獲得認(rèn)可的原因有以下幾點(diǎn):

        (1)更適應(yīng)工業(yè)企業(yè)生產(chǎn)業(yè)務(wù)。首先,從信息安全的三大屬性——可用性、完整性、機(jī)密性來說,工業(yè)企業(yè)最關(guān)注的是可用性,因?yàn)閿?shù)據(jù)和系統(tǒng)可用是保證生產(chǎn)業(yè)務(wù)正常運(yùn)行的前提?!鞍酌麊巍奔夹g(shù)采用“白名單”機(jī)制,只允許自己信任的、正確的內(nèi)容通過,不會對數(shù)據(jù)的可用性造成破壞,并保證了進(jìn)入系統(tǒng)的數(shù)據(jù)是信任無害的,從而保障了工業(yè)生產(chǎn)網(wǎng)的可用性。再者,從實(shí)時(shí)性考慮,工業(yè)生產(chǎn)網(wǎng)對某些變量的數(shù)據(jù)往往要求準(zhǔn)確定時(shí)刷新,信號指令必須在確定時(shí)限內(nèi)完成,這就要求在進(jìn)行安全建設(shè)時(shí),所設(shè)計(jì)軟件必須具備低延時(shí)特征,不能影響工業(yè)控制網(wǎng)絡(luò)的實(shí)時(shí)響應(yīng)速度。與“厚重”的“黑名單”機(jī)制相比,“白名單”技術(shù)采用輕量級“白名單”機(jī)制,能夠更好地滿足工業(yè)生產(chǎn)網(wǎng)絡(luò)的實(shí)時(shí)性要求。

        (2)“白名單”機(jī)制不需要頻繁升級。由于“白名單”技術(shù)是將已知的、信任的內(nèi)容加入“白名單”,只要保證“白名單”的全面性和純凈性,即可發(fā)揮良好作用。與需要定期更新、頻繁把工控網(wǎng)絡(luò)環(huán)境從“穩(wěn)態(tài)”拖入“暫態(tài)”的“黑名單”技術(shù)相比,“白名單”技術(shù)擁有天生的優(yōu)勢。

        (3)從工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)出發(fā),只要工藝流程、業(yè)務(wù)數(shù)據(jù)固定下來,“白名單”就不會發(fā)生變化。即使有變化,只要把變化的內(nèi)容添加到“白名單”,“白名單”機(jī)制依然能夠很好地發(fā)揮其安全防護(hù)作用。這樣一個(gè)良好的循壞,保障了安全機(jī)制和業(yè)務(wù)生產(chǎn)長期穩(wěn)定共存,最終實(shí)現(xiàn)基于業(yè)務(wù)內(nèi)生的安全。

        3.2 傳統(tǒng)防病毒技術(shù)

        在傳統(tǒng)IT安全領(lǐng)域,防病毒軟件得到廣泛應(yīng)用的原因在于傳統(tǒng)IT將安全放在首位,采用盡可能多的手段進(jìn)行安全防護(hù),同時(shí)傳統(tǒng)IT主機(jī)大多可直接連接互聯(lián)網(wǎng)進(jìn)行病毒庫升級,加上目前“云”查殺技術(shù)的逐步推廣,新病毒發(fā)現(xiàn)和查殺的效率也大大提高。而在工業(yè)現(xiàn)場,目前仍有很多主機(jī)采用防病毒技術(shù),但是由于電力監(jiān)控系統(tǒng)的特殊性,傳統(tǒng)防病毒技術(shù)已經(jīng)優(yōu)勢不再,反而在很多方面成為制約其推廣的瓶頸,主要表現(xiàn)在以下幾方面:

        防病毒技術(shù)只能對已知病毒進(jìn)行檢測,對于未知威脅卻無能為力;

        大量現(xiàn)存工業(yè)主機(jī)系統(tǒng)由于投入運(yùn)行時(shí)間較長,系統(tǒng)性能普遍較低,防病毒軟件內(nèi)置大量特征庫,軟件運(yùn)行緩慢,在掃描過程中占用資源高,拖慢系統(tǒng)運(yùn)行速度,不能滿足電力監(jiān)控系統(tǒng)高實(shí)時(shí)性的要求;

        防病毒技術(shù)基于特征庫匹配技術(shù),不可避免會出現(xiàn)誤殺、誤報(bào)的可能,在對疑似病毒進(jìn)行處理的過程中,有可能對工業(yè)主機(jī)系統(tǒng)、控制軟件、組態(tài)軟件的穩(wěn)定運(yùn)行產(chǎn)生不利影響;

        傳統(tǒng)防病毒軟件以查殺引擎和漏洞庫為核心,由于工業(yè)環(huán)境的相對封閉性無法保證殺毒軟件的及時(shí)更新,導(dǎo)致防病毒措施形同虛設(shè)。

        工業(yè)環(huán)境中存在大量windows XP、windows 2000等老舊操作系統(tǒng),傳統(tǒng)殺毒軟件由于追求新特性、新功能的需要,對老舊操作系統(tǒng)以及軟件存在部分兼容性問題。

        3.3 “白名單”和“黑名單”的區(qū)別

        相比“白名單”而言,傳統(tǒng)的防病毒軟件(包括類似的防木馬軟件、防間諜軟件等),采用的是“黑名單”機(jī)制。這類產(chǎn)品都會內(nèi)置一個(gè)病毒庫(或惡意軟件庫),也就是我們這里所說的“黑名單”。防病毒軟件可以有效阻止已知惡意軟件的運(yùn)行,也是縱深防御可選的有效防護(hù)措施。但是這類軟件的“黑名單”(即病毒庫)一般比較龐大,需要包括歷史上所有的惡意軟件指紋,而且需要及時(shí)更新。如果新的病毒沒有被更新到病毒庫,那么這種“黑名單”軟件就無法有效阻止該病毒的運(yùn)行。

        在絕大部分工控場景中,是不允許聯(lián)網(wǎng)的,也就無法保證服務(wù)器的病毒庫(即“黑名單”)及時(shí)更新,所以這類軟件在工控安全防護(hù)場景里實(shí)際效果要大打折扣。另外,殺毒軟件可能的誤殺會嚴(yán)重影響工控業(yè)務(wù),這也是工控安全場景不愿意使用殺毒軟件的一個(gè)重要原因。

        4 結(jié) 論

        綜上所述,在目前相對封閉的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)中,“白環(huán)境”理念更適合電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)環(huán)境。但在兩化融合的大趨勢下,未來工業(yè)控制網(wǎng)絡(luò)完全開放,在與互聯(lián)網(wǎng)聯(lián)通的情況下,可以適時(shí)引入“黑名單”機(jī)制,通過以“白”為主,以“黑”為輔的防護(hù)方式來保障未來電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全。

        猜你喜歡
        防病毒白名單工控
        基于白名單的車道工控系統(tǒng)信息安全解決方案
        科學(xué)戴口罩方能防病毒
        核電廠儀控系統(tǒng)安全防護(hù)策略研究及應(yīng)用
        防病毒肺炎
        高速公路信息安全系統(tǒng)防病毒和終端管理技術(shù)應(yīng)用
        淺談計(jì)算機(jī)防病毒軟件的作用機(jī)制
        工控速派 一個(gè)工控技術(shù)服務(wù)的江湖
        工控速浱 一個(gè)工控技術(shù)服務(wù)的江湖
        熱點(diǎn)追蹤 工控安全低調(diào)而不失重要
        基于攻擊圖的工控系統(tǒng)脆弱性量化方法
        亚洲第一页综合图片自拍| 男女搞黄在线观看视频| 国产av一级二级三级| 中国孕妇变态孕交xxxx| 无码人妻久久一区二区三区不卡| 激情丁香婷婷| 久草久热这里只有精品| 国产流白浆视频在线观看| av无码av天天av天天爽| 久久国产精品懂色av| 免费在线观看av不卡网站| 国产亚洲2021成人乱码| 欧美午夜a级精美理论片| 日本成人免费一区二区三区| 国产熟人精品一区二区| 中文字幕人妻无码一夲道| 国产爽爽视频在线| 国产啪啪视频在线观看| 国内自拍情侣露脸高清在线| 中文字字幕在线精品乱码| 久久无码高潮喷水免费看| 伊人久久综合狼伊人久久| 国精产品一区一区二区三区mba| 亚洲日本在线电影| 精品人伦一区二区三区蜜桃麻豆| 亚洲码专区亚洲码专区| 人人爽久久久噜人人看| 国产在线无码制服丝袜无码| 亚洲va欧美va人人爽夜夜嗨| 蜜桃在线视频一区二区| 亚洲乳大丰满中文字幕| 老熟女多次高潮露脸视频| 中文字幕一区二区三区97| 国产夫妻自拍视频在线播放| 97久久精品无码一区二区天美| 亚洲国产成人手机在线观看| 日本高清不卡二区三区| 99无码熟妇丰满人妻啪啪| 亚洲av成人一区二区三区av| 国产一区二区三区视频了| 人妻精品视频一区二区三区 |