李 鶴，唐清弟，劉劍明

(華能瀾滄江水電股份有限公司景洪水電廠，云南 景洪 666100)

0 前 言

電力是關(guān)系國計(jì)民生的重要基礎(chǔ)產(chǎn)業(yè)，也是關(guān)系千家萬戶的公用事業(yè)。電力的安全供應(yīng)事關(guān)社會經(jīng)濟(jì)和人民生活，保障電力系統(tǒng)安全是國家安全的重要組成部分?，F(xiàn)代電力工業(yè)具有高度網(wǎng)絡(luò)化、系統(tǒng)化、自動化的特征，以網(wǎng)絡(luò)、數(shù)據(jù)庫及計(jì)算機(jī)自動控制技術(shù)為代表的信息處理技術(shù)已成為支撐電力生產(chǎn)控制和經(jīng)營管理不可或缺的基礎(chǔ)要素，保障電力網(wǎng)絡(luò)與信息系統(tǒng)安全已成為電力系統(tǒng)安全穩(wěn)定運(yùn)行的重要前提。

目前，中國電力企業(yè)電力監(jiān)控系統(tǒng)核心軟硬件設(shè)備無法完全做到自主可控，嚴(yán)重依賴國外廠商提供的軟硬件產(chǎn)品；同時(shí)，電力監(jiān)控系統(tǒng)信息安全防護(hù)薄弱，保障能力不足，核心系統(tǒng)依賴國外廠商運(yùn)維；一線電力監(jiān)控系統(tǒng)使用人員信息系統(tǒng)及信息安全方面的知識儲備不足，信息安全意識淡薄，無完善的突發(fā)信息安全事件應(yīng)急響應(yīng)措施。因此，中國電力企業(yè)電力監(jiān)控系統(tǒng)存在較多信息安全隱患，急需加大電力監(jiān)控系統(tǒng)信息安全的投入，全面提升電力監(jiān)控系統(tǒng)信息安全防護(hù)水平。

1 安全現(xiàn)狀

電力監(jiān)控系統(tǒng)的上位機(jī)(工程師站、操作員站、服務(wù)器等)多是基于Linux內(nèi)核的操作系統(tǒng)，是通過安裝工控公司的監(jiān)控組態(tài)軟件搭建的[1]。Linux內(nèi)核的操作系統(tǒng)具有較強(qiáng)的普遍性，也存在較多的系統(tǒng)漏洞。電力監(jiān)控系統(tǒng)通常不允許連接互聯(lián)網(wǎng)，在系統(tǒng)安裝完成后無法通過自動下載補(bǔ)丁包的方式修補(bǔ)漏洞，所以電力監(jiān)控系統(tǒng)更容易受到病毒的威脅。

目前針對電力監(jiān)控系統(tǒng)的信息安全還缺少針對性的研究和實(shí)踐，頂層設(shè)計(jì)缺失，相關(guān)標(biāo)準(zhǔn)滯后。電力監(jiān)控系統(tǒng)上位機(jī)的安全防護(hù)普遍沿用IT系統(tǒng)安全防護(hù)的老辦法——安裝防病毒軟件。但是，電力監(jiān)控系統(tǒng)沿用傳統(tǒng)防病毒軟件，存在以下不足。

(1)防病毒軟件主要是基于一個(gè)持續(xù)積累的病毒庫對惡意代碼的識別，即基于“黑名單”思想。這導(dǎo)致防病毒軟件本質(zhì)上存在2個(gè)嚴(yán)重缺陷：一方面，對新病毒的防御總是被動滯后的；另一方面，對于高級別的0day攻擊無能為力，例如著名的“震網(wǎng)”病毒就是利用了多個(gè)微軟的0day漏洞，成功地攻擊了伊朗的核工廠。

(2)防病毒軟件需要頻繁升級病毒庫，才能維持對主流病毒的防護(hù)能力，而電力監(jiān)控系統(tǒng)通常不允許連接互聯(lián)網(wǎng)，無法及時(shí)進(jìn)行升級。

(3)防病毒軟件無法做到100%的精準(zhǔn)，所以存在對合法程序誤殺的情況，而誤殺程序在電力監(jiān)控系統(tǒng)中是致命的。

基于“白名單”的電力監(jiān)控防病毒系統(tǒng)針對傳統(tǒng)防病毒軟件的不足，對電力監(jiān)控系統(tǒng)特點(diǎn)進(jìn)行有針對性地設(shè)計(jì)，用于取代傳統(tǒng)殺毒軟件，有效阻止病毒、木馬及非授權(quán)軟件的安裝與運(yùn)行?；凇鞍酌麊巍钡碾娏ΡO(jiān)控防病毒系統(tǒng)有著以下幾點(diǎn)重要特點(diǎn)與優(yōu)勢：

(1)有效阻止病毒、木馬及非授權(quán)軟件的安裝與運(yùn)行；

(2)能有效抵御零日攻擊及高級持久性威脅(APT)；

(3)完全避免傳統(tǒng)殺毒軟件“誤殺”“誤報(bào)”；

(4)系統(tǒng)資源低開銷，不影響正常工控軟件運(yùn)行；

(5)無需頻繁升級，適合工控環(huán)境，減少安全生產(chǎn)事故；

(6)保護(hù)無法更新和升級的系統(tǒng)。

2 研究設(shè)計(jì)

本研究設(shè)計(jì)的目的是研發(fā)適用于電力監(jiān)控系統(tǒng)的病毒防護(hù)軟件，主要包括適用于工業(yè)控制系列的計(jì)算機(jī)病毒主動防御方案。這種方案不僅能夠防御利用0day漏洞進(jìn)行攻擊的未知病毒，還不需要頻繁升級病毒庫，就可保持對計(jì)算機(jī)病毒的防御能力，以適應(yīng)工業(yè)控制系列不能連接互聯(lián)網(wǎng)這一特點(diǎn)；并且，還能加大對合法程序零誤判的計(jì)算機(jī)病毒防御方案的研究，保證電力監(jiān)控系統(tǒng)的高可用性。

主機(jī)防護(hù)軟件主要由兩部分組件組成：①客戶端，可獨(dú)立安裝運(yùn)行在工作站上的客戶端軟件，能監(jiān)控分析應(yīng)用程序和人工操作的行為特征，生成“白名單”，阻止惡意程序和操作的執(zhí)行；②管理平臺，統(tǒng)一管理企業(yè)內(nèi)部所有防護(hù)軟件系統(tǒng)客戶端，進(jìn)行狀態(tài)監(jiān)控及策略配置和下發(fā)，并收集、匯總、更新、同步單獨(dú)客戶端的“白名單”數(shù)據(jù)信息，統(tǒng)一收集單獨(dú)客戶端的審計(jì)信息，并進(jìn)行大數(shù)據(jù)分析，統(tǒng)一管理企業(yè)消息推送。采用“白名單”技術(shù)，為工業(yè)控制網(wǎng)絡(luò)構(gòu)建可信任的工作站及終端安全防護(hù)“白環(huán)境”[2]。防護(hù)軟件系統(tǒng)架構(gòu)見圖1。

此次作業(yè)在三亞47 m水深海域進(jìn)行，總鉆探深度8195 m，共完成28個(gè)回次取樣，獲取微擾動地質(zhì)樣品總長6855 m，整體取心率高達(dá)8365%。其中4次取到3 m長滿管樣品，8次取到4 m長滿管樣品，樣品直徑均為84 mm。

圖1 管理平臺與客戶單架構(gòu)

防護(hù)軟件系統(tǒng)是基于應(yīng)用程序“白名單”機(jī)制進(jìn)行安全防護(hù)的。使用防護(hù)軟件系統(tǒng)進(jìn)行安全保護(hù)時(shí)，防護(hù)軟件系統(tǒng)會根據(jù)本地存儲的“白名單” 列表檢查每個(gè)試圖執(zhí)行的應(yīng)用程序，只有在“白名單”列表上的程序才允許運(yùn)行。所以防護(hù)軟件系統(tǒng)能夠控制僅運(yùn)行合法的軟件程序，而惡意軟件或其他未經(jīng)授權(quán)的程序則被阻止運(yùn)行，從而可以有效阻止各種惡意程序(包括病毒、木馬、間諜軟件等)。操作系統(tǒng)的分層結(jié)構(gòu)見圖2。

圖2 操作系統(tǒng)分層結(jié)構(gòu)

所有的應(yīng)用程序都是從用戶模式被調(diào)用裝載、啟動，絕大部分應(yīng)用程序在用戶模式下運(yùn)行，一些惡意軟件則可能加載到內(nèi)核模式中?；趯Ω鞣N操作系統(tǒng)(包括各個(gè)版本的 Windows、Linux和Unix)的深入理解，防護(hù)軟件系統(tǒng)在操作系統(tǒng)的內(nèi)核模式下運(yùn)行，可以在應(yīng)用程序加載過程中進(jìn)行“白名單”校驗(yàn)攔截，確保不在“白名單”列表的程序無法執(zhí)行，從底層徹底阻止非法程序的運(yùn)行。在安裝了防護(hù)軟件系統(tǒng)的操作系統(tǒng)中，應(yīng)用程序啟動的流程見圖3。

圖3 “白名單”下的應(yīng)用程序啟動流程

從圖3可以看出，“白名單校驗(yàn)”是防護(hù)軟件系統(tǒng)加載在操作系統(tǒng)內(nèi)核的一道門衛(wèi)關(guān)卡，任何惡意軟件只要不在“白名單”列表里面，就無法啟動運(yùn)行，也就無法對系統(tǒng)造成惡意破壞和影響。

3 技術(shù)對比

3.1 “白名單”技術(shù)

“白名單”技術(shù)在電力監(jiān)控系統(tǒng)安全防護(hù)方案中獲得認(rèn)可的原因有以下幾點(diǎn)：

(1)更適應(yīng)工業(yè)企業(yè)生產(chǎn)業(yè)務(wù)。首先，從信息安全的三大屬性——可用性、完整性、機(jī)密性來說，工業(yè)企業(yè)最關(guān)注的是可用性，因?yàn)閿?shù)據(jù)和系統(tǒng)可用是保證生產(chǎn)業(yè)務(wù)正常運(yùn)行的前提?！鞍酌麊巍奔夹g(shù)采用“白名單”機(jī)制，只允許自己信任的、正確的內(nèi)容通過，不會對數(shù)據(jù)的可用性造成破壞，并保證了進(jìn)入系統(tǒng)的數(shù)據(jù)是信任無害的，從而保障了工業(yè)生產(chǎn)網(wǎng)的可用性。再者，從實(shí)時(shí)性考慮，工業(yè)生產(chǎn)網(wǎng)對某些變量的數(shù)據(jù)往往要求準(zhǔn)確定時(shí)刷新，信號指令必須在確定時(shí)限內(nèi)完成，這就要求在進(jìn)行安全建設(shè)時(shí)，所設(shè)計(jì)軟件必須具備低延時(shí)特征，不能影響工業(yè)控制網(wǎng)絡(luò)的實(shí)時(shí)響應(yīng)速度。與“厚重”的“黑名單”機(jī)制相比，“白名單”技術(shù)采用輕量級“白名單”機(jī)制，能夠更好地滿足工業(yè)生產(chǎn)網(wǎng)絡(luò)的實(shí)時(shí)性要求。

(2)“白名單”機(jī)制不需要頻繁升級。由于“白名單”技術(shù)是將已知的、信任的內(nèi)容加入“白名單”，只要保證“白名單”的全面性和純凈性，即可發(fā)揮良好作用。與需要定期更新、頻繁把工控網(wǎng)絡(luò)環(huán)境從“穩(wěn)態(tài)”拖入“暫態(tài)”的“黑名單”技術(shù)相比，“白名單”技術(shù)擁有天生的優(yōu)勢。

(3)從工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)出發(fā)，只要工藝流程、業(yè)務(wù)數(shù)據(jù)固定下來，“白名單”就不會發(fā)生變化。即使有變化，只要把變化的內(nèi)容添加到“白名單”，“白名單”機(jī)制依然能夠很好地發(fā)揮其安全防護(hù)作用。這樣一個(gè)良好的循壞，保障了安全機(jī)制和業(yè)務(wù)生產(chǎn)長期穩(wěn)定共存，最終實(shí)現(xiàn)基于業(yè)務(wù)內(nèi)生的安全。

3.2 傳統(tǒng)防病毒技術(shù)

在傳統(tǒng)IT安全領(lǐng)域，防病毒軟件得到廣泛應(yīng)用的原因在于傳統(tǒng)IT將安全放在首位，采用盡可能多的手段進(jìn)行安全防護(hù)，同時(shí)傳統(tǒng)IT主機(jī)大多可直接連接互聯(lián)網(wǎng)進(jìn)行病毒庫升級，加上目前“云”查殺技術(shù)的逐步推廣，新病毒發(fā)現(xiàn)和查殺的效率也大大提高。而在工業(yè)現(xiàn)場，目前仍有很多主機(jī)采用防病毒技術(shù)，但是由于電力監(jiān)控系統(tǒng)的特殊性，傳統(tǒng)防病毒技術(shù)已經(jīng)優(yōu)勢不再，反而在很多方面成為制約其推廣的瓶頸，主要表現(xiàn)在以下幾方面：

防病毒技術(shù)只能對已知病毒進(jìn)行檢測，對于未知威脅卻無能為力；

大量現(xiàn)存工業(yè)主機(jī)系統(tǒng)由于投入運(yùn)行時(shí)間較長，系統(tǒng)性能普遍較低，防病毒軟件內(nèi)置大量特征庫，軟件運(yùn)行緩慢，在掃描過程中占用資源高，拖慢系統(tǒng)運(yùn)行速度，不能滿足電力監(jiān)控系統(tǒng)高實(shí)時(shí)性的要求；

防病毒技術(shù)基于特征庫匹配技術(shù)，不可避免會出現(xiàn)誤殺、誤報(bào)的可能，在對疑似病毒進(jìn)行處理的過程中，有可能對工業(yè)主機(jī)系統(tǒng)、控制軟件、組態(tài)軟件的穩(wěn)定運(yùn)行產(chǎn)生不利影響；

傳統(tǒng)防病毒軟件以查殺引擎和漏洞庫為核心，由于工業(yè)環(huán)境的相對封閉性無法保證殺毒軟件的及時(shí)更新，導(dǎo)致防病毒措施形同虛設(shè)。

工業(yè)環(huán)境中存在大量windows XP、windows 2000等老舊操作系統(tǒng)，傳統(tǒng)殺毒軟件由于追求新特性、新功能的需要，對老舊操作系統(tǒng)以及軟件存在部分兼容性問題。

3.3 “白名單”和“黑名單”的區(qū)別

相比“白名單”而言，傳統(tǒng)的防病毒軟件(包括類似的防木馬軟件、防間諜軟件等)，采用的是“黑名單”機(jī)制。這類產(chǎn)品都會內(nèi)置一個(gè)病毒庫(或惡意軟件庫)，也就是我們這里所說的“黑名單”。防病毒軟件可以有效阻止已知惡意軟件的運(yùn)行，也是縱深防御可選的有效防護(hù)措施。但是這類軟件的“黑名單”(即病毒庫)一般比較龐大，需要包括歷史上所有的惡意軟件指紋，而且需要及時(shí)更新。如果新的病毒沒有被更新到病毒庫，那么這種“黑名單”軟件就無法有效阻止該病毒的運(yùn)行。

在絕大部分工控場景中，是不允許聯(lián)網(wǎng)的，也就無法保證服務(wù)器的病毒庫(即“黑名單”)及時(shí)更新，所以這類軟件在工控安全防護(hù)場景里實(shí)際效果要大打折扣。另外，殺毒軟件可能的誤殺會嚴(yán)重影響工控業(yè)務(wù)，這也是工控安全場景不愿意使用殺毒軟件的一個(gè)重要原因。

4 結(jié) 論

綜上所述，在目前相對封閉的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)中，“白環(huán)境”理念更適合電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)環(huán)境。但在兩化融合的大趨勢下，未來工業(yè)控制網(wǎng)絡(luò)完全開放，在與互聯(lián)網(wǎng)聯(lián)通的情況下，可以適時(shí)引入“黑名單”機(jī)制，通過以“白”為主，以“黑”為輔的防護(hù)方式來保障未來電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全。