李 鶴，唐清弟，劉劍明

(華能瀾滄江水電股份有限公司景洪水電廠，云南 景洪 666100)

0 前 言

電力是關系國計民生的重要基礎產業(yè)，也是關系千家萬戶的公用事業(yè)。電力的安全供應事關社會經濟和人民生活，保障電力系統(tǒng)安全是國家安全的重要組成部分?，F代電力工業(yè)具有高度網絡化、系統(tǒng)化、自動化的特征，以網絡、數據庫及計算機自動控制技術為代表的信息處理技術已成為支撐電力生產控制和經營管理不可或缺的基礎要素，保障電力網絡與信息系統(tǒng)安全已成為電力系統(tǒng)安全穩(wěn)定運行的重要前提。

目前，中國電力企業(yè)電力監(jiān)控系統(tǒng)核心軟硬件設備無法完全做到自主可控，嚴重依賴國外廠商提供的軟硬件產品；同時，電力監(jiān)控系統(tǒng)信息安全防護薄弱，保障能力不足，核心系統(tǒng)依賴國外廠商運維；一線電力監(jiān)控系統(tǒng)使用人員信息系統(tǒng)及信息安全方面的知識儲備不足，信息安全意識淡薄，無完善的突發(fā)信息安全事件應急響應措施。因此，中國電力企業(yè)電力監(jiān)控系統(tǒng)存在較多信息安全隱患，急需加大電力監(jiān)控系統(tǒng)信息安全的投入，全面提升電力監(jiān)控系統(tǒng)信息安全防護水平。

1 安全現狀

電力監(jiān)控系統(tǒng)的上位機(工程師站、操作員站、服務器等)多是基于Linux內核的操作系統(tǒng)，是通過安裝工控公司的監(jiān)控組態(tài)軟件搭建的[1]。Linux內核的操作系統(tǒng)具有較強的普遍性，也存在較多的系統(tǒng)漏洞。電力監(jiān)控系統(tǒng)通常不允許連接互聯(lián)網，在系統(tǒng)安裝完成后無法通過自動下載補丁包的方式修補漏洞，所以電力監(jiān)控系統(tǒng)更容易受到病毒的威脅。

目前針對電力監(jiān)控系統(tǒng)的信息安全還缺少針對性的研究和實踐，頂層設計缺失，相關標準滯后。電力監(jiān)控系統(tǒng)上位機的安全防護普遍沿用IT系統(tǒng)安全防護的老辦法——安裝防病毒軟件。但是，電力監(jiān)控系統(tǒng)沿用傳統(tǒng)防病毒軟件，存在以下不足。

(1)防病毒軟件主要是基于一個持續(xù)積累的病毒庫對惡意代碼的識別，即基于“黑名單”思想。這導致防病毒軟件本質上存在2個嚴重缺陷：一方面，對新病毒的防御總是被動滯后的；另一方面，對于高級別的0day攻擊無能為力，例如著名的“震網”病毒就是利用了多個微軟的0day漏洞，成功地攻擊了伊朗的核工廠。

(2)防病毒軟件需要頻繁升級病毒庫，才能維持對主流病毒的防護能力，而電力監(jiān)控系統(tǒng)通常不允許連接互聯(lián)網，無法及時進行升級。

(3)防病毒軟件無法做到100%的精準，所以存在對合法程序誤殺的情況，而誤殺程序在電力監(jiān)控系統(tǒng)中是致命的。

基于“白名單”的電力監(jiān)控防病毒系統(tǒng)針對傳統(tǒng)防病毒軟件的不足，對電力監(jiān)控系統(tǒng)特點進行有針對性地設計，用于取代傳統(tǒng)殺毒軟件，有效阻止病毒、木馬及非授權軟件的安裝與運行。基于“白名單”的電力監(jiān)控防病毒系統(tǒng)有著以下幾點重要特點與優(yōu)勢：

(1)有效阻止病毒、木馬及非授權軟件的安裝與運行；

(2)能有效抵御零日攻擊及高級持久性威脅(APT)；

(3)完全避免傳統(tǒng)殺毒軟件“誤殺”“誤報”；

(4)系統(tǒng)資源低開銷，不影響正常工控軟件運行；

(5)無需頻繁升級，適合工控環(huán)境，減少安全生產事故；

(6)保護無法更新和升級的系統(tǒng)。

2 研究設計

本研究設計的目的是研發(fā)適用于電力監(jiān)控系統(tǒng)的病毒防護軟件，主要包括適用于工業(yè)控制系列的計算機病毒主動防御方案。這種方案不僅能夠防御利用0day漏洞進行攻擊的未知病毒，還不需要頻繁升級病毒庫，就可保持對計算機病毒的防御能力，以適應工業(yè)控制系列不能連接互聯(lián)網這一特點；并且，還能加大對合法程序零誤判的計算機病毒防御方案的研究，保證電力監(jiān)控系統(tǒng)的高可用性。

主機防護軟件主要由兩部分組件組成：①客戶端，可獨立安裝運行在工作站上的客戶端軟件，能監(jiān)控分析應用程序和人工操作的行為特征，生成“白名單”，阻止惡意程序和操作的執(zhí)行；②管理平臺，統(tǒng)一管理企業(yè)內部所有防護軟件系統(tǒng)客戶端，進行狀態(tài)監(jiān)控及策略配置和下發(fā)，并收集、匯總、更新、同步單獨客戶端的“白名單”數據信息，統(tǒng)一收集單獨客戶端的審計信息，并進行大數據分析，統(tǒng)一管理企業(yè)消息推送。采用“白名單”技術，為工業(yè)控制網絡構建可信任的工作站及終端安全防護“白環(huán)境”[2]。防護軟件系統(tǒng)架構見圖1。

此次作業(yè)在三亞47 m水深海域進行，總鉆探深度8195 m，共完成28個回次取樣，獲取微擾動地質樣品總長6855 m，整體取心率高達8365%。其中4次取到3 m長滿管樣品，8次取到4 m長滿管樣品，樣品直徑均為84 mm。

圖1 管理平臺與客戶單架構

防護軟件系統(tǒng)是基于應用程序“白名單”機制進行安全防護的。使用防護軟件系統(tǒng)進行安全保護時，防護軟件系統(tǒng)會根據本地存儲的“白名單” 列表檢查每個試圖執(zhí)行的應用程序，只有在“白名單”列表上的程序才允許運行。所以防護軟件系統(tǒng)能夠控制僅運行合法的軟件程序，而惡意軟件或其他未經授權的程序則被阻止運行，從而可以有效阻止各種惡意程序(包括病毒、木馬、間諜軟件等)。操作系統(tǒng)的分層結構見圖2。

圖2 操作系統(tǒng)分層結構

所有的應用程序都是從用戶模式被調用裝載、啟動，絕大部分應用程序在用戶模式下運行，一些惡意軟件則可能加載到內核模式中?；趯Ω鞣N操作系統(tǒng)(包括各個版本的 Windows、Linux和Unix)的深入理解，防護軟件系統(tǒng)在操作系統(tǒng)的內核模式下運行，可以在應用程序加載過程中進行“白名單”校驗攔截，確保不在“白名單”列表的程序無法執(zhí)行，從底層徹底阻止非法程序的運行。在安裝了防護軟件系統(tǒng)的操作系統(tǒng)中，應用程序啟動的流程見圖3。

圖3 “白名單”下的應用程序啟動流程

從圖3可以看出，“白名單校驗”是防護軟件系統(tǒng)加載在操作系統(tǒng)內核的一道門衛(wèi)關卡，任何惡意軟件只要不在“白名單”列表里面，就無法啟動運行，也就無法對系統(tǒng)造成惡意破壞和影響。

3 技術對比

3.1 “白名單”技術

“白名單”技術在電力監(jiān)控系統(tǒng)安全防護方案中獲得認可的原因有以下幾點：

(1)更適應工業(yè)企業(yè)生產業(yè)務。首先，從信息安全的三大屬性——可用性、完整性、機密性來說，工業(yè)企業(yè)最關注的是可用性，因為數據和系統(tǒng)可用是保證生產業(yè)務正常運行的前提?！鞍酌麊巍奔夹g采用“白名單”機制，只允許自己信任的、正確的內容通過，不會對數據的可用性造成破壞，并保證了進入系統(tǒng)的數據是信任無害的，從而保障了工業(yè)生產網的可用性。再者，從實時性考慮，工業(yè)生產網對某些變量的數據往往要求準確定時刷新，信號指令必須在確定時限內完成，這就要求在進行安全建設時，所設計軟件必須具備低延時特征，不能影響工業(yè)控制網絡的實時響應速度。與“厚重”的“黑名單”機制相比，“白名單”技術采用輕量級“白名單”機制，能夠更好地滿足工業(yè)生產網絡的實時性要求。

(2)“白名單”機制不需要頻繁升級。由于“白名單”技術是將已知的、信任的內容加入“白名單”，只要保證“白名單”的全面性和純凈性，即可發(fā)揮良好作用。與需要定期更新、頻繁把工控網絡環(huán)境從“穩(wěn)態(tài)”拖入“暫態(tài)”的“黑名單”技術相比，“白名單”技術擁有天生的優(yōu)勢。

(3)從工業(yè)控制網絡的特點出發(fā)，只要工藝流程、業(yè)務數據固定下來，“白名單”就不會發(fā)生變化。即使有變化，只要把變化的內容添加到“白名單”，“白名單”機制依然能夠很好地發(fā)揮其安全防護作用。這樣一個良好的循壞，保障了安全機制和業(yè)務生產長期穩(wěn)定共存，最終實現基于業(yè)務內生的安全。

3.2 傳統(tǒng)防病毒技術

在傳統(tǒng)IT安全領域，防病毒軟件得到廣泛應用的原因在于傳統(tǒng)IT將安全放在首位，采用盡可能多的手段進行安全防護，同時傳統(tǒng)IT主機大多可直接連接互聯(lián)網進行病毒庫升級，加上目前“云”查殺技術的逐步推廣，新病毒發(fā)現和查殺的效率也大大提高。而在工業(yè)現場，目前仍有很多主機采用防病毒技術，但是由于電力監(jiān)控系統(tǒng)的特殊性，傳統(tǒng)防病毒技術已經優(yōu)勢不再，反而在很多方面成為制約其推廣的瓶頸，主要表現在以下幾方面：

防病毒技術只能對已知病毒進行檢測，對于未知威脅卻無能為力；

大量現存工業(yè)主機系統(tǒng)由于投入運行時間較長，系統(tǒng)性能普遍較低，防病毒軟件內置大量特征庫，軟件運行緩慢，在掃描過程中占用資源高，拖慢系統(tǒng)運行速度，不能滿足電力監(jiān)控系統(tǒng)高實時性的要求；

防病毒技術基于特征庫匹配技術，不可避免會出現誤殺、誤報的可能，在對疑似病毒進行處理的過程中，有可能對工業(yè)主機系統(tǒng)、控制軟件、組態(tài)軟件的穩(wěn)定運行產生不利影響；

傳統(tǒng)防病毒軟件以查殺引擎和漏洞庫為核心，由于工業(yè)環(huán)境的相對封閉性無法保證殺毒軟件的及時更新，導致防病毒措施形同虛設。

工業(yè)環(huán)境中存在大量windows XP、windows 2000等老舊操作系統(tǒng)，傳統(tǒng)殺毒軟件由于追求新特性、新功能的需要，對老舊操作系統(tǒng)以及軟件存在部分兼容性問題。

3.3 “白名單”和“黑名單”的區(qū)別

相比“白名單”而言，傳統(tǒng)的防病毒軟件(包括類似的防木馬軟件、防間諜軟件等)，采用的是“黑名單”機制。這類產品都會內置一個病毒庫(或惡意軟件庫)，也就是我們這里所說的“黑名單”。防病毒軟件可以有效阻止已知惡意軟件的運行，也是縱深防御可選的有效防護措施。但是這類軟件的“黑名單”(即病毒庫)一般比較龐大，需要包括歷史上所有的惡意軟件指紋，而且需要及時更新。如果新的病毒沒有被更新到病毒庫，那么這種“黑名單”軟件就無法有效阻止該病毒的運行。

在絕大部分工控場景中，是不允許聯(lián)網的，也就無法保證服務器的病毒庫(即“黑名單”)及時更新，所以這類軟件在工控安全防護場景里實際效果要大打折扣。另外，殺毒軟件可能的誤殺會嚴重影響工控業(yè)務，這也是工控安全場景不愿意使用殺毒軟件的一個重要原因。

4 結 論

綜上所述，在目前相對封閉的電力監(jiān)控系統(tǒng)網絡中，“白環(huán)境”理念更適合電力監(jiān)控系統(tǒng)網絡環(huán)境。但在兩化融合的大趨勢下，未來工業(yè)控制網絡完全開放，在與互聯(lián)網聯(lián)通的情況下，可以適時引入“黑名單”機制，通過以“白”為主，以“黑”為輔的防護方式來保障未來電力監(jiān)控系統(tǒng)的網絡安全。