一种过程控制系统软件安全架构,其更有效地防止零日或其他类型的恶意软件攻击,当执行应用程序和服务运行在计算机设备内时,实现了使用“最小特权”。所述基于最小特权的架构通过将软件系统的全局命名空间划分为服务命名空间和登录用户命名空间,以及通过使用进程间通信来严格地控制在这些不同命名空间中的应用程序和服务之间的通信来将“服务”进程与代表登录用户运行的桌面应用程序进行分离。此外,所述安全架构使用定制账号来保证每一个服务进程具有实现其功能所需要的特权的最小集合,而不考虑与调用的应用程序或用户相关联的特权。
【技术实现步骤摘要】
本申请总体上涉及过程工厂计算机系统,并且更具体地,涉及用于在过程或工厂 环境下保障设备(例如,计算机设备)内的软件进程的操作的方法和装置。
技术介绍
过程控制系统(例如,像那些在发电、化工、石油或其他过程中使用的分布式或可 扩展的过程控制系统)通常包括一个或多个控制器,所述一个或多个控制器通信地相互耦 合、经由过程控制网络耦合到至少一个主机或操作员工作站,并且经由模拟、数字或结合的 模拟/数字总线耦合到一个或多个现场设备。现场设备可以例如是阀、阀门定位器、开关和 发射机(例如,温度、压力以及流量传感器),所述现场设备可以在该过程或工厂内执行功 能,例如,打开或关闭阀门、开启和关断设备、以及测量过程参数。控制器接收对由现场设备 进行的过程或工厂测量进行指示的信号和/或与现场设备相关的其他信息,使用所述信息 来实现控制例程并且随后生成控制信号,所述控制信号通过总线被发送到现场设备以控制 过程或工厂的操作。通常使来自现场设备和控制器的信息对由操作员工作站执行的一个或 多个应用程序是可用的,以使操作员能够执行关于过程或工厂的任何期望的功能,例如,查 看工厂的当前状态、修改工厂的操作等。 通常位于过程工厂环境内的过程控制器接收对由现场设备进行的或与现场设备 相关联的过程测量或过程变量进行指示的信号和/或与现场设备有关的其他信息,并且使 用所述信息来执行控制器应用程序。控制器应用程序实现例如做出过程控制决定、基于接 收到的信息生成控制信号、以及与现场设备(例如,现场总线 现场设备)中的控制模块或块协作的不同控制模块。过程控制器中的控制模块通过通信线 路或其他信号路径将控制信号发送到现场设备,以由此控制过程的操作。 通常还使来自现场设备和过程控制器的信息经由过程控制网络来对一个或多个 其他硬件设备(例如,操作员工作站、维护工作站、服务器、个人计算机、手持设备、数据历 史记录、报告生成器、集中式数据库等)可用。通过网络所传输的信息使得操作员或维护人 员能够执行关于过程的所期望的操作和/或查看工厂的操作。例如,该信息允许操作员改 变过程控制例程的设置、修改过程控制器或智能现场设备内的控制模块的操作、查看过程 的当前状态或过程工厂内特定设备的状态、查看由现场设备和过程控制器生成的警报、出 于训练人员或测试过程控制软件的目的来对过程的操作进行仿真、诊断过程工厂内的问题 或硬件故障等。 现场设备通常通过过程控制网络(其可以是,例如,以太网配置的LAN)与其他硬 件设备进行通信。网络通过各种网络设备来对过程参数、网络信息以及其他过程控制数据 进行中继并且将其中继到过程控制系统中的各种实体。通常的网络设备包括网络接口卡、 网络交换机、路由器、服务器、防火墙、控制器、以及操作员工作站。网络设备通常通过控制 数据流的路由、帧率、超时、以及其他网络参数来帮助数据流通过网络,但是其本身并不改 变过程数据。随着过程控制网络的规模和复杂度的增长,网络设备的数量和类型相应地增 长。系统和网络增长的结果是,这些复杂系统中的安全性和管理可能变得日益困难。例如, 每一个网络设备可以包括一个或多个通信端口,所述一个或多个通信端口提供用于使过程 控制系统部件和其他网络设备通过网络将彼此物理地互连的接入点或端口。然而,可以使 用这些端口或连接中的一些来将控制设备连接到可公开访问的网络(例如,互联网),以及 将便携存储器设备连接到控制系统设备。因此,设备上的公开端口可以通过添加其他设备 而成为用于网络扩展的接入点、或者可以允许恶意或非恶意的实体来访问网络并且启动不 期望的并且潜在有害的网络业务或者引入可能在工厂控制系统内导致严重问题的恶意软 件(例如,包括恶意程序、间谍或数据收集程序、广告软件、或其他不想要的并且潜在有害 的危险软件)。随着网络设备以及相关联的接入点的数量的增加,有效地监控或控制对控制 整个复杂过程控制系统的通信的网络内的设备上的所有端口的访问很快变得不切实际。 同样地,在一般的工业控制系统中,工作站/服务器被按策略地放置在工厂网络 与执行控制以及数据获取功能的嵌入式设备(例如,控制器、PLC、RTU)之间,并且因此这些 工作站/服务器的主要安全目标是防止恶意软件进入控制系统并且不利地影响嵌入式设 备,以及防止恶意软件改变存储在工厂数据库中的配置和历史数据。尽管可以使用多个安 全特征(例如"反病毒"软件和"白名单")来解决这个目标,但是这些安全特征通常是不够 的。例如,反病毒软件不能对抗"零日"病毒,并且白名单仅防止未授权的应用程序运行。此 外,这些特征中的一些是过于侵入性的,以至于在过程控制系统中不能实际操作,这是因为 这些安全特征具有阻止工厂操作员活动的潜在可能。 -般而言,恶意软件(例如,处于零日攻击核心的恶意软件)通常经由外部存储器 设备(例如,可移除的闪存驱动器)或经由通信连接通过操作具有访问这些存储器设备、网 络端口或直接数据链路的特权或许可的应用程序或服务在特定设备处被引入到控制系统 中。(出于本专利的目的,通信连接包括经由通信网络连接或经由诸如调制解调器连接之 类的直接数据链路而进行的连接)。此后,恶意软件能够被传播到其他设备(例如,经由通 信或便携式存储器设备)和/或使用被该恶意软件感染的应用程序或服务的安全特权在设 备内执行。此外,恶意软件可以本地自我保持以允许其在重启后再次被执行。在一些情况 下,恶意软件可以使用该应用程序或服务在其中执行的账号的特权来升级宿主(例如,被 感染的应用程序或服务)的特权,并且通过这样做,恶意软件可能能够在要求更高特权的 过程控制设备或系统中执行动作或操作,并且由此通常更加有害于控制系统操作。在任何 事件中,感染了已经运行的应用程序的零日攻击在过程控制系统中造成严重问题,这是因 为并没有用于防止这些类型的攻击的良好技术。然而,当这些攻击破坏工厂控制系统的正 在进行的操作时,在过程工厂内,这些攻击可能具有严重的并且潜在的破坏性,甚至致命的 影响。
技术实现思路
过程控制系统使用更有效地防止零日或其他类型的恶意软件攻击的新的安全特 征集合或软件安全架构。一般而言,所述新的安全特征或架构实现了当执行应用程序和服 务在任何特定控制系统设备(例如,在工作站、服务器、数据库、控制器、现场设备内等)内 运行时,使用本文中所称为的"最小特权",以便减少可能感染工作站、服务器、或其他设备 的恶意软件的影响。本文中的术语"特权"包括操作系统特权/权利和访问控制许可二者。 例如,用户可以被授予远程登录或模仿另一个用户的权利(特权),并且还被授予读/写/ 执行具体文件的访问(许可)。 概括而言,基于最小特权的安全特征或架构通过例如将设备(例如,控制器、工作 站、服务器等)的全局命名空间划分为服务命名空间以及如果存在(例如,在桌面应用程序 中)划分为登录用户命名空间,来将"服务"进程与代表登录用户(本地或远程)运行的桌 面应用程序分离。该架构随后使用进程间通信(而不是共享存储器)来严格地控制在这些 不同命名空间中的进程(例如,应用程序和服务)之间的通信,以便防止被感染的服务或应 用程序能够直接感染或损坏其他的服务或应用程序。具体地,所述新的安全架构使用这样 的命名空间划分来防止桌面应用程本文档来自技高网...
【技术保护点】
一种计算机设备,包括:处理器;以及操作系统,所述操作系统根据配置数据来在所述处理器上执行以实现服务进程,其中,所述配置数据使得所述服务进程中的每一个被分配给多个定制服务账号中的一个,所述多个定制服务账号中的每一个具有与其相关联的操作系统特权的预置集合,其中,针对所述多个定制服务账号中的每一个的所述操作系统特权的预置集合是基于被分配给所述定制服务账号的服务所需要的特权而进行定义的,以及其中,定制服务账号不具有交互式登录特权。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:L·A·奈策尔,D·H·乌辛,
申请(专利权)人:费希尔罗斯蒙特系统公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。