[发明专利]一种工业控制系统恶意代码防御系统的防御方法

说明书

本发明公开了一种工业控制系统恶意代码防御系统，包括查毒引擎模块，调用反病毒引擎完成恶意代码识别；白名单模块，根据文件白名单库进行检查；库升级模块，用于病毒库和白名单库的本地升级和在线升级；资源区模块，用于大容量的存储区域的文件下载、上传、删除；挂载区模块，用于U盘挂载、卸载；隔离区模块用于疑似恶意代码文件下载、上传、删除；身份认证模块，用于用户、用户组管理；日志审计模块，用于查毒日志、操作日志、白名单日志、文件日志的检索、备份；移动介质模块，向通过身份认证的用户和用户组分配移动介质的可读、读写、禁用权限。本发明能够改进现有技术的不足，提高了工业控制网络中防御恶意代码的能力。

技术领域

本发明涉及工业控制系统安全防御技术领域，尤其是一种工业控制系统恶意代码防御系统及其防御方法。

背景技术

工业控制系统环境属于一种特定的信息化应用场景。目前大量工厂缺失恶意代码防御手段。部分工厂部署了建设期配置的杀毒软件，由于杀毒软件公司、工控企业均无法评估新策略对工业主机的影响，因此工控企业现场部署的杀毒软件不能进行病毒特征更新。杀毒软件处理病毒的有效性和及时性都无法保证。程序白名单软件是一种建立程序白名单列表，禁止非白名单列表中程序执行的软件。程序白名单预置了运行执行的程序特征。实时防御时拦截程序的执行入口，判断当前执行程序是否在白名单库中，来执行预置的行为。但是，系统内核拦截需要在驱动级开发功能代码。代码质量、系统版本、功能兼容等会带来系统蓝屏或工业控制系统功能失效等问题。工业主机无法接受此类实现方式带来的不可预期性。杀毒软件实现会多处下系统钩子，拦截系统调用。而白名单软件也会在程序调用、U盘监控等钩子。安装、运行在工业主机上的杀毒软件、白名单软件都需要占用工业主机有限的cpu、内存资源。而工业主机属于配套工业控制系统的特定设备，本身并不具备过多的资源。现有的各项技术，都是在工业主机上进行恶意代码防御。在工业主机配置资源少、稳定性要求高的要求下，无法解决病毒实时排除的及时性、有效性和稳定性的矛盾。

发明内容

本发明要解决的技术问题是提供一种工业控制系统恶意代码防御系统及其防御方法，能够解决现有技术的不足，提高了工业控制网络中防御恶意代码的能力。

为解决上述技术问题，本发明所采取的技术方案如下。

一种工业控制系统恶意代码防御系统，包括，

查毒引擎模块，调用反病毒引擎完成病毒、木马等恶意代码识别；

白名单模块，根据文件白名单库进行实时检查；

库升级模块，用于病毒库和白名单库的本地升级和在线升级；

资源区模块，用于大容量的存储区域的文件下载、上传、删除；

挂载区模块，用于U盘挂载、卸载；

隔离区模块用于疑似恶意代码文件下载、上传、删除；

身份认证模块，用于用户、用户组管理；

日志审计模块，用于查毒日志、操作日志、白名单日志、文件日志等信息的检索、备份；

移动介质模块，向通过身份认证的用户和用户组分配移动介质的可读、读写、禁用等权限。

一种上述的工业控制系统恶意代码防御系统的防御方法，包括以下步骤：

A、对移动介质的使用进行授权；

B、对使用移动介质进行交换文件的过程进行防御；

C、对工业内网进行交换文件的过程进行防御。

作为优选，步骤A中，包括，

A1、身份认证模块建立使用工业控制系统恶意代码防御系统的用户和用户组；