的) 相互通信,应用程序420仅经由IPC(由图4的线431示出的)与服务414通信,以及服务 414仅经由IPC(图4中由线432示出的)与其他服务414通信。同样地,OS 410(或以本 文描述方式执行的应用程序/服务)可以使用配置信息416来防止某些服务与其他服务通 信(例如,防止能够访问网络的服务与能够访问外部介质的服务通信),防止应用程序420 写入到存储在本地或内部存储设备的服务文件和文件夹(例如,图2的文件270),防止任何 服务写入桌面文件夹(例如,图2中的文件272)或防止其以任何其他方式来访问桌面,以 及防止能够访问网络或外部介质的任何服务写入到服务文件或文件夹(例如,图2的文件 270)。应该理解的是,OS 410施行这些规则的一种方式是通过在配置模块416的配置文件 中紧密控制各种账号以及与各种账号相关联的服务和应用程序的操作系统许可和特权。
[0054] 应该理解的是,图2-4示出的整个设计的目标是对服务、应用程序和其他进程进 行划分(隔离),所述服务、应用程序和其他进程在例如过程控制网络的自动系统工作站和 服务器或其它计算机设备中运行,来实现隔离感染以防止其自我保持,使得感染在重启时 消失,从而通过不允许感染获取提升的特权以及通过限制通信接口服务和内部或外部介质 端口处理进程的特权来降低感染的传播能力、降低感染能够造成的损害。使用这些规则, 如果服务或由服务生成的其他进程被感染,则(1)被感染的服务或进程将不具有提升的特 权,这是因为该服务或进程以受限的特权运行,(2)被感染的服务或进程将不具有访问其不 直接需要的资源的许可,以及(3)被感染的服务或进程将不能通过重启来自我保持。特别 地,能够访问网络和能够访问外部介质端口(例如,USB端口)的服务具有对其能做什么的 限制,并且因为这些服务感染能够由其进入机器的唯一途径,所以如果感染,对这些特别的 服务能做的事(例如,防止这些服务写入到本地存储器存储装置或磁盘、防止能够运行提 升的特权、防止直接访问桌面、防止在便携/外部媒介与通信网络/数据链路之间传播感染 等)进行限制,会防止在计算机设备或网络内扩散感染。其结果是,感染被自动隔离,并且 重启服务会清除感染。对仅在被访问时执行的服务(例如,C0M/DC0M服务)而言,调用进 程在每一次新的调用时获得干净的服务的副本,由此清除了服务中的任何感染。
[0055] 同样地,使用了这些规则,如果桌面应用程序被感染,则该应用程序将既不能够直 接访问操作系统(OS)的有特权的功能,也不能够写入网络或便携存储器设备。相反,该应 用程序将请求(经由IPC)由被设计为使有特权的功能和资源生效并且向其提供额外的访 问控制层次的服务和这些服务的进程代表自身来执行动作。
[0056] 因此,根据这个架构实现的一些关键优势包括如果这些进程被恶意软件感染,则 防止能够访问网络或便携式存储器设备的进程、防止能够使用管理特权来攻击系统、防止 能够对通用/标准账号可用的资源的访问、防止写入文件系统、以及防止将恶意软件从便 携存储器设备传播到网络,并且反之亦然。这个架构还提供了防止桌面应用程序直接访问 受信任或受限的资源(例如,本地数据文件)或使用提升的特权的保护,由此限制系统曝光 于恶意软件,如果该桌面应用程序被恶意软件感染。此外,这个架构允许控制系统的进程在 仅具有其需要的操作系统/文件系统特权和许可的操作系统账号下运行,同时允许这些进 程使用用户身份声明来访问控制系统资源。
[0057] 尽管在本文中已经将本文描述的安全技术描述为与使用现场总线和标准4_20ma 设备的网络化过程控制设备和系统相结合地使用,然而它们当然也可以在使用任何其他过 程控制通信协议或编程环境的任何类型的控制设备中实现,并且可以与任何其他类型的设 备、功能块或控制器一起使用。此外,本文描述的安全技术可以实现在任何类型的计算机设 备中,包括不是过程控制系统一部分的计算机设备。尽管本文描述的软件安全架构特征优 选地在软件中实现,它们也可以在硬件、固件等中实现,并且可以由与计算机设备相关联的 任何其他处理器执行。由此,如果期望,本文描述的方法可以在标准的多用途CPU中实现或 在专门设计的硬件或固件(例如,ASIC)上实现。当在软件中实现时,该软件可以存储在任 何计算机可读存储器中,例如,存储在磁盘、激光盘、光盘或其它存储介质上、存储在计算机 或处理器的RAM或ROM中等。同样地,该软件可以经由任何已知或期望的交付方法被交付 给用户或过程控制系统,所述任何已知或期望的交付方法包括例如在计算机可读磁盘或其 他可移植计算机存储机制上,或通过诸如电话线、互联网等的通信信道上被调制。
[0058] 因此,尽管已经参照具体示例描述了本发明,但是这些特定示例仅是举例说明的 而不是要对本发明进行限制,对本领域的普通技术人员而言显而易见的是,可以对公开的 实施例做出改变、添加或删除,而不偏离本发明的精神和范围。
【主权项】
1. 一种计算机设备,包括: 处理器;以及 操作系统,所述操作系统根据配置数据来在所述处理器上执行以实现服务进程,其中, 所述配置数据使得所述服务进程中的每一个被分配给多个定制服务账号中的一个,所述多 个定制服务账号中的每一个具有与其相关联的操作系统特权的预置集合,其中,针对所述 多个定制服务账号中的每一个的所述操作系统特权的预置集合是基于被分配给所述定制 服务账号的服务所需要的特权而进行定义的,以及其中,定制服务账号不具有交互式登录 特权。2. 根据权利要求1所述的计算机设备,其中,所述计算机设备进一步包括一个或多个 通信端口和本地存储器存储单元,并且其中,能够与通信端口进行通信的所述服务进程中 的每一个不具有写入到所述本地存储器存储单元的特权。3. 根据权利要求2所述的计算机设备,其中,所述计算机设备进一步包括外部介质接 口,并且其中,能够与通信端口进行通信的所述服务进程中的一个或多个不具有经由所述 外部介质端口与能够移除的存储单元进行通信的特权。4. 根据权利要求2所述的计算机设备,其中,所述计算机设备进一步包括外部介质端 口,并且其中,能够与所述通信端口进行通信的所述服务进程中的一个或多个不具有与具 有经由所述外部介质端口与能够移除的存储单元进行通信的特权的另外的服务进程直接 进行通信的特权。5. 根据权利要求4所述的计算机设备,其中,所述计算机设备进一步包括外部介质端 口和本地存储器存储单元,并且其中,能够经由所述外部介质端口与能够移除的存储单元 进行通信的所述服务进程中的一个不具有写入到所述本地存储器存储单元的特权。6. 根据权利要求5所述的计算机设备,其中,所述计算机设备进一步包括通信端口,并 且其中,能够经由所述外部介质端口与能够移除的存储单元进行通信的所述服务进程中的 一个或多个不具有与具有经由所述通信端口进行通信的特权的另外的服务进程直接进行 通信的特权。7. 根据权利要求1所述的计算机设备,进一步包括桌面环境,并且其中,所述操作系统 执行以施行与桌面命名空间分离的服务命名空间,并且操作以执行在所述服务命名空间中 的所述服务进程以及在所述桌面命名空间中的一个或多个桌面应用程序。8. 根据权利要求7所述的计算机设备,其中,所述操作系统施行以下要求:在所述桌面 命名空间中运行的进程必须经由进程间通信与在所述服务命名空间中运行的进程进行通 {目。9. 根据权利要求7所述的计算机设备,其中,所述操作系统根据配置数据在所述处理 器上执行以实现配置数据来实现桌面进程,其中,所述配置数据使得所述桌面进程中的每 一个被分配给多个用户账号中的一个,所述多个用户账号中的每一个具有与其相关联的操 作系统特权的预置集合,其中,针对所述多个用户账号中的每一个的所述操作系统特权的 预置集合包括交互式登录特权。10. 根据权利要求9所述的计算机设备,其中,分配给标准用户账号的操作系统特权的 集合不包括提升的或管理式操作系统特权。11. 根据权利要求9所述的计算机设备,其中,当桌面应用程序被启动时被分配给所述 桌面应用程序的操作系统特权的集合被限定为标准用户特权,即使在其下启动所述桌面应 用程序的所述用户账号具有提升的操作系统特权,并且其中,由运行在所述桌面命名空间 中的进程启动的进程继承进行启动的进程的特权。12. 根据权利要求9所述的计算机设备,其中,所述操作系统施行以下规则:运行在所 述桌面命名空间中的进程在没有其账户具有提升的特权的认证用户的明确授权的条件下 不能够在操作系统特权中被提升。13.根据权利要求7所述的计算机设备,其中,所述操作系统施行以下要求:运行在所 述服务命名空间中的所有进程必须经由进程间通信与运行在所述服务命名空间中的其他 进程进行通{目。14.根据权利要求7所述的计算机设备,其中,所述计算机设备进一步包括存储服务文 件或服务文件夹的本地存储器存储单元,并且其中,所述操作系统施行以下规则:防止运行 在所述桌面命名空间中的进程写入到存储在所述本地存储器存储单元中的服务文件或服 务文件夹。15.根据权利要求7所述的计算机设备,进一步包括在所述桌面命名空间中的包括用 户界面的桌面,并且其中,所述操作系统施行以下规则:防止所述服务进程中的任何服务进 程直接访问所述桌面。16.根据权利要求7所述的计算机设备,其中,在桌面应用程序处发起的消息包括识别 桌面应用程序的用户的用户身份信息,并且其中,所述用户身份信息跟随消息通过多个进 程到达它们的最终目的地,包括通过访问所述通信端口以经由通信链路发送所述消息的服 务进程。17.根据权利要求16所述的计算机设备,其中,所述用户身份信息不控制所述操作系 统特权和/或与用于将所述消息转发给消息接收者的一个或多个进程相关联的访问许可, 并且其中,所述用户身份信息不控制对过程控制对象的访问许可。18. -种计算机设备,包括: 处理器; 通信端口; 本地存储器存储单元;以及 操作系统,所述操作系统根据配置数据在所述处理器上执行以实现服务进程,所述服 务进程包括能够与所述通信端口进行通信的服务进程,其中,能够与所述通信端口进行通 信的所述服务进程不具有写入到所述本地存储器存储单元的特权。19.根据权利要求18所述的计算机设备,其中,所述本地存储器存储单元存储服务进 程文件或服务进程文件夹。20. 根据权利要求19所述的计算机设备,其中,所述本地存储器存储单元还存储桌面 应用程序文件。21. 根据权利要求18所述的计算机设备,其中,所述计算机设备进一步包括外部介质 端口,并且其中,能够与所述通信端口进行通信的所述服务进程中的一个不具有经由所述 外部介质端口与能够移除的存储单元进行通信的特权。22. 根据权利要求18所述的计算机设备,其中,所述计算机设备进一步包括外部介质 端口,并且其中,能够与所述通信端口进行通信的所述服务进程中的一个不具有与具有经 由所述外部介质端口与能够移除的存储单元进行通信的特权的另外的服务进程直接进行 通信的特权。23. 根据权利要求22所述的计算机设备,其中,能够经由所述外部介质端口与能够移 除的存储单元进行通信的所述另外的服务进程不具有写入到所述本地存储器存储单元的 特权。24. 根据权利要求18所述的计算机设备,进一步包括桌面环境,并且其中,所述操作系 统执行以施行与桌面命名空间分离的服务命名空间,并且操作以执行在所述服务命名空间 中的所述服务进程以及在所述桌面命名空间中的一个或多个桌面应用程序。25. 根据权利要求24所述的计算机设备,其中,所述操作系统施行以下要求:运行在所 述桌面命名空间中的进程必须经由进程间通信与运行在所述服务命名空间中的进程进行 通信。26. 根据权利要求25所述的计算机设备,其中,桌面应用程序被分配有操作系统特权 的集合,所述操作系统特权的集合是同与启动所述桌面应用程序的用户账号相关联的操作 系统特权的集合被分离地设置的,并且其中,被分配给所述桌面应用程序的所述操作系统 特权的集合不包括管理员操作系统特权。27. 根据权利要求25所述的计算机设备,其中,所述操作系统施行以下规则:所述桌面 应用程序在操作系统特权中不能够被提升。28. 根据权利要求25所述的计算机设备,其中,所述操作系统施行以下规则:防止所述 桌面应用程序写入到存储在本地存储器存储单元中的服务文件或服务文件