工业主机安全防护系统

1、方案简介

针对工控网络现状和存在的安全弱点，提供了基于白名单主动防御技术和安全基线检测技术的的工业主机安全防护系统，目的是为用户构建可控、可靠、可管理和符合安全基线规范的工控网络“白环境”纵深安全防御体系。

2、解决痛点

在一个相对封闭的工控系统中，工控终端一般只能运行除操作系统之外的指定工作软件，否则容易引起系统可用性风险，并可能导致病毒侵入，并影响自动控制层的设备，最终产生严重的安全生产事故。在实际生产环境中，难免会因为各种原因，有意无意导入多种与生产无关的软件，这些软件可能在前台由操作人员启动，或者在操作人员没有感知的情况下，在系统后台自动运行，产生严重的安全隐患。

工控终端直接接入企业的工业控制网络，虽然工业环境有相对封闭的环境和较严格的管理制度，使得工控网络中较少出现第三方的电脑终端。但在某些情况下，比如设备检修，调试等时间，会有一些工控环境之外的终端接入工控网络中，这些终端可能是已经感染了病毒或恶意代码了的，因此有极大的风险通过这些终端把病毒或恶意代码传入到工控网络。

当前的安全措施没有对工控终端中的网络访问进行任何限制，任何进程都能发起或接收任何的网络访问，这给恶意代码攻击工控系统提供了可乘之机。比如，按照系统设计，工控终端上只能由组态软件及其服务器端软件才能与自动控制设备通讯，现在恶意代码也能自由与自动控制设备通讯，恶意代码因而能向自动控制设备发出错误甚至恶意的生产参数和指令，对生产造成破坏。

工控终端是工业控制系统输入和输出重要平台，U盘和光盘等外接设备作为广泛使用的信息交换媒介，会经常在普通终端和工控终端之间交换信息，在这个过程中，工控终端有极大的风险通过U盘或光盘传入病毒和恶意代码。另外鼠标/键盘等外接输入可以直接修改或变更相关指令和操作，也存在被非法人员恶意修改相关操作指令的风险。伊朗震网病毒就是通过U盘将病毒传入到工控终端，进而修改PLC指令，导致核加工设备大量报废的案例。

用于工控终端的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑，通常不安装杀毒软件。少数工控终端安装了防病毒软件，但病毒码也得不到及时更新，使工控终端极易被病毒和恶意代码攻击，并为病毒与恶意代码传播与扩散留下了空间。传统杀毒由于使用了扫描引擎及实时防护等技术对工控终端的稳定运行也带来了更多的潜在兼容性风险。

考虑到工控软件与操作系统补丁兼容性的问题，工控终端系统部署后一般不会对系统平台打补丁，导致操作系统漏洞得不到修补，不必要的服务和网络端口没有必要的安全防护，系统带着风险运行。

在一个理想的工控环境下，工控终端应该不能随意接入互联网，但员工可能通过把终端连接手机而使用手机上网，或以其他方式通过终端外设上网。员工的这个操作可能是有意的，也可能是无意的。有时候员工只是用电脑来充电，而手机上设置了自动共享上网功能，在员工没有感知的情况下，工控终端已经连上了互联网，因而产生被入侵的风险。

3、解决思路

（一）进程白名单运行控制

（二）网络白名单运行控制

（三）外接设备白名单运行控制

（四）帐户白名单运行控制

（五）白名单历史数据取样

（六）终端基线检测及加固

（七）终端事件审计

（八）全面风险分析

（九）详细日志记录

面向石油、石化、电力、天然气、先进制造、核设施、钢铁、有色金属、化工、水利枢纽、环境保护、铁路、城市轨道交通、民航、供水、供气及供热等工控行业及相关研究机构推出的针对工程师站、操作员站、服务器的终端安全防护系统。