重新审视工业信息安全，关于主机防护的思考

  随着两化融合和工业企业数字化转型推进，工业控制系统作为国家安全战略的重要组成部分，其国产化水平在大力提升的同时，也需强化其安全防护的自主创新能力。

  工业互联网也打破了工业控制系统传统的封闭格局，网络安全风险不断向工业领域转移，使得工业互联网安全环境日益严峻。

  根据《2019年工业控制网络安全态势白皮书》显示，工业互联网行业发生数起勒索软件攻击事件，大多数攻击目标直指工业主机，对加强主机安全防护提出了更高要求。

工业主机面临的威胁现状

  等保2.0版本的更迭意味着等级保护制度已进入全新的时代，原有的制度已无法满足当下工控环境安全的要求，等保2.0相关标准对主机安全防护，尤其是工业控制系统中主机的安全防护提出防护要求。

  工控主机是工业控制系统的重要组成部分。工控主机负责从控制器读取大量数据、控制指令的下发、生产工作流程及工艺管理、状态监控、运行数据采集、重要信息存储等工作，是整个工业控制系统的指挥中心。

  当前主机安全基本面临着两大安全威胁：

1、带毒运行

  存量的工业控制系统风险隐患尤为明显，建设时设计多偏向功能和应用，对主机安全设计较为忽略。

  其中大多数为工业主机、商用台式机，由于受控制系统平台制约无法更换主机的操作系统，同时常见的安全防护软件无法进行很好的应用，主要是管理员或厂家无法接受在控制主机端安装安全防护软件，这也就导致工业主机带毒运行屡见不鲜。

2、病毒来源USB设备

  由于工业网络的相对封闭，现场工程师及维护人员使用移动存储介质进行报表下载或数据拷贝的行为比较普遍，这给勒索软件悄悄潜入工业网络制造了机会。事实证明，80%的病毒来源或入侵攻击源，都是通过外接USB设备导入。

  79%来自USB设备或者可移动存储的网络威胁可能回导致工业（OT）环境中的关键业务中断。与此同时，设施中USB设备的使用较去年增加了30%，突显了对可移动存储的依赖。

  一些企业采用”一刀切”的方式关闭全部USB接口，但此解决方式在保护系统的同时也在很大程度上牺牲了用户使用的便利性。如何在安全风险管理与操作便利性之间找到合适的平衡点成为急迫解决的问题。

六方云工业卫士安全产品

  工业卫士软件是六方云基于“白名单”技术开发的主机防护产品，主要针对工业互联网中工业主机日益严重的信息安全问题，同时又完全适应工业互联网环境，能够对工业互联网中的工程师站、操作站、SCADA服务器、OPC服务器等工业主机进行全面的安全防护。

  此外，在使用卫士软件时可以再搭配六方云的安全U盘，安全U盘本身自带安全芯片，具有高性能、高安全、高功效等特点。

  U盘分为普通区和加密区，只有在安装了工业卫士的工控机上才可以查看加密区的内容。安全U盘的安全芯片和数据分区不仅可以实现工控主机对移动存储设备从加载到卸载的全生命周期的安全，而且可以实现数据在不同工控机间的安全摆渡。

  工业卫士软件目前运用于各行业的主机操作系统中，其优良的用户体验效果和兼容性使得工业卫士软件在众多工控企业广泛使用，管理粒度更是深入到主机硬件驱动层，强有力保护主机安全。

1、病毒查杀

  支持已经存在的病毒扫描和查杀。

2、访问控制

  采用“白名单”机制，通过已生成的应用程序白名单库，判断进程是否被允许加载，从而实现主机应用程序的访问控制。

3、接口管控

  主机外设接口不仅包括USB，还包括串口、网口、光驱等。禁止白名单以外的非法主机接口与外部设备连接，有告警提示，并产生安全事件。

4、集中管理

  根据不同规模和环境使用需要，可以独立部署，也可以集中管理。

5、监控分析

  对主机上的违规操作进行监控，监测进程的运行状态、监测主机接口（如USB、光驱）及操作，并记录详细的日志，方便事后的审计和追查。

6、自身保护

  具有强大的自身保护安全功能，杜绝自身文件、进程、或注册表被恶意或无意的卸载、停止、篡改等行为的发生。禁止白名单文件篡改，并对执行此类操作的行为进行记录和告警。

  云巴巴一直秉持最严谨的态度，选取品质最高的科技产品。我们与国内外知名科技厂商深度合作，包括腾讯、阿里、华为、眼神科技等等，并获得部分厂商金牌代理权限。面向各行各业B端客户，提供全面的科技服务，助力企业数字化轻松转型。