産線工控安全的現狀及解決方案

工控裝置安全現狀

工業控制系統是支撐國民經濟的重要設施，是工業領域的神經中樞。現在工業控制系統已經廣泛應用于電力、通信、化工、交通、航天等工業領域，支撐起國計民生的關鍵基礎設施。

随着傳統的工業轉型，數字化、網絡化和智能化的工業控制系統逐漸接入網際網路，病毒、木馬、蠕蟲、僵屍網絡等常見威脅也威脅到工業控制系統的安全。近幾年，勒索病毒的出現，在企業損失大量資料的情形下，也對企業造成了不可估量的經濟損失。

目前，企業會在工業控制系統的外圍建立防火牆、入侵檢測系統、入侵防禦系統等技術控制手段，同時也會采用不必要的裝置不連接配接網絡；需要更新裝置圖紙資料時，中間傳輸裝置多層管控，包括設定專用裝置、裝置病毒掃描清除等行政控制手段。多種控制方式之下，狡猾的攻擊者仍舊能夠繞過重重防護措施，攻擊工控機和機台，侵害企業利益。

工控裝置安全需求

針對專用的生産裝置，企業為了使業務持續運作，更多的選擇外圍的控制措施，對于工控機和機台等終端裝置，反而不會進行保護。

首先，專用裝置的系統不同于普通的作業系統，無法安裝正常的防毒軟體。

其次，防毒軟體可能會影響到系統内業務系統的正常運作，針對不聯網的裝置，防毒軟體的病毒庫也無法做到實時更新，無法應對新型病毒。

再者，生産裝置上業務系統的更新，尤其是供應商的遠端更新，也存在有一定的風險。供應商通過網絡連接配接到企業内部網絡，該網絡通道不僅僅可供供應商連接配接，攻擊者也會通過該網絡通道進行攻擊。脆弱的工控機和機台裝置直接暴露在網絡上，安全難以保障。

解決方案

針對工業控制系統的終端安全防護，深信達推出CBS賽博鎖工控安全防護系統。

深信達CBS賽博鎖工控安全防護系統是從保護資料角度出發，通過對作業系統鏡像快照，從鏡像快照中提取工作場景、業務資料通路行為、業務場景等，建立安全容器，對主機作業系統和業務程式進行簽名加強，對資料的通路進行驗證審計，杜絕非法資料使用，以不變應萬變的白名單模式，對作業系統和資料進行保護，杜絕勒索病毒以及其他病毒、黑客的攻擊行為。

                                              CBS賽博鎖工控安全防護子產品示意圖

CBS賽博鎖主機加強解決方案颠覆了傳統安全防禦理念。即使在丢失了系統管理者權限後，仍能進行有效防禦，確定資料及業務系統的安全，進而實作最後一米的防禦機制。

CBS賽博鎖主機加強系統分為管理控制中心，伺服器加強子產品（CBS-S），員工終端和産線裝置終端加強子產品（CBS-C）三部分。系統架構圖如下：

                                                      CBS賽博鎖系統架構圖

管理控制中心對整個系統的防護政策進行管理，并可實時檢視各防範引擎的日志和風險追朔。

CBS-S是針對業務伺服器進行加強的子產品，對業務伺服器進行最後一米安全防護，保證伺服器不被病毒和黑客騷擾。

CBS-C是根據員工終端和産線主機的特性，分别進行針對性病毒防入侵和資料保護加強。

産品介紹

CBS-S伺服器加強

CBS-S伺服器主機加強子產品主要是通過系統加強快照技術，智能提取業務場景和相關特征，建立安全容器，容器内實作程式可信、場景白名單、檔案保護、資料庫保護四個防禦模型，并通過靈活的政策調配，實作安全防護。各功能子產品既能互相獨立使用，也可以結合起來實作多層的安全防護。

1)可信系統

通過獨有的核心級簽名校驗技術, 對作業系統核心以及系統應用做簽名認證，實作未經簽名的程序或簽名不一緻的程序（僞造程序）無法運作，杜絕病毒，木馬的運作，確定OS層安全。

2)場景白名單

用于限制程序的啟動。通過白名單機制限制目前場景下允許執行的程序。

使用場景: 在已穩定運作且安全的業務伺服器上，可以通過該機制配置白名單政策（隻放業務邏輯用到的程序），進而将伺服器及資料被破壞的風險降至最低。

3)檔案防護

根據最小化權限原理設計，對磁盤卷、目錄、檔案逐次進行深層防護，隻允許指定的應用程式讀/寫指定的檔案，確定檔案層安全，如果發現資料檔案變更行為立即進行攔截并向管理控制中心報警。

4)資料庫防護

對資料庫進行三個次元的防護：

首先對資料庫存儲檔案進行通路控制保護，隻允許資料庫服務程式通路資料庫實體檔案；其次，對資料庫服務監聽的端口進行保護，隻允許業務應用才能連接配接該端口，禁止非信任程式連接配接該端口；最後，對連接配接資料庫的業務SQL語句進行解析過濾，攔截風險SQL語句。

CBS-S伺服器加強的使用場景：

對于Web伺服器，可以将網頁所在的敏感資料所在目錄保護起來，隻放開對應的web服務程序通路，即使黑客登陸到伺服器上也無法通路或修改敏感資料。同時對網頁資料檔案開啟監控，進一步防止被篡改的可能性。如果網頁是動态的，需要對資料庫進行讀寫保護，實作網頁防篡改功能。

對于檔案伺服器，通過政策設定，對于指定格式的檔案(如.docx、.pptx等文檔格式檔案、dwg等圖紙格式檔案)進行程序通路驗證控制，隻允許合法的安全程序通路，禁止陌生的不安全程序使用。這樣即使主機有病毒木馬，資料一樣安全，可以有效杜絕勒索病毒篡改資料、加密檔案等行為。

CBS-C終端加強

CBS-C是針對員工辦公終端和産線管理電腦特點而設計的加強子產品，利用快照技術建立安全容器，通過容器内的程式可信和檔案保護兩個功能子產品實作資料安全。

1)程式可信

對作業系統進行加強，隻允許安全信任的程式運作。通過獨有的核心級簽名校驗技術, 對作業系統核心以及系統應用做簽名認證，實作未經簽名的程序和可執行子產品一律不能運作或加載，從根源上杜絕病毒，木馬的運作，確定作業系統和程式安全。

2)檔案保護

通過核心級驅動程式，對指定格式的檔案，如docx、pptx、pdf，dwg，産線執行指令文本等，進行綁定可信程序保護，在不影響上述檔案正常使用前提下，杜絕非法程式通路這些資料，徹底實作勒索病毒防範。

程式可信和檔案保護搭配後，實作二層防護：第一層，不讓病毒進來，即使進來也無法運作。第二層，即使能運作，也無法篡改資料，資料是安全的。