前 言

 

近年来，全球主要经济体都在大力推进制造业的复兴，我国也在大力推进“中国制造2025”国家战略，越来越多的企业开启了智能工厂转型之路。在向智能化工厂转型的过程中，新技术的加持给企业降本增效的同时，使得工业网络的架构和数据通信上产生较大的变动，如设备数据自动采集、车间网络互联互通、广泛应用工业生产管理软件、与办公网实现数据流转等等。

网络的互联互通、生产数据的流转使企业工业控制系统信息安全问题日益突出，如果企业不做好同步安全建设，一旦网络攻击渗透到生产网，就会影响到业务系统的稳定运行，导致生产停产，甚至发生安全生产事故。

威努特在协助工业企业开展智能化工厂网络安全规划建设的过程中，了解到了很多企业的安全需求，本篇文章总结出企业用户常见的安全疑问和困惑，并给出相应的解决思路，提供给广大的读者参考。

 

情景一：勒索病毒日益猖獗，如何保证工业主机免受勒索病毒的困扰？

 

企业生产网的工业主机经常会遭受勒索病毒的威胁，因连续生产，业务软件兼容性等因素影响，无法进行操作系统的补丁更新，使用基于病毒特征库比对技术的杀毒软件防护很难跟上勒索病毒的变种速度，使用基于行为分析，机器学习技术的EDR产品又很难保障业务软件不被误杀的问题。做好定期数据备份是目前的解决方案之一，但是无法从根本上解决对于勒索病毒的困扰问题。另外，业务服务器上也保存有重要的生产数据，一旦加密或泄露，将会影响到生产经营安全。

 

问题解惑：

 

对于信息安全三要素（机密性、完整性、可用性），办公网更侧重于机密性，生产网侧重于可用性，在勒索病毒防护产品的选择上也需要考虑这方面的差异，不能采用技术设计理念更偏重于机密性的产品。威努特今年发布了防勒索软件，可以解决工业主机遭受勒索病毒攻击的问题，具体解决方案如下：

 

（1）勒索病毒精准识别：基于勒索病毒必然存在磁盘遍历和恶意加密的特征，以及普通应用和用户不会操作诱饵文件的基本前提，在操作系统中投放诱饵文件，效果是投递的动态诱饵文件（在勒索病毒遍历文件时，优先返回给勒索病毒处理诱饵文件）会确保第一个被勒索病毒加密，勒索病毒对诱饵文件的加密行为将被防勒索系统识别，进而精准识别勒索病毒及变种。

 

（2）关键生产业务保护：勒索病毒加密应用数据前，会优先中止各类应用进程，解除数据占用后对应用数据进行恶意加密，生产网防勒索系统应对关键应用进程建立保护，避免应用进程被非法中止导致的业务中断或系统崩溃，也要防范勒索病毒对应用数据的加密。

 

（3）备份恢复风险兜底：人为误操作或恶意操作导致的安全风险无法避免，防勒索系统基于信息熵、方差值完成文件加密情况的判断，确保备份数据纯净可用，实现操作系统、应用数据的安全备份和快速恢复，完成勒索病毒攻击后的“风险兜底”。

 

情景二：U盘不按管理规定直接接入生产网，如何实现介质使用的闭环管理？

 

企业为做好在生产网使用U盘运维的安全，避免从外网拷贝数据感染病毒的问题，统一购置了U盘，通过U盘注册的手段限制了U盘滥用的情况；同时，还配备了一台专用的杀毒主机，并制定了U盘要杀毒后才能在生产网使用的制度规范，但实际执行效果不佳，无法严格执行落地。

 

问题解惑：

U盘一直是隔离网络感染病毒的重要途径，如果通过管理制度达不到理想的效果，可以辅助技术手段进行控制：

 

（1）实行专盘专用：禁用普通U盘，企业采购一批安全U盘，专用于生产网和外网间的数据流转使用，只有注册过的安全U盘才能在生产网主机上识别使用。

 

（2）数据操作记录：威努特的安全U盘内置写入软件程序，将文件拷贝到安全U盘的操作需要通过写入软件才能实现，无法直接复制，一方面避免了病毒对U盘的自感染，另一方面对所有的文件流转操作都有详细的日志审计记录。

 

（3）强制杀毒验证：威努特工控主机卫士配合移动介质安检站支持强制杀毒验证，安全U盘在移动介质安检站上进行杀毒后，会生成杀毒标记文件，无标记文件的安全U盘无法在安装有工控主机卫士的生产网主机上识别使用。

 

 

情景三：工业主机上如何避免非授权程序的安装，保证工业主机最小化安装环境？

 

企业员工经常私自拷贝远控软件、程序更新包等到生产网监控主机上安装，出现过因软件自身带有恶意代码或后门而致使主机中毒。如何从源头上解决软件滥装问题和验证软件来源安全性问题。

 

问题解惑：

来源不明的程序经常会存在恶意代码，直接阻止未验证和授权的软件安装使用才能更有效的避免主机感染恶意程序。可以通过以下技术手段进行管控：

 

（1）软件来源安全性验证：威努特工控主机卫士产品的管理端统一安全管理平台具有应用商店功能，可以将拿到的软件程序包上传到应用商店，生成MD5值，与软件程序包厂商给出的MD5值比对，验证来源途径，避免程序包流转过程中被植入恶意代码。

 

（2）软件恶意代码验证：应用商店还具备病毒检测功能，扫描通过后的正常软件可通过应用商店批量下发指令给客户端受信安装。

 

（3）禁止非生产软件安装：利用工控主机卫士的文件白名单功能，可通过技术手段直接禁止非授权软件的安装动作。

 

 

情景四：白名单防护技术是否与业务软件兼容？

 

企业生产网的监控主机早期通过部署杀毒软件做防护，使用中遇到过系统老配置低的主机无法安装、病毒库升级运维工作量大、会误杀业务软件、以及对勒索病毒防护能力弱的情况，想尝试利用白名单方式替代杀毒软件进行主机威胁防护，但对防护软件能否将工业控制软件的文件都加入白名单库，会不会影响软件的正常使用存在担心。

 

问题解惑：

白名单防护因资源占用小、不需要升级特征库、不隔离业务软件文件等优点已经被很多的工业企业接受，用于生产网主机的威胁防护。那安全厂商是如何保证白名单防护与工控软件的兼容性呢。

 

白名单技术防护手段实现方式有三种，进程白名单、软件签名白名单和程序白名单。

 

进程白名单是通过HOOK函数监控和拦截进程创建过程来控制程序的运行，因以进程名称（文件名）或进程路径为判断标识，此技术对修改文件内容不会做识别，存在一定的漏洞；

 

软件签名白名单是维护可信任发行厂商的证书链，通过校验软件签名决定是否允许执行，此技术的关键是使用的软件开发者是否都进行了数字签名认证，未签名软件无法进行验证防护；

 

程序白名单是计算目标程序的哈希，再与维护的白名单特征库（哈希表）作比对，作为控制软件能否执行的判别。能够控制运行合法的软件程序，而恶意软件或其他未经授权的程序被阻止运行。威努特是通过程序白名单技术进行终端的威胁防护，与业务软件的兼容性是通过以下手段保证：

 

（1）程序白名单自动扫描：程序白名单防护软件具备对可执行文件和脚本文件的自动扫描和一键白名单的功能，不需要人工确定哪些文件需要加入到白名单库中。

 

（2）告警模式人工二次验证：程序白名单的工作模式分为禁用模式、告警模式和拦截模式，告警模式的作用是通过一段时间只记录告警不拦截运行，避免出现特殊的业务软件未学全的情况，通过人工对告警的验证确保白名单库的完整性。

 

（3）工业自动化厂商兼容性保障：与主流的工业自动化厂商展开合作，进行更充分的软件兼容性测试，获得工业自动化厂商的认证和认可。

 

（4）主机操作系统兼容性保证：威努特是针对操作系统build版本号，内核版本进行细致的兼容性适配，已在70多个linux发行版本和30多个windows build版本操作系统上进行了兼容性适配，并兼容麒麟、统信、凝思等国产操作系统。

 

 

情景五：如何解决生产网资产不清和家底不明的难点，避免设备私接的情况？

 

某企业总部和两个生产基地分布在三个地市，网络互通，目前的状况是总部无法严格限制生产基地的设备不能临时接入生产网，也没办法及时掌握设备私接的信息；设备的私接一方面会给生产基地的产线带来安全风险，另外也会使总部的网络经常遭受攻击。网内资产情况的不确定性让企业安全管理人员对安全防护的完整性性会产生怀疑。

 

问题解惑：

准确掌握企业资产的情况是重要也很基础性的工作，是网络安全建设的基石，资产不清的情况下即使采用了先进的防护架构，采购了大量网络安全设备也会因为地基不稳，产生防护盲区。可以参考以下解决方案：

 

（1）建立企业级工业资产管理平台：资产管理平台可以人工录入资产，也可自动发现资产，但要覆盖到企业生产网的全部资产，明确生产网中的合法资产明细。

 

（2）具备新增资产自发现能力：在已明确合法资产明细的基础上，利用资产发现引擎实时或定期的探测全网的新增资产（包括工业资产的发现），对新增资产进行基本信息识别和告警。

 

（3）完成资产安全可视化管理：资产管理的目的是为安全生产服务，在掌握了资产的动态变化情况后，要具有资产运行状态可视化监控的能力，资产网络拓扑呈现的能力，资产与安全事件关联展示的能力等。

 

（4）私接设备技术强制管控：如果可以对私接设备进行手段管控，可以采用交换机关闭不必要端口、进行IP/MAC绑定、部署网络准入设备等方式进行灵活的设备接入管控。

 

 

 

情景六：如何管控生产网违规外联进行远程运维的风险？

 

因企业地理位置偏远，交通不便，为方便厂商人员进行远程的运维工作，企业普遍存在生产主机上安装TeamViewer、向日葵等远程控制软件，结合使用无线网卡进行远程的配置更改和系统调试工作。虽然很清楚生产网主机直接连接互联网风险极大，但一直没有很好的方法管控此类现象。

 

问题解惑：

非法外联的风险极大，此类问题在企业中非常普遍需要引起重视；2018年宁夏九彩某风电场就因为方便厂家对功率预测服务器进行远程运维，开启了文件共享等功能，且主备机全部绕过单向隔离装置跨区互联，导致宁夏电力调度控制中心收到大量非法访问告警，需要紧急断开风功率预测服务器与调度网和站内电力监控系统的物理连接避免危害的扩大。

 

对于非法外联的管控，可以通过以下三种技术手段的组合解决：

 

（1）禁用无线网卡：在内网主机上安装工控主机卫士软件，利用外设接口管控功能，禁用掉主机的无线网卡使用权限。

 

（2）阻止非生产软件安装：利用工控主机卫士的程序白名单功能，通过技术手段禁止生产无关的软件非授权安装。

 

（3）外联情况实时告警：利用工控主机卫士的非法外联功能，对生产网监控主机连接到互联网的情况进行监控，一旦与互联网连通立刻发出告警。

 

对于企业确需远程运维的情况，可以参考如下远程访问安全思路：

 

（1）采用虚拟专用网络（VPN）：参考《工业控制系统信息安全防护指南》（工信部信软〔2016〕338号）的建议，确需远程维护的，采用虚拟专用网络（VPN）等远程接入方式连接，相当于在公用网络上为用户建立了一条专用通道，这条专用通道上的所有通讯数据会被加密处理，并通过对数据包的加密和数据包目标地址转换实现安全的远程访问。

 

（2）特定行业参照行业标准：如电力行业，当生产控制大区的业务系统与其终端使用外部公用数据网的虚拟专用网络方式（VPN）进行通信的，应设立安全接入区，并采用安全隔离、访问控制、认证及加密等安全措施。

 

情景七：生产网与办公网已有安全隔离措施，生产网内部区域是否需要做隔离？

 

企业的办公网和生产网从网络设备层面做了很好的物理区分，网络之间已经采购了工业网闸设备进行隔离，没有其他的网络出口，U盘的使用也有严格的管理制度，生产网内部的网络还需要在使用防火墙进行隔离吗？

 

问题解惑：

考虑到生产网自控系统在安全设计上的不够重视，以及生产网面对网络攻击时的脆弱性，网络边界的强管控是很有效的防护思路，但内部的区域隔离是否就不重要了呢。

 

（1）有效控制威胁爆发范围：2018年，全球最大的代工芯片制造商台积电遭受了勒索病毒攻击，因为新机在安装过程中没有先隔离、确认无病毒再联网，使新机携带的病毒在联网后快速传播，由于各厂区间没有通过防火墙做好内部区域隔离，导致三大厂区产线中毒停摆，造成经济营业损失约2.55亿美元。

 

（2）实现分区，分层管控：就像我们的工厂建设时会按照业务特点和人员职能将厂区分为办公区，生产车间区，生活区一样，网络的建设也需要根据系统的特点进行安全域的划分，不同安全域采取不用的防护手段，不同安全域间采取必要的访问控制措施。

 

 

 

情景八：工业防火墙如何解析生产网内部通信的工业协议，特别是自动化厂商无法提供配合的私有协议？

 

企业中会使用主流的自控设备，也会有行业特殊性或自研的一些控制设备，工业防火墙能覆盖到对这类设备的防护吗？会不会出现无法识别协议导致通信拦截，生产中断的情况。

 

问题解惑：

工业协议的识别数量、解析数量、解析深度是对工业防火墙防护能力一个重要的衡量指标。在《信息安全技术工业控制系统专用防火墙技术要求》（GB/T 22239-2019）国标文件中，工业防火墙增强级要求对应用协议的识别控制要求是a）支持HTTP、FTP、Telnet等通用应用层协议；b）支持常用工业控制协议，如OPC、Modbus TCP、Profinet、BACnet、DNP3、IEC104等；c）支持自定义应用类型。对工业协议深度内容检测要求是a）支持协议格式规约检查，禁止不符合协议规约的通信；b）支持协议的操作类型、操作对象、操作范围等参数进行控制；c）至少支持三种主流工控协议。

 

威努特工业防火墙可达到100余种工业协议的识别控制能力，30余种工业协议的深度解析能力。可以覆盖绝大多数的工业企业现场的防护要求。

 

另外，针对存在私有协议的极特殊场景，威努特自研的“伏羲引擎”，可提供二次开发环境，通过将工业协议的签名、指纹、偏移量等各种特征抽象提炼成为标准化的语义标签，只要对照协议进行“填空”即可快速适配新的工业控制协议，在几天内完成新协议的扩展，快速发挥产品的安全能力。