“白+黑”构建工业主机安全计算环境,实现全方位主机安全防护
日期:2022年03月25日 阅:86
工业控制系统主机安全防护现状
工业系统的各类主机作为工业控制系统极其重要的组成部分,负责控制和监控整个工业控制系统的工作流程和运行状态,是工业控制系统的指挥中心和对外接口,一旦被侵入,将对整个工业控制系统带来严重的影响。自“震网病毒”以来,电力、能源、制造和交通行业出现了大量影响范围较广的攻击事件,这些安全事件都以工业控制系统主机作为突破点,进而影响到工业控制系统的正常运行,并对国家安全和人们的日常生活造成重大影响。
工业控制系统主机的运行环境复杂,同时对稳定性要求极高,传统防病毒软件存在软件兼容性、病毒更新困难等问题,不能完全适用于工业控制系统主机的安全防护。“白名单”技术是目前工控安全领域国内外工业主机安全防护系统厂商普遍采用的主流技术。白名单产品对主机上存在的可执行文件、脚本文件进行扫描,建立一个可信任的白名单列表,只允许运行合法的软件程序或者脚本,而恶意软件或其他未经授权的程序因为不在白名单中则被阻止运行,从而防范各种恶意程序(包括病毒、木马、间谍软件等)影响工业主机的正常运行。
然而,在工业环境中,为了保证生产的连续性,大量工业主机在部署白名单软件前已经带毒运行,同时各系统间存在数据交换需求,主机上也会有外来文件进入,白名单软件无法识别已带毒文件和外来文件是否感染病毒,给主机留下安全隐患,因此在部署白名单软件的同时,还需要考虑如何结合防病毒技术,实现“白+黑”的全方位主机安全防护。
“白+黑”的工业主机安全防护长扬科技工控主机卫士专门针对工业主机的安全防护而设计,结合黑白名单技术的优点,以白名单技术为主,辅以传统特征库的病毒扫描、主机行为分析等技术实现对终端实时威胁分析及预警构建防病毒系统,确保只有安全可信的文件列入白名单规则库,避免误将病毒木马等加入白名单的风险。同时又区别于传统杀毒软件高CPU、高内存占用的病毒查杀模式,病毒检测由服务端完成,对终端性能及资源影响较小,避免终端资源不足及频繁升级特征库对业务系统的影响。
长扬工控主机卫士系统架构
一、主机白名单库
长扬工控主机卫士自动扫描本地磁盘所有的可执行文件,对每个文件生成数字签名,之后根据可执行文件的数字签名创建文件白名单数据库,也可通过软件安装跟踪、软件升级跟踪、自定义添加等手段生成工作站应用、脚本的白名单,或者自动从客户端导入的方式生成白名单库。
文件白名单库
二、可疑文件检查
采用类云+端的病毒检测及防护策略,由统一安全管理平台(即服务器端)和工控主机卫士(即客户端)组成,实现统一管理、策略下发、病毒监控与日志管理等功能,工业终端将可疑文件上传到服务器端,在服务器端通过病毒扫描等技术判断这些文件是否已经感染病毒,将正常文件标记建立白名单,客户端负责执行对白名单文件的监控和恶意程序安全隔离,既保证了对恶意文件的检测,也避免了主机本地安装杀毒软件对系统资源的消耗。
云+端的病毒检测
三、主机加固和安全基线
通过配置注册表保护、进程保护、系统关键文件保护、数据执行保护等功能,长扬工控主机卫士可以防止操作系统核心文件被恶意软件破坏。同时对工业主机进行安全基线配置管理和核查,开启密码复杂度、强制密码周期变更、关闭guest账户、开启系统和账户审核、关闭默认共享、开启SYN攻击防护、进行进程审计等检查措施最大限度保护工作站、服务器等设工业主机的安全。
系统关键文件保护
四、USB外设管理
长扬工控主机卫士可以控制移动存储等USB外设,并且配套的安全U盘可以保障数据交换的安全,能够根据需求灵活控制安全U盘和普通U盘的“禁用、只读、可读写”权限。只有经过认证的特定USB设备才可以在特定的主机上运行,可配置禁止USB存储设备自动执行,防止恶意程序利用漏洞自动运行。
主机外设管理
满足等保2.0安全计算环境技术要求
长扬科技工控主机卫士采用“白+黑”安全技术,是针对工业主机安全计算环境的最佳实践。产品兼容Windows XP以上及红帽、CentOS、麒麟、凝思等Linux操作系统,采用集中式管理,能够满足网络安全等级保护标准中关于安全计算环境下主机应用安全的技术要求,是长扬工业控制系统等级保护解决方案中的重要组成部分。
长扬科技(北京)有限公司是一家北京市国资委和经信局投资、指导下的,专注于工业互联网安全、态势感知和安全大数据应用的创新型高新技术企业。公司秉承“安全协同、AI赋能”的技术、产品理念,为我国工业互联网及关键基础设施安全防护提供产品及解决方案支持。