工業(yè)主機(jī)白名單產(chǎn)品核心技術(shù)和發(fā)展趨勢(shì)分析

主機(jī)層安全防護(hù)措施缺失，就會(huì)給病毒、黑客入侵主機(jī)的機(jī)會(huì)。如何做好主動(dòng)防御，保障工業(yè)主機(jī)、服務(wù)器主機(jī)本身的安全，成為亟待解決的問(wèn)題。因此，市場(chǎng)上迫切需要一款專門(mén)針對(duì)主機(jī)的、功能精準(zhǔn)而實(shí)用的防護(hù)類軟件。本文主要是通過(guò)對(duì)比國(guó)內(nèi)外防護(hù)類軟件產(chǎn)品，例如McAfee和Bit9產(chǎn)品，并經(jīng)過(guò)了多年的現(xiàn)場(chǎng)實(shí)施，總結(jié)出了工業(yè)主機(jī)白名單產(chǎn)品的核心技術(shù)和未來(lái)的發(fā)展趨勢(shì)。

隨著工業(yè)4.0和兩化融合時(shí)代的到來(lái)，使得更多的工業(yè)設(shè)備暴露在互聯(lián)網(wǎng)之中，從而導(dǎo)致工控主機(jī)安全問(wèn)題日益嚴(yán)重。作為工控系統(tǒng)重要組成部分的工作站和服務(wù)器在工控網(wǎng)絡(luò)中的重要性，決定了它們面臨巨大的安全風(fēng)險(xiǎn)和威脅。工作站和服務(wù)器面臨威脅的特點(diǎn)如下：

網(wǎng)絡(luò)隔離，疏于網(wǎng)絡(luò)防范。工程師站不連接到互聯(lián)網(wǎng)，網(wǎng)絡(luò)獨(dú)立。這樣雖然規(guī)避了來(lái)自外網(wǎng)惡意攻擊的風(fēng)險(xiǎn)，但是也使系統(tǒng)管理員放松了應(yīng)對(duì)網(wǎng)絡(luò)攻擊的警惕。

核心資產(chǎn)，受攻擊影響大。工作站、服務(wù)器存儲(chǔ)的數(shù)據(jù)價(jià)值巨大，一旦遭受攻擊，影響、損失都很大。

軟件環(huán)境專業(yè)，傳統(tǒng)安全系統(tǒng)作用有限。工作站、服務(wù)器的計(jì)算環(huán)境是專業(yè)的，傳統(tǒng)病毒查殺軟件對(duì)之作用有限，相反，還有可能破壞計(jì)算環(huán)境的完整性。

管理不夠嚴(yán)格，外來(lái)入侵事件隨時(shí)發(fā)生。如移動(dòng)存儲(chǔ)介質(zhì)的使用，給很多攻擊帶來(lái)了機(jī)會(huì)。

大量安全事件證明，工作站和服務(wù)器是一個(gè)脆弱的攻擊入口，類似震網(wǎng)、havex、勒索病毒的安全事件影響深遠(yuǎn)。

因此，針對(duì)廣泛分布于工控網(wǎng)絡(luò)的工作站、服務(wù)器等設(shè)備，我們推出了基于白名單主動(dòng)防御技術(shù)的工控終端安全防護(hù)產(chǎn)品——工業(yè)主機(jī)加固產(chǎn)品。

產(chǎn)品概述

工業(yè)主機(jī)加固產(chǎn)品是針對(duì)工作站、服務(wù)器等工業(yè)主機(jī)進(jìn)行安全加固的軟件產(chǎn)品，通過(guò)機(jī)器智能學(xué)習(xí)引擎將白名單技術(shù)用于工控主機(jī)行為的分析判斷，通過(guò)大數(shù)據(jù)采集和分析，智能學(xué)習(xí)模塊自動(dòng)生成的工業(yè)控制軟件正常行為模式的白名單，與現(xiàn)網(wǎng)中的實(shí)時(shí)傳輸數(shù)據(jù)進(jìn)行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點(diǎn)的行為不符合白名單中的行為特征，工業(yè)主機(jī)加固產(chǎn)品將會(huì)對(duì)此行為進(jìn)行阻斷或告警，以此避免工業(yè)控制網(wǎng)絡(luò)受到0-day漏洞威脅，同時(shí)還可以有效地阻止操作人員異常操作帶來(lái)的危害。工業(yè)主機(jī)加固防護(hù)產(chǎn)品適用于各行業(yè)主機(jī)操作系統(tǒng)中，擁有優(yōu)良的用戶體驗(yàn)效果和兼容性，管理強(qiáng)度深入到硬件驅(qū)動(dòng)層，有力地保護(hù)了工控現(xiàn)場(chǎng)主機(jī)系統(tǒng)的安全。

產(chǎn)品包括單機(jī)版和集中管理版兩種版本，其中集中管理版可以對(duì)分布安裝的工業(yè)主機(jī)加固執(zhí)行統(tǒng)一的管理，包括統(tǒng)一進(jìn)行策略下發(fā)、定時(shí)備份配置文件、日志管理、白名單部署、全網(wǎng)設(shè)備狀態(tài)操控，同時(shí)還支持客戶端程序自行設(shè)置個(gè)性化管理策略，實(shí)現(xiàn)“個(gè)性化管理”與“集中管理”完美結(jié)合等。

目前，工業(yè)主機(jī)加固產(chǎn)品運(yùn)用于各行業(yè)主機(jī)操作系統(tǒng)中，其優(yōu)良的用戶體驗(yàn)效果和兼容性讓工業(yè)主機(jī)加固在眾多工控企業(yè)中得到廣泛使用，管理強(qiáng)度深入到硬件驅(qū)動(dòng)層，有力地保護(hù)了工業(yè)主機(jī)、服務(wù)器系統(tǒng)的安全。

產(chǎn)品架構(gòu)

工業(yè)主機(jī)加固產(chǎn)品主要由兩部分組件組成。

工業(yè)主機(jī)加固客戶端

采用白名單技術(shù)，可獨(dú)立安裝在工控主機(jī)上的客戶端軟件，能監(jiān)控分析應(yīng)用程序，生成白名單文件，控制惡意程序的執(zhí)行，全方位保護(hù)主機(jī)的資源使用。

統(tǒng)一安全管理平臺(tái)

統(tǒng)一管理、監(jiān)測(cè)和保護(hù)工業(yè)主機(jī)加固客戶端的硬件平臺(tái)產(chǎn)品。實(shí)現(xiàn)主機(jī)加固客戶端策略統(tǒng)一執(zhí)行、終端狀況實(shí)時(shí)查看、終端故障及時(shí)定位；統(tǒng)一收集單獨(dú)客戶端的審計(jì)信息，并進(jìn)行大數(shù)據(jù)分析，統(tǒng)一管理企業(yè)消息推送。

工業(yè)主機(jī)加固系統(tǒng)架構(gòu)如上圖所示，采用白名單技術(shù)，通過(guò)統(tǒng)一安全監(jiān)管平臺(tái)共同構(gòu)建了完善的安全解決方案，為工業(yè)控制網(wǎng)絡(luò)構(gòu)建安全、可信任的終端安全防護(hù)系統(tǒng)。

工業(yè)主機(jī)白名單產(chǎn)品核心技術(shù)和發(fā)展趨勢(shì)預(yù)測(cè)

根據(jù)對(duì)現(xiàn)有國(guó)內(nèi)外相關(guān)產(chǎn)品的理解，以及結(jié)合自己多年現(xiàn)場(chǎng)實(shí)施經(jīng)驗(yàn)作出的如下預(yù)測(cè)。

Windows系統(tǒng)白名單產(chǎn)品核心技術(shù)

最先啟動(dòng)安全防護(hù)。開(kāi)機(jī)啟動(dòng)過(guò)程中，除了極少數(shù)的windows驅(qū)動(dòng)程序外，工控白名單產(chǎn)品需要做到最先啟動(dòng)起來(lái)，并使防護(hù)功能生效。這樣可以保證不會(huì)有病毒程序能躲避工控白名單的防護(hù)。

最可信的環(huán)境建立。要建立最可信的白環(huán)境，必須要建立白名單可信度分析模型；通過(guò)如下幾種方法進(jìn)行分析匹配白名單文件（包括程序白名單、腳本白名單文件）。

·要自帶一些白名單庫(kù)；

·證書(shū)白名單；

·黑名單病毒庫(kù)。

最強(qiáng)大的抗網(wǎng)絡(luò)攻擊能力。要能抗網(wǎng)絡(luò)攻擊，必須要能抵御白名單內(nèi)的程序存在的漏洞攻擊和來(lái)自網(wǎng)絡(luò)的攻擊手段。

·白名單內(nèi)的程序抗攻擊能力，例如緩沖區(qū)溢出漏洞攻擊。

·主機(jī)本身抗網(wǎng)絡(luò)攻擊能力，抗DDoS攻擊和網(wǎng)絡(luò)流量管控。

最安全的白名單程序更新升級(jí)。白名單程序更新升級(jí)包括操作系統(tǒng)本身升級(jí)和常用應(yīng)用程序（例如：工業(yè)現(xiàn)場(chǎng)的組態(tài)軟件WinCC等）的白名單升級(jí)。升級(jí)過(guò)程中要求做到不會(huì)放行被阻止的病毒程序。

最全面的外設(shè)控制。外設(shè)控制主要包括USB存儲(chǔ)設(shè)備的外設(shè)控制和非USB存儲(chǔ)設(shè)備的外設(shè)控制。

·USB存儲(chǔ)設(shè)備：包括普通U盤(pán)、移動(dòng)硬盤(pán)和MTP設(shè)備；可以實(shí)現(xiàn)讀、寫(xiě)以及拷入文件的方向性、操作過(guò)程審計(jì)等功能；

·非USB存儲(chǔ)設(shè)備：類似于UBO實(shí)現(xiàn)的功能。

Linux系統(tǒng)工控白名單產(chǎn)品

支持linux系統(tǒng)的工控白名單產(chǎn)品，主要包括32位、64位linux系統(tǒng)等。

免軟件安裝的硬件白名單產(chǎn)品

通過(guò)在現(xiàn)場(chǎng)操作員站、工程師站等電腦的PCI或PCI-E插槽上安裝硬件白名單產(chǎn)品。

完善的集中管理功能

不僅管理產(chǎn)品自身，還能管理PC主機(jī)情況（例如CPU、內(nèi)存、運(yùn)行狀態(tài)等），還可以對(duì)流量和攻擊行為等進(jìn)行檢測(cè)展示，還作為工業(yè)網(wǎng)絡(luò)入口收集一些信息為后續(xù)大數(shù)據(jù)分析提供支撐等。

結(jié)語(yǔ)

完善的主機(jī)加固產(chǎn)品，不僅可以全方位保證系統(tǒng)的安全，提供高效的安全管控能力，而且可以充分滿足企業(yè)與用戶的使用需求。本文總結(jié)的關(guān)于主機(jī)白名單產(chǎn)品核心技術(shù)和發(fā)展趨勢(shì)，希望能為后續(xù)的產(chǎn)品開(kāi)發(fā)提供方向性指導(dǎo)。