工控安全工业网络病毒的防范与治理

由于工控网络的相对封闭性，目前针对工控系统的攻击以APT（恶意软件为载体）、病毒、木马、勒索软件等恶意程序为主。恶意程序通过自我复制、主动探测、自动传播等方式，可在工业网络内快速扩散，造成网络延迟、主机失效、业务波动，甚至造成物理损坏、业务停产等严重后果，对工业企业安全生产构成极大威胁。

1.     当前问题与风险

随着工控安全行业的蓬勃发展，工控系统漏洞发现数量与日俱增，为网络攻击以及病毒的滋生与传播创造了适宜环境。
当前工业系统、工业网络大多以“物理隔离”为核心安全手段，内部工业系统处于“原始裸机”状态。
以勒索软件为代表的新型恶意软件不断出现，对工业系统安全运营构成威胁。
针对工业领域的网络攻击呈组织化、递增化发展，且攻击方式呈现多样性。

2.     传统杀毒与白名单软件

2.1.           传统杀毒软件的不足

工业企业当前网络安全意识以及安全建设水平较低，无法适应新环境、新技术、新政策下的工控安全需求。
传统防病毒软件以查杀引擎和漏洞库为核心，由于工业环境的相对封闭性无法保证杀毒软件的及时更新，导致防病毒措施形同虚设。
传统防病毒软件存在误杀、误报，从而对工业主机系统、控制软件、组态软件的稳定运行产生不利影响。
工业环境存在大量windows XP、windows 2003等老旧操作系统，传统杀毒软件由于追求新特性、新功能的需要，对老旧操作系统以及软件存在部分兼容性问题。
大量现存工业主机系统由于投入运行时间较长，系统性能普遍较低，安装杀毒软件可能造成业务系统波动。

2.2.           白名单软件的适用性

工业主机系统承载业务功能稳定。
工业主机系统配置稳定。
工业主机系统软件应用稳定。
工业主机系统网络流量相对稳定。

基于以上特点，白名单软件产品可良好适用于工业场景，有效免疫病毒、木马、勒索软件等可执行程序的滋生与运行。

3.     病毒的防范与治理

根据工业网络、工业系统的运行与使用特点，病毒防治可从三个要素入手：终端、网络（可分为网络通信和网络边界）、人。

3.1.           终端病毒防治

工业终端指具有信息输入、处理以及输出的泛终端，既包括PC、手机、平板等传统设备，也包括控制设备、智能仪器仪表、人机交互等工业现场设备。由于各类型终端设备使用场景的不同，目前病毒滋生主要以传统设备为“温床”，因此终端病毒防治以传统终端防治为主，以其他控制以及智能化终端为辅。

防治核心：防止病毒滋生、运行、传播，消除病毒载体隐患。

措施：白名单软件、主机安全加固。

3.1.1.     白名单软件

事前病毒防治：根据工业企业生产业务建立相应的业务软件（工具）库，并对各软件完整性进行校验，保证工业企业软件分发源头的安全，防止带毒软件、带毒工具被分发到各终端系统，实现事前预防。

事中病毒防治：通过白名单软件对终端系统内的可执行文件进行执行权限控制，只允许经授权、认证的程序运行，实现事中的主动防御。

事后病毒防治：通过对主机系统日志、文件日志、操作日志的审计，实现对事后安全事件的调查取证与操作审计。

3.1.2.     主机加固

主机加固在主机上线前或离线进行，以保障主机系统的可用性以及工业业务的连续性。

主机加固包含但不限于以下内容：
主机补丁验证与修复
主机病毒查杀与免疫
主机账号权限体系检查
主机密码体系检查
主机配置基线检查

还可根据现场业务需求对主机进行内核加固、双因子认证等安全加固措施。

3.2.           网络通信病毒防治

网络通信病毒防治以协议的深度解析以及数据流量、数据包逆向还原为基础，并结合现场工业业务以及工业网络建立通信数据模型，通过协议、数据包、流量、业务、行为的综合分析实现病毒发现与预警。

防治核心：病毒发现、传播控制、病毒传播预警。

措施：基于协议深度解析的流量、业务、行为的综合审计与监测。

流量业务审计与监测包括但不限于以下内容：
异常网络连接
异常端口
异常数据指令
异常请求访问
协议类型异常
协议通讯异常
业务流波动
业务流变动
业务流超限（行为基线）
控制行为异常

网络通信的病毒防治应与现场业务流程紧密结合，以协议、流量数据为基础，以业务流程为核心进行审计与病毒监测，从而减少误报。

 

未完待续。