工控設備安全現狀

工業控制系統是支撐國民經濟的重要設施，是工業領域的神經中樞。現在工業控制系統已經廣泛應用于電力、通信、化工、交通、航天等工業領域，支撐起國計民生的關鍵基礎設施。

隨著傳統的工業轉型，數字化、網絡化和智能化的工業控制系統逐漸接入互聯網，病毒、木馬、蠕蟲、僵尸網絡等常見威脅也威脅到工業控制系統的安全。近幾年，勒索病毒的出現，在企業損失大量數據的情形下，也對企業造成了不可估量的經濟損失。

目前，企業會在工業控制系統的外圍建立防火墻、入侵檢測系統、入侵防御系統等技術控制手段，同時也會采用不必要的設備不連接網絡；需要更新設備圖紙資料時，中間傳輸設備多層管控，包括設置專用設備、設備病毒掃描查殺等行政控制手段。多種控制方式之下，狡猾的攻擊者仍舊能夠繞過重重防護措施，攻擊工控機和機臺，侵害企業利益。

工控設備安全需求

針對專用的生產設備，企業為了使業務持續運行，更多的選擇外圍的控制措施，對于工控機和機臺等終端設備，反而不會進行保護。

首先，專用設備的系統不同于普通的操作系統，無法安裝常規的殺毒軟件。

其次，殺毒軟件可能會影響到系統內業務系統的正常運行，針對不聯網的設備，殺毒軟件的病毒庫也無法做到實時更新，無法應對新型病毒。

再者，生產設備上業務系統的更新，尤其是供應商的遠程更新，也存在有一定的風險。供應商通過網絡連接到企業內部網絡，該網絡通道不僅僅可供供應商連接，攻擊者也會通過該網絡通道進行攻擊。脆弱的工控機和機臺設備直接暴露在網絡上，安全難以保障。

解決方案

針對工業控制系統的終端安全防護，深信達推出CBS賽博鎖工控安全防護系統。

深信達CBS賽博鎖工控安全防護系統是從保護數據角度出發，通過對操作系統鏡像快照，從鏡像快照中提取工作場景、業務數據訪問行為、業務場景等，建立安全容器，對主機操作系統和業務程序進行簽名加固，對數據的訪問進行驗證審計，杜絕非法數據使用，以不變應萬變的白名單模式，對操作系統和數據進行保護，杜絕勒索病毒以及其他病毒、黑客的攻擊行為。

CBS賽博鎖工控安全防護模塊示意圖

CBS賽博鎖主機加固解決方案顛覆了傳統安全防御理念。即使在丟失了系統管理員權限后，仍能進行有效防御，確保數據及業務系統的安全，從而實現最后一米的防御機制。

CBS賽博鎖主機加固系統分為管理控制中心，服務器加固模塊（CBS-S），員工終端和產線設備終端加固模塊（CBS-C）三部分。系統架構圖如下：

CBS賽博鎖系統架構圖

管理控制中心對整個系統的防護策略進行管理，并可實時查看各防范引擎的日志和風險追朔。

CBS-S是針對業務服務器進行加固的模塊，對業務服務器進行最后一米安全防護，保證服務器不被病毒和黑客騷擾。

CBS-C是根據員工終端和產線主機的特性，分別進行針對性病毒防入侵和數據保護加固。

產品介紹

CBS-S服務器加固

CBS-S服務器主機加固模塊主要是通過系統加固快照技術，智能提取業務場景和相關特征，建立安全容器，容器內實現程序可信、場景白名單、文件保護、數據庫保護四個防御模型，并通過靈活的策略調配，實現安全防護。各功能模塊既能相互獨立使用，也可以結合起來實現多層的安全防護。

1)可信系統

通過獨有的內核級簽名校驗技術, 對操作系統內核以及系統應用做簽名認證，實現未經簽名的進程或簽名不一致的進程（偽造進程）無法運行，杜絕病毒，木馬的運行，確保OS層安全。

2)場景白名單

用于限制進程的啟動。通過白名單機制限制當前場景下允許執行的進程。

使用場景: 在已穩定運行且安全的業務服務器上，可以通過該機制配置白名單策略（只放業務邏輯用到的進程），從而將服務器及數據被破壞的風險降至最低。

3)文件防護

根據最小化權限原理設計，對磁盤卷、目錄、文件逐次進行深層防護，只允許指定的應用程序讀/寫指定的文件，確保文件層安全，如果發現數據文件變更行為立即進行攔截并向管理控制中心報警。

4)數據庫防護

對數據庫進行三個維度的防護：

首先對數據庫存儲文件進行訪問控制保護，只允許數據庫服務程序訪問數據庫實體文件；其次，對數據庫服務監聽的端口進行保護，只允許業務應用才能連接該端口，禁止非信任程序連接該端口；最后，對連接數據庫的業務SQL語句進行解析過濾，攔截風險SQL語句。

CBS-S服務器加固的使用場景：

對于Web服務器，可以將網頁所在的敏感數據所在目錄保護起來，只放開對應的web服務進程訪問，即使黑客登陸到服務器上也無法訪問或修改敏感數據。同時對網頁數據文件開啟監控，進一步防止被篡改的可能性。如果網頁是動態的，需要對數據庫進行讀寫保護，實現網頁防篡改功能。

對于文件服務器，通過策略設定，對于指定格式的文件(如.docx、.pptx等文檔格式文件、dwg等圖紙格式文件)進行進程訪問驗證控制，只允許合法的安全進程訪問，禁止陌生的不安全進程使用。這樣即使主機有病毒木馬，數據一樣安全，可以有效杜絕勒索病毒篡改數據、加密文件等行為。

CBS-C終端加固

CBS-C是針對員工辦公終端和產線管理電腦特點而設計的加固模塊，利用快照技術建立安全容器，通過容器內的程序可信和文件保護兩個功能模塊實現數據安全。

1)程序可信

對操作系統進行加固，只允許安全信任的程序運行。通過獨有的內核級簽名校驗技術, 對操作系統內核以及系統應用做簽名認證，實現未經簽名的進程和可執行模塊一律不能運行或加載，從根源上杜絕病毒，木馬的運行，確保操作系統和程序安全。

2)文件保護

通過內核級驅動程序，對指定格式的文件，如docx、pptx、pdf，dwg，產線執行命令文本等，進行綁定可信進程保護，在不影響上述文件正常使用前提下，杜絕非法程序訪問這些數據，徹底實現勒索病毒防范。

程序可信和文件保護搭配后，實現二層防護：第一層，不讓病毒進來，即使進來也無法運行。第二層，即使能運行，也無法篡改數據，數據是安全的。

總結

以上是生活随笔為你收集整理的工控设备系统加固方案分享的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。