工控安全现场实施经验谈之工控系统如何加强主机防护

择要:

自2003年来,以SQL蠕虫、“尼姆达”、“冲击波”、“震惊波”、“熊猫烧喷鼻”、“永恒之蓝”等病毒的继续性爆发为动身点,到谋略机文件泄露、口令泄露、硬件资产损掉、办事器系统瘫痪等诸多终端安然事故在各地收集频繁发生,使政府机关、企奇迹单位、能源领域和其他工业领域的收集治理职员头痛不已。17年某能源企业大年夜面积感染打单病毒更是加快了行业内工控安然整体扶植的方式,若何对主机终真个进行更好的安然防护不停是我们思虑的问题。

关键字:工控安然主机防护收集安然

1.背景

2018年7月16日,乌克兰安然局(SBU)对外声称,乌克兰境内的关键根基举措措施遭到了VPNFilter恶意软件的进击,而这款恶意软件听说滥觞于俄罗斯情报机构。

根据SBU的描述,安然钻研职员在乌克兰的第聂伯罗彼得罗夫斯克市(Dnipropetrovsk)Aulska氯气站的工控系统中检测到了这款恶意软件,而该组织是乌克兰海内的紧张根基举措措施之一,由于它主要认真向乌克兰境内的污水处置惩罚厂供给用于洁清水处置惩罚的氯质料。

据报道,该恶意软件主要针对的是工控系统中的技巧处置惩罚流程以及安然保护系统,然则乌克兰安然局表示,他们的安然专家迅速检测到了VPNFilter的存在,并樊篱了它想要考试测验进行的恶意操作。SBU表示,这次进击假如成功的话,将会让Aulska氯气站的工控系统终止运行,并让受影响的系统发生崩溃,以致还有可能对设备造成物理侵害,从而导致“劫难性”的事故发生。安然钻研职员觉得,这次进击的主要目标很可能是为了破坏该根基举措措施的正常运作。

由此可见,工控系统的主机终端作为工控系统节制的核心是尤为紧张的,节制系统所有指令的下发和数据的网络都是经由过程主机终端来完成的,一旦终端受到进击或破坏,那么全部节制系统将面临无法操作,掉控,停机,以致呈现临盆变乱等危险。以是,实现工控系统主机终端防护势在必行。

2.风险阐发

工业节制系统主机侧一样平常存在风险如下所示:

脆弱性

场景描述

可能孕育发生的影响

未安装防病毒软件或安装杀毒软件未进级病毒库

因担心杀毒软件误杀营业法度榜样,多半营业现场主机类设备未找到相宜防病毒措施,少量主机类设备虽安装了传统收集杀病毒软件,但不停处于无法更新病毒库的逆境中。

主机中毒导致系统运行迟钝,收集被蠕虫病毒壅闭,导致收集不通行、延迟大年夜、丢包等征象。

软件不兼容

杀毒软件与营业软件不兼容,有些主机也安装了杀毒软件,但杀毒软件病毒库的赓续进级轻易造成与营业软件的冲突。

杀毒软件误杀文件或者法度榜样,导致营业法度榜样无法正常应用,从而影响正常生财产务。

对紧张营业法度榜样短缺保护

键营业法度榜样,如工程师站、操作员站、OPC办事器上营业法度榜样可能被恶意卸载。

症毕营业法度榜样被病毒窜改;症毕营业法度榜样被恶意卸载。

Windows系统破绽

工程师站、操作员站、部分办事器多采纳windows系统,且长光阴不更新系统,不进行破绽和补丁更新,对付系统存在的破绽束手无策。

破绽轻易被黑客使用,导致主机运行迟钝,以致蜕变成“肉鸡”使用主机破坏全部收集。

移动介质的治理落实不彻底

U盘随意应用;光驱治理存在问题;U口物理封堵被拆除。

导致主机染毒或直接逝世机、重启等。

对发生的安然事故记录不全

主机系统短缺有效的审计能力,对发生的安然事故无法记录,windows自身日志记录不完备。

无法经由过程记录阐发主机自身发生的安然事故对主机恶意操作行径的狡赖。

关键节制设备存在破绽

大年夜量的终端和现场设备如PLC存在破绽,如AB、西门子等都被报过存在高危破绽。

节制设备内部存在破绽、后门,为进击供给方便条件,进击者可直接进击PLC。

3.规划设计

3.1.设计思惟

根据临盆收集安然现状并结合临盆系统运行情况相对稳定,系统更新频率较低的特征,结合工业和信息化部印发的《工业节制系统信息安然防护指南》关于工控主机安然软件的选择与治理中的要求,笔者建议采纳“白名单 ”机制的工业节制系统信息安然主机防护的办理规划。

“白名单”机制相对“黑名单”而言对照适用于工业节制现场,工业节制现场相对处于对照封闭隔离的状态,无法进行联网更新病毒库。系统一旦扶植完成后,很长一段光阴不会再进行进级或改造,“白名单”形成后也相对稳定,有利于工业现场的保护。

3.2.参考标准

1.《工业节制系统信息安然防护指南》(工信软函〔2016〕338号)

2.《GB/T 22239-2008 信息系统安然等级保护基础要求》

3.3.设计规划

主机防护软件支配示意图

主机防护软件一样平常是经由过程软件要领支配在各个工控主机上,具备以下功能和特性:

1.采样“白名单机制”,从防护道理上杜绝了实时造访互联网、按期查杀的这两个不得当历程节制行业的硬伤 ;

2.支持导出、导入白名单,便于工厂未联网环境下通报白名单。

3.USB可以正常拷贝数据,带入的病毒会被拦截,办理工厂信息通报和防病毒抵触。

4.游戏、QQ、视频等非事情相关软件,只要不在白名单,都邑被拦截。

5.白名单内软件可以正常运行,不受任何影响。拔出加密卡,系统将被锁定,避免职员破坏。

6.兼容Windows系列操作系统,包括:XP、Win7 64位、Win7 32位、Win8 64位、 2003、2008等主流Windows平台。

7.兼容今朝主流厂家的工业节制系统,包括:和利时、浙大年夜中控、南京科远、 Emerson、HoneyWell、西门子、ABB、横河等 。

[1] [2]下一页

4.支配要领

主机防护软件的支配安装一样平常是在工控系统停机检修的光阴进行,为了包管主机防护软件进修到主机系统的白名单是绝对干净且安然的,不管是新建系统照样老旧系统,笔者都建议对主机进行病毒的查杀反省事情,确保万无一掉,然后在进行主机防护软件的支配。以下是主机防护软件的支配步骤,根据硬盘类型的不合分两类要领:

4.1.硬盘类型(非RAID、非SCSI)病毒检测

第一步:将现场主机硬盘进行完全备份(GHSOT);

第二步:对备份硬盘进行病毒检测;

第三步:假如备份硬盘无病毒,直接在主机原有硬盘上安装主机防护软件,进行主机白名单扫描添加,并开启安然防护策略,进行72小时试运行察看,统统正常后,在其它主机上逐一进行安装。

第四步:假如备份硬盘有病毒,先备份病毒文件,然落后行病毒查杀。

第五步:病毒查杀完毕后,将备份硬盘调换原主机硬盘,进行试运行启动;假如统统正常履行第六步。

第六步:对主机原有硬盘进行病毒查杀,然后安装主机防护软件,并进行72小时试运行(假如主机是相同设置设置设备摆设摆设、相同系统,只对一台主机进行本次操作即可),统统正常后,在其它主机上逐一进行安装。

4.2.硬盘类型(RAID和SCSI)病毒检测

1、应用海内或国外最新病毒库的杀毒软件,

2、将杀毒软件安装到响应的主机上。

3、在正式杀毒提高行病毒扫描设置,设置可疑文件或病毒不删除策略,即发明病毒或可疑文件不删除策略。

4、一旦发明可疑文件或病毒,必要和用户及专业病毒技巧职员进行确认,确认此病毒或可疑文件是否为真正的病毒。

5、假如确认其是病毒,再删除。

6、假如没有发明病毒或者病毒已清除干净,卸载杀毒软件,重启主机。

7、支配主机防护软件,进行主机白名单扫描添加,并开启安然防护策略,进行72小时试运行察看,统统正常后,在其它主机上逐一进行安装。

注:履行主机病毒反省历程中必须要求客户全程在场,需要历程需客户审批批准方可履行。

5.常见问题

笔者在和用户交流和实施历程中,常碰到用户最关心的一个问题,如下:

1、一旦支配完成的白名单被病毒入侵或者被恶意代码攻破怎么办?

解答:今朝采纳白名单这种支配思路,被攻破的几率不大年夜。然则要是一旦被攻破,那我们将采取如下措施:

①把节制要领从主机节制切到就地节制,优先保障临盆的正常运行;

②将受感染主机断网;

③卸载主机防护软件;

④依照第四章支配步骤在从新履行一次病毒排查事情,直到确定主机没有问题;

⑤阐发这次被攻破的缘故原由,并进级主机防护软件,从新进行支配最新版本的主机防护软件。

6.小结

经由过程支配主机防护软件实现主机安然和移动介质管控,满意行业对主机安然的政策律例要求以及相关的技巧要求。办理传统防病毒软件不适用于工控现场,导致工控主机运行迟钝、无法进级病毒库、关键设置设置设备摆设摆设文件及授权文件等被误杀等问题。加固主机安然设置设置设备摆设摆设,统一主机安然基线,前进主机安然防护能力。办理数据互换历程中因U盘滥用导致病毒进入工控收集情况并传播的问题,前进工控主机安然性。

7.申谢

本文在撰写历程中,获得启明星辰工控安然专家谷宝晶师长教师、新华三技巧有限公司收集安然专家李厚智囊长教师的悉心指示,谨此鸣谢。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包