工控安全工业网络病毒的防范与治理
由于工控网络的相对封闭性,目前针对工控系统的攻击以APT(恶意软件为载体)、病毒、木马、勒索软件等恶意程序为主。恶意程序通过自我复制、主动探测、自动传播等方式,可在工业网络内快速扩散,造成网络延迟、主机失效、业务波动,甚至造成物理损坏、业务停产等严重后果,对工业企业安全生产构成极大威胁。
1. 当前问题与风险
- 随着工控安全行业的蓬勃发展,工控系统漏洞发现数量与日俱增,为网络攻击以及病毒的滋生与传播创造了适宜环境。
- 当前工业系统、工业网络大多以“物理隔离”为核心安全手段,内部工业系统处于“原始裸机”状态。
- 以勒索软件为代表的新型恶意软件不断出现,对工业系统安全运营构成威胁。
- 针对工业领域的网络攻击呈组织化、递增化发展,且攻击方式呈现多样性。
2. 传统杀毒与白名单软件
2.1. 传统杀毒软件的不足
- 工业企业当前网络安全意识以及安全建设水平较低,无法适应新环境、新技术、新政策下的工控安全需求。
- 传统防病毒软件以查杀引擎和漏洞库为核心,由于工业环境的相对封闭性无法保证杀毒软件的及时更新,导致防病毒措施形同虚设。
- 传统防病毒软件存在误杀、误报,从而对工业主机系统、控制软件、组态软件的稳定运行产生不利影响。
- 工业环境存在大量windows XP、windows 2003等老旧操作系统,传统杀毒软件由于追求新特性、新功能的需要,对老旧操作系统以及软件存在部分兼容性问题。
- 大量现存工业主机系统由于投入运行时间较长,系统性能普遍较低,安装杀毒软件可能造成业务系统波动。
2.2. 白名单软件的适用性
- 工业主机系统承载业务功能稳定。
- 工业主机系统配置稳定。
- 工业主机系统软件应用稳定。
- 工业主机系统网络流量相对稳定。
基于以上特点,白名单软件产品可良好适用于工业场景,有效免疫病毒、木马、勒索软件等可执行程序的滋生与运行。
3. 病毒的防范与治理
根据工业网络、工业系统的运行与使用特点,病毒防治可从三个要素入手:终端、网络(可分为网络通信和网络边界)、人。
3.1. 终端病毒防治
工业终端指具有信息输入、处理以及输出的泛终端,既包括PC、手机、平板等传统设备,也包括控制设备、智能仪器仪表、人机交互等工业现场设备。由于各类型终端设备使用场景的不同,目前病毒滋生主要以传统设备为“温床”,因此终端病毒防治以传统终端防治为主,以其他控制以及智能化终端为辅。
防治核心:防止病毒滋生、运行、传播,消除病毒载体隐患。
措施:白名单软件、主机安全加固。
3.1.1. 白名单软件
事前病毒防治:根据工业企业生产业务建立相应的业务软件(工具)库,并对各软件完整性进行校验,保证工业企业软件分发源头的安全,防止带毒软件、带毒工具被分发到各终端系统,实现事前预防。
事中病毒防治:通过白名单软件对终端系统内的可执行文件进行执行权限控制,只允许经授权、认证的程序运行,实现事中的主动防御。
事后病毒防治:通过对主机系统日志、文件日志、操作日志的审计,实现对事后安全事件的调查取证与操作审计。
3.1.2. 主机加固
主机加固在主机上线前或离线进行,以保障主机系统的可用性以及工业业务的连续性。
主机加固包含但不限于以下内容:
- 主机补丁验证与修复
- 主机病毒查杀与免疫
- 主机账号权限体系检查
- 主机密码体系检查
- 主机配置基线检查
还可根据现场业务需求对主机进行内核加固、双因子认证等安全加固措施。
3.2. 网络通信病毒防治
网络通信病毒防治以协议的深度解析以及数据流量、数据包逆向还原为基础,并结合现场工业业务以及工业网络建立通信数据模型,通过协议、数据包、流量、业务、行为的综合分析实现病毒发现与预警。
防治核心:病毒发现、传播控制、病毒传播预警。
措施:基于协议深度解析的流量、业务、行为的综合审计与监测。
流量业务审计与监测包括但不限于以下内容:
- 异常网络连接
- 异常端口
- 异常数据指令
- 异常请求访问
- 协议类型异常
- 协议通讯异常
- 业务流波动
- 业务流变动
- 业务流超限(行为基线)
- 控制行为异常
网络通信的病毒防治应与现场业务流程紧密结合,以协议、流量数据为基础,以业务流程为核心进行审计与病毒监测,从而减少误报。
未完待续。
工控安全工业网络病毒的防范与治理相关推荐
- 嵌入式工控(工业)主板品牌排名较好的有哪些?
大风大浪过后,总有一段时间的风和日丽,随着疫情的日渐明朗,眼下最重要的就是经济复苏,中国制造2025,工业4.0.中国制造2025,工业4.0它并不是概念!而是需要脚踏实地地一个行业一个行业,一家企业 ...
- 工控(工业)主板如何选型?
计算机板("板")可以被安装在工业PC上或直接安装在各装置上.然而,由于许多工业应用的复杂性之间的相互依存关系,既要保证最高的可用性和可靠性.即使是很小的错误和失败也可导致大且昂贵 ...
- 工业互联网与工控安全
一.工业背景 1.行业特性 传统信息系统旨在利用计算机.互联网技术实现数据处理与信息共享,而工业控制系统旨在利用计算机.互联网.微电子以及电气等技术,使工厂的生产和制造过程更加自动化.效率化.精确化, ...
- 纵横网络靶场社区 工控
纵横网络靶场社区 工控 S7COMM协议分析 病毒文件恢复 modbus MMS协议分析 工控安全取证 工业现场应急响应 S7COMM协议分析 某10段工控网络中,工业协议中存在异常数据.请通过流量中 ...
- 工控网络安全产品---学习笔记
工控网络安全产品 常见的工控安全产品分类 防护类产品 审计类产品 终端类产品 检测类产品 管理类产品 工业互联网态势感知(内网运维管理中心) 物联网态势感知(物联网在线监测系) 工控安全实验室 工控安 ...
- Intewell工业实时操作系统亮相2022 第二届工控中国大会
11月3日-5日,由中国电子信息产业发展研究院等单位举办的 " 2022 第二届工控中国大会暨工业软件产业链供需对接会" 在苏州太湖国际会议中心举办.工控中国大会是国内工控领域里的 ...
- 工控系统主动安全防御体系的构建
目录 前言 一.工控安全事件 二.工控安全面临的主要风险 1.外围系统风险 2.过程控制风险 3.工控设备风险 三.工控系统主要使用的安全防御技术 1.传统安全防御技术 2.PKI数字证书技术 3.I ...
- 工控安全与传统安全区别
工控安全定义 国际标准<工业过程测量.控制和自动化网络与系统信息安全>中,针对工控安全的定义包括以下几个方面: 保护系统所采取的措施 由建立和维护保护系统的措施所得到的系统状态 能够免于对 ...
- 信息安全工程师笔记-工控安全需求分析与安全保护工程
工业控制系统概念及组成 工业控制系统简称工控系统(ICS),是由各个控制组件.监测组件.数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统. 工控系统分为离散制造类和过程控制类 ...
最新文章
- 面试被问BIO、NIO、AIO的区别,怎么破?
- 经济学与计算机科学结合,理论计算机在物理学和经济学领域的重要作用
- DM8 jdbc调用存储过程传参list<实体类>
- PHP笔记 ---关于web应用的安全性问题
- 分布式开放消息系统 ( RocketMQ ) 的原理与实践
- python中的str方法和repr方法_Python中 的 __str__ 方法和 __repr__ 方法的区别有哪些
- 投篮c语言程序设计,教师招聘笔试体育之篮球必做20题(一)
- 红橙Darren视频笔记 仿QQ侧滑效果
- Huaman Gene Functions
- IBM AIX6.1上安装OpenSSH手记【转】
- 学习spring必须java基础知识-动态代理
- php 8.0 jit,PHP 8.0 正式版发布,性能提升 10%
- python 运算符重载_一锅类似函数重载的小杂烩
- ubuntu下安装php的curl扩展
- SketchUp2020下载SketchUp2020下载安装SketchUp草图大师2020下载安装详细教程
- eslint: globals
- PHP如何启动scrapy,python,_新手Scrapy爬虫运行问题,python - phpStudy
- 黄油刀 Butterknife的使用准备工作
- ENVI_建模工具的使用——以“指数计算”批处理为例
- LNK2038: “_ITERATOR_DEBUG_LEVEL”的不匹配项