工業(yè)主機(jī)白名單產(chǎn)品核心技術(shù)和發(fā)展趨勢分析

主機(jī)層安全防護(hù)措施缺失，就會給病毒、黑客入侵主機(jī)的機(jī)會。如何做好主動防御，保障工業(yè)主機(jī)、服務(wù)器主機(jī)本身的安全，成為亟待解決的問題。因此，市場上迫切需要一款專門針對主機(jī)的、功能精準(zhǔn)而實用的防護(hù)類軟件。本文主要是通過對比國內(nèi)外防護(hù)類軟件產(chǎn)品，例如McAfee和Bit9產(chǎn)品，并經(jīng)過了多年的現(xiàn)場實施，總結(jié)出了工業(yè)主機(jī)白名單產(chǎn)品的核心技術(shù)和未來的發(fā)展趨勢。

隨著工業(yè)4.0和兩化融合時代的到來，使得更多的工業(yè)設(shè)備暴露在互聯(lián)網(wǎng)之中，從而導(dǎo)致工控主機(jī)安全問題日益嚴(yán)重。作為工控系統(tǒng)重要組成部分的工作站和服務(wù)器在工控網(wǎng)絡(luò)中的重要性，決定了它們面臨巨大的安全風(fēng)險和威脅。工作站和服務(wù)器面臨威脅的特點如下：

網(wǎng)絡(luò)隔離，疏于網(wǎng)絡(luò)防范。工程師站不連接到互聯(lián)網(wǎng)，網(wǎng)絡(luò)獨立。這樣雖然規(guī)避了來自外網(wǎng)惡意攻擊的風(fēng)險，但是也使系統(tǒng)管理員放松了應(yīng)對網(wǎng)絡(luò)攻擊的警惕。

核心資產(chǎn)，受攻擊影響大。工作站、服務(wù)器存儲的數(shù)據(jù)價值巨大，一旦遭受攻擊，影響、損失都很大。

軟件環(huán)境專業(yè)，傳統(tǒng)安全系統(tǒng)作用有限。工作站、服務(wù)器的計算環(huán)境是專業(yè)的，傳統(tǒng)病毒查殺軟件對之作用有限，相反，還有可能破壞計算環(huán)境的完整性。

管理不夠嚴(yán)格，外來入侵事件隨時發(fā)生。如移動存儲介質(zhì)的使用，給很多攻擊帶來了機(jī)會。

大量安全事件證明，工作站和服務(wù)器是一個脆弱的攻擊入口，類似震網(wǎng)、havex、勒索病毒的安全事件影響深遠(yuǎn)。

因此，針對廣泛分布于工控網(wǎng)絡(luò)的工作站、服務(wù)器等設(shè)備，我們推出了基于白名單主動防御技術(shù)的工控終端安全防護(hù)產(chǎn)品——工業(yè)主機(jī)加固產(chǎn)品。

產(chǎn)品概述

工業(yè)主機(jī)加固產(chǎn)品是針對工作站、服務(wù)器等工業(yè)主機(jī)進(jìn)行安全加固的軟件產(chǎn)品，通過機(jī)器智能學(xué)習(xí)引擎將白名單技術(shù)用于工控主機(jī)行為的分析判斷，通過大數(shù)據(jù)采集和分析，智能學(xué)習(xí)模塊自動生成的工業(yè)控制軟件正常行為模式的白名單，與現(xiàn)網(wǎng)中的實時傳輸數(shù)據(jù)進(jìn)行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征，工業(yè)主機(jī)加固產(chǎn)品將會對此行為進(jìn)行阻斷或告警，以此避免工業(yè)控制網(wǎng)絡(luò)受到0-day漏洞威脅，同時還可以有效地阻止操作人員異常操作帶來的危害。工業(yè)主機(jī)加固防護(hù)產(chǎn)品適用于各行業(yè)主機(jī)操作系統(tǒng)中，擁有優(yōu)良的用戶體驗效果和兼容性，管理強(qiáng)度深入到硬件驅(qū)動層，有力地保護(hù)了工控現(xiàn)場主機(jī)系統(tǒng)的安全。

產(chǎn)品包括單機(jī)版和集中管理版兩種版本，其中集中管理版可以對分布安裝的工業(yè)主機(jī)加固執(zhí)行統(tǒng)一的管理，包括統(tǒng)一進(jìn)行策略下發(fā)、定時備份配置文件、日志管理、白名單部署、全網(wǎng)設(shè)備狀態(tài)操控，同時還支持客戶端程序自行設(shè)置個性化管理策略，實現(xiàn)“個性化管理”與“集中管理”完美結(jié)合等。

目前，工業(yè)主機(jī)加固產(chǎn)品運用于各行業(yè)主機(jī)操作系統(tǒng)中，其優(yōu)良的用戶體驗效果和兼容性讓工業(yè)主機(jī)加固在眾多工控企業(yè)中得到廣泛使用，管理強(qiáng)度深入到硬件驅(qū)動層，有力地保護(hù)了工業(yè)主機(jī)、服務(wù)器系統(tǒng)的安全。

產(chǎn)品架構(gòu)

工業(yè)主機(jī)加固產(chǎn)品主要由兩部分組件組成。

工業(yè)主機(jī)加固客戶端

采用白名單技術(shù)，可獨立安裝在工控主機(jī)上的客戶端軟件，能監(jiān)控分析應(yīng)用程序，生成白名單文件，控制惡意程序的執(zhí)行，全方位保護(hù)主機(jī)的資源使用。

統(tǒng)一安全管理平臺

統(tǒng)一管理、監(jiān)測和保護(hù)工業(yè)主機(jī)加固客戶端的硬件平臺產(chǎn)品。實現(xiàn)主機(jī)加固客戶端策略統(tǒng)一執(zhí)行、終端狀況實時查看、終端故障及時定位；統(tǒng)一收集單獨客戶端的審計信息，并進(jìn)行大數(shù)據(jù)分析，統(tǒng)一管理企業(yè)消息推送。

工業(yè)主機(jī)加固系統(tǒng)架構(gòu)如上圖所示，采用白名單技術(shù)，通過統(tǒng)一安全監(jiān)管平臺共同構(gòu)建了完善的安全解決方案，為工業(yè)控制網(wǎng)絡(luò)構(gòu)建安全、可信任的終端安全防護(hù)系統(tǒng)。

工業(yè)主機(jī)白名單產(chǎn)品核心技術(shù)和發(fā)展趨勢預(yù)測

根據(jù)對現(xiàn)有國內(nèi)外相關(guān)產(chǎn)品的理解，以及結(jié)合自己多年現(xiàn)場實施經(jīng)驗作出的如下預(yù)測。

Windows系統(tǒng)白名單產(chǎn)品核心技術(shù)

最先啟動安全防護(hù)。開機(jī)啟動過程中，除了極少數(shù)的windows驅(qū)動程序外，工控白名單產(chǎn)品需要做到最先啟動起來，并使防護(hù)功能生效。這樣可以保證不會有病毒程序能躲避工控白名單的防護(hù)。

最可信的環(huán)境建立。要建立最可信的白環(huán)境，必須要建立白名單可信度分析模型；通過如下幾種方法進(jìn)行分析匹配白名單文件（包括程序白名單、腳本白名單文件）。

·要自帶一些白名單庫；

·證書白名單；

·黑名單病毒庫。

最強(qiáng)大的抗網(wǎng)絡(luò)攻擊能力。要能抗網(wǎng)絡(luò)攻擊，必須要能抵御白名單內(nèi)的程序存在的漏洞攻擊和來自網(wǎng)絡(luò)的攻擊手段。

·白名單內(nèi)的程序抗攻擊能力，例如緩沖區(qū)溢出漏洞攻擊。

·主機(jī)本身抗網(wǎng)絡(luò)攻擊能力，抗DDoS攻擊和網(wǎng)絡(luò)流量管控。

最安全的白名單程序更新升級。白名單程序更新升級包括操作系統(tǒng)本身升級和常用應(yīng)用程序（例如：工業(yè)現(xiàn)場的組態(tài)軟件WinCC等）的白名單升級。升級過程中要求做到不會放行被阻止的病毒程序。

最全面的外設(shè)控制。外設(shè)控制主要包括USB存儲設(shè)備的外設(shè)控制和非USB存儲設(shè)備的外設(shè)控制。

·USB存儲設(shè)備：包括普通U盤、移動硬盤和MTP設(shè)備；可以實現(xiàn)讀、寫以及拷入文件的方向性、操作過程審計等功能；

·非USB存儲設(shè)備：類似于UBO實現(xiàn)的功能。

Linux系統(tǒng)工控白名單產(chǎn)品

支持linux系統(tǒng)的工控白名單產(chǎn)品，主要包括32位、64位linux系統(tǒng)等。

免軟件安裝的硬件白名單產(chǎn)品

通過在現(xiàn)場操作員站、工程師站等電腦的PCI或PCI-E插槽上安裝硬件白名單產(chǎn)品。

完善的集中管理功能

不僅管理產(chǎn)品自身，還能管理PC主機(jī)情況（例如CPU、內(nèi)存、運行狀態(tài)等），還可以對流量和攻擊行為等進(jìn)行檢測展示，還作為工業(yè)網(wǎng)絡(luò)入口收集一些信息為后續(xù)大數(shù)據(jù)分析提供支撐等。

結(jié)語

完善的主機(jī)加固產(chǎn)品，不僅可以全方位保證系統(tǒng)的安全，提供高效的安全管控能力，而且可以充分滿足企業(yè)與用戶的使用需求。本文總結(jié)的關(guān)于主機(jī)白名單產(chǎn)品核心技術(shù)和發(fā)展趨勢，希望能為后續(xù)的產(chǎn)品開發(fā)提供方向性指導(dǎo)。