快捷搜索:  网络  后门  渗透  CVE  扫描  木马  黑客  as

工控安全现场实施经验谈之工控体系怎么样加强主机防护

*

摘要:

自2003年来,以SQL蠕虫、“尼姆达”、“冲击波”、“震惊波”、“熊猫烧喷鼻”、“永恒之蓝”等病毒的连续性爆发为出发点,到计算机文件泄露、口令泄露、硬件资产丢失、服务器体系瘫痪等诸多终端安全事故在各地收集频仍发生,使当局机关、企奇迹单位、能源领域以及其他工业领域的收集治理人员头痛不已。17年某能源企业大面积感染勒索病毒更是加快了行业内工控安全总体建设的步伐,怎么样对主机终端的进行更好的安全防护始终是我们思考的问题。

症结字:工控安全  主机防护  收集安全

1.违景

2018年7月16日,乌克兰安全局(SBU)对外宣称,乌克兰境内的症结基础举措措施遭到了VPNFilter恶意软件的攻击,而这款恶意软件据说来源于俄罗斯情报机构。

根据SBU的描摹,安全研究人员在乌克兰的第聂伯罗彼得罗夫斯克市(Dnipropetrovsk)Aulska氯气站的工控体系中检测到了这款恶意软件,而该构造是乌克兰国内的重要基础举措措施之一,因为它首要负责向乌克兰境内的污水处理厂提供用于干净水处理的氯质料。

据报导,该恶意软件首要针对的是工控体系中的手艺处理流程和安全维护体系,然则乌克兰安全局表示,他们的安全专家迅速检测到了VPNFilter的存在,并屏蔽了它想要尝试进行的恶意操作。SBU表示,此次攻击要是成功的话,将会让Aulska氯气站的工控体系停止运行,并让受影响的体系发生崩溃,甚至还有可能对设备造成物理损害,从而导致“劫难性”的事故发生。安全研究人员认为,此次攻击的首要目标很多是为了损坏该基础举措措施的正常运作。 

因而可知,工控体系的主机终端作为工控体系控制的核心是尤其重要的,控制体系所有指令的下发以及数据的网络都是通过主机终端来实现的,一旦终端受到攻击或损坏,WEB黑客,那么全部控制体系将面临没法操作,失控,停机,甚至出现生产变乱等惊险。所以,完成工控体系主机终端防护势在必行。

2.危害阐发

工业控制体系主机侧一般存在危害以下所示:

懦弱性 场景描摹 可能产生的影响
未装置防病毒软件或装置杀毒软件未升级病毒库 因担心杀毒软件误杀营业程序,多数营业现场主机类设备未找到合适防病毒要领,少许主机类设备虽装置了传统收集杀病毒软件,但始终处于没法更新病毒库的困境中。 主机中毒导致体系运行缓慢,收集被蠕虫病毒壅塞,导致收集不通畅、延迟大、丢包等征象。
软件不兼容 杀毒软件与营业软件不兼容,有些主机也装置了杀毒软件,但杀毒软件病毒库的不断升级容易造成与营业软件的冲突。 杀毒软件误杀文件或者程序,导致营业程序没法正常使用,从而影响正常生产营业。
对重要营业程序缺乏维护 键营业程序,如工程师站、操作员站、OPC服务器上营业程序可能被恶意卸载。 症结营业程序被病毒篡改;症结营业程序被恶意卸载。
Windows体系漏洞 工程师站、操作员站、部分服务器多采用windows体系,且长时间不更新体系,不进行漏洞以及补丁更新,对于体系存在的漏洞束手无策。 漏洞容易被黑客行使,导致主机运行缓慢,甚至演化成“肉鸡”行使主机损坏全部收集。
挪移介质的治理落实不彻底 U盘随便使用;光驱治理存在问题;U口物理封堵被拆除。 导致主机染毒或直接死机、重启等。
对发生的安全事故记录不全 主机体系缺乏有用的审计能力,对发生的安全事故没法记录,windows自身日记记录不完备。 没法通过记录阐发主机自身发生的安全事故对主机恶意操作举动的抵赖。
症结控制设备存在漏洞 大批的终端以及现场设备如PLC存在漏洞,如AB、西门子等都被报过存在高危漏洞。 控制设备内部存在漏洞、后门,为攻击提供便利前提,攻击者可直接攻击PLC。

3.方案设计

3.1.设计思惟

根据生产收集安全现状并结合生产体系运行环境相对于稳定,体系更新频率较低的特点,结合工业以及信息化部印发的《工业控制体系信息安全防护指南》关于工控主机安全软件的选择与治理中的请求,笔者建议采用“白名单 ”机制的工业控制体系信息安全主机防护的解决方案。

“白名单”机制相对于“黑名单”而言比较适用于工业控制现场,工业控制现场相对于处于比较封闭隔离的状态,没法进行联网更新病毒库。体系一旦建设实现后,很长一段时间不会再进行升级或改造,“白名单”形成后也相对于稳定,有益于工业现场的维护。

3.2.参考标准

1.《工业控制体系信息安全防护指南》(工信软函〔2016〕338号)

2.《GB/T 22239-2008 信息体系安全等级维护基本请求》

3.3.设计方案

image.png

主机防护软件部署示意图

主机防护软件通常为通过软件方式部署在各个工控主机上,具备下列功能以及特征:

1.采样“白名单机制”,从防护道理上杜尽了实时走访互联网、定期查杀的这两个不适合过程控制行业的硬伤 ;

2.支持导出、导入白名单,便于工厂未联网情形下传递白名单。

3.USB可以正常拷贝数据,带入的病毒会被拦截,解决工厂信息传递以及防病毒矛盾。

4.游戏、QQ、视频等非工作相干软件,只需不在白名单,都会被拦截。

5.白名单内软件可以正常运行,不受任何影响。拔出加密卡,体系将被锁定,避免人员损坏。

6.兼容Windows系列操作体系,包括:XP、Win7 64位、Win7 32位、Win8 64位、 200三、2008等支流Windows平台。

7.兼容目前支流厂家的工业控制体系,包括:以及利时、浙大中控、南京科遥、 Emerson、HoneyWell、西门子、ABB、横河等 。

4.部署方式

主机防护软件的部署装置通常为在工控体系停机检修的时间进行,为了保障主机防护软件学习到主机体系的白名单是尽对清洁且安全的,不论是新建体系照样老旧体系,笔者都建议对主机进行病毒的查杀检查工作,确保万无一失,然后在进行主机防护软件的部署。下列是主机防护软件的部署步骤,根据硬盘类型的不同分两类方式:

4.1.硬盘类型(非RAID、非SCSI)病毒检测

第一步:将现场主机硬盘进行完全备份(GHSOT);

第二步:对备份硬盘进行病毒检测;

第三步:要是备份硬盘无病毒,直接在主机原有硬盘上装置主机防护软件,进行主机白名单扫描添加,并开启安全防护策略,进行72小时试运行观察,统统正常后,在别的主机上一一进行装置。

第四步:要是备份硬盘有病毒,先备份病毒文件,然落后行病毒查杀。

第五步:病毒查杀完毕后,将备份硬盘替代原主机硬盘,进行试运行启动;要是统统正常执行第六步。

第六步:对主机原有硬盘进行病毒查杀,然后装置主机防护软件,并进行72小时试运行(要是主机是相同设置、相同体系,只对一台主机进行本次操作即可),统统正常后,在别的主机上一一进行装置。

4.2.硬盘类型(RAID以及SCSI)病毒检测

一、使用国内或国外最新病毒库的杀毒软件,

2、将杀毒软件装置到相应的主机上。

三、在正式杀毒前进行病毒扫描配置,配置可疑文件或病毒不删除策略,即发现病毒或可疑文件不删除策略。

四、一旦发现可疑文件或病毒,需要以及用户及专业病毒手艺人员进行确认,确认此病毒或可疑文件是否为真实的病毒。

五、要是确认其是病毒,再删除。

六、要是没有发现病毒或者病毒已清除清洁,卸载杀毒软件,重启主机。

七、部署主机防护软件,进行主机白名单扫描添加,并开启安全防护策略,进行72小时试运行观察,统统正常后,在别的主机上一一进行装置。

注:执行主机病毒检查过程中必须请求客户全程在场,必要过程需客户审批同意方可执行。

5.常见问题

笔者在以及用户交流以及实施过程中,常遇到用户最关心的一个问题,以下:

一、一旦部署实现的白名单被病毒入侵或者被恶意代码攻破怎么办?

解答:目前采用白名单这类部署思路,被攻破的几率不大。然则倘使一旦被攻破,那我们将采取以下要领:

①把控制方式从主机控制切到就地控制,优先保证生产的正常运行;

②将受感染主机断网;

③卸载主机防护软件;

④遵照第四章部署步骤在重新执行一次病毒排查工作,直到确定主机没有问题;

⑤阐发此次被攻破的缘故起因,并升级主机防护软件,重新进行部署最新版本的主机防护软件。

6.小结

通过部署主机防护软件完成主机安全以及挪移介质管控,餍足行业对主机安全的政策律例请乞降相干的手艺请求。解决传统防病毒软件不适用于工控现场,导致工控主机运行缓慢、没法升级病毒库、症结设置文件及授权文件等被误杀等问题。加固主机安全设置,统一主机安全基线,提高主机安全防护能力。解决数据交换过程中因U盘滥用导致病毒进入工控收集环境并传播的问题,提高工控主机安全性。

7.致谢

本文在撰写过程中,得到启明星斗工控安全专家谷宝晶老师、新华三手艺有限公司收集安全专家李厚军老师的悉心指导,谨此叫谢。

*

您可能还会对下面的文章感兴趣: