在工控係統中

，大多人都以“物理隔離+好人假定+規定”推tui演yan，構gou成cheng了le一yi種zhong安an全quan假jia象xiang和he自zi我wo安an慰wei，網wang絡luo分fen區qu策ce略lve和he隔ge離li手shou段duan無wu疑yi是shi必bi要yao的de安an全quan策ce略lve，但dan如ru果guo不bu能neng伴ban隨sui更geng強qiang有you力li的de內nei網wang安an全quan策ce略lve，其qi可ke能neng帶dai來lai更geng大da的de安an全quan風feng險xian。那麼在工控係統中的安全策略和安全投入，我們需要以內網已被穿透和“內鬼”已經存在、規定未被嚴格遵守為前提假定來實行。

這種情況下如何保障工控係統的安全，在工控係統中脆弱性最強的當屬上位機

、操作員站、工程師站。主要是因為大部分工控網絡的封閉屬性，不具備在線打補丁的條件。采用人工升級補丁又會增加很多工作量， 再者貿然升級補丁還有可能造成工業軟件的運行不兼容
，大部分工業環境的上位機都不進行補丁升級
，所以工控主機很容易遭到攻擊。

脆弱的工控係統
，不堪一擊

2010年10月發生在伊朗核電站的"震網"(Stuxnet)病(bing)毒(du)，為(wei)工(gong)業(ye)生(sheng)產(chan)控(kong)製(zhi)係(xi)統(tong)安(an)全(quan)敲(qiao)響(xiang)了(le)警(jing)鍾(zhong)
，目(mu)前(qian)工(gong)控(kong)係(xi)統(tong)網(wang)絡(luo)麵(mian)臨(lin)越(yue)來(lai)越(yue)多(duo)的(de)黑(hei)客(ke)攻(gong)擊(ji)。目(mu)前(qian)國(guo)內(nei)外(wai)生(sheng)產(chan)企(qi)業(ye)都(dou)已(yi)經(jing)把(ba)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)安(an)全(quan)防(fang)護(hu)建(jian)設(she)提(ti)上(shang)了(le)日(ri)程(cheng)。

近期在全球範圍內發生的大規模WannaCry勒索軟件攻擊事件已眾所周知，令人震驚的是，除了有大量辦公網絡被攻擊和感染外，還有多個全球知名的工業設施由於遭受WannaCry感染而出現故障或遭受幹擾，其中包括法國汽車製造商雷諾
、德國聯邦鐵路係統
、俄羅斯內政部、美國聯邦快遞。國內包括交通運輸
、醫療服務

、高校、銀行、和加油係統都遭受了WannaCry病毒襲擊。

勒索窗口

工業環境該如何應對WannaCry

匡恩網絡工控衛士研發中心即刻對其做出分析，WannaCry利用Windows操作係統445端口存在的漏洞進行傳播，並具有自我複製
、主動傳播的特性。被該勒索病毒入侵後
，用戶主機係統內的圖片
、文檔
、音頻
、視頻等幾乎所有類型的文件都將被加密，並會在桌麵彈出勒索對話框，要求受害者支付價值數百美元的比特幣到攻擊者的比特幣錢包。

雖然微軟已發布補丁
，未感染的主機可立即安裝補丁避免感染，但是工業環境當中上位機、工程師站、操作員站、以及各種服務器無法升級打補丁，該如何解決?

匡恩研發中心對其做了相應測試：

1
、首先在主機上安裝工控衛士軟件，並對操作係統做白名單掃描，將白名單部署下去
，並開啟工控衛士的保護模式。

2、開始運行勒索病毒“WannaCry”樣本，在工控衛士保護模式下攔截病毒，並產生攔截日誌信息。

匡恩工控衛士
，全麵防護工控主機安全

匡(kuang)恩(en)網(wang)絡(luo)工(gong)控(kong)衛(wei)士(shi)是(shi)專(zhuan)門(men)保(bao)護(hu)工(gong)控(kong)主(zhu)機(ji)環(huan)境(jing)的(de)一(yi)款(kuan)安(an)全(quan)軟(ruan)件(jian)產(chan)品(pin)，通(tong)過(guo)在(zai)工(gong)控(kong)上(shang)位(wei)機(ji)和(he)服(fu)務(wu)器(qi)上(shang)安(an)裝(zhuang)工(gong)控(kong)衛(wei)士(shi)，防(fang)範(fan)工(gong)程(cheng)師(shi)所(suo)帶(dai)進(jin)來(lai)的(de)非(fei)法(fa)程(cheng)序(xu)的(de)運(yun)行(xing)， 控製USB移動存儲介質的濫用、為受信任的程序提供完整性保護等
，它實現了對工控主機全方麵的安全防護。工控衛士通過監控工控主機的進程狀態、網絡端口狀態、USBduankouzhuangtai，yibaimingdandejishufangshi，quanfangweidibaohuzhujideziyuanshiyong。genjubaimingdancelve，gongkongweishihuijinzhifeifajinchengdeyunxing，feifawangluoduankoudedakaiyufuwu、非法USB設備的接入
，從而切斷病毒和木馬的傳播與破壞路徑。

工控衛士

為了方便管理

、區分組織結構
，匡恩網絡提供工控衛士集中管理平台，對工控衛士客戶端進行統一管理，統一策略下發
、定時備份配置文件
、日誌管理

、白名單部署
、全網設備狀態操控，實現“個性化管理”與“集中管理”完美結合。

(工控衛士集中管理平台)

隨著 “兩化融合”的發展，信息化和工業化相結合快速推進，工控係統中僅僅靠“隔離”“加密”已是遠遠不夠

，需要對工控網絡做定期檢查，發現潛在的威脅需提前做出防範，工控網絡需加強對惡意流量的檢測
、實施阻斷

，形成針對性的防護能力等有效措施，以保障工控係統網絡的安全運行。