返回顶部


            北京快乐8平台


公司新闻
当前位置:主页 > 北京快乐8平台 > 公司新闻 >

信息安全【北京安盟信息】

  但该技术并不能防御所有的安全威胁,如“0-day”及APT攻击等。评价及建议:主机加固技术作为提升操作系统安全级别的重要手段

  工业现场主机主要包括工业控制系统的工程师站、操作员站、服务器、存储等主机设备,负责工业控制系统的工作流程及工艺管理、状态监控、运行数据采集、重要信息存储等工作,是整个工业控制系统的指挥中心。工业主机需要与工业控制系统进行实时数据交互,以保证工业控制系统能够稳定、高效运转,工业主机的安全关乎整个工业控制系统的安全等级。同时,工业主机作为工业控制系统的HMI接口,是工业控制系统与外界进行交互的重要途径,如移动存储介质使用、蓝牙和无线连接等都使得工业主机与外界交互时可能产生安全隐患

  工业控制系统网络较为封闭的特点及组态软件、OPC软件等对于稳定性的要求,使得工业主机无法及时更新系统补丁、无法全面进行安全防护,我国乃至全球大部分工控主机处于“安奔”状态。近年来,以伊朗核事件、乌克兰电厂事件为代表的工业控制系统安全事件均是以工业主机为突破口攻击工业控制系统,震网病、火焰病等工业病也均以工业主机为载体在工业控制系统内部隐匿和传播

  随着互联网、云计算、大数据等新兴信息技术向工业行业的逐步渗透,工业控制系统越来越多采用互联网的通用协议并通过互联网进行数据交换和运行管理,工业控制系统已由原来单一的与外界隔离的系统转化为能与外界实现互联互通的系统,工业控制系统面临更为严峻的安全挑战,最典型的例子就是Wannacry病在全球爆发的过程中,大量的工业现场主机受到感染

  遭受勒索病感染的德国铁路系统:工业现场主机重要性和脆弱性共存的“矛盾”属性,使其自然成为了安全维护人员的重点关注对象。常见的主机安全防护技术包括了防病技术、应用程序白名单技术、主机加固技术、补丁分发、外设管控、基线核查、主机入侵检测、终端准入控制等等,考虑到工业控制系统的特殊性,工业现场主机最多采用的防护技术为防病技术、应用程序白名单技术、主机加固技术这三种,也是今天小威要和大家讨论的重点。如果将工业现场主机比作一个人,那这三种技术可分别类比为“吃”、“自身免疫”和“加强锻炼”

  防病技术:防病技术作为传统安全的“老三样”(防病、防火墙、入侵检测)之一,在传统安全领域被广泛采用。防病软件内置病识别引擎,通过实时或定期扫描工业现场主机里的文件或存储器,在对协议和应用进行识别的基础上,结合病特征库进行病的检测,并根据预先设置的策略进行病清除、删除文件及放行等操作

  设置强制访问控制等,可类比为加强身体锻炼,提高身体机能,最终达到提高安全防护能力的效果

  典型的防病软件工作流程:在传统IT安全领域,防病软件得到广泛应用的原因在于传统IT将安全放在首位,采用尽可能多的手段进行安全防护,同时传统IT主机大多可直接连接互联网进行病库升级,加上目前“云”查技术的逐步推广,新病发现和查的效率也大大提高。而在工业现场,防病技术优势不再,反而在很多方面成为制约其推广的瓶颈,主要表现在以下几方面:a) 防病技术只能对已知病进行检测,对于未知威胁却无能为力;b) 防病软件内置大量特征库,软件运行缓慢,在扫描过程中占用资源高,拖慢系统运行速度,不满足工业控制系统高实时性的要求;c) 防病技术基于特征库匹配技术,不可避免的存在误报的可能,在对疑似病进行处理的过程中,可能会损坏工业主机上昂贵的工业控制软件,如误删配置文件、licence文件等;d) 工业现场主机无法连接互联网,病库更新缓慢,病查效果大打折扣

  从图中可明显看出应用程序白名单软件防护住了所有的5类攻击,而国际领先的防病厂商赛门铁克和麦咖啡公司的产品仅防住了一小部分攻击

  评价及建议:目前的防病技术因其“先天”的滞后性及技术特点,不太适合作为工业现场主机的安全防护手段,但作为目前主机恶意代码检测的重要手段,其作用不容忽视,若能在未来的技术改进中摈弃目前存在的种种弊端,其地位将大大改观,在此,小威提出如下建议:a) 优化病探测技术,提高未知病的检测能力例如可通过监控不同的事件和各种操作,当发现某个事件或某项操作存在典型的病特征,或是对计算机存在危害时,即进行阻止,从而更有效地保护计算机免受新型病的入侵

  b) 采用网络病查技术目前几乎所有的防病技术均为C/S架构,客户端严重影响工业主机性能,后续若能“去C化”,仅仅通过单臂部署的设备就能进行病检测和查,性能和兼容性问题将不复存在。c) 多重病验证及文件分离技术将目前单一的本地特征库匹配验证模式改为本地+云端大数据等进行同步验证,提高特征库更新速度,降低误报率,同时对病和文件进行分离,保护工业主机信息资产不受破坏。d) 病源隔离技术在工业现场采用加密移动存储介质来进行数据交换,大大降低普通U盘滥用导致的病传播和扩散

  从图中可明显看出应用程序白名单软件防护住了所有的5类攻击,而国际领先的防病厂商赛门铁克和麦咖啡公司的产品仅防住了一小部分攻击

  应用程序白名单技术:应用程序白名单技术可以抵御“0-day”漏洞和有针对性的攻击,实现操作员站、工程师站、数据服务器等工业现场主机的安全防护。该技术采用应用程序“白名单”机制,只允许白名单列表中的程序运行,阻止非授权程序(包括病、木马等)的执行,改善并提升主机安全防护能力,最大限度保障工业主机的安全稳定运行。在工业现场主机防护方面,应用程序白名单技术有望取代防病技术,其中很重要的一个原因在于其安全防护能力远比传统防病软件要好

  评价和建议:虽然应用程序白名单技术存在部分不足,但不可否定的是,无论是防护效果还是在工业现场主机适应性方面都比防病技术有优势,并有可能成为下一代工业主机安全防护的主流技术

  白名单软件与软件防护能力对比:为国际权威测评机构Tolly给出的应用程序白名单软件Bit9和防病软件产品安全防护能力的对比测试结果