浅析工业主机安全现状与防护之道

2021-11-22 17:28:24来源:深圳融安网络科技有限公司

概述:随着工业4.0及两化融合的趋势到来,网络信息空间的边界向关键基础设施领域不断延展,带来新技术变革的同时,随着工业自动化产业的发展,工业控制系统网络安全问题所面临的挑战也日趋严峻。鉴于工业应用的特殊性,作为工控系统重要组成部分的工作站、服务器等主机终端难以采用传统的杀毒软件等“黑名单”防护方式应对层出不穷的操作系统漏洞、计算机后门程序、病毒、木马、数据扫描、密钥数据块攻击、黑客攻击等多元化的风险及威胁,采用更加安全、可靠、方便的技术对其进行安全加固已经迫在眉睫。


01
工业主机安全现状


工业主机是工业企业核心的资产之一,是工业控制系统重要的组成部分。当前,工业主机主要存在如下安全现状:


现状一、未及时更新补丁,后门敞开

大多数工业企业在实际生产中,工业主机基本没有任何安全防护措施,即使有些部署了安全防护措施,但是长期处于内网环境没有及时升级系统补丁。实际上,我国工业生产网络源于最初封闭独立的现状,使得工业主机无法及时更新系统补丁,无法进行全面的安全防护,国内大部分工业主机几乎处在“完全裸奔”的状态。近年来,随着两化深度融合日益推进,工业控制系统也由封闭独立逐步走向互通互联,工业主机安全面临严峻挑战。

现状二、没有更新病毒库,病毒查杀形同虚设

由于工业生产的高稳定性要求,工业主机未安装杀毒软件,考虑杀毒软件有可能误杀工业软件;或安装杀毒软件后,与工业软件不兼容、不能及时升级病毒库,不能有效进行安全防护。只要病毒、木马等恶意软件不影响工业生产,企业就可以忽略病毒的存在,工业主机“带毒运行”已是常态。但“永恒之蓝”勒索病毒的肆虐,打破了这种局面,使得系统出现蓝屏、死机、重启、产线停摆等严重影响生产问题,工业主机安全防护已不可小觑。

现状三、操作系统老旧,设备性能低下

现场工业主机老旧操作系统占主流,如WinXP,Win2000等,且长时间不进行系统、补丁、漏洞的更新。对于系统存在的漏洞也是束手无策。漏洞如果被利用,就可能演变成以工业主机为跳板发起网络攻击。同时,老旧操作系统硬件资源受限,往往难以安装杀毒软件。当前,专属工业主机安全防护显得尤为重要

现状四、移动介质缺乏有效管控,易遭受摆渡攻击

工业企业在生产环境中,大多数未对移动存储设备、U盘的使用未进行有效管控,比如通过工业主机U口给手机充电、使用U盘进行数据传递等,很容易导致病毒通过移动存储设备进行传播。


02
工业主机安全防护技术特点


1.可信计算功能

可信计算功能是基于国产密码算法,对系统启动过程和系统运行过程进行全过程可信度量。基于软/硬件可信和实现对操作系统引导程序、系统程序、应用程序、重要配置参数的可信验证。

可信计算功能对操作系统、业务系统来说应是透明的,在正常情况下应不对操作系统和业务系统的功能产生影响。可信安全管理中心实现对多个可信计算节点的集中管理,提升管控效率

2. 身份鉴别技术

引入身份认证的要求,并且提出对于关键资产的访问需要采用多因素认证。多因素认证也是“等保2.0”中新增的针对工控系统的要求,相关的关键资产应该采用口令加指纹等多种认证方式进行认证。

引入最小特权原则,通过三权分立,将root权限分离为系统管理员、安全管理员和审计管理员三个角色,从而避免“大权独揽”;

引入强口令的要求,并要求对一些工控软件定期更换口令。工控系统大部分还是使用厂家配置的默认口令,或使用弱口令,通过设置强口令,并定期更换,可以增加攻击者暴力破解口令的难度。

3. 访问控制技术

访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

主要的访问控制类型有3种模式:自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)。目前终端卫士主要实现了MAC和RBAC两种方式,DAC则采用了操作系统自带的方式。

通过安全访问控制域(具有相同访问等级和访问策略的集合),将操作系统对象分为主体和客体。通过授权主体(用户、组、进程)特定的访问级别,以及授予文件/网络客体(文件/网络、可执行程序等)特定访问级别,符合策略的主客体才允许执行、删除和读写操作,从而确保了数据的完整性、机密性。

4. 程序白名单技术

应用程序白名单技术仍是国内工业主机安全防护产品厂商采用的主流技术,采用动态白名单防御技术,只有白名单列表中的程序或者加载的动态库才会正常放行,未授权程序(病毒、木马、违规软件、动态库等)的运行会被阻止。各厂商主要在可执行文件及脚本类型等方面存在差异。

5. 防病毒技术

在IT安全领域,传统杀毒软件应用比较成熟,防病毒技术得以广泛应用但在工业安全领域,一是考虑工业生产现场连续性、稳定性需求,非计划的中断、重启等同于攻击;二是工业主机不能及时打补丁,更新病毒库;三是工业主机操作系统老旧,硬件资源有限,传统防病毒软件占用资源大,导致工业主机无法安装杀毒软件或者安装后系统运行缓慢等。

同时针对近年来工业主机频繁感染勒索病毒情况,当务之急是工业主机安全防护需要能够进行病毒的检测及防御,特别是针对“永恒之蓝”勒素病毒的防御是当前主流技术热点:能对“永恒之蓝”及其变种进行实时拦截,利用“漏洞利用分析->流量解析対比-可疑攻击阻断”等技术,无需为工业主机打补丁、关闭端口,进行“永恒之蓝”勒素病毒的预判与防御。

6. 外设管控技术

通过外设管控对接入的专用移动介质进行授权接入配置,病毒查杀及日志审计。管理中心支持注册/注销专用移动介质,并配置移动介质的授权接入规则,以管理不同的移动介质授权接入现场不同的授权主机;管理中心支持对专用移动介质进行病毒查杀,支持病毒库升级,及时拦阻恶意代码通过移动介质入侵现场主机设备 ;管理中心记录移动介质授权记录,现场接入记录,病毒查杀记录,支持审计员审计移动介质操作。

7. 基线核查技术

基线核查通过对系统的全方位检测,发现系统的不合规配置项、不安全服务、是否存在一些不安全配置,如弱口令、非法开启侦听端口等。同时提供一键修复和还原功能。通过安全基线扫描的系统,可以满足的基本安全需求。相当于为系统做一次安全体检,可以有效发现安全漏洞。

8. 资产管理技术

基于大多数工业企业依赖传统资产统计方式,如手工登记或纸质存档等,对其工业主机资产数量、分布不能快速、准确的掌握。设备停机、出现异常情况难以快速定位等相关问题,工业资产管理技术也是当前工业主机安全防护不可缺少的。工业资产管理技术能做到自动识别工业主机系统信息,自动生成资产清单,随着技术的发展及企业自身资产管理需要,能结合资产自助登记方式,灵活实现企业基于自身架构的资产管理。遇到异常情况,可以准确定位。针对单点终端安全运维管理将是技术亮点,实现单点终端硬件资产管理、软件资产管理、账户管理、配置管理、白名单管理等

9. 集中运维管理技术

用户生产现场很多情况面临跨地域,分布式部署,针对大规模工业主机防护部署环境,集中运维管理技术会进一步降低运维管理成本。通过软件化形态,实现所有工业主机安全防护终端的集中管理、任务统一下发、策略配置、日志收集等是未来主流发展趋势。未来,在并发管理终端数量上、模块配置、权限配置、页面配置、扫描时间配置等定制化安全策略需求方面会是技术亮点。


03
工业主机安全防护解决方案



1. 方案依据

基于工业企业生产网络实际运行环境需求及工业主机安全现状,2019年发布的《信息安全技术网络安全等级保护基本要求》简称“等保 2.0”,将工业控制系统纳入保护对象,对其安全要求做出法律上的规定,这意味着工控安全上升至法律责任,法律依据为《网络安全法》。

2. 方案理念

工业主机往往是工业网络中的主要风险点,病毒的入侵、人为的误操作等威胁主要都是通过主机设备进入工业系统。因此,有必要对工业主机进行安全防护。考虑到工业控制系统的实际情况,有时无法对操作系统进行频繁的升级和重启,以免对工业软件及工业网络带来影响;而工业网络的相对封闭性也导致基于黑名单的杀毒软件无法及时进行病毒库的更新,导致病毒防护滞后甚至失效。所以,目前主流的工业主机防护软件为应用程序白名单软件,通过白名单软件进行工业主机加固,建立工业主机安全“白名单”基线,确保可信任的程序、进程被放行,以及已知和未知恶意程序被拦截阻击;通过应用程序“白名单”的管理机制,保护工业主机免遭病毒或针对安全漏洞所发起的攻击行为。

3. 解决方案

通过在操作员站、工程师站、服务器部署融安网络工业终端安全卫士,实现对恶意代码防护和外设端口的管理等。对于无法或不适合安装软件的主机或终端,部署外置的融安网络USB安全防御系统,实现对外设访问的全面控制。

对于大规模终端部署场景,通过融安网络工业安全统一监管平台对各终端部署的工业终端安全卫士、USB安全防御系统进行集中管理和运维,保障工作站、服务器的安全性与可用性。部署示意图如下:

工业主机安全防护部署示意图


网络拓扑结构分为三层,由上到下分别为:企业管理层、控制管理层和现场控制层;

工业终端安全卫士、USB安全防御系统主要部署在企业管理层和控制管理层的服务器上;

通过工业安全统一监管平台界面对整个系统进行配置管理,查看当前资产运行情况,可以针对每个终端进行单独的策略配置和事件告警的审查。

工业安全统一监管平台通过分析审计数据,生成相对应的策略方法,再下发到对应的客户端设备。


4. 工业终端安全卫士

工业终端安全卫士是一款基于网络安全等级保护2.0标准打造的主机安全加固和审计系统。它具备入侵检测、基线安全扫描和进程/动态库白名单、文件/网络访问控制、外设接入控制、安全审计、双因子认证、基线核查修复、病毒扫描、文件完整性等功能,全面支持Linux、Windows等操作系统。核心功能如下图所示:

工业终端安全卫士目前已经取得如下系统的兼容性测试证书

中标麒麟兼容性测试证书  银河麒麟兼容性测试证书  湖南麒麟兼容性测试证书


5. USB安全防御系统

融安网络USB安全防御系统是专门为实现 USB 的全面防护而设计,支持内网 USB 管理和审计、预防内网病毒和高级 USB 攻击,是目前国内对 USB 安全防护最全面、最可靠的产品。产品采用纯硬件设计,无需在内网主机安装软件,避免传统防护产品软件对内网工程软件的影响。

下图是产品的实际部署演示:

6. 工业安全统一监管平台

工业安全统一监管平台是融安网络针对公司现有网络安全产品研发的一款集中管理产品,能实时监测安全产品运行状态,下发安全策略,从而实现安全产品的高效管理。其主要特点如下:

(1)跨设备协同响应与联动

(2)多层次网络部署,适用多厂区、多级管理部门集中管理。

(3)支持指令模版化、配置化,对产品迭代过程中指令细小的变化可以快速适应、兼容性强。

(4)策略集中管理,在提升效率、减轻工作量同时也减少了因大量重复操作的人为错误。

(5)监控可视化,支持设备状态、事件、策略的可视化监控。



分享:

微博
微信公众号