新闻中心
联系我们

总机:  010-8250-9710

热线:  400-1066-819

邮箱:  support@icssla.com
地址:  北京市海淀区上地东路1号院华控大厦7层

工业主机的安全防护

返回

2024-06-18 公司原创

1、应 用 背 景 

工业控制系统被誉为现代工业的“大脑”和“神经中枢”,是支撑国民经济的重要设施,广泛应用于能源、制造、交通、通信等关键基础设施行业。其中,以工程师站、操作员站、服务器、存储等为代表的工业主机,负责工业控制系统的工作流程及工艺管理、状态监控、运行数据采集、重要信息存储等工作,是整个工业控制系统的“司令部”。

随着两化融合的深入发展,云计算、大数据、物联网等新兴信息技术向工业领域逐步渗透,工业控制系统更多地采用互联网通信协议进行数据交换和运行管理,由原本的孤立封闭走向融合互通,在提升生产管理效率的同时也面临日益严峻的网络安全挑战。从“Stuxnet”震网病毒到“永恒之蓝”再到“火焰病毒”皆是以人机交互入口的工程师站、操作员站作为突破口造成大量工业主机感染,进而影响生产安全甚至危及国家安全。

面对不断进化的网络病毒与攻击手段,我国乃至全球大部分工业主机却几乎处于“安全裸奔”状态。据国家信息技术安全研究中心调研显示,我国近70%的工业主机未安装防病毒软件。同时,由于工业生产连续性的特点,工业主机很难定期升级补丁,大量工业主机处于带洞运行的状态,加之生命周期往往比较长,操作系统老旧等问题,工业主机成为网络攻击的首选目标。

 

2、国家对工业主机安全的具体要求 

网络安全是国家安全的重要组成部分,没有网络安全就没有国家安全。近年来,我国陆续出台多部网络安全政策法规,不断完善网络安全政策体系。2019年12月正式实施的等保2.0版本对云计算、物联网、移动互联、工业控制系统提出了新的安全扩展要求,标志着工业控制领域网络安全进入了全新的时代。

 

《GBT22239-2019 信息安全技术 网络安全等级保护基本要求》针对工业主机安全防护提出如下要求:

恶意代码防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

入侵防范

应遵循最小安装的原则,仅安装需要的组件和应用程序。

安全审计

应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。

 

2024年,工业和信息化部在《工业控制系统信息安全防护指南》的基础上,印发《工业控制系统网络安全防护指南》以更贴合当前工业控制系统网络安全防护实际情况的建议要求,对工业企业工业控制系统网络安全防护进行更全面的指导。其中,在技术防护部分的主机与终端安全章节,做如下要求:

 

主机与终端安全

在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件,定期进行病毒库升级和查杀,防止勒索软件等恶意软件传播。对具备存储功能的介质,在其接入工业主机前,应进行病毒、木马等恶意代码查杀。

主机可采用应用软件白名单技术,只允许部署运行经企业授权和安全评估的应用软件,并有计划的实施操作系统、数据库等系统软件和重要应用软件升级。

拆除或封闭工业主机上不必要的通用串行总线(USB)、光驱、无线等外部设备接口,关闭不必要的网络服务端口。若确需使用外部设备,应进行严格访问控制。

对工业主机、工业智能终端设备(控制设备、智能仪表等)、网络设备(工业交换机、工业路由器等)的访问实施用户身份鉴别,关键主机或终端的访问采用双因子认证。

 

目前,工业主机作为连接信息世界和物理世界的“桥梁”,其安全防护已成为工控安全领域的重要课题。

 

3、工业主机终端“贴身护卫” 

鉴于工业主机生产连续性的特点及工业环境对稳定性的特殊要求,为其构建网络安全防线进行“贴身防护”变得紧急且必要。

 

珞安科技作为国内工控安全领域技术先进、实力深厚的优秀企业,针对工业主机的防护难题,基于轻量级内核过滤技术,采用白名单检查规则,自主研发工业主机安全卫士,打造“可装、可用、可管”工业主机终端“贴身护卫”。

 

4、产 品 概 述 

工业主机安全卫士是一款面向工业控制系统中的监控主机、工程师站、操作站、数据服务器等设备进行安全加固的终端安全防护产品。针对工控主机业务环境相对固定、稳定第一的特点,系统采用了白名单机制,拦截一切未知程序和脚本的执行,既可有效抵御已知和未知的恶意代码,又规避了传统杀毒软件病毒库更新不及时的问题,从根本上保障主机运行环境的安全。