新闻中心
联系我们

总机:  010-8250-9710

热线:  400-1066-819

邮箱:  support@icssla.com
地址:  北京市海淀区上地东路1号院华控大厦7层

工业主机的安全防护

返回

2024-06-18 公司原创

1、应 用 背 景 

工业控制系统被誉为现代工业的“大脑”和“神经中枢”,是支撑国民经济的重要设施,广泛应用于能源、制造、交通、通信等关键基础设施行业。其中,以工程师站、操作员站、服务器、存储等为代表的工业主机,负责工业控制系统的工作流程及工艺管理、状态监控、运行数据采集、重要信息存储等工作,是整个工业控制系统的“司令部”。

随着两化融合的深入发展,云计算、大数据、物联网等新兴信息技术向工业领域逐步渗透,工业控制系统更多地采用互联网通信协议进行数据交换和运行管理,由原本的孤立封闭走向融合互通,在提升生产管理效率的同时也面临日益严峻的网络安全挑战。从“Stuxnet”震网病毒到“永恒之蓝”再到“火焰病毒”皆是以人机交互入口的工程师站、操作员站作为突破口造成大量工业主机感染,进而影响生产安全甚至危及国家安全。

面对不断进化的网络病毒与攻击手段,我国乃至全球大部分工业主机却几乎处于“安全裸奔”状态。据国家信息技术安全研究中心调研显示,我国近70%的工业主机未安装防病毒软件。同时,由于工业生产连续性的特点,工业主机很难定期升级补丁,大量工业主机处于带洞运行的状态,加之生命周期往往比较长,操作系统老旧等问题,工业主机成为网络攻击的首选目标。

 

2、国家对工业主机安全的具体要求 

网络安全是国家安全的重要组成部分,没有网络安全就没有国家安全。近年来,我国陆续出台多部网络安全政策法规,不断完善网络安全政策体系。2019年12月正式实施的等保2.0版本对云计算、物联网、移动互联、工业控制系统提出了新的安全扩展要求,标志着工业控制领域网络安全进入了全新的时代。

 

《GBT22239-2019 信息安全技术 网络安全等级保护基本要求》针对工业主机安全防护提出如下要求:

恶意代码防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

入侵防范

应遵循最小安装的原则,仅安装需要的组件和应用程序。

安全审计

应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。

 

2024年,工业和信息化部在《工业控制系统信息安全防护指南》的基础上,印发《工业控制系统网络安全防护指南》以更贴合当前工业控制系统网络安全防护实际情况的建议要求,对工业企业工业控制系统网络安全防护进行更全面的指导。其中,在技术防护部分的主机与终端安全章节,做如下要求:

 

主机与终端安全

在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件,定期进行病毒库升级和查杀,防止勒索软件等恶意软件传播。对具备存储功能的介质,在其接入工业主机前,应进行病毒、木马等恶意代码查杀。

主机可采用应用软件白名单技术,只允许部署运行经企业授权和安全评估的应用软件,并有计划的实施操作系统、数据库等系统软件和重要应用软件升级。

拆除或封闭工业主机上不必要的通用串行总线(USB)、光驱、无线等外部设备接口,关闭不必要的网络服务端口。若确需使用外部设备,应进行严格访问控制。

对工业主机、工业智能终端设备(控制设备、智能仪表等)、网络设备(工业交换机、工业路由器等)的访问实施用户身份鉴别,关键主机或终端的访问采用双因子认证。

 

目前,工业主机作为连接信息世界和物理世界的“桥梁”,其安全防护已成为工控安全领域的重要课题。

 

3、工业主机终端“贴身护卫” 

鉴于工业主机生产连续性的特点及工业环境对稳定性的特殊要求,为其构建网络安全防线进行“贴身防护”变得紧急且必要。

 

珞安科技作为国内工控安全领域技术先进、实力深厚的优秀企业,针对工业主机的防护难题,基于轻量级内核过滤技术,采用白名单检查规则,自主研发工业主机安全卫士,打造“可装、可用、可管”工业主机终端“贴身护卫”。

 

4、产 品 概 述 

工业主机安全卫士是一款面向工业控制系统中的监控主机、工程师站、操作站、数据服务器等设备进行安全加固的终端安全防护产品。针对工控主机业务环境相对固定、稳定第一的特点,系统采用了白名单机制,拦截一切未知程序和脚本的执行,既可有效抵御已知和未知的恶意代码,又规避了传统杀毒软件病毒库更新不及时的问题,从根本上保障主机运行环境的安全。

5、产 品 优 势

极简化部署,方便快捷

采用白名单管控技术,一键固化系统当前运行环境,阻断未知病毒木马攻击;模板式部署,安装即固化;支持GHOST模式部署,还原即防护。

智能化的补丁与软件更新技术

独有的补丁更新追踪技术,完美支持操作系统的补丁更新;

智能化的软件更新捕获技术,满足多种场景下的软件更新需要。

细粒度的U盘管控

白名单式的U盘管控,防范U盘滥用,阻断病毒传播;

细至单一U盘的权限控制,支持读、写、执行策略配置;

硬件级安全加密U盘,保障数据的存储安全。

实用的操作系统安全加固配置

提供账户密码策略、共享策略、审计策略等最常用的安全加固策略的统一配置;

提供对关键文件、关键注册表项和关键业务进程的安全防护,防止操作系统或关键应用被恶意破坏。

良好的系统兼容性

采用轻量级的内核访问控制技术,系统资源占用率低、软件兼容性良好;

最大限度贴合工业主机可用性第一的安全管控目标;

完美支持低配置工业主机,低至256M老旧机型也能流畅运行。

全面的操作系统覆盖

支持全系列 Windows操作系统,从Windows2000、XP到最新的 Windows11;从Server2003到 Server2022;支持 Redhat、CentOs、Ubuntu、SUSE 等主流 Linux操作系统;支持麒麟、统信、凝思、湖南麒麟、OpenEuler等国产操作系统,满足国家自主可控的需要。

6、客 户 价 值