引  言

在关键信息基础设施领域中，很多行业都涉及工业控制系统和工控设施，例如能源、电力、轨道交通等。在这些行业的工业生产控制环节中，工业控制系统和工控设施的正常稳定运行关系到国计民生的方方面面，也关系到国家安全和社会稳定。随着“互联网+”的持续推进，物联网、大数据、人工智能、云计算等新技术在工业领域的应用进一步加速，工业控制系统日益变得更加开放和可扩展，导致其自身脆弱性不断显现，工业控制系统安全问题日趋严峻。

从防御者的角度看工控设施安全防护，防护的重点主要集中在两个关键点：工控网络和工控主机设备。企业在工控网络边界建立的边界网络安全防护体系就像一座城墙将攻击者挡在外部。然而，如果工控网络内部的大量工控主机设备得不到有效的安全防护，网络安全防护体系就会变得非常脆弱。在防护体系内部，每一台工控主机设备都可能成为特洛伊木马，使得防护体系“城墙”内部被逐一攻破。因此，工控主机设备是工控设施安全防护体系的最后一道防线，工控主机安全防护势在必行。

工控主机安全防护的必要性

工控主机包括上位机（工程师站、操作员站）与工控服务器（应用服务器、实时数据服务器、历史数据服务器、OPC服务器）等主机设备，是整个工业控制系统的指挥中心，主要负责工业控制系统的工作流程、工艺管理、状态监控、数据采集、信息存储等工作。同时，工控主机也是IT/OT技术融合的连接点，信息世界和物理世界的桥梁，也是工控系统的“中枢神经”。

图1 工控主机面临的主要安全风险

近年来，在以伊朗“震网”事件、乌克兰电网事件、台积电中招变种木马、委内瑞拉大停电为代表的工业控制系统安全事件中，黑客大多数是以工控主机为突破口，攻击整个工业控制系统。整个工业控制系统最脆弱、最不可控和最容易受到攻击的就是工控主机设备。因此，对于企业来说，自身需要加强对于工控系统安全和工控主机安全的重视。

工控主机与传统PC的区别

图2 工控主机现场示意图

工控主机防护不同于传统PC安全防护，主要由于工业生产环境对系统可用性要求非常高，系统非计划的重启、停机都会使工业企业遭受生产损失或受到其他影响。而传统PC安全防护为了获得最佳查杀效果，需要企业及时打补丁、更新病毒库，由此导致的频繁重启在工业生产中是不可接受的，且工控软件的使用范围小众，因此大部分并未进行和杀毒软件的兼容性测试，导致很多工控软件与杀毒软件冲突，如霍尼韦尔的PKS系统与众多杀毒软件冲突；另一方面，杀毒软件无法对工控软件做到精确识别而导致误杀，误杀对于工控现场产生的影响是无法估量的。

有些工控主机系统非常老旧，本身漏洞非常多，又因为上述原因无法经常打补丁、更新病毒库，进一步导致了工控主机安全环境恶化。由于工控系统只能运行在特定的版本操作系统上，不兼容新版操作系统；工控主机使用时间较长，不会3-5年换代导致资源少。极端情况下甚至运行一个扫描程序都可能导致工控系统资源的枯竭，进而导致其他问题。

工控主机安全防护的关键要素

要加强工控主机安全，需要综合运用多种防护措施，构建起全面的工控主机安全体系。以下是工控主机防护的关键要素：

// 病毒防护

工控主机上部署防病毒软件，定期进行病毒库升级和查杀，防止勒索软件等恶意软件传播。对具备存储功能的介质，在其接入工控主机前，应进行病毒、木马等恶意代码查杀。考虑到工控软件与杀毒软件的兼容性问题，建议采用应用软件白名单技术，只允许部署运行经企业授权和安全评估的应用软件，并有计划地实施操作系统、数据库等系统软件和重要应用软件升级。

// 系统加固

对工控主机的操作系统和软件进行加固，关闭不必要的网络服务和端口，移除不必要的软件，及时更新补丁等，以减少系统被攻击的风险。

// 身份认证

身份认证是保证工控主机只能被授权用户访问的重要手段。采用强密码、双因子认证等方式可以提高身份认证的安全性。

// 访问控制

访问控制是指限制用户对工控主机的访问权限，确保只有经过授权的用户才能够访问设备中的信息资源。合理设置访问控制策略可以有效防止未经授权的访问。

// 安全基线

安全基线是指工控主机在工作环境中应当达到的最低安全标准。通过制定合理的安全基线，可以确保工控主机在网络中的正常运行，并且对一些基本的安全威胁具备一定的抵御能力。

工控主机安全防护特效药

在工业控制系统网络安全实践中，由于受保护的工控系统软件和设备更新频率低，进程、通信和数据相对单一稳定，加之工控系统对业务的可靠性和连续性有严格要求，因此，白名单防护技术是保障工业控制系统网络安全最为有效的保护方案。工业控制现场相对处于比较封闭隔离的状态，无法进行联网更新病毒库；其次是系统一旦建设完成后，很长一段时间不会再进行升级或改造，“白名单”形成后也相对稳定，有利于工控主机长期的保护。

威努特工控主机卫士产品（以下简称“工控主机卫士”）是国内首款针对操作员站、工程师站、数据服务器等工业现场主机进行安全加固的软件产品。产品颠覆了传统防病毒软件的“黑名单”思想，采用与其相反的轻量级“白名单”机制，可以有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散。

图5 工控主机卫士功能界面

工控主机卫士支持Windows、Linux平台，已适配70个Linux发行版本，34个Windows build版本，针对操作系统Build版本号，内核版本进行兼容性适配并已在多个行业数万台终端现网应用。支持多点位工控主机卫士在线管理，满足大规模场景的部署应用。完美兼容银河麒麟、中标麒麟，统信桌面版和服务器版，凝思、麒麟信安等国产操作系统。

表1 操作系统兼容性

工控主机卫士采用国内首创的“白环境”防护理念，通过“程序白名单”功能模块进行应用锁定：程序白名单技术只允许运行合法的软件程序或者脚本，恶意软件或其他未经授权的程序因不在白名单中会被阻止运行，从而有效防范恶意代码程序。只允许受信任的文件运行，从源头上阻止了恶意代码的运行。通过“外设管控”功能模块进行外设锁定，有效阻断病毒通过移动存储介质传播。通过“网络白名单”功能模块进行网络锁定：工控主机卫士通过网络白名单功能模块接管操作系统防火墙；对程序、协议、端口设置网络访问控制规则，阻断非授权的网络连入行为，防止病毒通过网络大范围的传播、扩散。

图6 工控主机卫士病毒防护示意图

图7 工控主机卫士程序白名单、外设管控功能界面

得益于威努特主机防勒索系统行业领先的勒索病毒防范能力，通过集成主机防勒索系统的勒索行为监测、勒索攻击诱捕、系统安全防护、业务进程防护功能，威努特工控主机卫士具备勒索病毒纵深防范能力，能有效保护关基及工业企业数据免遭勒索攻击破坏。

图8 工控主机卫士多层纵深勒索攻击防范能力

工控主机卫士可按照电力标准级、等保标准级、自定义标准等进行基线配置管理，包括账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等。通过开启密码复杂度、强制密码历史、关闭guest账户、开启系统和账户审核、关闭默认共享、进行进程审计等措施最大限度保护工作站、服务器等设备的安全。

图9 工控主机操作系统一键加固

在工程师站、操作员站、服务器上部署工控主机卫士。通过工控主机卫士的漏洞防护功能，采用虚拟补丁的方式，可以在保障业务系统可用性的前提下，针对常见的Windows系统高危漏洞进行主动防护，包括震网病毒利用漏洞MS08-067（CVE-2008-4250）、永恒之蓝利用漏洞MS17-010（CVE-2017-0143）、永恒之黑利用漏洞CVE-2020-0796等，并针对高危漏洞的利用行为提供详细的日志记录和告警信息。

图10 工控主机卫士漏洞防护功能界面

图11 工控主机卫士拦截永恒之蓝攻击

仅使用密码单一因素的登录极易被暴力破解，使用USBKey和口令结合的方式，可大幅提升身份鉴别强度及安全性；工控主机卫士配套USBKey，登录系统时接入USBKey并输入正确的密码方能登录，可满足等保2.0身份鉴别要求。

图12 工控主机双因子认证

工控主机卫士强制访问控制功能融合了BLP和Biba模型，首先对主体(用户)和客体（文件、程序）进行安全级别定义，然后对不同安全级别的主客体制定读写的基本访问控制策略。

图13 工控主机双因子认证

为实现移动介质的注册、权限控制、病毒查杀、无毒验证等管控策略，威努特通过统一安全管理平台、工控主机卫士、移动介质安检站、安全U盘四款产品构建智能制造企业移动介质全流程管控方案。通过工控主机卫士对安全U盘、普通U盘进行注册、注销管理，通过移动介质安检站对移动存储介质进行病毒查杀，通过工控主机卫士对U盘注册情况和杀毒情况进行校验，以实现介质的读写控制。

图14 移动介质闭环管控方案

精选案例

客户简介

某发电公司配置4*600MW发电机组，总资产达300多亿人民币，年供电量400亿千瓦时，属于国家关键信息基础设施。

客户需求

稳定性：测试多家杀毒软件，误杀率高，影响系统正常运行；

安全性：要求具备较高的防护能力，达到能够抵御黑客、病毒、恶意代码对生产系统的破坏和攻击；

合规性：满足等级保护“三级”防护要求。

解决方案

4个机组各配置一套移动介质闭环管控方案，采用轻量级“白名单”病毒防护机制，在不打破现有网络架构的前提下，创新实现物理隔离级别的标签杀毒机制，确保数据安全摆渡，保证电力监控系统及重要数据的安全。

客户收益

先进性：通过“移动介质闭环管控方案”对工控主机安全防护新技术的探索，在本发电集团内树立先进管理标杆，为集团复制、推广奠定良好的基础；

便捷性：全程无纸化记录，彻底解决员工手动记录难、分析难、追踪难问题；

经济性：在确保安全的前提下，减少运维人员的工作量，提高了安全生产管理水平、工作效率以及管理效率。

推广成效

威努特工控主机防护解决方案已在电力、石油石化、轨道交通、市政、军工、智能制造等多个国家关键行业应用，获得用户一致好评。