1、工業主機安全防護技術現狀與展望11工業主機安全防護市場概況隨著 “ 制造強國 ” 和 “ 互聯網 ” 的持續推進，進一步加速了物聯網、 大數據、 人工智能、 云計算等新技術在工業領域的應用，隨著工業控制系統通用性和開放性不斷提向， 其自身脆弱性不斷顯現，工業安全問題日趨嚴峻。 工業安關乎工業生產安全，經濟運行、 社會穩定和國家安土。工業主機是連接信息世界和物理世界的 “ 橋梁” ，一日業主機遭受攻擊和破壞，有可能對設備造成物理損害， 有 可能導致 “ 災難性” 的事件發生。 為此，工業主機安全防護勢在必行，工業主機防護是保障工業安全的關鍵環節。1. 1工業主機安全防護的必要性近年來， 工業領域

2、安全事件頻發， 大多數工業安全事件是以工業主機為主要突破口。其中最為典型的就是WannaCry 勒索病毒攻擊事件， 自2017年 “ 永恒之藍 勒索病毒攻和i件在全球爆發， 大藍的工業現場主機受到感染， 導致工業辦機頻繁出現藍屏死機， 文件加密， 產線被迫停產等， 如圖不。 國內受影響行業涉及汽車制造、 電子制造、 鋼鐵、電力、軌道交通璽令一工業信息安全戶業發展聯盟What Happnd to My Con甲llter? y叩r important Illes are encryptedManJ 0bmrdocum切， photos,叫cos,婦垣ses叨心如r files 虹 no lo啤e

3、r accCSSlbleecause they have been encrypted. Maybe嚴U 盯e bu療lo咄g匼a wayto recoveryo匹61e s, but do not was比yo田血e. Nobody c.an recover yo頁 files咄out our decryptionCan I Recover My Files?lureWe 忒卻tee如t如UC扣 tec叩er all your files safely and easily, B田y叩歸“e 1101 so eno喲血e.爐Youc 叩 de叩ome of your且e$ brfrce T”

4、now切clic恤gDe叩i,. But正youYl吐to d比“pt逋 ur files, you need to pay.You叩ly have 3也ysm江b皿t止ep3yme”A朊r歸比e price w詛bedoub1ed Also. 1f you dont p芍m7day凡爐u wont be able to re 切mryo頃 ii1es forev” Wew認have丘ee盯叩E阮user$Who 社e $0 poor中attbey co業沁tpaym6mm止，HowDolP如叩沁n壓accep比din B此咖only Farm叩叫bnnallon, click Pie 邸e

5、ch.eck the current price of B虹啦衛nd buy some b虹0皿For more inform迦凡Chck曰，二二二二二二一JHow to b1,J bi比如滬I;叩A t扣 r叩葉t ommmt m如叫如oe 尺們 P尸，如心如Q 叩n如汀Q”“pt -廠圖2:“永恒之藍 勒索病毒WannaCry2工業主機防護不同千傳統PC安全防護， 主要由千工業生產環境對系統可用性要求非常高， 系統非計劃的重啟、 什機都會對工業企業遭受生產損失和影響，傳統PC安全防護為獲得最佳查殺效果， 需要及時打補丁、 更新病毒庫，由此導致的頻繁重啟在工業環境中是不可接受的。此外，傳統P

6、C 安全防護措施無法做到精準識別，所以存在對工業軟件誤殺的情況，而誤殺工業軟件在工業環境中是致命的，傳統PC 安全防護不適用工業環境。同時，由千工業生產穩定性特點， 工業主機更新緩慢，系統比較老舊，很多已是停服的系統， 硬件配置較低，資源受限，傳統PC安全防護軟件無法部署到工業主機上，甚至是部署后系統運行速度變慢，影響工業機正常使用。所以， 針對工業領域生產環境的特殊性， 工業主機安全防護顛覆了傳統PC安全防護的 “ 黑名單” 思想， 多采用與之相反的輕量級 “ 白名單” 方式實現對工業主機的防護。目前， 工業主機安全防護是工業安全的重點， 一方面千工業安全事件驅動，另 一 方面基千工業企業實

7、際安全需求，工業主機 “ 裸奔、無法更新補丁、 殺毒軟件無法兼容更新、 涌洞百出 1. ，是工業用戶亟待解決的主要問題。 工業_,_ 機防護需求明顯，但目前國內外適用且適配性較高的工業機防護產品仍然缺失，亟待突破。2工業主機安全防護國內外主要供應商及分布3基千當前及未來工業主機安全防護市場需求， 目前， 國內外涌現出幾十家工業主機安全防護產品廠商。 預計， 隨著侖”-:-，:工業信息安全產業發展聯盟市場需求的不斷擴大， 工業主機安全防護產品廠商也會隨之增加。目前，奇安信集團單個工業主機安全防護項目達17000 點， 應用千汽車制造行業， 突破國內工業主機安全防護最大部署規模。國外主要供應商：

8、賽門鐵克、 McAfee、 卡巴斯基組。國內主要供應商： 如列表所示。 （排名不分先后）皋1：國內工業主機防護供應商產品表份主要產品名稱主要產品特序號， 女 .點雀奇安信集團 網神信息技術（北京）股份有限.,網神工業主機安全防護系統北京，1 護 r公司 三匕L北京威努特技術有眼公司，北京北京天地和興科技有限公司,主機安全防護系統北京北京安點科技有限責任公司主機安全防護系統北京浙江中控技術股份有限公司主機衛士浙江杭州安恒信息技術股份有限公司明御主機安全及管理系統浙江北京啟明星辰信息安全技術有限公司夭絢內網安全風險管理與審北京8北京力控華康科技有限公司工業主機安全衛士北京北京和利時工業軟件有眼公司

9、主機安全管理與審計系統北京H3C SecPath新華三技術有限公司浙江工控主機安全衛士工控主機衛士長揚科技（北京）有眼公司北京北京廣利核系統工程有眼公司北京北京航天拓撲高科技有限責任公司航天拓撲工控主機衛士北京4北京天融信網絡安全技術有限公司夭融信工控主機衛士系統北京工控信息安全綜合管理系統北京神州慧安科技有限公司北京一工控主機加固軟件北京安盟信息技術股份有限公司安盟華御工控主機衛士系統北京工控主機安全加固華熱科技工業主機衛士北京國電智深控制技術有限公司北京北京華熱科技發展有限公司北京中安工控（北京）科技有限公司北京中國機房設施工程有限公司中國機房工業王機衛士天津工業主機安全防護系統GL$、浙

10、江國利信安科技有限公司浙江4HPS1-00I成都上壹眾匯科技有限公司上壹眾匯工控主機衛士四川湖南匡安網絡技術有限公司匡安工業主機衛士湖南深圳市安帝科技有限公司工控主機安全防護系統廣東藍盾信息安全技術股份有限公司I藍盾工控主機衛士BDIEG廣東恒安嘉新（北京）科技股份公司/金騎士主機安全管理系統北京珠海經濟特區偉思有限公司偉思信安工控主機安全衛士廣東目前，國內工業主機安全防護 個區域，北京地區最為集中，占比達62.9%。要分布在6工業主機安全防護技術發展趨勢1國外工業主機安全防護技術5國外針對工業主機的安全防護可實現針對工業服務器進行漏洞防御、 系統配置防護、 安全事件監控；應用白名單結合集中管

11、理進行工業主機安全防護；對工控安全防護系統 采用應用控制系統黑白名單等方式進行防護。令國外主要是殺毒軟件廠商，主要以白名單，集中管理一一一殺為產品主要優勢。卡巴斯基工業主機安全防護系統主要包含入侵檢割防御，實現網絡攻擊的防御功能和偵測功能；防病毒功能特征庫對比的惡意代碼檢測及惡意代碼行為的病毒檢測 式，幫助用戶恢復因特定惡意代碼而造成的系統變更；中央控管模塊實現其代理程序的遠程部署、 策略分發寸 0McAfee主要采用動態白名單信任模型，阻止未授權應用程序并阻擋高級持續性威脅(APT)，不需要特征碼更新，避免人工支持白名單管理工作，大幅降低成本。同時采用集中管理平臺有效控制應用程序訪問， 通過

12、一個集中的控制臺監控和管理所有安全保護產品， 顯著提升運營效率， 有效節省時間和成本。賽門鐵克主機安全防護包括了入侵檢測功能、 漏洞利用防御、 殺毒、 通過簡單的統一管理和控制， 進行快速部署，國外工業主機安全防護產品已廣泛用千保護其重要 業領域， 但中國本地化不足，如英文界面， 對國內主機需求響應實時性有待提升。2.2國內工業主機安全防護技術6國內工業主機安全防護產品廠商主要通過單一應用倉名單形式進行安全防護， 對工業主機病毒防護能力有待提升， 單純白名單機制針對某些病毒尤其 “ 永恒之藍 勒索1丙毒的防護效果仍需加強。2.3工業主機安全防護技術熱點與趨勢2.3.1白名單技術2.3.2防病毒

13、技術應用程序白名單技術仍是國內工業主機安全防護產品廠商采用的主流技術， 采用動態白名單防御技術， 只有白名單列表中的程序會正常放行， 未授權程序（病毒、 木馬、 違規軟件等）的運行會被阻止。 各廠商主要在可執行文件及腳本類型等方面存在生3+0在IT安全領域， 傳統殺毒軟件應用比較成熟， 防病毒技術得以廣泛應用；但在工業安全領域， 一是考慮工業生產現場連續型、穩定性需求， 非計劃的中斷、重啟等同千攻擊；7是工業主機不能及時打補丁，更新病毒庫；三是工業主機操作系統老舊，硬件資源有限，傳統防病毒軟件占用資源八， 至致工業主機無法安裝殺毒軟件或者安裝后系統運行緩慢 等。同時針對近年來工業主機頻繁感染勒

14、索病毒情況，當務之急是工業主機安全防護需要能夠進行病毒的檢測及防御， 特別是針對 “ 永恒之藍 ” 勒索病毒的防御是當前主流技術熱點：能對 “ 永恒之藍” 及其變種進行實時攔截， 利用 “ 漏洞8利用分析 流籃解析對比 ）可疑攻擊阻斷 ” 等技術， 無需為工業主機打補丁、 關端口， 進行 “ 永恒之藍 ” 勒索病毒的預判與防御。2.3.3外設管控技術外設管控也是當前工業主機安全防護不可少的功能。 此功能用于實現U盤、 移動存儲等設備的管理， 通過注冊今授權 審計實現對外設的有效管控。 禁用非法外設的接入， 有效切斷病毒、 木馬的傳播。2.3.4集中運維管理技術2.3.5,資產管理技術用戶生產現

15、場很多情況面臨跨地域，分布式部署， 針對大規模工業主機防護部署環境， 集中運維管理技術會進一步降低運維管理成本。 通過軟件化形態，實現所有工業主機安全防護終端的集中管理、 任務統一下發、 策略配置、 日志收集等是未來主流發展趨勢。 未來，在并發管理終端數量上、模塊配置、權限配置、 頁面配置、 掃描時間配置等定制化安全策略需求方面會是技術亮點。基于大多數工業企業依賴傳統資產統計方式，如手工踩記或紙質存檔等， 對其工業主機資產數最、 分布不能快速準確的掌握。 設備停機、 出現異常情況難以快速定位等相斗問題，工業資產管理技術也是當前工業主機安全防護不可缺竺工業信息安全產業發裊聯盟2.3.6 授權與回

16、收技術少的。 工業資產管理技術能做到自動識別工業主機系統估心， 口動生成資產清單， 隨著技術的發展及企業自身資產管理需要， 能結合資產自助登記方式， 靈活實現企業基千自身架構的資產管理。 遇到異常情況， 可以準確定位。 針對單點終端安全運維管理將是技術亮點， 實現單點終端硬件資產管理、 軟件資產管理、 賬戶管理、 配置管理、 白名單管理寸 0當工業現場主機面臨遷移或更替時，為避免已部署的業主機授權點數丟失，避免給工業企業增加額外的購買、部署成本，可對工業主機安全防護產品授權點數進行回收。有效保護用戶工業資產。2.3.7 工業終端專屬防護技術工業主機普遍存在操作系統老舊、 版本多樣、 硬件資源受

17、限、 工業應用軟件多樣化等情況， 針對工業主機復雜的環境特點， 工業主機專屬安全防護技術需要具備極高的軟硬件適配能力，支持多種操作系統， 切實符合工業用戶實際需要。目前工業主機安全防護產品在軟硬件適配能力、 操作系統支持方面有待進一步提向。3工業主機安全防護現狀與解決方案9目前，針對現場工業主機面臨的主要痛點，根據工業和信息化部印發的工業控制系統信息安全防護指南的相關要求，業界已有對應的解決方案。并已成功應用在智能制造、汽車制造、 電子制造、 軌道交逍、 石油化工、 軍工等領域。1工業主機安全防護現狀工業主機是工業企業核心的資產之一 ， 是工業控制系統重要的組成部分。 當前， 工業主機主要面臨

18、如下安全現狀：1幾乎 裸奔 、防護形同虛設大多數工業企業在實際生產中， 工業主機基本沒有任何安全防護措施， 即使有些部署了安全防護措施， 但因沒有進行更新幾乎處千失效狀態。 實際上， 我國工業生產網絡源千最初封閉獨立的現狀， 使得工業主機無法及時更新系統補丁， 無法進行全面的安全防護， 國內大部分工業主機幾乎處在 “ 完全裸奔 的狀態。 近年來， 隨著兩化深度融合日益推進， 工業控制系統也由封閉獨立逐步走向互通互聯， 工業-1- 機安全面臨嚴峻挑戰。2 “帶毒” 運行常態被打破由于工業生產的高穩定性要求，工業主機未安裝殺毒軟件，考慮殺毒軟件有可能誤殺工業軟件；或安裝殺毒軟件后 與工業軟件不兼容

19、、 不能及時升級病毒庫，不能有效進行安全防護。只要病毒、 木馬等惡意軟件不影響工業生產，企業10就可以忽略病毒的存在，工業主機 “ 帶毒運行 ” 已是常態， 但 “ 永恒之藍 ” 勒索病毒的肆虐， 打破了這種局面，使得系統出現藍屏、死機、重啟、產線停擺等嚴重影響生產問題，業主機安全防護已不可小覷。老舊操作系統、性能低下現場工業主機老舊操作系統占主流，如，WinXP, Win2000竺，且長時間不進行系統、補丁、涌洞的更新。對千系統仔在的漏洞也是束手無策。 漏洞如果被利用，就可能演變成以業主機為跳板發起網絡攻擊。同時， 老舊操作系統硬件資源受限， 往往難以安裝殺毒軟件。當前，專屬工業主機安防護顯

20、得尤為重要。移動介質濫用、擺渡攻擊工業企業在生產環境中，大多數未對移動存儲設備、 盤的使用未進行有效管控，比如通過工業主機U口給手機充 電、使用U盤進行數據傳遞等，很容易導致病毒通過移動仔儲設備進行傳播。3.2工業主機安全防護解決方案方案依據忑干工業企業生產網絡實際運行環境需求及工業主機 安全現狀， 根據工信部工業控制系統信息安全防護指南11千工業主機安全軟件的選擇與管理中的相關要求，為各工業企業用戶提供工業主機安全防護解決方案。方案理念工業主機往往是工業網絡中的主要風險點，病毒的入弓、 人為的誤操作等威脅主要都是通過主機設備進入工業系統。 因此， 有必要對工業主機進行安全防護。 考慮到工業控

21、制系統的實際情況，有時無法對操作系統進行頻繁的升級和重啟，以免對工業軟件及工業網絡帶來影響；而工業網絡的 相對封閉性也導致基于黑名單的殺毒軟件無法及時進行病書庫的更新，導致病毒防護滯后甚至失效。 所以，目前主沉的工業主機防護軟件為應用程序白名單軟件， 通過白名單軟件進行工業主機加固，建空工業主機安全 “ 白名單“ 基線， 確保可信任的程序、 進程被放行，已知和未知惡意程序被阻斷， 通過應用程序 “ 白名單 ” 的管理機制，保護工業主機免遭病毒或針對安全漏洞所發起的攻擊行為。3.2. 3解決方案通過在操作員站、 工程師站、 服務器部署主機防護安全防護系統， 實現對惡意代碼防護和外設端口的管理等。

22、 對于大規模終端部署場泉， 通過工業主機安全防護管理平臺對各終端部署的工業主機安全防護系統進行集中管理和運維。 保障工作站、 服務器的安全性與可用性。 工業主機安全防護部12署示意圖如下：b ew1aEm+莘酗 丘巴T1V卞安全防護菩理平臺- 一操作員,; 二;,i.J- -二l氣 一孛工業主IJ1.安全防護系統.寫咚隅泗心曇酗笠酥圖3: 部暑示意圖工業主機安全防護的部署， 主要實現以下目標：通過部署工業主機安全防護， 提高工業主機的惡意代碼防護能力。對工業主機USB接口等外設進行有效管控， 降低非授權U盤、 移動存儲設備的非法接入， 從而降低工控網絡的安全風險。實現對 “ 永恒之藍” 勒索病

23、毒的防御， 避免工業主機藍屏、 重啟、 產線停擺等嚴重影響生產損失。13通過部署工業主機安全防護管理平臺對各終端進行集4工業主機安全防護未來展望l工業主機安全事件頻發“ 永恒之藍” 勒索病毒全球爆發2017年5月12日， 全球爆發了靴索病毒事件， 兩天時間內， 英國國家健康服務網絡、 美國聯邦快遞、 西班牙電信巨頭Telefonica、 法國雷諾汽車、 德國的聯邦鐵路系統、 俄羅斯內政部、 日本H 立公司先后有系統被攻陷， 重要數據被鎖定， 造成部分業務中斷或無法正常運行， 要求支付一定的贖金來解鎖。國內也有數萬個組織和機構被感染， 影響范圍遍布中校、火車站、自助終端、郵政、加油站、醫院、 政

24、府辦事終端等多個領域，造成很多業務無法正常開展甚至運營中斷。此次勒索病毒波及范圍之廣，影響之大，足以引起各行業重 視。 近兩年，在國內智能制造、 汽車制造、 鋼鐵等行業工業一戶機被勒索病毒感染問題頻發，現場應急發現，大多數工業機 “ 裸奔 、無防病毒措施等，安全狀況不容樂觀。 (2)臺積電中毒事件， 再次敲響警鐘2018年8月3日，臺積電位于臺灣北、 中、 南三處重要14生產基地因為勒索病毒(Wannacry)入侵導致生產線停擺。此次事件是由于新機臺在安裝過程中未按標準程序進行操作，未在連接網絡前進行病毒檢測，導致工業主機感染炳口： 并發生擴散。 可見，近年來勒索病毒肆虐并未引起各行業充分重視

25、。 工業安全事件頻發主要集中在工業主機上， 工業士機安全防護已是重中之重。4.1.2產業政策持續利好近年來， 我國在不斷積極完善網絡安全與信息化相關的戰略、 政策、 法規、 標準等規范和指導文件， 并不斷細化使其更具有針對性和落地性。2016年10月， 工信部印發的工業控制系統信息安 防護指南分別從管理和技術角度針對安全軟件選擇與管 理、配置和補丁管理等11大項為工業主機安全及工業安全 防護提供了具體指導。在工業控制系統信息安全防護指南中，安全軟件選擇與管理條款強調了工業主機采用的防病毒 軟件或應用程序白名單軟件需進行離線割試和驗證，避免影響工業系統的穩定性；通常在工業主機應用程序比較穩定或

26、安全要求較高的主機上選擇應用程序進行安全防護。2017年6月1日中華人民共和國網絡安全法的正式 施行， 為行業發展提供了重要的法律依據。 中華人民共和國網絡安全法強調了國家實行網絡安全等級保護制度， 國家對關鍵信息基礎設施， 在網絡安全等級保護制度的基礎15屯行重點保護。從此，讓我國的限絡安全工作有法可依有章可循。近年來， 我國工業安全相關的主要政策、 法規等指導性文件，如列表所不：表2：我國工業安全相關政策表序號1機 構 全國人大發布時間2016. 11文件名稱中華人民共和國網絡安全法主要國家對公共通信和信息服務、 能源、 交通、水利、全融、公共服務、電子政務等重要行業和領域 關錠信息基礎設

27、施， 在網絡安全等匾級保護制度的基礎上 ， 實行重點保2國務院2017. 11關于深化“ 互聯網十先進制造業“ 發展工建立 “ 工業互聯網安全保陣體系、提升安全保陣能力 ” ,.3工信部.I2011. 10J, .,J護J., .-業互聯網的指導意見關干加強工業控制從管J里和制度方面， 找出加強工業系統信息安全管理的控制系統信息安全管理措施、 .文. 、,通知(451號）4工信部2016. 10工業控剒系統信息安全防護指南(338工業企業開展工控安全防護工作的整體性指導文件。r儼號）5工信部2017.06工業控制系統信息指導做好工業控制系統信息安全安全事件應急管理工事件應急管理相夫工作， 保陣工業作指南(122號）控制系統信息安全。6工信部2017.08工業控制系統信息檢驗338號文的實踐效果，綜合評安全防護能力評估工價工業企業工業控制系統信息安16令一工止信息安全產業發展聯盟作管理辦法號）(188全防護能力”7工信部2017. 12工業控制系統信息安全 行 動計劃(204 8-2020)316號）為全面落實國家安全戰略， 提升工業企業工控安全防護能力 ， 促進工業信息安全產業發展， 加快我國工控安全保律體系建設， 制定本行動計劃。f8公安部2018. 08網絡安全等級保護條例（征求意見稿）應當按照網絡安全等級保護制度要求，采取措施？管控云計算， 大數據、 人