以“白”除“黑”，天融信全方位守护工业主机安全

工业互联网，是人、机、物全面互联的新型网络基础设施，被称为“工业经济转型升级的关键依托”。安全作为工业互联网发展的核心要素之一，如“神经末梢”一般渗透在工业流程的各个环节。如今，针对工业领域的网络攻击呈高发态势，工业主机已成为安全事件的落脚点，做好工业主机的安全防护和控制是保障工业互联网安全的核心。在工业主机安全领域，白名单机制作为主要的安全防护手段，可有效抵御勒索病毒、木马等各类源自黑暗面的安全威胁。天融信以“白”除“黑”，全方位守护工业主机安全。

一、如何为工业主机建立“外设屏障”？

案例解析：U盘病毒，顾名思义就是通过U盘传播的病毒。自从发现U盘的autorun.inf漏洞之后，U盘病毒的数量与日俱增。U盘病毒并不是只存在于U盘上，中毒主机的每个分区下面同样有U盘病毒，主机和U盘交叉传播。随意在工业现场主机上插来源不明的USB设备，就会有主机失陷的可能。

解决措施：

1、建议通过管理和技术性控制措施，严格把控工业现场操作员、工程师站及服务器对移动存储设备的使用，并定期检查；

2、安装工控主机卫士软件并建立硬件白名单，对U盘管控功能进行防护，对未知U盘的接入进行告警和封堵；

3、对在硬件白名单中的U盘进行细粒度管控，默认设备为可读状态，避免被非法人员恶意导入木马病毒及修改相关操作指令带来的安全风险。

二、如何为工业主机擦干“被勒索的眼泪”？

案例解析：勒索病毒通过利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。当勒索病毒盯上了工业领域，工业主机将出现蓝屏、不断重启、生产文件被加密等现象，严重影响工业企业的正常生产。

解决措施：在工业控制系统的主机上部署工控主机卫士，通过扫描、学习及人工校验的方式建立程序白名单，阻止白名单外的程序启动或加载，防范恶意程序与不合规程序运行，确保工业主机处于稳定运行状态，避免因勒索病毒、木马或非法应用造成的停机，保障生产业务连续可靠运行。

三、如何为工业主机指定“配置对象”？

案例解析：工业企业的生产机台每年都会更新，不法分子常常会通过机器植入病毒，防护疏忽的企业会直接把机台接入网络中，一旦潜伏的病毒或未知漏洞被唤醒利用，会在整个网络中迅速扩散，给工业企业带来不可估量的损失。

解决措施：在工业控制系统的主机上部署工控主机卫士，开启网络白名单监控。只允许白名单中安全可信的程序与指定主机IP通讯，白名单之外的网络连接全阻断。即使有主机被感染病毒，也无法扩散传播，防止工业主机被攻击和被感染。

四、如何为工业主机减轻“压力”？

案例解析：工业控制系统的使用生命周期较长，生产环境中存在大量长期服役的设备。虽然随着业务的增长会添加新设备、新系统，但是大多工业产线依然存在嵌入式低配老旧系统，找到一款全适用的工业主机防护软件成为了首要命题。

解决措施：在工业控制系统的主机上部署工控主机卫士，主机卫士有别于反病毒软件不依赖急剧增长的特征库，根据工业生产的具体生产环境建立可信白名单，对系统资源占用量小，亦适用于工控环境中老旧设备，是一款真正适用于工业场景的防护软件。

天融信工控主机卫士是一款专门为工业主机打造的安全防护类软件，系统采用白名单的安全机制，全面扫描工业主机的可执行文件，建立安全白名单基线，禁止非法文件加载及执行，防范病毒木马感染；保护关键目录及注册表，实现业务应用与操作系统的安全加固；细粒度管理主机外设及移动存储权限，阻断病毒传播途径，从而对工业上位机及服务器实现全方位的安全防护，保障客户业务连续稳定运行。

目前，天融信工控主机卫士系统已广泛应用到石油石化、轨道交通、烟草、智能制造、煤炭、冶金、水利、市政等行业。未来，天融信将继续深耕工业互联网安全领域，持续加强安全技术研究与应用实践，推出更多适用于工业场景的安全产品及解决方案，助力工业企业生产网络安全建设，为国家关键信息基础设施保驾护航。

相关阅读

2、2021全球工业互联网大会丨天融信入选第一批网络安全技术支撑单位+分享工业互联网安全之道

3、聚焦工业互联网安全｜天融信加入深圳工业互联网服务数智先锋联合体

4、2021世界计算大会｜天融信李雪莹博士：依据工业特征构建工业互联网数据安全体系