一、背景描述

• 中国工控安全事件呈暴涨趋势

2016年中国工控系统领域的安全事件呈暴涨趋势，相比于2015年增长了2,213%[1]。平均每件安全事件对中国企业造成的损失达263万美元[2]。工业控制系统作为国家关键信息基础设施存在以下几个突出问题：

1、工控设备漏洞逐年剧增

2、安全攻击日益组织化和高强度化

3、多数企业工控系统处于“裸奔”状态

[1][2] 数据来源：Frost&Sullivan

• 工控安全需求逐年保持高增长

2017年6月1日《中华人民共和国网络安全法》的出台实施，工业企业将面临史上最严格的安全防护要求及审查，同时伴随一波又一波的安全事件驱动，工业企业对信息安全的需求逐渐成为刚需，工控安全市场保守估计年增速超过50%[3]。

[3] 数据来源：普华永道

二、工业控制系统病毒防护现状

• 工控安全事件大多伴随恶意程序身影

在众多工控安全事件中不难看出，大多事件均伴随恶意程序的身影，这其中有面向指定目标的特种病毒，也有影响范围广泛的普通病毒。

• 常规病毒感染成为工控网络最常见问题

Stuxnet、WannaCry这些如雷贯耳的病毒虽然破坏力惊人，影响深远，在安全意识和防护手段上要给予足够的重视。但实际上，常规病毒感染导致主机功能失效，网络延迟抖动才是工控网络最常见问题，基于威努特超过100例工控现场的调研结果显示,超过2成[4]的工控网络存在带毒运行的问题，这些病毒的长期潜伏，使得工控网络运行就像“骑在飞行的炸弹”上，给工控网络长期稳定运行带来安全隐患。

[4] 数据来源：威努特现场实施数据

• 防病毒软件安装情况

根据国家信息技术安全研究中心的调研，近70%[5]的工业主机未安装防病毒软件，其原因大体如下：

1、防病毒软件与工业控制系统应用软件不兼容，导致工控系统运行错误。

2、工业主机配置较低，防病毒软件对磁盘的频繁扫描及资源占用较高可能引起工业主机运行缓慢。

3、自动化厂商或系统集成商出于运维角度的考虑，排斥在工业主机上安装防病毒软件，同时业主也担心因此带来的不确定因素。

[5] 数据来源：国家信息技术安全研究中心

而更糟糕的是，在已经安装防病毒软件的主机上，绝大部分病毒库升级不及时甚至不升级。根据威努特现场实施数据来看及时升级病毒库的主机可能只有10%[6]，甚至更低。

工控网络不联网，缺少实时更新条件、防病毒软件升级后存在误杀问题，引发应用软件异常以及面对特种木马、0-day利用功能失效等原因是工业企业用户不升级病毒库的主要原因。

[6] 数据来源：威努特现场实施数据

• 工控网络对病毒防范提出新要求

由于工控网络的特殊性，目前包括病毒库更新、补丁升级等一切带来变化的行为在工控网络都难以接受，即基于黑名单机制可能会把工控网络从“稳态”拖入“暂态”，对于以可用性为首要信息安全诉求的工控网络而言，黑名单机制的防护类产品显然不是工业用户的首选。

而另外一个方面，由于工控网络业务行为相对清晰，允许通过技术语言描述业务行为的轮廓，通过框定业务行为的边界即通过白名单的方式来实现异常访问、异常流量、异常程序的阻断。目前，基于白名单机制的防护措施在工控网络防护体系中已是主流选择。

三、威努特工控网络病毒治理实践

• 建立工控网络边界病毒隔离“白环境”

建立生产监控层与生产控制层（或办公网与生产网）的合法流量模型，梳理边界流量白名单，针对工控协议深度解析，只放行业务相关流量，实现异常流量阻断，也避免传统防病毒网关或IPS需要频繁升级特征库的窘境。

• 建立工控网络通信病毒检测“白环境”

建立网络访问通信模型，梳理网络访问关系，对网络异常流量进行告警，通过可视化手段发现木马、蠕虫等恶意网络扫描、探测行为。

如：WannaCry频繁主动探测445端口

• 建立工控主机病毒免疫“白环境”

学习工控主机所有可执行程序（包括但不限于.exe\.msi\.bat\.dll\.sys\.cmd\. com\脚本），梳理与业务相关的应用程序并固化形成应用程序启动白名单库。所有PE文件在启动之初会向白名单库验证PE文件合法性与完整性。以此方式限制病毒等恶意程序的启动、感染、传播。

工控主机免疫“白环境”应用案例：

成功拦截Wannacry勒索病毒

http://mp.weixin.qq.com/s?__biz=MzAwNTgyODU3NQ==&mid=2651061404&idx=1&sn=be395ed09ca074b7afb2aa3d8c1d31e1&chksm=80e1e62cb7966f3adcd773e5af3735beff42c43ae289a0e9b057b19451bad36c688b352a1d89&mpshare=1&scene=1&srcid=05249axA8s6WPMHYfFEVeUh2#rd

在建立上述三个“白环境”后，有三项针对工控网络病毒查杀的技术服务需要特别说明。

• 切断工控网络病毒主要来源

明确区分企业授权存储介质和非授权存储介质，通过管理和技术手段实现存储介质标签化，只有授权存储介质可以在工控主机上有限权限插拔，实现形式统一、操作可查、范围可控、存储安全。切断工控网络病毒主要来源。

在存储介质使用上，建议从管理手段上采用“一前一后”办法，即存储介质使用前、使用后均进行杀毒动作，杀毒动作在专用中间机上完成。

• 基于业务可持续性的病毒查杀

工控网络病毒查杀更关注查杀后主机承担的业务的可持续，病毒治理在工控网络需要深度结合业务，而不单单是防病毒软件功能的实现。作为工控安全业内扎扎实实的从业者，威努特是目前唯一一家在工控主机防护实施过程中首先实施工控主机“平行杀毒”的厂家，即便这样会大幅增加实施成本。

在工业现场我们杀毒的流程是把主机克隆出来并杀毒，我们通常叫“离线杀毒”，但实际上我们并不是单单是克隆了主机，而是克隆了主机在整个网络中承担的业务，“平行杀毒”就是要保障杀毒后依然维持业务的连续性。

• 建立工控系统应用软件白名单库

为了确保工控主机白名单库的有效性，必须建立工业自动化软件及操作系统应用程序白名单库，通过白名单库的建立实现工控主机应用程序合法性验证、完整性校验及异常应用程序替换。

总结

针对工控网络病毒防范要施行管理先行、技术跟进、服务保障的安全策略。执行严格的管理措施保障非企业存储介质在工控网络滥用，扎口工控网络病毒来源最薄弱环节，实施“平行杀毒”服务对工控网络进行“体检”，建立边界隔离、网络通信检测、工控主机免疫三重“白环境”打造工控网络病毒治理“白环境”，实现只有可信任的设备，才允许接入。只有可信任的消息，才允许传输。只有可信任的程序，才允许执行。