随着物联网、工业互联、5G等新兴信息技术的产生和应用，自动化、信息化两化融合正快速走向实践，传统工业控制领域正在迎来全面融合与剧变，为企业带来管理便捷和高生产效率的同时，伴生的网络安全风险也日益明显。

　　近年来，国内外工业控制领域网络安全风险日益猖獗，“Stuxnet”震网病毒、“永恒之蓝”勒索病毒等工业内网安全事件频频发生。纵观整个工业控制网络，作为人机交互入口的工程师站、操作员站等终端主机已成为最脆弱、最容易受到攻击和入侵的系统组件，工控系统主机的安全防护研究已成为工控网络安全的重要课题。

　　震网病毒事件分析

　　国家政策法规如何定义

　　“没有网络安全就没有国家安全”。网络安全法的出台标志着我国网络空间安全已由安全实践上升为法律制度，并引入了“关键信息基础设施概念”，关键信息基础设施是国家重要资产，关乎国计民生，是国之重器，其重要程度不言而喻。

　　网络安全法第二十一条要求，国家实施网络安全等级保护制度；2019年12月正式实施的等保2.0版本对云计算、物联网、移动互联、工业控制系统提出了新的安全扩展要求，标志着工业控制领域网络安全进入了全新的时代。

　　依据《GBT22239-2019 信息安全技术 网络安全等级保护基本要求》及其工业控制系统扩展要求对主机防护的要求，本文主要分享立思辰安全对工业控制系统主机安全风险和防护方面的建议与实践。

　　总体层面  工业主机设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求，如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过管理手段控制；

　　物理层面  应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等，确需保留的应通过相关的技术措施实施严格的监控管理；

　　操作系统层面  身份鉴别信息应具有复杂度要求并定期更换；应重命名或删除默认账户，修改默认账户的默认口令，及时删除或停用多余的、过期的账户，避免共享账户的存在；应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；应在经过充分测试评估后，在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作；

　　应用层面  应关闭不需要的系统服务、默认共享和高危端口；采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断；

　　审计层面  应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

　　工控主机安全防护策略与实践

　　作为人与机器的交互接口，工作站、操作员站是工业控制系统操作最频繁，人员使用记录最复杂的设备，且多采用通用windows操作系统，USB等外设接口是工控系统与外界摆渡数据最重要的通道，也是病毒流入的主要途径。

　　2010年6月，伊朗核设施遭震网病毒攻击事件即由U盘携带病毒进入核电站工控网络，攻击了西门子公司的数据采集与监控系统SIMATIC WinCC，最终导致离心机受损的严重后果，该事件也成为了工控网络安全风险的标志性事件。

　　工业控制系统主机类终端及操作人员众多，且使用U盘作为数据摆渡方式是最基本的需求，对USB等存储外设的管理已成为病毒防御的第一道防线。基于此类需求我们可以采用终端管理类软件对外设端口进行集中统一管理，既可批量管理外设端口的使用，又能保证可信U盘等设备的认证接入。

　　外设管理

　　用户密码作为身份认证的口令，是守护工业控制系统安全的大门，攻击者攻击目标时常常把破译用户的口令作为攻击的开始，只要攻击者能猜测或者确定用户的口令，就可获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。实现控制系统对密码强度和操作系统账号的统一管理，可为工业控制系统入口安全提供重要保障。

　　密码强度管理

　　操作系统账号审计

　　2019年3月7日下午5时许，包括首都加拉加斯在内的委内瑞拉发生全国性大规模停电。全国超一半地区完全停电，且持续超过6小时。据专家分析本次事故是由于委内瑞拉最大的古里水电站受到网络攻击导致机组停机所致，利用电力系统的漏洞植入恶意软件是本次网络攻击的主要手段。

　　根据国家信息安全漏洞库（CNNVD）数据统计，近年来系统漏洞呈逐年增加趋势、特别是工控系统漏洞，呈显著增加趋势。

　　CNNVD年度漏洞分布图

　　2006-2019年公开工控漏洞趋势图

　　目前，大部分工业控制系统与互联网处于隔离状态，补丁安装不能及时进行。应在系统内部建立解决方案，使之可实现集中监控计算机补丁安装情况及补丁管理，支持安全补丁自动更新、补丁漏洞扫描、补丁文件离线下载及分发。

　　补丁修复

　　另外，还有部分工业控制系统需要7×24小时不间断运转，无法及时验证和修复补丁，众多的工控设备漏洞也缺乏官方获取更新补丁渠道，我们建议考虑“零信任”解决方案，在有漏洞的前提下，通过设立应用程序白名单机制，只有可信任的软件，才被允许运行，此举既能保证工控系统“带洞运行”的有效防护，也能抵御利用“0day漏洞”的高级形式的网络攻击。

　　当边界隔离防线失守，病毒偷偷潜入了工业控制系统，应用程序的白名单机制也能有效阻止病毒的发作，通过对可执行文件哈希值的校验，确保只有通过合法校验的文件才能运行，无论是病毒文件自身还是被病毒感染的其他可执行文件，均无法运行。相对于传统杀毒软件，应用程序白名单机制无需联网更新病毒库，也避免了杀毒软件误杀引起工业控制系统故障，既能充分满足工业控制系统恶意威胁的阻断需求，也能保障生产过程的持续和稳定，提供了良好的恶意代码防范实践体验。

　　自“WannaCry”勒索病毒肆虐以来，陆续出现了多种原理类似的变种病毒，不但严重威胁着企业内网数据的安全，也有从企业内网蔓延至工控网络的趋势，危害巨大。此类病毒在网络中利用操作系统的漏洞和部分共享端口（如135、137、138、139、445等）传播，采用不同算法对终端文件进行加密以索要赎金。此类病毒蔓延至工控网络，会立即引发工业控制系统故障，造成不可估量的损失，甚至引发安全生产事故。

　　通过立思辰工控终端防护系统提供的终端防火墙功能，可以批量关闭主机的所有高危端口，完全阻断勒索病毒的入侵路径。如已有主机被感染，配合应用程序白名单机制，还可以完全阻止病毒在工控网络的扩散和发作，有效避免生产事故和财产损失的发生。

　　随着工业数字化、网络化、智能化全面推进，我国工控安全形势也面临着安全漏洞不断增多、攻击手段复杂多样的挑战，工业控制网络没有绝对的安全，工业控制系统安全研究与实践永远在路上。