万物互联环境下的工控安全现状分析-爱代码爱编程
随着物联网、大数据、人工智能等先进IT技术的快速发展,制造业为重塑企业核心竞争力,正加速推动IT与OT的融合,改造传统的生产关系与业务流程,从产品研发、业务管理到生产车间全方位推动企业的数字化转型与智能制造。在数字化、网络化和智能化的大趋势下,工业网络从封闭走向开放,工控安全问题也逐渐被社会各界所关注。
IT、OT融合加速,工控安全风险加剧
在传统的制造企业信息网络中,由于生产区和办公区独立组网,企业生产区的现场设备、控制、监控网络以及内部管理网络与外界互联网相对隔离,形成了较为封闭的环境,网络安全性较好。但随着IT与OT的加速融合,企业内外部以及供应链上下游企业的数据信息为了更好的实现横向和纵向集成,需要将企业内部的设备、应用与信息系统与外网实现联通。在这个过程中,企业需要采用标准化的通用IT技术、统一的工业协议和开放的应用接口,打破工业控制网络的隔离边界,使得工业网络从封闭走向开放。
随着工业网络开放性的增强,信息安全风险不断向工业领域蔓延,工业控制系统(ICS)的安全防护体系面临巨大安全威胁。大数据时代,很多企业将关键生产与运营数据作为企业的核心资产予以保护,一旦泄露,将会给企业带来很大的损失。更重要的是,工控系统承载着事关社会经济乃至国家安全的重要工业数据,一旦被窃取、篡改或流动至境外,将对国家安全造成严重威胁。目前,企业的工业控制系统(ICS)安全主要面临三大挑战,具体体现在:
(1)黑客的蓄意破坏。随着万物互联时代的到来,越来越多的工业控制系统及设备,在没有防护措施的情况下暴露于互联网,极易被黑客探测发现。一些别有用心的黑客,为了达到某种经济利益甚至是政治利益,通过互联网侵入工业网关,肆意攻击重要部门和领域的工控系统。
(2)自身漏洞层出不穷。工控系统软硬件更新、更换困难的现状使得不少漏洞隐藏其中而得不到修复,例如在SCAD系统软件、操作系统、网络通信协议、安全策略和管理流程中存在一定的漏洞,难以察觉。此外,很多工控系统,也难以规避内部技术人员的无意和蓄意串改。
(3)自身防护系统的脆弱性。多数ICS网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离,各个工业自动化单元之间缺乏可靠的安全通信机制,例如基于DCOM编程规范的OPC接口几乎不可能使用传统的IT防火墙来确保其安全性。数据加密效果不佳,工业控制协议的识别能力不理想,加之缺乏行业标准规范与管理制度,工业控制系统的安全防御能力十分有限。
个人建议是采用主机加固的方式来加固工控机,来做到抵御病毒的效果
主机加固的核心要点:
1、系统加固
将调试好的系统锁定,变成可信系统。
在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。
即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。
2、程序加固
采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过拒绝启动,并且可信程序无法被伪装。
3、文件加固
保护指定类型的文件不被篡改。
4、磁盘加密
创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。
5、数据库加固(结构化数据)
第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。
第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连接字符串的IP+端口+账号密码中,追加进程身份识别。
第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库内数据被非法访问,防止数据库表单的危险操作行为。
主机加固的核心要点:
1、系统加固
将调试好的系统锁定,变成可信系统。
在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。
即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。
2、程序加固
采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过拒绝启动,并且可信程序无法被伪装。
3、文件加固
保护指定类型的文件不被篡改。
4、磁盘加密
创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。
5、数据库加固(结构化数据)
第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。
第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连接字符串的IP+端口+账号密码中,追加进程身份识别。
第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库内数据被非法访问,防止数据库表单的危险操作行为。
哪些主机加固品牌值得推荐:
目前市场已知主机加固领域做得好的几个品牌有:
1、深信达的MCK主机加固
2、青藤云安全。
3、珞安科技。
4、浪潮。
5、安恒。
6、深信服。
7、天融信。
排名不分先后。个人推荐MCK主机加固吧,因为我们公司买的就是MCK主机加固。据说他们的沙盒加密也是业界老品牌了,可以信赖。
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密
目的是防勒索病毒,主机加固,系统加固,工控安全服务器防病毒,业务系统防病毒,服务器防入侵,产线防病毒,工控机加密,工控机加固,服务器数据安全,工控系统主机安全,设备加密,工控机防病毒,工控机加密,算法加密,程序加密防拷贝,超级加密狗,设备防破解,设备授权管理,设备防病毒,工控机授权管理,智能设备加密