近日，“WannaCry”勒索軟件在全球范圍內爆發，英國、俄羅斯、整個歐洲、中國等諸多國家的國家機構、大型企業、醫院、高校等受到影響。事件發生后，海天煒業接到很多用戶的來電，咨詢他們的工控系統安全問題，有些用戶還將原定的項目實施方案提前進行。為什么流程工業用戶對“WannaCry”事件如此敏感？這要先從“WannaCry”感染利用的系統安全漏洞說起。

沒有被及時關注和管理的Windows系統安全漏洞，

給了“WannaCry”爆發的“后門”

“WannaCry”事件中，“WannaCry”勒索軟件是借助“永恒之藍”漏洞利用工具，利用Windows操作系統在445端口的安全漏洞（CNNVD-201703-721 ~ CNNVD-201703-726），潛入電腦的。

針對這一安全漏洞，微軟對Win7及Win7以上系統均已有補丁支持，而Windows XP等目前已不受微軟支持的版本，沒有提供補丁。盡管“WannaCry”事件爆發后，微軟提供了Windows XP等版本系統的補丁，但是對于已經感染的用戶而言，已經無效。

與此同時，在被感染的用戶中，有相當部分的Win7及Win7以上系統用戶，并未安裝微軟已經發布的補丁，因此感染。

在信息爆炸的互聯網時代，信息安全風險無處不在，防不勝防。

沒有被及時關注和管理的Windows系統安全漏洞，給了“WannaCry”爆發的“后門”。值得注意的是，在國內工業控制系統中，Windows XP、Windows 2003等Windows系統版本仍然在廣泛大量的應用，這也是為什么事件發生后，用戶紛紛向海天煒業咨詢的原因。

中國工控系統的運行特性：更高的感染風險和更大的損失

企業生產系統網絡龐大、接入方式復雜、設備數量眾多、敏感數據多、系統運行時間長，這些特點決定了，工業控制系統具有更高的感染風險。流程工業企業一旦感染WannaCry或其他病毒，帶來的將是巨大的安全隱患和不可估量的損失：主機和工控軟件以及系統軟件的失效、主機癱瘓、生產失控、系統停車、其他重大安全事故等都有可能發生。

系統復雜、老舊：目前，中國的工業控制系統中，Windows XP、Win2003、Win7被大量使用，甚至更早版本的系統也在運行，相較于新系統而言，防御能力很差，工控系統感染風險大。

大量開放端口：因為工控軟件運行需要盡可能寬泛的系統資源，有些工控系統的網絡端口存在非必要開放的現象，如445端口、139等。在Win系統中有些端口是默認打開的，即使工控軟件不必使用它們，系統仍然是開放的，而且有些工控軟件會開放一系列網絡端口作為備用，這很容易被病毒利用。這些因素導致工控系統防范病毒傳播的能力較弱，如果在不采取措施的情況下，一旦有一臺工控主機被感染，會迅速傳播到整個局域網的主機。

另一方面，在工控系統主機上做端口關閉需要經過嚴格的論證和測試：基于穩定運行的需要，工控系統很少主動關閉非必要的網絡端口，擔心在未知的情況下影響系統的使用，因此，為工控系統提供網絡防護時，安全策略的制定需要在仿真系統上經過較長一段時間論證或者測試才能進一步在真實生產系統上逐步推行，而僅僅根據網絡上一些通用的防護方法，直接關閉端口，可能會影響系統使用，影響系統正常運行。

告別“永恒之藍”：海天煒業“主動防御”的整體解決方案

就目前的統計，應用海天煒業安全解決方案的用戶的工控系統并未出現WannaCry病毒感染的事件，這是因為海天煒業的安全解決方案從主機層、網絡層、監控層、服務層四個層面對 “WannaCry ”等病毒實現主動防御，有效保護工控系統的安全：

主機層：海天煒業通過進程白名單防護，防止惡意代碼和病毒程序的運行，起到病毒防護的作用；

網絡層：海天煒業應用白名單，通過配置嚴格的安全策略，杜絕高位以及敏感端口被攻擊的可能性；

監測層：海天煒業系統對高位和敏感端口進行實時監測，發現正在運行或者發動攻擊的高危行為時可以實時報警；

服務層：用戶如發現系統問題，海天煒業工程師將制定定制化的解決方案，通過實驗室進行測試，確保將對原有生產最有利的可行性解決方案運行到用戶系統中。

海天煒業深知工控網絡安全對用戶生產安全的重要性，深耕工控網絡安全板塊業務，不斷優化研發以及解決方案競爭力，目前，海天煒業已經建立了集評估評測、研發、銷售、安全服務于一體的工控網絡安全服務體系，可以為用戶提供從工控網絡安全延伸到工業生產安全的一體化解決方案，打造業內領先的工控網絡安全服務平臺，在保證用戶工業控制系統的網絡安全、主機安全、應用安全、工控數據安全的同時，實現持續防御，為用戶工業控制網絡的全生命周期提供系統的安全解決方案。