4月28日，山東某石化企業(yè)加氫裝置SIS工程師站突然出現(xiàn)藍屏死機并且不斷重啟的情況，經(jīng)過現(xiàn)場工程師的判斷，疑似感染W(wǎng)annaCry變種計算機病毒。得知此情況后，該公司高層緊急向海天煒業(yè)尋求解決方案并對希望能對全廠工控系統(tǒng)感染的情況進行全面評估。

收到用戶發(fā)出的求助信息后，海天煒業(yè)連夜組織精干力量趕往事發(fā)現(xiàn)場，發(fā)現(xiàn)該SIS工程師站未安裝InTrust可信芯片工控安全平臺，在加裝InTrust可信芯片工控安全平臺客戶端軟件后，通過系統(tǒng)知識庫對比，發(fā)現(xiàn)多個系統(tǒng)文件遭到篡改。

InTrust可信芯片工控安全平臺知識庫顯示如下：

感染病毒計算機文件如下：

通過對安裝SIS工程師站與MES網(wǎng)絡(luò)之間的Guard工業(yè)防火墻的日志進行查詢分析發(fā)現(xiàn)，SIS工程師站向網(wǎng)絡(luò)中發(fā)送大量的445端口數(shù)據(jù)包，并向存活計算機的445端口大量發(fā)包的情況。

通過查詢其他裝置防火墻并未發(fā)現(xiàn)此類日志，因此可以斷定Guard工業(yè)防火墻已成功攔截勒索病毒的傳播，過濾兩個區(qū)域網(wǎng)絡(luò)間的通信，網(wǎng)絡(luò)問題會被控制在最初發(fā)生的區(qū)域內(nèi)，而不會影響到其它部分。同時在CMP管理平臺產(chǎn)生實時報警信息，從而問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。從而保障了工廠生產(chǎn)安全穩(wěn)定運行。

事后，海天煒業(yè)對該用戶全廠工控系統(tǒng)感染的情況進行了全面的評估，發(fā)現(xiàn)僅加氫裝置SIS工程師站因未加裝InTrust可信芯片工控安全平臺而遭受勒索病毒攻擊，其他安裝海天煒業(yè)工控網(wǎng)絡(luò)安全產(chǎn)品的設(shè)備均有效地將該勒索病毒攔截。

該廠工作人員對海天煒業(yè)對安全事件的迅速響應(yīng)及專業(yè)的處置方案做出了高度的評價，感謝海天煒業(yè)在安全事故發(fā)生之前將隱患排除，同時要求其他存在隱患的設(shè)備及時加裝工控網(wǎng)絡(luò)安全產(chǎn)品，從根本上杜絕網(wǎng)絡(luò)安全事故的發(fā)生。

關(guān)于InTrust可信芯片工控安全平臺

鑒于工業(yè)控制系統(tǒng)應(yīng)用場景的特殊性，通用殺毒軟件無法有效對各控制系統(tǒng)（DCS/SCADA/PLC/SIS等）的操作站、工程師站等終端的工控軟件進程進行有效識別和查殺，難以采用傳統(tǒng)的安全產(chǎn)品進行防護。

“InTrust可信芯片工控安全平臺”是海天煒業(yè)聯(lián)合中科院軟件所合作研發(fā)推出的基于自主可信計算技術(shù)的產(chǎn)品，該產(chǎn)品采用我國自主知識產(chǎn)權(quán)的TCM硬件芯片，對工控軟件進程進行可信度量并對度量信息進行加密運算。

InTrust工控可信計算安全產(chǎn)品可有效防御工控系統(tǒng)終端病毒感染、惡意代碼進程啟動、操作系統(tǒng)內(nèi)核漏洞、USB誤用濫用等安全隱患，從根本上實現(xiàn)了對各種不安全因素的主動防御，為我國眾多工業(yè)領(lǐng)域的信息系統(tǒng)提供安全運行保障。

關(guān)于Guard工業(yè)防火墻：

Guard工業(yè)防火墻是海天煒業(yè)推出的一款自主工控網(wǎng)絡(luò)安全防護產(chǎn)品，屬于新一代工業(yè)協(xié)議增強型防火墻，通過區(qū)域隔離、通訊管控、實時報警，為工業(yè)通訊提供獨特的、工業(yè)級的專業(yè)隔離防護解決方案。能深層保障工業(yè)通訊安全，有效防止蠕蟲、病毒的傳播和擴散，從而創(chuàng)建“本質(zhì)安全”的生產(chǎn)控制網(wǎng)。目前已成功應(yīng)用于石油石化、電力、煙草、冶金、化工、管道以及水處理等多個行業(yè)，是一款能真正有效保護工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的設(shè)備。