題-1.png)
事件說明
據(jù)臺(tái)灣中時(shí)電子報(bào)報(bào)道,8月3日晚間接近午夜時(shí)分,突然傳出臺(tái)積電位于臺(tái)中科學(xué)園區(qū)的Fab 15廠,以及臺(tái)南科學(xué)園區(qū)的Fab 14廠的工業(yè)主機(jī)電腦遭病毒入侵且生產(chǎn)線全數(shù)停擺的消息。事后,臺(tái)積電也對外證實(shí):部分生產(chǎn)設(shè)備受到病毒感染,非如外傳之遭受黑客攻擊,目前已經(jīng)找到解決方案,受影響生產(chǎn)設(shè)備正逐步恢復(fù)生產(chǎn)。
在本次中毒事件導(dǎo)致下面情況發(fā)生:
1)工業(yè)主機(jī)關(guān)鍵軟體需要重灌
2)需要對工控網(wǎng)絡(luò)安全重新安全評估與檢查
3)客戶訂單受影響或者可能暫時(shí)停牌
本次病毒事件的核心是工業(yè)主機(jī)遭受計(jì)算機(jī)病毒感染,盡管可以通過系統(tǒng)及軟件重裝修復(fù)被感染的控制網(wǎng)絡(luò)的主要終端,但由于病毒的未知性會(huì)導(dǎo)致(主要)生產(chǎn)線停擺,在生產(chǎn)恢復(fù)之前需要對生產(chǎn)線控制終端,如工程師站、操作站等進(jìn)行安全檢查與評估,所需時(shí)間周期不確定性,導(dǎo)致影響大客戶訂單、暫停停牌。由此可見,工業(yè)控制生產(chǎn)網(wǎng)基礎(chǔ)設(shè)備安全,尤其是生產(chǎn)網(wǎng)終端安全至關(guān)重要。
事件分析
在工控網(wǎng)絡(luò)安全事件統(tǒng)計(jì)中,65%以上的安全事件來自人為因素,且均為終端安全事件,工控網(wǎng)絡(luò)終端安全在整個(gè)安全防護(hù)當(dāng)中的重要性可見一斑。傳統(tǒng)的工控網(wǎng)絡(luò)安全往往更多關(guān)注的是工業(yè)防火墻、IPS等一些邊界安全,以及網(wǎng)絡(luò)流控與分析等等,這些都是解決網(wǎng)絡(luò)出口處網(wǎng)關(guān)型的網(wǎng)絡(luò)安全防護(hù)。但是工業(yè)生產(chǎn)線真正重要的資源是存放在服務(wù)器或本地的工業(yè)終端上的,當(dāng)黑客與未知威脅在發(fā)動(dòng)攻擊的時(shí)候,這些重要的工業(yè)控制終端往往首當(dāng)其沖,控制系統(tǒng)受到的打擊也將會(huì)是致命性的。
綜上所述,傳統(tǒng)的防護(hù)思路造成了目前的重邊界、輕終端的結(jié)果,而基于可信的終端安全防御體系成為工控網(wǎng)絡(luò)安全最堅(jiān)固的防線。
解決方案
工業(yè)控制系統(tǒng)應(yīng)用有其專有的特殊性,通用的殺毒軟件無法有效地對各控制系統(tǒng)(DCS/SCADA/PLC/SIS等)的操作站、工程師站等終端的軟件進(jìn)程進(jìn)行有效識(shí)別和管理,難以采用傳統(tǒng)的安全產(chǎn)品進(jìn)行防護(hù)。需要對工控軟件進(jìn)程進(jìn)行可信度量并對度量信息進(jìn)行加密運(yùn)算和存儲(chǔ),以此解決工控系統(tǒng)終端病毒感染、惡意代碼進(jìn)程啟動(dòng)、操作系統(tǒng)內(nèi)核漏洞、USB誤用濫用等安全隱患,尤其是需要可信計(jì)算進(jìn)程度量信息清單,并提交到服務(wù)器端進(jìn)行授權(quán)生成白名單,基于白名單模式,實(shí)時(shí)管理監(jiān)控系統(tǒng)中的可信進(jìn)程,杜絕未知惡意程序啟動(dòng),實(shí)現(xiàn)主動(dòng)防御,為工控網(wǎng)絡(luò)安全提供安全運(yùn)行保障。
海天煒業(yè)可信計(jì)算平臺(tái)“InTrust可信芯片工控網(wǎng)絡(luò)安全平臺(tái)”,在去年的“Wannacry”事件中,對工業(yè)控制網(wǎng)絡(luò)抑制與主動(dòng)防御病毒的發(fā)作、保護(hù)工業(yè)網(wǎng)路主機(jī)終端的運(yùn)行安全等起到了積極地作用,真正實(shí)現(xiàn)了“終端發(fā)現(xiàn)、軟件發(fā)現(xiàn)、漏洞管理、安全配置管理、日志管理,以及危險(xiǎn)檢測和響應(yīng)”。其原理與應(yīng)用價(jià)值如下:
1)控制網(wǎng)絡(luò)工程師站/操作員站的可信計(jì)算加固,解決操作站容易感染已知和未知病毒、木馬、蠕蟲等的問題;
2)USB接口外部存儲(chǔ)設(shè)備的安全管控;
3)控制網(wǎng)絡(luò)重要數(shù)據(jù)庫服務(wù)器安全加固;
4)控制網(wǎng)絡(luò)生產(chǎn)服務(wù)器安全加固;
5)其它應(yīng)用節(jié)點(diǎn)的安全加固。
6)通過限定BAT/VBS腳本拷貝及執(zhí)行,防止惡意代碼通過腳本的執(zhí)行與擴(kuò)散。
7)通過設(shè)置保護(hù)目錄,實(shí)現(xiàn)應(yīng)用程序和操作系統(tǒng)完整性保護(hù),有效防止漏洞、后門、緩沖區(qū)溢出等攻擊方法。
8)通過授權(quán)機(jī)制,在無需更改白名單的前提下,可臨時(shí)對應(yīng)用程序、腳本文件、USB外設(shè)進(jìn)行可信授權(quán),減少維護(hù)成本。
9)對主機(jī)上的違規(guī)操作進(jìn)行監(jiān)控,監(jiān)測進(jìn)程的運(yùn)行狀態(tài)、監(jiān)測主機(jī)接口(如USB、光驅(qū))及操作,并記錄詳細(xì)的日志,方便事后的審計(jì)和追查。
結(jié)語:
構(gòu)建工業(yè)網(wǎng)絡(luò)終端的安全防御體系,不僅僅是終端防病毒系統(tǒng),更是需要提供一套安全防護(hù)機(jī)制和安全管理的理念。工控網(wǎng)絡(luò)安全是一個(gè)大系統(tǒng)概念,并不是在工業(yè)主機(jī)終端安裝了殺毒軟件、外設(shè)管控、漏洞補(bǔ)丁管理就可高枕無憂,需要有一定的安全策略配置,更需要真正可信的終端計(jì)算環(huán)境。
關(guān)于海天煒業(yè)
作為國內(nèi)早一批專業(yè)開展工控網(wǎng)絡(luò)安全業(yè)務(wù)的企業(yè),海天煒業(yè)近十年來,一直致力于我國工控行業(yè)網(wǎng)絡(luò)安全環(huán)境的維護(hù)與改進(jìn)。公司參與了4項(xiàng)國家標(biāo)準(zhǔn)和6項(xiàng)行業(yè)標(biāo)準(zhǔn)的制定,是工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實(shí)驗(yàn)室理事單位,建立了國內(nèi)規(guī)模領(lǐng)先、設(shè)備先進(jìn)、配套完善的工控網(wǎng)絡(luò)安全實(shí)驗(yàn)室。2014年4月,海天煒業(yè)推出了具有完全自主知識(shí)產(chǎn)權(quán)的Guard系列工業(yè)防火墻;隨著研發(fā)成果的不斷轉(zhuǎn)化,公司已擁有自主知識(shí)產(chǎn)權(quán)的防火墻、可信計(jì)算、審計(jì)、信息安全管理平臺(tái)等全系列安全產(chǎn)品,并連續(xù)多年為石油、石化、化工、電力、煤化工、冶金、煙草、環(huán)保等行業(yè)提供完善的“全廠工控系統(tǒng)安全一站式服務(wù)”,有效地保障了我國工業(yè)行業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全運(yùn)行。
