工业现场主机主要包括工业控制系统的工程师站、操作员站、服务器、存储等主机设备，负责工业控制系统的工作流程及工艺管理、状态监控、运行数据采集、重要信息存储等工作，是整个工业控制系统的指挥中心。工业主机需要与工业控制系统进行实时数据交互，以保证工业控制系统能够稳定、高效运转，工业主机的安全关乎整个工业控制系统的安全等级。同时，工业主机作为工业控制系统的HMI接口，是工业控制系统与外界进行交互的重要途径，如移动存储介质使用、蓝牙和无线连接等都使得工业主机与外界交互时可能产生安全隐患。

工业控制系统网络较为封闭的特点及组态软件、OPC软件等对于稳定性的要求，使得工业主机无法及时更新系统补丁、无法全面进行安全防护，我国乃至全球大部分工控主机处于“安奔”状态。近年来，以伊朗核事件、乌克兰电厂事件为代表的工业控制系统安全事件均是以工业主机为突破口攻击工业控制系统，震网病毒、火焰病毒等工业病毒也均以工业主机为载体在工业控制系统内部隐匿和传播。随着互联网、云计算、大数据等新兴信息技术向工业行业的逐步渗透，工业控制系统越来越多采用互联网的通用协议并通过互联网进行数据交换和运行管理，工业控制系统已由原来单一的与外界隔离的系统转化为能与外界实现互联互通的系统，工业控制系统面临更为严峻的安全挑战，最典型的例子就是Wannacry病毒在全球爆发的过程中，大量的工业现场主机受到感染。

工业现场主机重要性和脆弱性共存的“矛盾”属性，使其自然成为了安全维护人员的重点关注对象。常见的主机安全防护技术包括了防病毒技术、应用程序白名单技术、主机加固技术、补丁分发、外设管控、基线核查、主机入侵检测、终端准入控制等等，考虑到工业控制系统的特殊性，工业现场主机最多采用的防护技术为防病毒技术、应用程序白名单技术、主机加固技术这三种，也是今天小威要和大家讨论的重点。如果将工业现场主机比作一个人，那这三种技术可分别类比为“看病吃药”、“自身免疫”和“加强锻炼”：

防病毒技术作为传统安全的“老三样”（防病毒、防火墙、入侵检测）之一，在传统安全领域被广泛采用。防病毒软件内置病毒识别引擎，通过实时或定期扫描工业现场主机里的文件或存储器，在对协议和应用进行识别的基础上，结合病毒特征库进行病毒的检测，并根据预先设置的策略进行病毒清除、删除文件及放行等操作。典型的防病毒软件工作流程如下图所示：

在传统IT安全领域，防病毒软件得到广泛应用的原因在于传统IT将安全放在首位，采用尽可能多的手段进行安全防护，同时传统IT主机大多可直接连接互联网进行病毒库升级，加上目前“云”查杀技术的逐步推广，新病毒发现和查杀的效率也大大提高。而在工业现场，防病毒技术优势不再，反而在很多方面成为制约其推广的瓶颈，主要表现在以下几方面：

b) 防病毒软件内置大量特征库，软件运行缓慢，在扫描过程中占用资源高，拖慢系统运行速度，不满足工业控制系统高实时性的要求；

c) 防病毒技术基于特征库匹配技术，不可避免的存在误报的可能，在对疑似病毒进行处理的过程中，可能会损坏工业主机上昂贵的工业控制软件，如误删配置文件、licence文件等；

d) 工业现场主机无法连接互联网，病毒库更新缓慢，病毒查杀效果大打折扣。

目前的防病毒技术因其“先天”的滞后性及技术特点，不太适合作为工业现场主机的安全防护手段，但作为目前主机恶意代码检测的重要手段，其作用不容忽视，若能在未来的技术改进中摈弃目前存在的种种弊端，其地位将大大改观，在此，小威提出如下建议：

例如可通过监控不同的事件和各种操作，当发现某个事件或某项操作存在典型的病毒特征，或是对计算机存在危害时，即进行阻止，从而更有效地保护计算机免受新型病毒的入侵。

目前几乎所有的防病毒技术均为C/S架构，客户端严重影响工业主机性能，后续若能“去C化”，仅仅通过单臂部署的设备就能进行病毒检测和查杀，性能和兼容性问题将不复存在。工业主机存在的问题，

将目前单一的本地特征库匹配验证模式改为本地+云端大数据等进行同步验证，提高特征库更新速度，降低误报率，同时对病毒和文件进行分离，保护工业主机信息资产不受破坏。

在工业现场采用加密移动存储介质来进行数据交换，大大降低普通U盘滥用导致的病毒传播和扩散。

应用程序白名单技术可以抵御“0-day”漏洞和有针对性的攻击，实现操作员站、工程师站、数据服务器等工业现场主机的安全防护。该技术采用应用程序“白名单”机制，只允许白名单列表中的程序运行，阻止非授权程序（包括病毒、木马等）的执行，改善并提升主机安全防护能力，最大限度保障工业主机的安全稳定运行。

在工业现场主机防护方面，应用程序白名单技术有望取代防病毒技术，其中很重要的一个原因在于其安全防护能力远比传统防病毒软件要好。

上图为国际权威测评机构Tolly给出的应用程序白名单软件Bit9和防病毒软件产品安全防护能力的对比测试结果，从图中可明显看出应用程序白名单软件防护住了所有的5类攻击，而国际领先的防病毒厂商赛门铁克和麦咖啡公司的产品仅防住了一小部分攻击。当然，防护能力出色并不是应用程序白名单技术优势的全部，其优点还表现在以下几方面：

回到前面的类比也可看出，通过自身强大的免疫系统来消灭病毒也远比通过吃药来治愈疾病更能让人接受。但应用程序白名单技术也并不是全无缺陷，首先，目前工业现场应用程序白名单库还不完善，没有形成规模，大量的应用程序需要验证其安全性；其次，应用程序白名单技术管控的是所有的可执行文件，而针对脚本文件等的执行则无能为力（小威的应用程序白名单软件自带证书白名单、脚本白名单和网络白名单）；再次，应用程序白名单技术偏重于防护，而一旦恶意程序被放行（几率极低），后方一片空虚，无法进行有效检测和清除。

虽然应用程序白名单技术存在部分不足，但不可否定的是，无论是防护效果还是在工业现场主机适应性方面都比防病毒技术有优势，并有可能成为下一代工业主机安全防护的主流技术。针对应用程序白名单技术存在的不足，小威给出如下的建议：

c) 将防病毒技术作为应用程序白名单技术的有效补充，对主机恶意代码进行有效检测和清除。

主机加固技术是从提高主机操作系统本身的安全性出发，通过对文件、目录、进程、注册表和服务的强制访问控制,采用“三权分立”的管理机制，有效制约和分散原有系统管理员的权限，并结合文件和服务的完整性检测、防缓冲区溢出等功能，将普通操作系统透明提升为安全操作系统，增强工业主机的安全性，解决管理员权限过于集中、访问控制机制薄弱、身份鉴别机制易破解等问题导致的“用户身份伪造、系统及数据完整性破坏、网络入侵、数据丢失”等安全问题。其原理示意图如下：

主机加固技术侧重于尽可能提高主机自身的安全性，如关闭无关端口、进行最小权限的账号认证，设置强制访问控制等，可类比为加强身体锻炼，提高身体机能，最终达到提高安全防护能力的效果，但该技术并不能防御所有的安全威胁，如“0-day”及APT攻击等。

主机加固技术作为提升操作系统安全级别的重要手段，为等级保护所要求，同时也为现实所需要，应作为主机安全防护的基础，小威建议所有的工业现场主机均采用主机加固技术来提高操作系统安全级别，并在此基础上根据企业需要采用应用程序白名单技术、防病毒技术等来强化主机安全防护能力。

在对上述三种工业主机安全防护技术进行分析后，小威给出了改进后的主机安全防护技术类比理念：

从上表可看出，主机加固技术应是主机安全防护技术的基础，应用程序白名单技术是核心，防病毒技术是重要的补充手段，企业可根据自身需要综合利用这三种防护技术来提高工业现场主机的安全防护水平，最终达到保护生产安全、提高生产效率的目的。返回搜狐，查看更多